Administrace komentářů

Na politiku dojde vždy, když se nematchne jiné pravidlo.

A máte teda pravidla pro veškerý provoz, nebo to, že nějaká komunikace nevyhoví žádnému pravidlu a propadne až do politiky, je záměr?

taková chyba je mnohem méně pravděpodobná než ta opačná, kdy nějaké pravidlo ZAPOMENU

Za prvé, jak jste na něco takového přišel? A za druhé, i kdyby to byla pravda, co z toho plyne?

Nikde jsem nepsal, že jsem v klidu a že nemůže být něco zpřístupněné omylem, to si tu jen vymýšlíte, abyste měl vůbec nějaké argumenty.

Explicitně jste to nenapsal, ale neustále to uvádíte na příkladech. Neviděl jsem žádný váš komentář, kde byste napsal, že nastavíte politiku na DROP, což je úplně k ničemu. Naopak neustále uvádíte příklady, kdy by možná politika DROP při určité souhře okolností mohla pomoci. Což znamená, že jste v klidu. Kdybyste nebyl, tak napíšete, které všechny případy to neřeší, jak řešíte ty jiné případy, že tohle jiné řešení vlastně pokrývá i to, čeho se snažíte dosáhnout politikou DROP, a že je tudíž ta politika DROP zbytečná.

Myslím aplikace, které nejsou v balíčkách, často mají mizernou dokumentaci a je otázka, na čem všem naslouchají.

Na tuto otázku je velice snadná odpověď, kterou jsem napsal shodou okolností také v komentáři, na který reagujete.

NAT traversal

To je přece úplně stejný způsob uvažování, jako ta vaše DROP politika. "Mám přece počítač za NATem, takže se na něj nějaký útočník z druhého konce světa nemůže dostat." Že na jeho počítač může útočit třeba jiné zařízení ve stejné síti, to dotyčného nenapadne - a vás taky ne. (Tady by se hodila zase nějaká vaše reakce o pravděpodobnosti. Jak je pravděpodobné, že zrovna v mém routeru bude chyba typu rom-0, jak je pravděpodobné, že někdo objeví zrovna mou webkameru - aha, pardon, to byly vaše protipříklady.)

Aha, takže pokud máte dveře na klíč a za tím další dveře na jiný klíč, tak to nefunguje?

Těch případů, kdy to zrovna náhodou zafunguje, je nezajímavě málo. Pokud už vám někdo ukradne jeden klíč, nejspíš ukradne i ten druhý. Pokud bude umět otevřít bez klíče první zámek, nejspíš to zvládne i s tím druhým.

Jako základ stačí iptables -A INPUT -m limit --limit 3/min --limit-burst 10 -j LOG

To bude správně fungovat do té doby, než někdo přidá další pravidlo iptables -A INPUT.

To se hezky řekne, ale v praxi to nejde zaručit.

To, že vy to neumíte, neznamená, že to nejde. Já to umím.

Jak to nastavíte pro konkrétní počítač? Podle IP adresy? Co když ji změní?

Ano, podle IP adresy. Když ji změní, tak nedokáže s nikým komunikovat.

Jak to uděláte u sítě, kde máte desítky strojů, které nemáte ve správě?

Oddělím je do samostatné sítě, oddělené od zabezpečené sítě. A pak záleží na tom, jaká bude dohoda s provozovateli těch strojů. Nejlepší samozřejmě je nechat jim plný přístup k síti. Pokud provozovatelé těch strojů řeknou, že ty stroje nejsou bezpečné a není možné je takhle provozovat, bude záležet na tom, jaké budou chtít zabezpečení.

Chápu, moc dobře chápu, proto se snažím jakékoliv vektory útoku minimalizovat.

Takže už máte na dveřích čtvrtý zámek, a vedle dveří pořád to otevřené okno. Ono nestačí minimalizovat nějaké náhodně vybrané vektory útoku, nebo ty vektory útoku, proti kterým se vám dobře brání. Když dáte na dveře zámek, nemá smysl tam přidávat druhý zámek do té doby, než všechno okolo budete mít zabezpečené alespoň tak dobře, jako ty dveře se zámkem.

Jak tedy blokujete služby, o kterých nevíte?

Stejně jako vy - nijak. Akorát si - na rozdíl od vás - nemyslím, že je blokuju. Takže se logicky snažím docílit toho, aby takové služby neexistovaly.

vymýšlíte si absurdní způsoby, kdy to nefunguje

Zatímco útočníci spořádaně útočí zásadně jenom těmi způsoby, proti kterým máte obranu. Když nějaký útočník vidí dveře se třemi zámky, tak přece nepoleze vedle otevřeným oknem, to by bylo absurdní, že.

U mého monitoringu nevadí, pokud něco přehlédnu nebo se to odhalí za týden (prostě to nefunguje). ... KDYŽ ZE VŠECH OKOLO DĚLÁ NEUSTÁLE DEBILY

Nedělám debily ze všech okolo, pouze poukazuju na vaše omyly. Opravdu nemůžu za to, že na nich tak vehementně trváte.

Pořád se ohrazujete proti tomu, že tvrdím, že nastavíte politiku DROP a máte pocit, že jste tím něco vyřešil. No a pak sám napíšete "prostě to nefunguje". Tak jak to tedy je? Platí to "prostě to nefunguje"? A je to důsledek politiky DROP?