Serwery proxy

Jeśli chcesz używać serwera proxy ftpgw z TIS FWTK w hoście bastionowym, twój system filtrowania pakietów musi przepuszczać połączenia od portów o numerach powyżej 123 w hoście bastionowym do portów o numerach powyżej 123 w ho stach wewnętrznych oraz od portu 2 w hostach zewnętrznych do portów o numerach powyżej 123 w hoście bastionowym, na potrzeby kanałów danych FTP (patrz opis FTP w rozdziale 17, „Transmisja i współdzielenie plików oraz drukowanie”). Oznacza to, że jeśli ktoś się włamie do hosta bastionowego, będzie mógł się łatwo połączyć z każdym serwerem w hoście wewnętrznym, który używa portu TCP o numerze powyżej 123 (na przykład z serwerem XII w porcie 6). Co więcej, serwery używające takich portów (to znaczy portów TCP o numerach powyżej 123) w samym hoście bastionowym są również podatne na ataki. Z tej przyczyny, jeśli w ogóle pozwalasz na połączenia danych FTP, prawdopodobnie powinieneś jawnie zablo

kować dostęp do tych portów TCP powyżej 123, których używają lub mogą używać serwery. Zablokuj przynajmniej porty od 6 do 63 (przy założeniu, że w każdej maszynie działają cztery lub mniej prawdziwych lub wirtualnych serwerów XII opis XII znajdziesz w rozdziale 1, „Zdalny dostęp do hostów”). Ponieważ przepuszczamy SSH, musimy zabezpieczyć również wirtualne serwery XII tworzone przez SSH, które zajmują porty od 61 w górę, więc rozszerzymy ten zakres aż do 62.

Pamiętaj jednak, że blokowanie konkretnych portów, zamiast domyślnego zablokowania wszystkich portów i otwierania tylko tych, które są potrzebne, to dość ryzykowne rozwiązanie. Trudno utworzyć i uzupełniać listę portów, które w twojej sieci muszą być zablokowane.