linux-l: Offene Ports

Steffen Dettmer steffen at dett.de
Mo Sep 4 10:57:46 CEST 2000


* Thomas Knop wrote on Mon, Sep 04, 2000 at 09:15 +0200:
> On, Sun, 03 Sep 2000, Mario Thaten wrote:
> > Reply to mail by Jan-Benedict Glaw of Sat, 2 Sep 2000 20:40:56 +0200:
> > 
> > den brauch ich aber, wenn ich ftp durchlassen will.

> Nein, definitif nicht. 113 ist INDET. Wenn du einen *sehr miserablen*
> ftp-client hast, wartet diese ewig und drei Tage auf eine antwort auf
> seinen INDENT Request. Du kannst dies vermeiden, indem du deine Firewall
> so configurierst, daß sie Pakete auf Port 113 rejected anstatt sie zu
> verwerfen. 

Das schöne an ident/auth ist, daß man bei den TCP-Wrappern sagen
kann, es darf z.B. nur User "ichbins" (oder weiß ich was)
connecten. Man kann sicherlich auch gewisse FTP Server so
konfigurieren, daß ein funktionierender Indet nötig ist, um
connecten zu dürfen (z.B. über tcp-wrapper).
 
> Damit kommt dann auch der mieseste Client klar. Cisco (u.A.
> Hersteller von HW Firewalls) warnt expliziet vor der Freischaltung von Port
> 113. Zitat: "Most users consider the INDENT protocol a security voilation,
> because it could allow an outsider to gain confidential knowledge of your
> secure network"

security through obscurity? Na ja, wer's mag... Ich denke, ne
Maschine muß auch sicher sein, wenn jemand weiß, mit welchen
login Namen ich mich einlogge (bekommt man auch manchmal an Hand
von From: Feldern raus, oder wie das ~name Verzeichnis des
WWW-Servers heißt oder sowas). Außerdem kann indetd auch:

       The -n flag tells identd to  always  return  user  numbers
       instead of user names if you wish to keep the user names a
       secret.  The  -N  flag  makes  identd  check  for  a  file
       ".noident" in each homedirectory for a user which the dae­
       mon is about to return the user name  for.  It  that  file
       exists  then  the  daemon  will give the error HIDDEN-USER
       instead of the normal USERID response.

Alles konfigurierbar :)

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.



Mehr Informationen über die Mailingliste linux-l