Jak zabezpecit telnet pres Firewall ?
Leos Bitto
bitto at atrey.karlin.mff.cuni.cz
Wed Oct 27 09:13:11 CEST 1999
Pavel Satrapa (Pavel.Satrapa at vslib.cz) wrote:
: > Vazeni, potrebuji se pripravit argumentacne na diskusi o zavedeni firewalu
: > a tak polozim otazku ktere je zjevne nezodpoveditelna - presto bych prosil
: > o seriozni pristup.
:
: Ja myslim, ze celkem zodpoveditelna je (ostatne "nejde to" je take
: odpoved ;-)
:
: Firewally zpravidla maji nejak vyresenu pruchodnost pro ruzne sluzby
: vcetne Telnetu a FTP (pochopitelne zavisi na konkretnim produktu). Co jsem
: videl ja, fungovalo to zhruba tak, ze se clovek vlastne nejprve prihlasil
: k proxy serveru na firewallovem stroji a tady pomoci nejakych prikazu
: zadal, kam chce spojit dal. Pochopitelne se dala nastavit ruzna omezeni
: (kdo smi, kam smi a tak).
No jo, ale to neresi problem ruznych snifferu. Nekdo si proste odposlechne
heslo jak na firewall tak do vnitrni site a je to. :-(
: Pokud se tyce pristupu k poste zvenci, to vypada docela nebezpecne,
: protoze by to znamenalo, ze musite otevrit komunikaci (naznacujete, ze
: dokonce i Telnetovou) na mail server. Jako akceptovatelne reseni by mi
: pripadalo instalovat specialni mail server pro externisty, ktery bude
: vystrcen pred firewall, tedy ven z chranene site. Pokud nekdo bude
: cestovat, pozada o presmerovani (nebo kopirovani) posty z centralniho mail
: serveru na tento volne pristupny, ke kteremu se v pohode dostane. Jelikoz
: tento server bude slouzit jen malemu poctu uzivatelu, nemelo by byt jeho
: pripadne odstreleni crackerem kriticke.
A proc si takovy server zrizovat sam kdyz uz jich spousta existuje?
Hotmail.com, Yahoo.com, Post.cz, ...
Dalsim resenim je nekde nainstalovat webovske rozhrani k vasemu stavajicimu
mailserveru, zabezpecene pres https. Konkretne mam dobrou zkusenost s
Apache + mod_ssl (www.modssl.org) + IMP (www.horde.org/imp/).
Leos Bitto
More information about the net
mailing list