TeXpert
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
Цитата:| 2. 135-139 TCP&UDP Both надо закрывать - если не пользуешься внутрисетевыми локальными ресурсами и/или предоставляешь доступ к своим расшареным папкам |
Надо их вообще наглухо закрыть, да прибить гвоздями ). Файлами обмениваться можно в локальной сети совсем по-другому -- мне вот ssh нравится, быстрый к тому же, зараза
Цитата:| 4. 179 порт - ну пока не понятно, кто его использует |
Я тут порылся малость -- очень интересная, оказывается, штука -- через этот порт, если у тебя достаточные полномочия, можно перехватывать чужой трафик, сидя у себя дома, причём ничего не взламывая! Привожу цитаты из статьи "Обзор эксплойтов" Криса Касперски
Цитата:| На последнем DefCon'е Тони Капела (Tony Kapela, компания 5Nines Data) на пару с Алексом Пилосовым (Alex Pilosov, компания Pilosoft), шокировали общественность, продемонстрировав технику перехвата Internet-трафика путем атаки на BGP-протокол, незащищенность которого позволяет человеку, сидящем, скажем, в юрте на Чукотке, перехватывать трафик между Бостоном и Сан-Франциско |
Цитата:| ...нашумевший скандал с Пакистанским провайдером Pakistan Telecom, который под давлением правительства попытался запретить своим гражданам втыкать в YouTube и «слегка» захачил BGP-таблицы маршрутизации. В результате чего без YouTub'а остались миллионы пользователей, находящихся вне Пакистана. Все очень просто — захаченные таблицы маршрутизации сделали Pakistan Telecom самым привлекательным роутером для передачи трафика. И YouTube, и Pakistan Telecom превратились в черную дыру, стягивающую трафик со всего мира (news.bbc.co.uk/1/hi/technology/7262071.stm, www.ripe.net/news/study-youtube-hijacking.html). Действительно, тут есть от чего выпасть в осадок, сесть на измену и нереально испугаться. Но впервые об этой дыре открыто заговорили в далеком 1998 году (www.cs.columbia.edu/~smb/papers/acsac-ipext.pdf). С тех пор прошел добрый десяток лет и... ничего! Живем! «Изюминка» Тони и Алекса состояла в том, что они предложили не просто направлять трафик в устройство /dev/nul, как это делал Pakistan Telecom, а возвращать его (возможно, в слегка модифицированном виде) конечному пользователю, открывая огромные перспективы для шпионажа |
В заключение Касперски пишет:
Цитата:| Однако, протокол BGP (Border Gateway Protocol, «Протокол Граничного Шлюза») работает поверх IP (в частности, BGP over TCP использует порт 179), а потому доступен для атаки из любой точки Сети. Роутеры содержат таблицы маршрутизации, принимающие данные от других роутеров без всякой авторизации! Любой узел может объявить себя роутером, сообщающим всем остальным о себе и о тех узлах, которым он готов доставить трафик. Причем, если целевому узлу берутся доставить трафик более одного роутера, то выбирается роутер, обслуживающий более узкий диапазон адресов. Что очень хорошо для атакующих — представиться маленьким роутером проще, чем большим и могучим. Однако представиться роутером все равно не так просто! Придется либо регистрироваться в Internet Assigned Numbers Authority (IANA), либо заниматься подменой IP-адресов, либо искать роутеры, принимающие BGP-пакеты от кого угодно. А потому, осуществить такую атаку может только сравнительно крупный ISP (типа Pakistan Telecom), но никак не Вася Пупкин |
Но я тут поинтересовался -- оказывается, завести у себя Автономную систему не так уж и проблматично -- это может сделать даже небольшая организация, или даже частное лицо, как понял, люди и цену называют -- от $500, это делается через провайдера. Добавим сюда маршрутизатор с поддержкой BGP (сойдёт и обычный линукс, как радостно отмечает народ -- отмечая возможность подмены IP-адреса таким способом) Другой вопрос -- зачем им это надо (а вдруг им понравилась пошпионить за трафиком конкурента?))
Цитата:| ...можно закрыть наглухо Both |
Нужно
Цитата:| Если что-то перестанет работать - тогда будем думать |
После всего сказанного выше это уже звучит как шютка)
Оригинал сообщения тут.
P. S. Конечно, всё это не означает, что все эти угрозы присутствуют на машине клиента, но вот открытость этого довольно экзотического порта -- весьма странно. Как и насчёт 123/443. Как минимум -- повод для проверки
Добавлено:
gjf
Цитата:| А тут вы найдёте только головную боль. Выполнять рекомендации людей, которые хотят ограничить доступ в сеть несчастному O&O Defrag на его порт 50300... |
Может, я чего-то не понимаю, но вопрос -- а нафига дефрагментатору доступ в сеть? Простой (даже вытекающий из здравого смысла, принцип гласит -- всё должно быть максимально просто, насколько возможно). Выражаясь попроще: нафига козе баян?
Цитата:| Руткиты... Спамботы... Совсем люди поофигевали. Учите матчасть |
Я действительно фигею). Эдак скоро люди образование будут получать через Википедию -- эдакий образчик научной чистоты и честности. Матчасть учить надо, но с головой, и как говаривал Декарт -- сомневаться
----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон... |
|
Всего записей: 3657 | Зарегистр. 08-02-2003 | Отправлено: 06:38 15-03-2009 | Исправлено: TeXpert, 06:46 15-03-2009 |
|
Как минимум существовала два разных Desktop 8.5 и другой, с красивым интерфейсом ( извините - версию не помню). 
