Marco Giusti wrote: >>>iptables non chiude porte e basta, fa molto di piu'. alcuni problemi >>>legati alla sicurezza non sono causati dal software, ma dai protocolli. >> >>discutiamone. Cita qualche esempio per piacere. > > non sono un esperto di reti ne di iptables, ho solo letto qualcosa qua e > la'. > se non vado errato un esempio pio' essere il ping-of-death. 1) bloccare gli icmp e' una vaccata 2) prima di passare il pacchetto al firewall le routine del sistema operativo devono raccoglierlo dalla scheda di rete e decodificarlo. Quindi il ping of death agisce prima del firewall. > oppure mettiamo il caso che tizio trova un exploit e ti buca una > macchina. non è automatico acquisire i diritti di root. con iptables > puoi limitare il traffico in uscita e impedire che altre macchine della > lan vengano bucate. sono casi molto particolari, sopratutto quando hai lan complesse, in cui i vari computer devono dialogare tra loro. Pensa che ne so quando hai vari client e un dns, un proxy e un fileserver, voglio vedere come castri le comunicazioni dentro la lan. Ripeto, non sto dicendo che non serve a nulla, sto dicendo che forse vale la pena prima concentrarsi su altro. E che e' meglio mettere eventualmente su un firewal su un dedicato, magari in bridge senza ip, che fa il suo lavoro senza farsi vedere in lan. -- Non c'è più forza nella normalità, c'è solo monotonia.
Attachment:
signature.asc
Description: OpenPGP digital signature