Есть много руководств и howto по безопасности, в которых разъясняется, ЧТО надо делать: закройте то, не ставьте это, уберите лишнее, это настройте вот так и т.д. Но вот я пока не встречал howto, в котором разъяснялись бы концепты, подобные нижеследующим. Далее предполагается ОС Linux и что в настройке компонентов нет ошибок (администратора). Локального физического доступа у нападающего нет, системных аккаунтов - тоже, DOS-атаки не рассматриваются. Итак меня, как админа, интересуют три следующих ситуации и пути (теоретические и практические) УДАЛЕННОГО (через сеть) взлома. Кто владеет знаниями или ссылками на соответствующие источники - прошу прокомментировать, правильны ли эти рассуждения. 1. "Компьютер полностью изолированный firewall'ом" Компьютер, подключен к сети, на нем могут присутсвовать некие работающие сервисы и при помощи firewall полностью запрещен входящий и исходящий трафик (например iptables -P DENY/DROP для всех цепочек или явными правилами DENY/DROP в PREROUTING/POSTROUTING). Конечно его можно физически отключить от сети, но интересует именно когда он подключен. Я считаю что удаленный взлом системы невозможен (нет путей проникновения, не на что воздействовать). Теоретическая возможность появляется, только если есть грубая ошибка в сетевом коде ядра, позволяющая обойти firewall, т.е. некий пакет будет проходить дальше на обработку, несмотря на запрет. Только так появляется хотя-бы какая-то возможность воздействовать на что-то. Такое маловероятно. Т.е. я считаю такую машину невзламываемой удаленно. 2. "Маршрутизатор" Компьютер, подключен к сети, он выполняет роль МАРШРУТИЗАТОРА, на нем могут присутсвовать некие работающие сервисы и при помощи firewall полностью запрещен INPUT и OUTPUT трафик и разрешен только FORWARD. Ситуация примерно как в первом варианте, но чуть хуже. Непосредственно воздействовать на процессы (сервисы), работающие на машине невозможно, а можно только попытаться сконструировать некие пакеты использующие уязвимости в сетевом коде ядра и только. Если их там нет то и путей удаленного взлома маршрутизатора не существует. 3. "Компьютер, предоставляющий сервис" Компьютер, подключен к сети, на нем, для примера, работает SMTP-сервер tcp/25 и POP3-сервер tcp/110. При помощи firewall закрыто все (и все протоколы и все порты) кроме вот этих двух TCP-портов. Т.е. есть соответствующие ALLOW и ESTABLISHED. В данной ситуации, кроме как на сетевой код ядра, можно воздествовать ТОЛЬКО на эти два сервера. Т.е. если, теоретически, в этих сервисах нет уязвимостей, такую машину по прежнему нельзя взломать. Практическая возможность взлома, повляется только при наличии уязвимостей в одном из сервисов. Опять же, для собственной уверенности, в такой конфигурации, достаточно "контролировать" только эти пути взлома, так как они единственные. Правильны ли эти рассуждения. Спсб.