Em Thu, Aug 16, 2001 at 12:34:23PM -0300, Michel A. S. Pereira - KIDMumU|ResolveBucha
escreveu:
> Ol�.
> Eu estava pensando com os meus bot�es e acho que tenho uma id�ia para
> alguma futura aplica��o ou aprimora��o de uma existente.
> Por exemplo, na porta 110 (POP3) voc� somente vai rodar comandos
> atribuidos ao servi�o que a pertence 'HELO, USER, PASS, STAT, RETR'. Mas
> nunca ir� executar um 'GET HTTP1.0/' ou 'GET arquivo.txt PUT
> arquivo.txt'.
> Se fosse encontrado alguma anormalia neste estilo, j� seria alguma
> coisa para nos preocupar, e verificar pq est� ocorrendo isso, pq 'isso
> n�o � normal'.
> Mas ser� que � poss�vel um software fazer esse tipo de an�lise? Teria
> que ter um �timo hardware? Funcionaria/assemelha-se a um IDS?
> > O grande problema e que o "endpoint"" dos protocolos sao a camada de
> > Na pilha TCPIP, protocolos de aplicacao, como SMTP, FTP, HTTP, POP3, e etc.,
> > fazem funcoes desde a camada de aplicacao a sessao (a maioria). Portanto,
> > provavelmente, um "firewall" ou afim que restrinja o acesso a uma
> > determinada porta (Camada de transporte - TCP) atraves de uma aplicacao,
> > tera de possuir uma filosofia baseada em agentes.
Me desculpem, mas n�o � essa justamente a id�ia quando voc�
utiliza, por exemplo, um proxy transparente? O squid interceptando todas
as chamadas para a porta 80, por exemplo, *INTERPRETANDO* estas chamadas
e as refazendo para fora de acordo com suas regras. Se fosse uma conex�o
telnet comum, simplesmente n�o passaria, pois n�o seria compreendido pelo
proxy e por conseguinte n�o seria refeita para fora.
N�o s�o todos os protocolos que aceitam esta "transpar�ncia", mas
acredito que isso se aplique a muitos casos e que seja f�cil de implementar
um pequeno proxy que o suporte, apenas para essa finalidade (nem que seja
apenas para verifica��o de sintaxe). Sei que d� para fazer pelo menos com
o protocolo smtp (o tis firewall toolkit tem um proxy de email pra isso),
http (squid) e ftp.
Cabe lembrar que estamos violando protocolos de internet quando
(1) assumimos que toda conex�o na porta web ser� http e (2) desviamos o
fluxo de uma conex�o. Isso tem o potencial de fazer as coisas n�o
funcionarem como deviam.
[]s,
--
Patola (Cl�udio Sampaio) - Solvo IT
IBM Certified Advanced Technical Expert
SAIR GNU/Linux Certified Systems Administrator
PGP/GPG Public Key Available Upon Request
Anti-Microsoft activist for mainly moral but also technical reasons
Try http://www.automatos.com - The Automatic MSP
Unix sex: unzip; strip; touch; finger; mount; fsck; more; yes; umount; sleep
--
/"\
\ / ASCII RIBBON CAMPAIGN - NO HTML EMAIL!
X PLEASE QUOTE ONLY RELEVANT PARTS OF THIS MESSAGE.
/ \ DON'T QUOTE THIS SIGNATURE! / N�O CITE ESTA ASSINATURA!
Assinantes em 20/08/2001: 2258
Mensagens recebidas desde 07/01/1999: 128707
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
