Limiting closed port RST

[Dan Lukes]

Pav Lucistnik wrote:
>>	Scanovani portu, neni-li delano jako bezpecnostni scan ve prospech 
>>spravce scanovaneho pocitace je uzivanim, ke kteremu zadny dobry duvod 
>>ani explicitni souhlas neni a ve vetsine pripadu neni vedeno ani dobrym 
>>umyslem a v dobre vire. "V poradku" to rozhodne neni.
> 
> 
> Tady by se dalo dlouze a bezvysledne polemizovat, takze toho asi
> nechame. Muze se vam to i nelibit, ale ja na tom opravdu nevidim nic
> odsouzenihodneho. Kdyz uz jste svuj pocitac pripichnul na otevrenou sit
> jako je Internet, musite cekat ze nekdo bude "zvedavy"... 

	No, ja se nedomnivam, ze bychom meli povazovat za "v poradku" kdyz 
nekdo pouziva vec, byt' verejne dostupnou, k necemu, k cemu zverejnena 
nebyla - to smerujeme k tomu, ze budeme povazovat za "v poradku" SPAM 
(kdyz mam emailovou schranku, nemohu mit nic proti tomu, ze mi nekdo 
pise) a, pokud opustime oblast IT, pak je "v poradku" kdyz si kdokoliv 
odnese z parku lavicku - vzdyt byla na verejne dostupnem miste, takze se 
nelze divit, ze si ji nekdo odnesl a je to take v poradku. To je takovy 
trochu socialisticky manyr, ze to co je verejne patri "vsemu lidu" a tak 
si s tim kazdy clovek muze delat naprosto co ce - a ja se domnivam, ze 
to neni vhodny pristup k veci. Nicmene, to je vec "svetonazoru" a jak 
sam rikate, vec k bezvysledne diskusi, protoze takovehle veci se 
vydiskutovat nedaji a i kdyby to slo, pak souhlasim, ze tohle patrne 
neni nejvhodnejsi forum, takze toho tady opravdu necham.

> No me to muze byt konec koncu jedno :) ale co mi opravdu vadi je
> omezovani funkcionality ve jmenu "bezpecnosti". Napriklad v posledni
> dobe se dost rozsiruje mores blokovani icmp echo paketu (traceroute) a
> to i u velkych ISP... docela me to vytaci. Neni to proti standardum?

	No, jenze to o cem mluvis je prave nasledek toho pohledu na problem, 
ktery prosazujes. Pripadu zneuzivani diagnostickych nastroju k jinym 
ucelum by bylo mene (a tedy tlak na zamezeni by byl mensi), kdyby se 
takove zneuzivani nepovazovalo za "normalni". Zablokovane ICMP je primym 
nasledkem toho, ze slusnost a ohleduplnost povazujes za nepovinny 
"nadstandard". Nicmene, skutecne toho necham. Pokracovat muzeme 
soukrome, i kdyz to tezko prinese nejake zajimave vysledky.

	Jo - nmap jsem i ja proti cizimu pocitaci v nekolika pripadech spustil. 
Jako dite jsem dokonce ukradl v samoobsluze cokoladu - ale neodvazoval 
bych se na zaklade toho, ze jsem to udelal dovodit, ze je to "normalni" 
a "v poradku".


 >>umyslem a v dobre vire. "V poradku" to rozhodne neni.

 > ¨
Liquid wrote:
 > Zastavam stejny nazor a proto se zaimam jak tuto cinnost cizim lidem
 > znemoznit.
 > Zakazovat IP? Aby na tyhle IP neodpovidal?


	Ano, je asi nejrozumenejsi se od flamewar vratit k FreeBSD a technickym 
aspektum problemu.

	Znemoznit to tem lidem muzes jen tezko - o tom, ze nejaky paket vyslali 
se dozvis teprve v okamziku, kdy ho dostanes a v tom okamziku jiz nelze 
jeho vyslani zabranit. Dokonce i kdyz IP zablokujes, nezabranis tomu, 
aby ty pakety nadale prichazely, nemluve o tom, ze zdrojova IP je snadno 
zfalsovatelna, takze nejake automaticke blokovani otevira cestu DoS 
utoku. Zabranit tomu muzes jen tak, ze si postezujes tomu, kdo to dela, 
nemo tomu, kdo mu zajistuje pripojeni - uspesnost takovych stiznosti ale 
neni velka. Jak uz jsem napsal, ja na nezadouci pakety odpovidam 
prislusnym ICMP oznamujicim, ze si takove pakty nepreji. To sice 
vyvolava urcite zatizeni linky i v opacnem smeru, ktere by nevzniklo, 
kdybych pakety proste zahazoval, na druhou stranu, z praxe se mi zda, ze 
pokud aktivne na pakety odpovidam, vetsina scanovacich programu na to 
zareaguje (kdezto kdyz pakety zahazuji predpoklada, ze se mohl ztratit a 
posle jej nekolikrat znovu) - takze celkovy efekt "odpovidani" na 
zatizeni linky je spise kladny.

						Dan


-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz