- "to není TCP hadshake, ale obyčejné HTTP" - prve 3 su TCP hanshake, HTTP zacina az od stvrteho paketu (prvy je paket s nastavenym SYN, druhy SYN|ACK, treti ACK, stvrty je HTTP GET)
-"TCP handshake totiž realizuje TCP stack, nikoliv nějaký IE" - to je pravda, nad tym som dlho rozmyslal, ako to napisat, aby to bolo jednoduche a nie matuce. Totiz vzdy je rozhodnutie medzi presnostou (detailami) a praktickou citatelnostou aj pre ludi, co o tom este nikdy nepoculi. Keby bolo na zaciatku "clanok je len pre tych, co vedia, ako funguje TCP/IP stack", tak by to asi ani nikto necital, pretoze ti si uz firewall nastavit vedia.
Uplna bezpecnost neexistuje a ani principialne nemoze. To zatial zatajime Kolko ludi napr. vie, ze po sieti moze prist paket s adresou 127.0.0.1? Je to sice adresa loopbacku, ale nie je problem vyslat na siet takyto paket. Vacsinou to ani nikoho nenapadne, preto sa teoreticky takyto paket moze dostat dalej aj cez routre mimo LAN (v zavislosti od ich konfiguracie).
Dostatecne zabezpecene != uplne zabezpecene. A dostatecne ma rozny vyznam v roznych situaciach. Vzdy je to balanc medzi funkcionalitou a bezpecnostou.
Under NCSC's Trusted Computer Systems Evaluation Criteria (DOD 5200.28-STD), Windows® operating systems are Class D, the lowest of its seven levels.
NOTE: The increasing levels of "trust" in DOD 5200.28-STD are D, C1, C2, B1, B2, B3 and A. Win3.1, Win3.11, WFW3.11 and Win95 are Class D. WinNT 3.51 is certified as Class C2, as long as it's used on a PC with no floppy drive, no network or modem connection, and physical security measures adequate to maintain that configuration.
(http://www.cerberussystems.com/INFOSEC/tutorial/winfosec.htm, je to trocha starsie, z 2002)
Trieda D znamena v podstate, ze "pocitac sa da zapnut a funguje".
Manuela sa napisat da, otazka je kolko ludi to bude citat. Cim presnejsie detaily, tym menej. Specializovanych utokov ako napr. ARP poisoning alebo spomenuty loopback traffic existuje tolko, ze sa da o tom pisat roky. Mate sancu aby zive utrpelo zlepsenim povesti LOL
IP spoofing je podla mna pouzitelnejsi nez ARP spoofing, pri ARP spoofingu musi byt utocnik na rovnakom subnete. Rozlicne techniky scanovania portov a zistovanie nastavenia firewallu samotny firewall tiez nevyriesi. Preto funguju veci ako ACK scan, FIN scan, XMAS scan, NULL scan, atd, ktore su zalozene na testovani odpovedi podla jednotlivych flagov. Ziadny firewall nezabrani Idle scanu pouzitim ziveho, malo aktivneho kompu niekde na sieti (ktory ma predvidatelne sekvencne cisla). Da sa nim zmapovat naviac IP-based host trust.
Firewall rovnako nemoze zachytit zneuzivanie buffer overflowu, XSS a inych utokov na aplikacnej vrstve. Za prve, firewall to ani nema za ucel (je to paketovy filter), za druhe, IDS/IPS nadstavba (ktoru mnohe bezpecnostne baliky maju) dokaze max. zachytit pokusy o zneuzitie uz znamych chyb. Co de facto neriesi samotnu chybu.
Nikdy a nikde som netvrdil, ze firewall na zabezpecenie staci. Nevsimol som si ani, ze by niekto vyslovene reagoval v zmysle, ze 'firewallom ma uplne zabezpeceny komp'. Firewall je sice lepsi nez drotom do oka, ale sam nestaci. Rovnako ako v banke by nestacili len straznici. Na tom sa zrejme zhodneme. A pocit falosnej bezpecnosti je horsi ako nezabezpeceny system.