UUCP ponad TCP/IP. rwhod

Podobny do fingerd, ponieważ informuje, kto jest obecnie załogowany w systemie. Ipd. Demon wydruku BSD albo inne usługi wydruku. Udostępnianie usług w konkretnych sieciach niektórych sytuacjach będziesz potrzebował usług, które w komputerze z wieloma interfejsami sieciowymi powinny odpowiadać na zapytania tylko z jednej sieci. Może uda się ograniczyć dostępność takich usług. W Uniksie polega to zwykle na określeniu odpowiednich adresów IP i/lub interfejsów sieciowych w opcjach startowych usługi. Opcje te różnią się w zależności od usługi i nie wszystkie usługi mają taką możliwość.

Wyłączanie trasowania. Jak powiedzieliśmy w rozdziale 1, „Hosty bastionowe”, większość komputerów z więcej niż jednym interfejsem sieciowym automatycznie próbuje trasować ruch między interfejsami. Host bastionowy nie powinien tego robić. Jeśli twój host bastionowy nie ma być również ruterem, powinieneś wyłączyć trasowanie, co składa się z trzech następujących etapów:

-1. Wyłącz usługi, które zgłaszają system jako ruter. 2. Wyłącz mechanizm przekazywania IP, który zajmuje się trasowaniem. 3. Jeśli to konieczne, wyłącz trasowanie źródłowe.

Wyłączanie usług trasujących omówiliśmy w rozdziale 1. Jeśli zdecydujesz, że usługi te powinny działać (być może używasz routed lub GateD dlatego, że host bastionowy znajduje się w skomplikowanym i zmiennym środowisku trasowania), będziesz musiał skonfigurować je tak, aby nie zgłaszały komputera jako rutera. Będziesz musiał również wyłączyć przekazywanie IP. Wyłączając usługi trasujące, osiągasz tylko tyle, że komputer przestaje się ogłaszać jako ruter nie zapobiegniesz w ten sposób trasowaniu pakietów. Aby uniemożliwić trasowanie pakietów, trzeba zmodyfikować jądro. Na szczęście, obecnie większość producentów Uniksa podaje standardowe parametry służące do wyłączenia przekazywania IP. Nawet jeśli twój producent tak nie robi, wyłączenie przekazywania IP nie jest trudniejsze niż jakakolwiek inna modyfikacja jądra: wymaga zmiany wartości jednej zmiennej w jądrze. Musisz spytać producenta, jak wyłączyć przekazywanie IP w swoich komputerach.

W niektórych systemach wyłączenie przekazywania IP nie spowoduje wyłączenia trasowania źródłowego, a wówczas napastnik nadal będzie mógł przesyłać swoje pakiety przez komputer (trasowanie źródłowe omówiliśmy w rozdziale 1, „Hosty bastionowe”). Jeśli nie odfiltrowujesz wszystkich trasowanych źródłowo pakietów, zanim dotrą do hosta bastionowego, powinieneś się dowiedzieć, jak wyłączyć trasowanie źródłowe (oprócz zwykłego przekazywania IP).

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>