Liane BBS: CZunix: Re: pruchod pres NATy

Posted By: TomEeK (Polibte mi lem roucha) on 'CZunix' Title: Re: pruchod pres NATy Date: Tue Apr 5 11:26:31 2005 Mimochodem, zde ani tak neni moc ke cteni, sdan jenom k doplneni. 1. NAT na hranicnim stroji nechrani hranicni stroj. 2. pokud je NAt spatne napsany coz se stava pomerne casto ze jsou v nem chyby, pak je moznost primeho utoku 3. NAT nechrani plne proti utokum pri zamenen IP adresy nebo pokusu o podvrzeni paketu s priznakem ACK=1 4. pokud pouzivate NAT, ktery umoznuje preuso-NAT technicky (jako je traversal NAT) a nedate si na to pozor, existuje moznost primeho uitoku na masinu 5. NAT je k nicemu mate-li aktivni FTP server. 6. NAT je k nicemu mate-li IPSec Atd... Pokud toto vse nehrozi, pak musi utocnik nejdrive hacknout NAT stroj, potom muze utocit na vnitrni masiny. Osobne se z ruznych i techto vyjmenovanych duvodu domnivam, ze NAT je pouze doplnenim bezpecnosti a snizenim nakladu na verejne IP adresy. NAT vzdy doplnovat o stavovy filtr a port filtry. O zbytku doporucuji hodnotne cteni na http://www.ietf.org/1id-abstracts.html Trosku off topic ale zajimave je napr toto: http://ietf.mirror.netmonic.com/draft-dupont-transient-pseudonat-04.txt Zni to jako klise, ale google take hodne napovi, i kdyz ve vetsine pripadu se dozvite, ze je to dostatecne, coz je pravda, proti virum a pristupum na porty windows masin Vas to doopravdy chrani > > > Ahoj, > > > > > > jak je mozne ze na vnitrni siti mi Kerio hlasi pokus o utok z venku? > > > na routeru je nastavena NAT (dynamicka)... > > > > no nevim zda to tu nekdo rekl, ale myslet si, ze natem je vyresena sitova > > bezpecnost na hranicnim stroji, je docela zasadni chyba. > > Tomeeku, prskni sem plz nejaky kvalitni odkaz, kde bych si o tom mohl > pocist. > > Diky, > Jet.

Search the boards