Re: Bezpieczny serwer FTP

MarcinF <marfi@interia.pl> napisa³(a):
> Konrad Stepien wrote:
>
>> Który to firewall jest te¿ aplikacj±, które,
>> jak to aplikacja nie jest w 100% bezb³êdna i bezpieczna.
>
> ale wielokrotnie trudniej dokonac udanego ataku na
> firewall aplikacyjny i jednoczesnie aplikacje, niz
> na sama aplikacje
>
Jasne, dlatego ka¿dy element poprawia bezpieczeñstwo.
Na przyk³ad takie elementy jak stack-noexec, albo mountowanie
/tmp jako noexec s± do przej¶cia, ale jednak komplikuja atak.
Jednak wszystkie rozwi±zania co najwy¿ej _zwiêkszaj±_ bezpieczeñstwo,
ale go nie gwarantuj±. To oczywi¶cie truizm, ale
niektórzy czasem o tym zapominaj±.

>> W dodatku, atak na serwer w³a¶ciwy mo¿e siê mie¶ciæ
>> w ramach zdefiniowanej poprawnej polityki.
>
> z jakiego powodu? masz na mysli niedoskonalosc
> samego rozwiazania, za maly stopien szczegolowosci
> polityki firewalla ?
>
To te¿. Generalie chodzi mi o to, ¿e czasami atak mo¿na
przeprowadziæ przy pomocy ca³kowicie "legalnych" z punktu
widzenia us³ugi wywo³añ.
Na ogó³ takie firewalle blokuj± ataki typu podejrzene znaki
w wywo³anu, albo za d³ugie wywo³anie albo inne takie
"protocol violation".
Na przyk³ad, atak przy pomocy spreparowanego jpg-a który
exploituje b³±d w jakiej¶ bibliotece graficznej mo¿e
byæ dla takiego firewalla zupe³nie legalnym wywo³aniem
(poprawny za³±cznik poczty albo poprawny upload pliku
po http/ftp). Takie rzeczy siê cholernie ciê¿ko filtruje.

-- 
WARNING: my e-mail is encrypted by ROT13
Xbaenq Fgrcvra <xbaenq@vagreqngn.arg.cy>