From: Serdar KOYLU (skoylu@altavista.com)
Date: Thu 01 Mar 2001 - 13:15:38 EET
On Thu, 01 March 2001, "Murat SULUHAN" wrote:
>
> Merhabalar
>
> > cevaplar uretebiliriz saniyorum. Cunku bu sanal arabirimler
> > performansi bir hayli dusurdukleri gibi, bazen buyuk guvenlik
> > bosluklari olusturabiliyor. Tavsiye edilen ikinci bir arabirim
>
> nasıl guvenlik boslukları, acıklayabilir misin, dokuman ve link de olabilir
Selamlar..
Su an aklimda bir link vs. yok, fakat kabaca $oyle soyleyeyim:
1. Makinenin kendi icersinde iki IP olmasi, firewall ayarlarinizi altust edebilir. Spoofing gibi durumlar icin ARP kontrolunde (rp_filter) vs. yeterli emniyeti saglayamazsiniz.
2. Servislerdeki guvenligi her iki subnet icin tekrar duzenlemeniz gerekir.
3. Bu tur bir baglanti, bilhassa hem dis ag, hem yerel ag icin kullaniliyorsa, kolayca dis agdan sanki ic agdan geliyormus gibi gorunen paketler gonderilebilir. Bunlari yakalamak icin gerekli onlemleri almak ve devamliligini getirmek guclesir.
4. ICMP Multicast, broadcast islevlerinde makine kendini DoS'layabilir. Cunku, arabirimler Layer 2'de, IP ler layer 3'te bulunur. Layer 3 cast'i kendine gonderir, ping'i de gene kendi cevaplar buda dahili buffer'lerde extra dolmaya yolacar.
5. DMA seviyesindeki buffer'lar, iki arabirim olmasina ragmen, tek bir arabirime gore yapilandirilir. Bu da yuksek trafik yogunlugunda buffer tasmasi ile paket kayiplarina yol acar, ayni durum bilhassa broadcast/multicast islemlerinde (dhcp, arp, icmp, smb vs.) collision'u (ethernet) artirir, sistem olaganustu bir performans kaybi yasar.
Sonucta ufak tefek bir ag icin, kernel seviyesi ag yonetimini vs bilen bir admin'le bu metot belki uygulanabilir fakat, genis ve/veya trafigi yuksek bir ag icin tavsiye edilmez, 12$ tutarinda bi ethernet kartini alip takmak hem daha ucuza gelir, hemde daha saglikli olur.
Umarim bu bilgiler bu tur kullanimin sakincalarini gosterebiliyordur. Elbette bu sorunlarin guvenlikle alakali olanlari asilabilir, fakat hem iki misli emek, hemde iki misli dikkat gerektirir. Bu 2 arabirimle olana gore 4 kat isgucu anlamina gelir, cunku ayni ARP adresine sahip olan iki arabirimi denetlemek daha guctur. Peki ne zaman bu metot tavsiye edilebilir: Ornegin eth0 IP ile konfigure edilirken, eth0:0 .. eth0:2 IPX ile konfigure edilebilir, cunku bazi aglarda tek bir frame tipi olmaz, her bir virtual arabirim baska bir frame tipine (802.3, ethernet_II vs) adanarak ag yonetimi basitlestirilebilir.
Eger konu ile ilgili detayli bilgiler veren bir link rastgelirse, listeye bildiririm.
Saygi ve sevgiler..
Find the best deals on the web at AltaVista Shopping!
http://www.shopping.altavista.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/