Hezky napsáno, ale soudím, že pro ochranu mohu použít:
- dostatečně silný průmyslový standard, který sice všichni znají, ale jen těžko ho kdo prostřelí
- proprietární technologii, kterou si vyvinu sám a nikomu neřeknu, jak to funguje
Navržený způsob spadá v podstatě do druhé skupiny a řekl bych že bude mít tyto problémy:
- budu-li vědět, že to někdo užívá, budu mu "oťukávat" porty a i když se tam nedostanu, on také ne
- po čase to člověka začne zdržovat (otravovat), takže přirozeně dojde k tomu, že si to nějak zjednoduší a riziko je v tom, že se na to bude i nadále spoléhat. Pak mu tím někdo projde
A nyní to podstatné - nejde o primární ochranný prvek, je to jen pomůcka, další zámek u dveří, který "zloděje" odradí, protože raději najde jiné dveře, které ho nemají. Potud ok. Ale pak se ptám: proč nepoužít pro stejný účel například webovou stránku zabezpečenou ssl s jednoduchým heslem, která prostě ten fw odemkne pro adresu, která to heslo zadala? Nebo na ni umístit velký obrázek s imagemapou, kde je třeba kliknout do konkrétního místa 4x4 mm a to nanejvýš na dva pokusy, pokud už si nechci pamatovat heslo? Přijde mi to jednodušší, než poslouchat na portech.
Na závěr moje zkušenost: každý ochranný prvek navíc přidává další potenciální problém, protože může obsahovat chybu. Navíc si na něj člověk lehce zvykne, přestane se věnovat základním bezpečnostním praktikám a je v pekle.
A snad ještě jedna: někdo tu o něco výše napsal, že Windows na Síti bez firewallu nepřežijí. Není to pravda, je to jen o tom, jak moc se systému věnujete (záměrně nepíši Windows, ale "systém"). Na druhou stranu už jsem zažil pocit bezpečí se sw fw do okamžiku, než jsem zjistil, že nezáplatovat je chyba, protože se ten fw spustí pár vteřin po naběhnutí systému a ukončí pár vteřin před jeho odstavením. Mnozí z vás by asi nevěřili, co lze stihnout za pár vteřin... Hezký večer.
To neprihlasovani adminu je nesmysl. Pokud jste schopen posilat data z fake adresy, a jste schopen i odpouslouchavat, tak jste schopen posilat i RST a zrusit i to normalni spojeni. Takze rozdil je temer nulovy...
To ano. Ale je to celé mnohem jednodušeji realizovatelné standardně dostupnými prostředky. Ergo je to narychlo nastřelené řešení lepší. Pokud je tedy rozdíl téměř nulový, což imho není. Víte proč? Spousta romanticky založených blbečků hrajících si na hackery se ráda hrabe v protokolech, portech... ale řekl bych že běžné http je obvykle "pod jejich úroveň".
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).