linux-l: Offene Ports
Steffen Dettmer
steffen at dett.de
Mo Sep 4 10:57:46 CEST 2000
* Thomas Knop wrote on Mon, Sep 04, 2000 at 09:15 +0200:
> On, Sun, 03 Sep 2000, Mario Thaten wrote:
> > Reply to mail by Jan-Benedict Glaw of Sat, 2 Sep 2000 20:40:56 +0200:
> >
> > den brauch ich aber, wenn ich ftp durchlassen will.
> Nein, definitif nicht. 113 ist INDET. Wenn du einen *sehr miserablen*
> ftp-client hast, wartet diese ewig und drei Tage auf eine antwort auf
> seinen INDENT Request. Du kannst dies vermeiden, indem du deine Firewall
> so configurierst, daß sie Pakete auf Port 113 rejected anstatt sie zu
> verwerfen.
Das schöne an ident/auth ist, daß man bei den TCP-Wrappern sagen
kann, es darf z.B. nur User "ichbins" (oder weiß ich was)
connecten. Man kann sicherlich auch gewisse FTP Server so
konfigurieren, daß ein funktionierender Indet nötig ist, um
connecten zu dürfen (z.B. über tcp-wrapper).
> Damit kommt dann auch der mieseste Client klar. Cisco (u.A.
> Hersteller von HW Firewalls) warnt expliziet vor der Freischaltung von Port
> 113. Zitat: "Most users consider the INDENT protocol a security voilation,
> because it could allow an outsider to gain confidential knowledge of your
> secure network"
security through obscurity? Na ja, wer's mag... Ich denke, ne
Maschine muß auch sicher sein, wenn jemand weiß, mit welchen
login Namen ich mich einlogge (bekommt man auch manchmal an Hand
von From: Feldern raus, oder wie das ~name Verzeichnis des
WWW-Servers heißt oder sowas). Außerdem kann indetd auch:
The -n flag tells identd to always return user numbers
instead of user names if you wish to keep the user names a
secret. The -N flag makes identd check for a file
".noident" in each homedirectory for a user which the dae
mon is about to return the user name for. It that file
exists then the daemon will give the error HIDDEN-USER
instead of the normal USERID response.
Alles konfigurierbar :)
oki,
Steffen
--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
Mehr Informationen über die Mailingliste linux-l