| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Reject czy Stealth? http://forum.freesco.pl/viewtopic.php?f=8&t=14370 |
Strona 1 z 1 |
| Autor: | San [ czwartek, 21 grudnia 2006, 21:54 ] |
| Tytuł: | Reject czy Stealth? |
Witam! takie pytanie: jak zamykać porty? czy powinny one odpowiadać czy milczeć? mój router służy do dzielenia internetu pomiędzy komputery domowe, oraz komputer-serwer (http). teoretycznie co najmniej jeden port podczas (ewentualnego) skanowania mojego adresu będzie wykryty jako otwarty (ssh, htm, ping). tak więc 'zaleta' ukrywania wszystkich portów - komputer jest nie widoczny z sieci u mnie nie ma zastosowania. nie wiem jak to jest z obciążeniem sieci. czy jeśli porty są ukryte, to czy połączenie jest utrzymywane? bo gdy porty są tyko zamknięte, to połączenie jest brutalnie zrywane. co bardziej obciąża sam komputer (router)? to że serwer musi odpowiadać na każde połączenie, czy to że ktoś się ciągle dobija (?). może troszkę nie jasno opisuję mój problem, ale... Pozdrawiam! |
|
| Autor: | -MW- [ czwartek, 21 grudnia 2006, 22:03 ] |
| Tytuł: | |
przy reject - ktos sie ciagle dobija? Cytuj: to połączenie jest brutalnie zrywane nie brutalnie tylko po europejsku
|
|
| Autor: | San [ czwartek, 21 grudnia 2006, 22:33 ] |
| Tytuł: | |
nie, przy stealth ktoś się ciągle dobija. chodzi mi o to że połączenie nie jest zerwane. co wtedy się dzieje? pomiędzy rozpoczęciem nawiązywania połączenia a timeout'em? Cytuj: nie brutalnie tylko po europejsku
dobra dobra =] takie są moje wyobrażenia. piszę dla tego bo chciałbym żeby ktoś mi wytłumaczył to czego nie rozumiem i ewentualnie poprawił błędy w myśleniu ;b * *nie, nie chcę by ktoś mnie zaraz zaczął leczyć z jakiegoś niedorozwoju umysłowego 
|
|
| Autor: | Maciek [ czwartek, 21 grudnia 2006, 22:36 ] |
| Tytuł: | |
Opcja REJECT mówi komuś dobijającemu się do jakiejś usługi "spadaj, ta usługa jest dla ciebie zamknięta", zaś opcja DROP powoduje, że próbujący nie wie - czy tam w ogóle ta usługa jest. I to cała różnica... |
|
| Autor: | San [ czwartek, 21 grudnia 2006, 22:57 ] |
| Tytuł: | |
teorię znam. a praktyka? |
|
| Autor: | Maciek [ czwartek, 21 grudnia 2006, 23:49 ] |
| Tytuł: | |
To nie teoria, to praktyka. |
|
| Autor: | San [ piątek, 22 grudnia 2006, 00:38 ] |
| Tytuł: | |
ale skoro ukrywanie jest zwiększeniem bezpieczeństwa (kraker nie wie czy komputer jest) to już jest jakaś różnica... |
|
| Autor: | -MW- [ piątek, 22 grudnia 2006, 03:14 ] |
| Tytuł: | |
ludzie w tak niebezpiecznych zakatkach swiata mieszkaja zeby w routerze na pierwszym miejscu stawiac bezpieczenstwo? |
|
| Autor: | San [ piątek, 22 grudnia 2006, 15:36 ] |
| Tytuł: | |
Próbujesz wnieść coś do rozmowy? idąc Twoim śladem, nie sądzisz że firewall w routerze nie jest bez sensu? po co zabezpieczać router? już pomijam fakt że nawet otwarte freesco ciężko pokonać, bo przecież nic na nim się nie da zainstalować, no chyba że dziurawe oprogramowanie... straszne... abstrahując jednak troszeczkę, to nie wiem czy zauważyłeś ale pytam raczej o obciążenie serwera/sieci, a bezpieczeństwo podałem jako przykład różnic. podążając tym tropem, może uda się znaleźć inne wady/zalety... |
|
| Autor: | -MW- [ piątek, 22 grudnia 2006, 20:37 ] |
| Tytuł: | |
sam router bez uslug serwera jest niedozdobycia jesli jest jakas roznica to pewnie znikoma, ktora przy procesorach celeron 500 mozna pominac |
|
| Autor: | San [ piątek, 22 grudnia 2006, 21:08 ] |
| Tytuł: | |
wreszcie sensowna wypowiedź z tym że mój router pracuje na procesorze 486 100@66mHz =] |
|
| Autor: | viater [ piątek, 22 grudnia 2006, 21:49 ] |
| Tytuł: | |
Maciek pisze: Opcja REJECT mówi komuś dobijającemu się do jakiejś usługi "spadaj, ta usługa jest dla ciebie zamknięta", zaś opcja DROP powoduje, że próbujący nie wie - czy tam w ogóle ta usługa jest. I to cała różnica... Z tego chyba można wywnioskować, że mniejsze obciążenie systemu będzie przy DROP, bo przy REJECT system musi odpowiedzieć - Cytuj: "spadaj, ta usługa jest dla ciebie zamknięta"
a przy DROP raczej milczy czyli nic nie robi. |
|
| Autor: | San [ piątek, 22 grudnia 2006, 22:02 ] |
| Tytuł: | |
tutaj akurat różnica jest chyba bardzo niewielka. komputer i tak musi rozpakować otrzymany pakiet, sprawdzić do kąd idzie. nie zależnie od tego jakie są ustawienia. a to czy odpowie czy nie, to już raczej mało roboty |
|
| Autor: | Maciek [ piątek, 22 grudnia 2006, 22:18 ] |
| Tytuł: | |
Zakładając pojedyncze wywołanie, zadna z tych opcji nie powoduje znaczącego obciążenia, ani też żadna z nich nie jest bardziej "zasobożerna" od drugiej. Sorry, ale czy wy nie macie ważniejszych problemów? Szczęśliwi ludzie... |
|
| Autor: | San [ piątek, 22 grudnia 2006, 22:46 ] |
| Tytuł: | |
a atak? |
|
| Autor: | Maciek [ sobota, 23 grudnia 2006, 00:25 ] |
| Tytuł: | |
Hm.. w przypadku floodu zapewne nieco więcej zajmie odpowiadanie w opcji REJECT, niz DROP, ale nadal sądzę, że to jest pomijalne. W przypadku dobrego dDos twój serwer zdechnie z całkiem innego powodu niż REJECT czy DROP 
|
|
| Autor: | San [ sobota, 23 grudnia 2006, 01:37 ] |
| Tytuł: | |
no dobrze. z tego wynika że z praktycznego punktu widzenia, nie ma to najmniejszego znaczenia. tak? skoro tak, to czemu przy konfiguracji ethernet druid sugeruje 'reject'? czy to jakaś netykieta? która nakazuje nie-ukrywanie-się? |
|
| Autor: | Maciek [ sobota, 23 grudnia 2006, 12:42 ] |
| Tytuł: | |
Cytuj: konfiguracji ethernet druid sugeruje 'reject'?
Jaki druid? Osobiście jestem zwolennikiem DROP na interfejsie zewnętrznym, utrudnia to skanowanie serwera. Na interfejsie wewnętrznym dawałbym REJECT, po to by użytkownik od razu wiedział, że nie ma dostępu do danej usługi, cz komputera. |
|
| Autor: | San [ sobota, 23 grudnia 2006, 19:05 ] |
| Tytuł: | |
druid. chodziło mi o pytania na które się odpowiada przy konfiguracji np. ethernet. jak ustawić reject dla sieci wew. a dla zew. drop? |
|
| Autor: | marask [ sobota, 23 grudnia 2006, 20:16 ] |
| Tytuł: | |
Zciech ma bardzo dobry podpis związany z Twoim problemem |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|