Uniká mi smysl blokování odchozích spojení na firewallu. Připadá mi to dobré akorát k tomu, že až to někdo hackne, tak ho to bude prudit. Já osobně bych dal přednost prevenci :-)
Ceho prevence to ma byt konkretne? Myslel jsem, ze cim mene potencialnich der, tim lepe...nicmene pokud se nekdo zarootuje, muze mu nejaky FW jit k sipku, nepletu-li se :)
Prevenci myslim kroky, kterymi predejdu a ci ucinim co nejmene pravdepodobny prunik. Blokovanim odchozich spojeni akorat trochu omezim moznosti nekoho, kdo uz tam pronikne (pochopitelne kdyz se dostane rovnou na roota, tak je to uplne jedno).
Secteno podtrzeno nevim, proc blokovat odchozi konexe a uz vubec to nechapu na serveru, na kterem krome postovnich a nekolika dalsich demonu nic nebezi (na serveru s uzivatelskymi ucty bych to jeste castecne pochopil, i kdyz by se mi to take zdalo podezrele).
Zrejme zalezi na konkretnim resiteli. Podle me to smysl ma. Napr. pokud tam mate xterm, tak se muze stat, ze ho nekdo pres blby cgi skript spusti. Nu a pokud bude razantne zamezeno odchozim spojenim, tak se xterm nebude mit moznost nakreslit u crackera na obrazovce.
Takovych variant lze vymyslet vicero.
Co se tyce toho, ze kdyz mate roota, je to zle. Pokud mate na fyzicky jinem pocitaci firewall, tak sice mate v DMZ na pocitaci roota, ale firewall neprekonfigurujete a tak se ten root bude hure pouzivat. Samozrejme pokud dodrzujete to, ze mate na firewallu jine heslo a ze firewall jako takovy treba ani nema instalovane ssh.
openBSD ma securelevely, ne? takze i kdyz se nekdo zarootuje tak pokud system bezi v pozadovanym seclevelu, nemuze bez jednouzivatelskyho pristupu menit configuraci.
otazka jestli prevence XOR filtrovani odchozich spojeni je principelne nesmyslna. Otazka je zakazat odchozi spojeni nebo nezakazat odchozi spojeni.
Zakazani odchozich spojeni pomuze
-v pripade automatickych udelatak/cervu/... ktere pro svou funkci predpokladaji neomezena spojeni ven
-proti moznym dalsim skodam zpusobenym utocnikem na serveru, napriklad masove rozesilani spamu, utoky na dalsi pocitace a pod.
"Hloupe utocniky" typu clovek se stazenym skriptem, kteremu nerozumi nebo automatizovana pomucka to muze rozhazet uplne, chytreho utocnika to bude prudit.
Nevyhodou jsou drobne obtize pri administraci (autor clanku zjevne server nainstaloval, ze se bude muset zaplatovat, synchronizovat cas atp. - a kvuli tomu zrejme otevirat nejaka spojeni nekam - se nejak neresi).
Neni-li vaznych duvodu povolit, tak odchozi spojeni zakazat.
