Vlákno názorů k článku JavaScript může přistoupit do vnitřní sítě a obejít same-origin policy od Boban - Bránit by tomu mohl firewall na samotné stanici...
-
Jenže pokud ten browser používáte ke správě zařízení ve vnitřní síti (přes různá klikací webová rozhraní například), těžko mu můžete vnitřní síť zakázat.
To samé platí ovšem i pro různé další programy, například pro multimediální přehrávač, který si "parsuje" internetové zdroje informací o multimédiích, přehrávaných z vnitřní sítě (via WebDAV). Ten by sice neměl JS spouštět - ale věřte tomu... -
Nejsem expert na IPv6, ale neveřejné adresy tam IMHO jsou: https://en.m.wikipedia.org/wiki/Private_network
-
BobTheBuilderStříbrný podporovatelK nim byste ovšem potřeboval ještě rovnák na ten ohejbák, tedy překlad adres. A to nikdo nedělá - proč taky, když je IPv6 adres dost?
Celé to spíš zdůrazňuje to, že ani v IPv4 s NAT nesmíte ten NAT považovat za náhradu firewallu. Tohle je jen další způsob, jak přes NAT projít a tedy i lokální služby si zaslouží řádné zabezpečení. -
> K nim byste ovšem potřeboval ještě rovnák na ten ohejbák, tedy překlad adres.
Pokud budete chtít z těch strojů ven a nespokojíte se s proxy (což je ale vlastně jen převlečenej překlad adres), pak to asi bez něj nepůjde. Ono to je vždy něco za něco. Můžeme mít:
a. Veřejné IP adresy, pak sice firewallem můžeme omezit přístup na ně zvenku, ale ztíží nám to filtrování odrazových můstků. Tedy, pokud se mi někdo dostane třeba do aplikace pro přehrávání hudby (která „nemá přístup k ničemu citlivému), těžko mu pak zabráním přístupu do lokální sítě. Zvlášť pokud z téhož počítače tam přístup potřebuju. Ledaže bych blacklistoval rozsahy IP pro konkrétní síť, pak mi ale ten NAT přijde jako menší zlo.
b. Lokální IP adresy, pak pro přístup ven potřebujete NAT/proxy nebo něco podobného (případně přístup ven můžete zcela zakázat), ale máte větší šance uhlídat přístup zvenku.
c. Veřejné IP adresy a omezit různé sandboxy, protože takový „virtuální stroj s přístupem k Internetu bez přístupu do lokální sítě“ bude iluzí. Nepřijde mi to moc praktické, sandboxy mají význam pro bezpečnost i pro pohodlí.Já jsem pro řešení bezpečnosti na každém endpointu a jsem rozhodně proti přístupu „toto je v lokální síti, tam nic nehrozí“. Když už se tak ale někdo rozhodne, měl by to vzít do důsledků:
* Dávat veřejnou IP stroji nedostupnému zvenku sice lze, ale není pak praktické vše uhlídat. Ostatně i laikovi by kombinace veřejné IP a stroje nedostupného zvenku mohla přijít jako protimluv. Ostatně čemu vadí NAT u případů, kde chceme síť omezit?
* Je potřeba si být vědom útoků jako DNS rebind a podobných.
* Útok na jakýkoli „nedůležitý“ stroj je pak potenciálně útokem na celou síť. -
Tedy řešení zabezpečení personal firewallem endpointu je krásná myšlenka, ale ve světe Io(S)T nerealizovatelná.
Jak pro IPv4, tak zejména pro IPv6 platí jediná metoda ochrany serverů - separace na L2, oddělení koncových stanic od systémových a potenciálně hloupých zařízení, stejně jako od serverů poskytujících služby pomocí VLAN, zákaz všech služeb poskytovaných pracovními stanicemi a důsledná konfigurace vnitřního mezisíťového firewallu. Jednak to poskytne potenciálnímu útočníkovi pouze jediný a to monitorovatelný kanál ke skenování okolní sítě a dále zabráníte, nebo minimálně hodně ztížíte, užvaněným stanicím a "chytrým" udělátkům v komunikaci přes nedohledovatelné Link-Local adresy.
Pro domácí sítě se to může být jako s kyjem na komára, ale v korporátním prostředí se mi to jeví jako jediná možnost.
ČLÁNKY DO MAILU