Vlákno názorů k článku JavaScript může přistoupit do vnitřní sítě a obejít same-origin policy od Miroslav Šilhavý - Vždy hlavní linií obrany je bránit se příchozím...

Vždy hlavní linií obrany je bránit se příchozím útokům. V LAN je to problematičtější, ale ne nemožné. Když pominu stanice, u kterých mě víceméne moc nezajímá, co se s nimi stane, tak na serverech je vždy firewall i v rámci LAN. Dokonce jsem zastáncem nastavení, aby na serverech byla filtrována i nová odchozí spojení.

Metody, které brání šíření hrozeb - což je mimo jiné téma tohoto článku, nebo i právě blokování odchozích spojení na serveru, jsou až druhá linie obrany. Ta sníží rizika, ale nikdy je nemůže snížit na takovou úroveň, jako je příchozí ochrana.

Ať už na konci tohoto článku, nebo i v jiných souvislostech, vždy dojdeme k tomu, že je nutné počítat s tím, že nějaké zařízení v LAN bude napadeno a pak se může snažit šířit dál i v rámci LAN. To je zejména kvůli tomu, že na switchi nebývají kontroly jako na hraničních routerech / firewallech, tím, že rychlost a odezvy v rámci LAN jsou bleskové, a že dlouho nemusí dojít k zaznamenání problému (oproti tomu, kdyby nákaza vytížila externí linku - toho si admin všimne dřív).

Firewall Vám moc nepomůže, pokud se klient může legitimně připojit na daný server. Někdy se dokonce může připojit i z prohlížeče. Pak firewall nemusí umět rozlišit legitimní a útočný paket. Dokonce oba mohou přijít v rámci téhož TCP streamu.

Na DNS rebind pomůže na serveru kontrolovat doménové jméno. Útočník v rámci DNS rebind attacku by neměl mít šanci například zfalšovat hlavičku Host. Ledaže by někdo měl archaický prohlížeč, což ale bude nejspíš samo o sobě větší problém.

S osaháváním sítě je to složitější – tam asi bude nejlepší to považovat za vlastnost a počítat s tím. Ostatně, pokud s tím nepočítáte, jde nejspíš o security by obscurity.