classic.ISPforum.cz

Ahoj,
prosim nasel by se nekdo tak ochotny a zkontroloval mi pravidla na firewallu? Nastavoval jsem si to sam a tak mam strach, jestli jsem neco nevynechal?
Za verejnou IP je jen mikrotik 751G-2HnD a na nem je povesena lokalni sit, ve ktere je linux server s LAMP a XMPP serverem. Chtel bych tedy dovnitr propoustet jenom HTTP/HTTPS, XMPP a VOIP a mit moznost se do vnitrni site (na verejnou IP mikrotiku) pripojovat pres L2TP VPNku, kde mi miktorik dela server.
Vsechno mi funguje, ale nejsem si jisty, jestli mam spravne definovana drop pravidla a zda je vsechno ostatni zablokovane.

Jak je to s aktualizaci firmware? Mam tam hooodne stary FW. Rikal jsem si, ze je kdyz to funguje, nebudu do toho hrabat, ale asi bych mel pravidelne aktualizovat na novejsi verze, kvuli zaplatam?

Tak děkuju

Z mojho pohladu je to nastavene celkom OK. Doplnil by som tam asi dropovanie Invalid paketou.

Pointa firewallu je pustit dnu iba Established spojenie, Related, pripadne ICMP, dropovat vsetko Invalid + pridat tam pravidla co potrebujes (http, l2tp pristup a pod.) Samozrejme na koniec vsetko ostatne DROP. Cize dopln ten drop invalid a budes mat v pohode ochranu z vonku.

Ak sa chces pozriet ako vyzera moj firewall tak ponukam demo. Je to moj domaci router, tiez tam mam nastavene nejaky NATy ale pouzivam ich iba obcas. Je to firewall ktory vsetko to co ty dropujes, on analyzuje a hlada SSH attackerou, port scannerou a pridava ich do black listou. A taktiez obmedzujem pocet ICMP paketou na router za minutu.

Adresa: home.ekrajnak.com (109.236.117.106 /2001:470:6e:52f::2)
Meno: ispforum
Heslo: ispforum

blazej44800 píše:Z mojho pohladu je to nastavene celkom OK. Doplnil by som tam asi dropovanie Invalid paketou.

Pointa firewallu je pustit dnu iba Established spojenie, Related, pripadne ICMP, dropovat vsetko Invalid + pridat tam pravidla co potrebujes (http, l2tp pristup a pod.) Samozrejme na koniec vsetko ostatne DROP. Cize dopln ten drop invalid a budes mat v pohode ochranu z vonku.

Ak sa chces pozriet ako vyzera moj firewall tak ponukam demo. Je to moj domaci router, tiez tam mam nastavene nejaky NATy ale pouzivam ich iba obcas. Je to firewall ktory vsetko to co ty dropujes, on analyzuje a hlada SSH attackerou, port scannerou a pridava ich do black listou. A taktiez obmedzujem pocet ICMP paketou na router za minutu.

Adresa: home.ekrajnak.com (109.236.117.106 /2001:470:6e:52f::2)
Meno: ispforum
Heslo: ispforum

Tvuj firewall se mi libi! Teda jeste by me zajimalo, kdy jsi vzal ty cisla portu z chainu virus.

Tie porty som zobral z demo mikrotiku od developerov. Ale očividne, niečo sa mi tam chytá, takže to nechávam Ešte niekedy keď bude čas, tak to zanalyzujem, že čo vlastne sa tam chytá. Aj keď asi najzákladnejšie porty 135 - 139 a 445 som musel odtiaľ odobrať, lebo pristupujem ku svojmu NAS z vonku cez SMB. Ale určite si ich tam pridaj.

Adresa: demo.mt.lv
Meno: admin
Heslo: (žiadne)

Nebojis se te otevrene samby? Nebylo by lepsi neco, co bezi pres SSH? Ja treba na pristup k fileserveru z venku pouzivam webdav pres https. Ma to vyhodu, ze muzu primo pristupovat i z otevrenych wifin bez sifrovani, apod.

darksir píše:Nebojis se te otevrene samby? Nebylo by lepsi neco, co bezi pres SSH? Ja treba na pristup k fileserveru z venku pouzivam webdav pres https. Ma to vyhodu, ze muzu primo pristupovat i z otevrenych wifin bez sifrovani, apod.

Samozrejme nie je to ideálny prípad. Ale zatiaľ som s tým nemal žiadne problémy, účty na vstup mám všetky zaheslované. Hmm, aj keď neviem či heslo do Samby sa prenáša šifrované. Ale každopádne mám tam aj FTP prístup (čo je síce tiež blbosť bez šifrovania).
Keď bude čas, nejak to skúsim opraviť / zmeniť / vyriešiť vhodnejšie

Ono nejde jen o to, jestli to bezi sifrovane, nebo ne... nakonec to by te musel nekdo odposlouchavat. Ale spis o to, ze kazda takova sluzba je potencialni riziko. Protoze vsechny ty aplikace maji nejake sve dosud neobjevene mouchy, v zavislosti na tom, jak casto aktualizujes vice, ci mene zneuzitelne.
V praxi to pak vypada tak, ze se ti pres otevreny port na takovou sluzbu muze utocnik pomoci nejake objevene a zdokumentovane chyby dostat bud do toho serveru, nebo potom pres nej dale do vnitrni site.

Proto je lepsi napad, pristupovat treba pres VPN tunel, protoze vsechny zranitelne sluzby mas ve vnitrni siti a do te se dostanes jen pres VPNku. Mas potom do systemu jen jednu potencialni diru

Navic nemusis resit ani sifrovani, apod. Data putujou skrze sifrovany tunel. Prinasi to ale problem, pokud se chces pripojovat z cizich zarizeni, nebo poskytnou pristup cizim lidem. Musis je defakto pustit do site. Ale i to se da resit vhodnym rozdelenim site a volbou treba druheho uctu pro "rizikovy" VPN pristup.