[zorp-hu] Proxy-s kezdo kerdesek

[Balazs Scheidler]

On Tue, Mar 12, 2002 at 09:11:32AM +0100, Narancs v1 wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> On Tue, 12 Mar 2002, Trebisch Tamas wrote:
> 
> > A szerver ki van teve a szolgaltatohoz.
> > Jo lenne, ha valamilyen szinten vedve lenne a nem szabalyos
> > keresektol, illetve szurve lennenek a szervizekhez kapcsolodni
> > szandekozo felhasznalok.
> >
> > Az utobbira lenne az iptables, az elobbire a zorp.
> 
> hmm, attol fugg, kerdes h
> 
> 1. mekkora forgalmat bonyolit mekkora hw-n
> 2. milyen webszerver, milyen dinamikus nyelv, (gondolom pl apache+php, es
> a php-s tamadasok ellen akarod vedeni)
> 3. mennyire tudod beszabalyozni azt hogy mit engedsz
> 
> A zorpban eleg jol belehet szukiteni a http-t, (lasd http.py)
> de ez korantsem ved meg minden tamadastol.
> 
> A megfelelo taktika az, ha mindig uptodate tartod a rendszeredet sec.
> update-ekkel. Nincs olyan hogy install&forget&security.
> 
> Kernem a lista velemenyet ez ugyben:
> Ad-e a zorp http proxyja vedelmet mondjuk egy apache vagy php sechiba
> ellen? milyen esetekben adhat? DoS eseten mi a helyzet?

a http proxy fogott mar ki ismeretlenul tamadasi kiserletet: CodeRed I/II.
Konkretan a legutobbi file feltoltos exploit keresztul ment rajta, mert a
HTTP adatreszt - egyenlore - nem ellenorzi, az pedig ott kozlekedett.

Szoval, hogy mit fog meg es mit nem, az nagyban fugg a konkret hibatol.
Csomagszintu DoS tamadasoknal magat a szervert ugyan megvedi, de lehet, hogy
maga a tuzfal nem kepes tovabb mukodni. (pl synflood eseten ha nincs
bekapcsolva a syncookies, illetve DDoS tamadaskor)

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1