|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alex Ivanov 2:5020/400 06 Aug 2006 23:35:46
To : Valentin Davydov
Subject : Re: firewall
--------------------------------------------------------------------------------
Sun Aug 06 2006 22:39, Valentin Davydov wrote to Eugene Grosbein:
VD> Саму машину закрывать firewallом имеет смысл разве что в случае, когда на
VD> ней крутится какой-нибудь proprietary сервис с подозрением на дырявость.
VD> В остальных случаях софт, которому пакет предназначен, поступит с ним не
VD> менее правильно, чем тупой firewall.
Если исходить из этой логики, то в грамотно настроенной сетке с нормальным
софтом фаервол не нужен. Что есть не верно. (надеюсь ясно, из-за чего? )
IMHO все-таки правильнее и проще сделать ipfw deny all from any to any и
открыть только то, что нужно.
Потому, что в другом случае придется делать:
1. Сперва по sockstat найти все открытые не туда порты.
2. Пройтись по всем демонам, держащими открытые порты не туда, выяснить как
перевесить их на нужный ip, и/или указать им, какие подсети правильные, а
какие нет... Я хочу напомнить, что большенство демонов при настройки по
умолчанию слушают на * (взять тот же syslog), и некоторые не умеют принимать
пакеты только из нужных подсетей (класика жанра - внутрений Web сервер без
авторизации).
А ведь возможна (и вполне реально для некоторого кривого софта) ситуация,
когда софт должен слушать, допустим, по _двум_ ip, а по третьему _не_ слушать
- что тогда делать, если софт этого не умеет (одна секция listen в конфиге)?
Или еще реальная ситуация - в условиях спешки для каких-то целей (для
тестирования например, или начальство срочно захотело) админ из другой смены
поднял какой то демон с настройками почти по умолчанию, и в запарке забыл про
него, а он смотрит на * и принимает пакеты ото всюду.
3. Делать выше приведенные действия каждый раз при установке нового софта,
даже если он ставится на 2 часа "посмотреть как оно".
4. Так же есть еще момент с (не дай бог!!!) обычными и reverse-connect
эксплойтами... (ну получилось, забыли обновить публичный сервис, бювает, и не
суть из-за чего)
Хочу напомнить, что одна из главных задач админа - _всеми_ силами мешать
взлому, пусть даже это только временная отсрочка (а учитывая, что 95% народу
юзает прекомпиленные эксплойты и не умеют писать shell коды - этого может и
хватить для защиты)
В случает же если на этой машине fw настоен по принципу "разрешенно только то,
что нужно, остальное запрещенно" то экплойт обломается и без перелки shell
кода будет способен разве что обвалить уязвимый демон.
Резюме (естественно IMHO):
В общем все выше приведенное достаточно трудоемко, не всегда гибко и не всегда
осуществимо. Как говорил Конфуций, "не надо плодить сущностей без
необходимости". Пускай фаервол фильтрует не нужные пакеты, sshd используется
для управления, named для DNS, сапожник пускай делает сапоги, а булочник печет
булочки. А то на выходе можем получить хлеб со вкусом сапога :)
--- ifmail v.2.15dev5.3
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: firewall |
Valentin Davydov |
06 Aug 2006 22:39:50 |
 Re: firewall |
Alex Ivanov |
06 Aug 2006 23:35:46 |
 Re: firewall |
Valentin Davydov |
07 Aug 2006 13:52:18 |
  Re: firewall |
Valentin Nechayev |
08 Aug 2006 02:01:29 |
|
firewall |
Andrey Ostanovsky |
07 Aug 2006 22:48:28 |
 Re: firewall |
Valentin Davydov |
08 Aug 2006 14:20:00 |
|
firewall |
Andrey Ostanovsky |
08 Aug 2006 16:33:26 |
|
firewall |
Andrey Ostanovsky |
07 Aug 2006 22:46:04 |
|
Re: firewall |
Valentin Davydov |
08 Aug 2006 14:22:00 |
|
Re: firewall |
Valentin Nechayev |
08 Aug 2006 01:58:25 |
|
Re: firewall |
Valentin Davydov |
08 Aug 2006 14:16:58 |
|
Re: firewall |
Valentin Nechayev |
08 Aug 2006 20:49:44 |
|
|
