_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Alex Korchmar 2:5020/28.101 02 Dec 98 05:17:54
Subj : Re: Аналг CP FW-1 под linux ищется...
________________________________________________________________________________
Vladimir Goncharov <vova@unibest.ru> wrote:
>> С моей точки зрения, (кстати, я уже раза три это здесь повторяю),
>> Firewall-1 надлежит немедленно сносить отовсюду, где он установлен,
>> после чего рассмотреть вопрос о профпригодности людей, принявших решение
>> о его установке.
VG> Это не design flaw - это руки. Я, когда в первый раз ставил это чудо,
это именно design flaw. Или это не файрволл вообще.
И фирма, допустившая подобное в продажу и продолжающая продавать
- мошенник. Ибо продает заведомо непригодный продукт.
VG> на всякий случай запретил rip, icmp и snmp. Просто так, из
VG> общих соображений. Потом выяснилось, что не зря. То же самое можно
VG> и нужно делать на фрюниксах и на любых других Firewalls. При чем тут
VG> Checkpoint - не понятно. В общем, наезд неосновательный.
при том, что нормальный файрволл _в_принципе_ не должен позволять
обходить себя. Он может падать, разносить к бениной матери машину, но не
делать того, что делал Checkpoint. (и сейчас наверняка делает)
VG> ЗЫ: Если ты вдруг вспомнишь про падение от переполнения логов, то
да, я именно это и имел в виду.
Причем не саму ошибку, ошибки могут быть где угодно,
а результат ее проявления.
VG> это тоже мимо кассы - форвардинг выключен, а все сервисы типа телнета
VG> отрублены под корень. Есть только ssh с авторизацией по knownhosts и
VG> паролем. Ы?
VG> ЗЗЫ: Это про Солярку, под HТ не пробовал...
вот именно под NT он "падал" таким интересным образом, что получался
"просто"... роутящий хост без всякого файрволла. Причем ты, админ, был
бы последним в мире человеком, который об этом бы узнал. Каким местом
думал человек, который принял подобное как допустимое поведение -
у меня в голове не укладывается. Каким местом думали те, кто решили,
что это можно продавать - тоже. Каким местом думают те, кто после всего
этого одобряют решение о его покупке я знаю - жопой. Сам понимаешь,
"случайно" такие вещи не происходят, пакеты не могут сами собой
перепрыгивать в другой интерфейс - эта штука изначально была сделана
неправильно, т.е. это не ошибка, это сознательный обман. Исходников
нет. Вопрос: сколько еще подобных _заведомо_недопустимых_ для софта,
отвечающего за безопасность, решений там используется? И где гарантия,
что завтра ты не познакомишься с одним из них, на сей раз и на солярисе?
Лично я не доверю этой псевдобезопасной системе и на доллар своих денег.
Ибо более чем уверен в наличии в ней дыр.
> Alex
--- ifmail v.2.14.os-p2 * Origin: Down System -2 (2:5020/28.101@fidonet)