From: Serdar KOYLU (skoylu@altavista.com)
Date: Thu 01 Mar 2001 - 18:51:01 EET
On Thu, 01 March 2001, Irfan MACİT wrote:
Az once okudugum mailde sanal IP'lerde guvenlik problemi
> oluyormus, nasil acaba bir dokuman veya neden kaynaklandigini aciklayacak bir
> arkadas varmi, bizim serverlardan birisi gecici bir sure icin sanal IP'ler ile
> calisiyor, web ve ftp servisleri icin bir sorun olustururmu ? RH 7.0 2.2.16
> kullaniyoruz, iyi calismalar ....</DIV>
Selamlar..
Sanirim benim cevaplardan birisi sizde soru isaretleri olusturdu. Eger sanal IP'den kastiniz, virtual interface ise, bir onceki mailde aciklamaya calistigim sekilde, makinenin ARP tablosunun anlasilmasi, proxy-arp gibi konularda olusacak bulaniklik nedeniyle, bilhassa DoS saldirilarina karsi yumusak bir zemin olusturur (DoS her zaman bir cyber-terorist'in elinden cikmaz, bazen makineler sasirip olmayacak isler yaparak kendi kendine DoS'a yol acar. MS, AT&T vs. bu tur marazlara ugramis sirketlerdir). Bunu ag capinda dusunmelisiniz, belki bunu yaptiginiz bir linux box kendini kollayabilir fakat, agdaki diger bilesenleri de dusunmelisiniz. Cunku bu durumda agi fiziksel bir tek ag halinde tutarsiniz, oysa HUB/switch vs ile fiziksel olarak iki agi ayirir, iki ayri Layer1 olusturursaniz ag guvenliginiz maximuma cikar. Cunku iki ag arasi iletisim ancak aradaki routerin (tercihan firewalled) ongordugu cercevede gerceklesir. Bu tur iki ag tek bir Layer 1 ile kullanilirsa, agdaki diger makinelerin birbirine erisimi co
k zor duzenlenir. Virtual interface iki farkli sekilde kullanilir genelde. Ornegin
212.212.128.1/255.255.255.0 agi icin bir arabirim (net)
192.168.1.1/255.255.255.0 agi (yerel ag) icin bir arabirim (net)
veya
212.212.128.1/255.255.255.0 agi icin bir arabirim (net uygulamasi)
212.212.128.2/255.255.255.255 adresi icin bir arabirim (host uygulamasi)
Ilk durumda iki arabirimde iki ayri net bulunur. Eger arabirimlerden biri virtual olursa, Layer 1'de aslen tek bir ag olacaktir. Bu da herkesin herkese diledigi kadar ulasabilmesi demektir. HUB'u alip internete bagladiginizi (olmaz ama farzedinki oldu) dusunun. Dileyen herkesin diledigi makineye ulastigi bir ortam... Aslen bu durumun ayni durum oldugunu farkedebiliyormusunuz ?
Ikinci durumda Tek bir net uzerinde iki makine varmis hissi veren bir calisma olacaktir, fakat bu durumda routing, proxy vs. yetkilendirmeleri cok kapsamli olacaktir. Mesela bu makinede varsa, apache icin virtual host yonetimi biraz karisacak, Samba ve squid icin hangi arabirime ne kadar yetki verilecegi, dis/ic ag erisiminin hangisi uzerinden yapilacagini belirlemek vs. bir hayli ugrastiracaktir. Ayrica gerekli olmasi durumunda internal firewaller icin ayarlarin yapilmasida bir hayli zor olacagindan genelde yapilmayacaktir. Insanlar genelde boyle seyleri yapmaya usenir, -i eth0 gibi genelgecer yaptirimlar uygular, buda ya agi nefessiz birakir, bir sure sonra kaldirilir, yada hic yapilmaz. Ayrica agin saydamligi da bir hayli zayiflar. Bilhassa baska baska netler olan, lan/wan/internet/extranet mixed karisik aglarda yonetim zorlasir.
Yok eger sanal IP ile kastettiginiz 192.168.... gibi yerel adreslerse, bildigim kadari ile o adresler diger tum adresler kadar (ne daha az, ne daha fazla) guvenlidir.
Gerci bu konu tartismaya acik bir hayli. Belki fikirlerime katilabilir, belkide "yahu kardesim, sen su faktoru gozardi ediyorsun, bu da en az digerleri kadar guvenlidir" diyebilirsiniz. Eger bu faktorleri, bu konulari benden daha iyi bildigine inandigim insanlar belirtir de herkesi aydinlatirsa memnuniyetim 10-15 kat artar. Prensipler listemden bir alinti :
"Bir harf ogretenin kirk yil kolesi olunacak"
Saygi ve sevgiler...
Find the best deals on the web at AltaVista Shopping!
http://www.shopping.altavista.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/