Joao Pedro Franco e Silva escreveu:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Olá.
>
> Apenas gostaria de salientar que este parágrafo está cheio de
> imprecisões.
>
>
> > Finalmente temos o sistema iptables que corre no kernel do sistema
> > operativo. O iptables não interpreta o contéudo dos pacotes e
> > portanto não é vulnerável na máquina em que está a correr mas sim
> > reenvia-los para outras máquinas. Pode também alterar ou não o
> > endereço da máquina de origem que vai no pacote. Moral da
> > história: Se a nova maquina de destino tem um daemon a correr
> > nessa porta que não foi submetido ao processo anterior podemos ter
> > vulnerabilidades. O iptables é normalmente configurando de forma
> > unidireccional pelo que os pacotes apenas
> > representam pedidos de abertura de conecções para o exterior.
>
>
> O iptables também pode ter vulnerabilidades (as mais frequentes estão
> mais relacionadas com DoS - Denial of Service -
> http://www.urbandictionary.com/define.php?term=dos&r=f).
> No entanto, or fazer uso de recursos internos ao kernel, são
> rapidamente detectados e corrigidos pela comunidade de utilizadores
> de linux, tornando-os raros.
>
> O iptables também pode "ver" o conteúdo dos pacotes.
> (apenas em alguns protocolos). Este tipo de "funcionalidades mais
> avançadas estão em constante desenvolvimento, para os que não
> conhecem, procurem por "netfilter patch-o-matic".
>
> Melhores Cumprimentos
> João Silva
> - --
> João Pedro Franco e Silva
> Coordenador
> INE::DSI::IT - Núcleo de Segurança Informática
> tel: +351 21 8426100 fax: +531 21 8426363
>
> -----BEGIN PGP SIGNATURE-----
> Version: PGP 8.1
>
> iQA/AwUBQkBK0sj3sZJE0bUdEQJfvQCdG2DiXCbOIVwRlm1B5HWlDgoq72UAoMe9
> F7odWTbfwCkocwGpFN2EllcF
> =4uF+
> -----END PGP SIGNATURE-----
>
> _______________________________________________
> sw_livre mailing list
> sw_livre@softwarelivre.citiap.gov.pt
> http://www.softwarelivre.citiap.gov.pt:8080/mailman/listinfo/sw_livr
> e
Caro João,
Obrigado pelo seu comentário que me permitirá dar um pouco de emoção
a este fórum.
Da minha experiência, para transmitir conhecimento de forma efectiva,
temos muitas vezes de simplificar e ser algo imprecisos, caso contrário
perde-se a distinção clara entre o fundamental e o acessório. É isto que
apela ao emotivo da nossa memória, factor único na aprendizagem.
A documentação sobre o iptables é rigorosa mas contém um número muito
alargado de páginas cheias de informação. Não é fácil de hierarquizar
distinguindo o fundamental e o acessório sem ser antecedida por uma
visão simplista. Isto é o que me diz, pelo menos, o calo de muitos anos
de ensino. Posso contudo estar enganado.
Com respeito ao denial of serviçe, todos os serviços em todas as
plataformas são vulneráveis a esta situação. O mais que podemos fazer é
analisar o mais rapidamente que possível os pedidos falsos que nos estão
a ser dirigidos e descartá-los de modo a ter possibilidade de processar
o maior número de pedidos verdadeiros. Outra solução em comunicar o
facto ao FBI...
Um Abraço irreverente,
António Amorim
Received on Tue Mar 22 23:01:49 2005
This archive was generated by hypermail 2.1.8 : Thu Mar 02 2006 - 11:00:59 WET