Zakazany ping?
Jan Kasprzak
kas at informatics.muni.cz
Mon Aug 12 13:26:06 CEST 2002
Petr Klimovic wrote:
:
: MR> prevence kterou my administratori nenavidime, protoze
: MR> kdyz si zakaznik stezuje, ze ma problemy treba prave
: MR> s Vasim serverem, na ktery se pripojuje, tak tim berete
: MR> zasadni nastroj pro diagnostiku toho, v jakem je sit stavu.
: MR> Prevenci bych hledal urcite nekde jinde nez zakazanim pingu.
:
: Existuji nastroje, ktere po dobyti stroje umoznuji interaktivni session
: s nim jen pomoci pingu. Tedy maskovana komunikace s pocitacem.
: Zakaznik by si mel firewall nastavit tak, aby pingy od jeho
: administratora prochazely.
Stejne tak tohle lze pres DNS, HTTP a jine protokoly (treba i
pres jine ICMP zpravy jako destination unreachable - tyto by povolene
byt mely kvuli PMTU discovery).
Zakaz ICMP echo tedy neprinasi zadnou bezpecnostni vyhodu
a na druhou stranu prinasi nekompatibilitu s existujicimi standardy
- ICMP echo musi podporovat kazdy stroj v Internetu, pokud vim tak
u routeru neni povinne na ICMP echo odpovidat (ale implicitni nastaveni
musi byt takove ze router na ICMP echo odpovida).
-Y.
--
\ Jan "Yenya" Kasprzak <kas at fi.muni.cz> http://www.fi.muni.cz/~kas/
\\ PGP: finger kas at aisa.fi.muni.cz 0D99A7FB206605D7 8B35FCDE05B18A5E //
\\\ Czech Linux Homepage: http://www.linux.cz/ ///
\\\\ If you hold a Unix shell to your ear, do you hear the C? ////
More information about the net
mailing list