[bglug] Security through obscurity (REJECT vs DROP)

Manuel manetta@mediacom.it
Sab 9 Feb 2013 16:39:38 CET


Il 08 febbraio 2013 22:15, enzo <enzo.arlati@libero.it> ha scritto:

Ciao

> Questa non l'ho capita.
> Perche' non ritornare nessuna indicazione non mi da nessun vantaggio rispetto a
> ritornare delle informazioni ?

secondo me bisogna un attimo contestualizzare il discorso, in modo che
l'affermazione possa essere compresa.
Un paio di esempi.

A) firewall che protegge una rete aziendale che fornisce servizi
all'esterno (ftp, webmail, vpn, ecc..)
sicuramente ci saranno N porte aperte per offrire i servizi; già da
queste l'attaccante può ricavare le informazioni, come da post
iniziale.
In questo caso quindi ritornare un DROP o un REJECT sulle porte chiuse
non cambia molto... anni fa, forse per una questione di banda, si
preferiva un DROP; ora (dove c'è fame di connessioni simultanee) è
meglio un REJECT x chiudere immediatamente la comunicazione TCP

B) firewall che protegge una rete che non fornisce servizi (es. utente
casalingo)
in questo caso può valere la pena droppare tutto, se però abbiamo
configurato bene in firewall in maniera che ci renda perfettamente
invisibili (cioè non risponde a nessun pacchetto, tranne ovviamente a
quelli in risposta a comunicazioni da noi aperte)

Nell'esempio iniziale, infatti, c'era tra le regole del firewall un
accept su http e https... siamo quindi nel caso A.

Ciao,
Manuel


Maggiori informazioni sulla lista bglug