Jak zabezpecit telnet pres Firewall ?

Petr Skoda skoda at pleione.asu.cas.cz
Mon Oct 25 23:20:44 CEST 1999 

Vazeni, potrebuji se pripravit argumentacne na diskusi o zavedeni firewalu
a tak polozim otazku ktere je zjevne nezodpoveditelna - presto bych prosil
o seriozni pristup.

Jde o to, ze zavedete-li firewal do akademicky svobodne smyslejici
organizace narazite na principialni omezeni techto svobod v souvislosti
Internetem, ktere muze byt pricinou odmitnuti FW jako celku. Konkretne
uzivatele jsou zvykli komunikovat z druhe strany sveta se svym pocitacem
pres FTP ci telnet a prenaset si napr zapomenute (pri odjezdu) soubory ci
cist si postu na lokalnich pocitacich (tam dorucovanou apod). Druhy
problem je, ze dostat se na postovni servery je nutno i z
nejroztodivnejsich OS kde neni pravidlem instalace ssh klienta (bud
neexistuje , nebo o nem ani nevedi ( BTW i v nekolika prrofesionalne
vypadajich kavarnach jsem pri dotazu na ssh vyvolal radu krceni ramen,
nechapavych vyrazu, ci v lepsim pripade podrbani na hlave typu - no on by
tam mel nekde byt, ale nevim kde a kolega co to vi je pryc apod ;)

Takze v takto realistickem svete je potreb se vyporadat s bezpecnosti
systemu a vymyslet reseni ktere umozneuje zavedeni firewalu a presto tyto
svobody (telnet ftp na cilove pocitace) neznemozni - zas jde o to aby tam
nemohli snadno hackeri - Existuje nejake pouzitelne, rozumne bezpecne
reseni ? (napr logovani s mezilogovanim na nejaky bastionhost ci tak
podobne )?   Nelze ani vetsinou nastavit FW na propousteni paketu dane IP
adresy (obvykle neni znama predem a casto se na konferencich clovek loguje
i terminalu bez reverznich DNS - nekdy s adresami vymyslenymi jen pro par
dni trvani konference.


Je mi jasne, ze kam muze uzivatel odkudkoli, muze i hacker - ale presto
nejde mu to alespon znacne ztizit ?

Dekuji predem moc za rozumne napady - podotykam, zatim nic nebudujeme, jen
jde o to mit privraveny i exoticke moznosti (Secure ID karty apod ) pro
brainstorming.



*************************************************************************
*  Petr Skoda                         Tel   : (0204) 649201, l. 361     *
*  Stelarni oddeleni                          (0204) 620361, 620136     *
*  Astronomicky ustav AVCR            Fax   : (0204) 620250             *
*  251 65 Ondrejov                    e-mail: skoda at sunstel.asu.cas.cz  *
*  Ceska republika                            pskoda at mbox.cesnet.cz     *
*************************************************************************

More information about the net mailing list