Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Aug 2002

Hur viktigt med eldvägg?

Hej,

Hur vikigt är det egentligen med eldvägg i *NIX det finns ju inte lika mycket spyware och maskar/virus. Just nu har jag bara ett väldigt enkelt
eldväggs skript.

» Richard Simmons will make you his bitch...

Trädvy Permalänk
Medlem
Plats
På en pizza
Registrerad
Okt 2004

Det är minst lika viktigt som i alla andra OS. Shorewall är bra om man vill få ihop det snabbt och bra

8D

Trädvy Permalänk
Forumledare
Registrerad
Okt 2002

Det är viktigt. Gör som så att du blockar all trafik utom de portar du vill använda och inte tvärtom som någon kanske tror är smart, dvs tillåter allt utom några få portar.

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Trädvy Permalänk
Medlem
Registrerad
Jan 2004

Är det unix så finns det ju inget som svarar på porten (liknar att pinga en som är ställd i stealth på ping) och man kan inte gärna göra så mycket skada.
Fast det förutsätter ju att man har koll på vilka processer/daemons man har igång - fast är dom igång och tillåtna i firewallen så är dom ju kontaktbara ändå så då är firewallen till föga nytta.
Huvudsakliga anledningen till FW är väl om man vill begränsa vissa daemons till att bara funka på ex.v. subadressen och vara "döda" utåt (eller för vissa operativ som börjar på W som har många services är igång oavsett om man vill det eller ej och att starta en kan dra igång ett gäng andra som man inte riktigt ser det rationella med).
En annan bra sak med en FW är ju att man kan filtrera paket som inte ser ut på ett visst vis, eller sätta quotas på portar.

Me fail english, thats unpossible!

Trädvy Permalänk
Medlem
Plats
Mölndal
Registrerad
Jul 2005
Citat:

Ursprungligen inskrivet av tva
Fast det förutsätter ju att man har koll på vilka processer/daemons man har igång - fast är dom igång och tillåtna i firewallen så är dom ju kontaktbara ändå så då är firewallen till föga nytta.

Det vanligaste sättet i *nix världen är att man utnyttjar en känd bugg i ett program för att ta ner och köra ett eget program (ex. ftp-server på en udda port).

Brandväggen hindrar inte utnyttjandet av buggen men ex. ftp-servern som installeras får ingen kontakt eftersom brandväggen spärrar dom portarna.

Så ja, på med en brandvägg på alla datorer som är anslutna mot internet och se till att dom program som är exponerade mot internet alltid är uppdaterade.

Kriga mot min brute: http://gunnard.se.mybrute.com om du vågar :D

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Jan 2005

Ett tips angående FW är att inte alls blocka något in. Istället bara dropa allt in. ut kan man ju ta och blocka det mästa. Det ökar inte säkerheten mycket. Men det ökar heltklart kontrollen.

.:aixelsyd:.
Remember Google isn't the web! But do use it's power!

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Aug 2002

Jag använder pf. Där använder man flaggan RST för att droppa en anslutning.

Det jag inte riktigt förstår är syntaxen.

Från:
http://www.openbsd.org/faq/pf/filter.html#tcpflags

"The mask part tells PF to only inspect the specified flags and the check part specifies which flag(s) must be "on" in the header for a match to occur."

» Richard Simmons will make you his bitch...

Trädvy Permalänk
Medlem
Plats
Câmara de Lobos, Madeira, Portugal
Registrerad
Nov 2005
Citat:

Ursprungligen inskrivet av V4nten
Ett tips angående FW är att inte alls blocka något in. Istället bara dropa allt in. ut kan man ju ta och blocka det mästa. Det ökar inte säkerheten mycket. Men det ökar heltklart kontrollen.

Droppar du allt in så kan du lika gärna dra ut sladden. Men sätt policyn till DROp och skapa sedan regler som tillåter önskad trafik. T.ex: iptables -p tcp -m state --state ESTABLISHED,RELETED -j ACCEPT gör att svarstrafiken släpps in.

Fagerja

Trädvy Permalänk
Medlem
Registrerad
Jan 2004
Citat:

Ursprungligen inskrivet av GunnarD
Det vanligaste sättet i *nix världen är att man utnyttjar en känd bugg i ett program för att ta ner och köra ett eget program (ex. ftp-server på en udda port).
Brandväggen hindrar inte utnyttjandet av buggen men ex. ftp-servern som installeras får ingen kontakt eftersom brandväggen spärrar dom portarna.

Är du go eller
Först dra igång ftpd (eller annan på port 20 för trafik in, vilket är det enda en oändrad ftp-server svarar på) och sedan blocka den med en brandvägg.
Ge tusan i att dra igång den i så fall.

Me fail english, thats unpossible!

Trädvy Permalänk
Medlem
Plats
::1
Registrerad
Jun 2005
Citat:

Ursprungligen inskrivet av Ben_Dover
Jag använder pf. Där använder man flaggan RST för att droppa en anslutning.

Inte riktigt, du använder någon av optionerna return, return-rst eller return-icmp till din block-regel (med set block-policy kan du ställa in default-beteendet). Däremot sätts flaggan RST i svarspaketet för TCP-anslutningar vilket signalerar till den anslutande maskinen att anslutningen skall rivas ner. För UDP (och TCP om du använder return-icmp) skickas ett ICMP-paket med koden UNREACHABLE eller en egenspecificerad kod.

Citat:

Ursprungligen inskrivet av Ben_Dover
Det jag inte riktigt förstår är syntaxen.

Från:
http://www.openbsd.org/faq/pf/filter.html#tcpflags

"The mask part tells PF to only inspect the specified flags and the check part specifies which flag(s) must be "on" in the header for a match to occur."

Kan det förklaras mycket tydligare? Om du specificerar S/SAFR så kommer PF bara att ta med flaggorna SYN, ACK, FIN och RST i beräkningen (d.v.s. värdena på PUSH m.fl. spelar ingen roll) och av dessa måste SYN vara satt för att ett paket skall matcha regeln.
Misstänker att du gör det mer komplicerat än det egentligen är.

Trädvy Permalänk
Medlem
Plats
Borås
Registrerad
Mar 2005
Citat:

Ursprungligen inskrivet av tva
Är du go eller
Först dra igång ftpd (eller annan på port 20 för trafik in, vilket är det enda en oändrad ftp-server svarar på) och sedan blocka den med en brandvägg.
Ge tusan i att dra igång den i så fall.

han syftade inte på adminstratören, utan att en "hackern" startar en ftpserver för att få ner sina "tools" till burken. En bra firewall kan:
1. Göra att det tar mycket längre tid
2. Skapa loggar som gör att du upptäcker honom
3. Blockar vissa typer av attacker (bruteforce mm..)

Plan9 fan. In glenda we trust.

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001
Citat:

Ursprungligen inskrivet av tva
Först dra igång ftpd (eller annan på port 20 för trafik in, vilket är det enda en oändrad ftp-server svarar på)

ftp = 21/tcp.

Bienvenido a la maldad

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Aug 2002
Citat:

Ursprungligen inskrivet av NakedApe
Misstänker att du gör det mer komplicerat än det egentligen är. [/B]

Det är nog så, det brukar vara så

» Richard Simmons will make you his bitch...

Trädvy Permalänk
Medlem
Plats
Mölndal
Registrerad
Jul 2005
Citat:

Ursprungligen inskrivet av tva
Är du go eller
Först dra igång ftpd (eller annan på port 20 för trafik in, vilket är det enda en oändrad ftp-server svarar på) och sedan blocka den med en brandvägg.
Ge tusan i att dra igång den i så fall.

Läs gärna mitt svar igen så kanske du förstår vad jag menade!

Kriga mot min brute: http://gunnard.se.mybrute.com om du vågar :D

Trädvy Permalänk
Medlem
Registrerad
Jan 2004
Citat:

Ursprungligen inskrivet av GunnarD
Läs gärna mitt svar igen så kanske du förstår vad jag menade!

Okey... det gälde inte brist i ftp utan något annat program. Men dess "ska" ju funka lika dant : låga portar måste vara öppna och är det oavsett brandvägg eller ej.
Har man sedan en "backdoor" så lägger man ju lämpligen den på en port som man rimligen kan anta är öppen jämt, brandvägg är ju vanligt, och då hjälper ju inte brandväggen. Att sätta port 1337 är ju inte det senaste
Visst är brandvägg bra, men det löser inte alla problem...

Me fail english, thats unpossible!

Trädvy Permalänk
Medlem
Plats
Mölndal
Registrerad
Jul 2005
Citat:

Ursprungligen inskrivet av tva
låga portar måste vara öppna och är det oavsett brandvägg eller ej.

Nej, inte om man inte har en tjänst som lyssnar på porten, varför ha ex. ftp portarna 20 och 21 öppna om man inte har en ftp-server på maskinen?

Nej, kör den "kommunistiska varianten": allt som uttryckligen inte är tillåtet är förbjudet!

Citat:

Ursprungligen inskrivet av tva
Har man sedan en "backdoor" så lägger man ju lämpligen den på en port som man rimligen kan anta är öppen jämt,

Visst men samtidigt vill man inte att den skall märkas så man vill helst inte använda en port som redan används eftersom då ökar sannolikheten för upptäckt dramatiskt.

Har man då mha en brandvägg stängt alla andra portar än dom man själv använder så minskar man risken för att ens maskin används till något icke önskvärt.

Citat:

Ursprungligen inskrivet av tva
Visst är brandvägg bra, men det löser inte alla problem...

Nej, men det är en bra funktion att ha.

Kriga mot min brute: http://gunnard.se.mybrute.com om du vågar :D

Trädvy Permalänk
Medlem
Registrerad
Jan 2004
Citat:

Ursprungligen inskrivet av GunnarD
Nej, inte om man inte har en tjänst som lyssnar på porten, varför ha ex. ftp portarna 20 och 21 öppna om man inte har en ftp-server på maskinen?
Nej, kör den "kommunistiska varianten": allt som uttryckligen inte är tillåtet är förbjudet!

Men har man å andra sidan ingen ftp igång så ska det inte finnas något som lyssnar på trafik på 20,21 och att glömma att blocka trafiken gör inte så mycket.
[Under förutsättning att man inte antagit att man inte har kontroll över processerna, för har man inte koll så kan något finnas där som lyssnar på 20,21 och då gör en brandvägg nytta.]
Fast just ftp och bradvägg, även om ftp inte är unikt, innebär ju stora problem om man inte har en "stateful" brandvägg. Antingen är massa höga portar öppna, eller oxå krånglar ftp.

Tror vi börjar bli överens
En brandvägg är bra att ha, men den innebär inte att man kan strunta i säkerheten.
Grundsäkerheten är att bara ha service igång som man behöver, och då är ju dessa portar aktiva oavsett brandvägg eller ej (om man nu inte vill begränsa till zoner).
Brandväggen kan ta hand om missar i detta.

Me fail english, thats unpossible!

Trädvy Permalänk
Medlem
Plats
Mölndal
Registrerad
Jul 2005
Citat:

Ursprungligen inskrivet av tva
Men har man å andra sidan ingen ftp igång så ska det inte finnas något som lyssnar på trafik på 20,21 och att glömma att blocka trafiken gör inte så mycket.
[Under förutsättning att man inte antagit att man inte har kontroll över processerna, för har man inte koll så kan något finnas där som lyssnar på 20,21 och då gör en brandvägg nytta.]

Om portarna inte används så finns det ingen anledning till att inte spärra dom, då kan inte något program lyssna på portarna oavset vem och hur detta programmet har startat.

Citat:

Ursprungligen inskrivet av tva
Tror vi börjar bli överens
En brandvägg är bra att ha, men den innebär inte att man kan strunta i säkerheten.
Grundsäkerheten är att bara ha service igång som man behöver, och då är ju dessa portar aktiva oavsett brandvägg eller ej (om man nu inte vill begränsa till zoner).
Brandväggen kan ta hand om missar i detta.

Förutsatt att dom tjänster du har igång är buggfria.

Vissa tjänster och/eller skript har haft hål i sig så att en hacker utifrån kan ladda ner och starta ex. en ftp-server utan att administratören vet om det, med en branvägg så hindrar man inte själva installationen av ex. ftp-servern men man hindrar att hacker kan kontakta den om man har en brandvägg som spärrar ftp-portarna, har man ingen brandvägg så kan hackern börja ladda upp/ner vad som helst (oftast utnyttjas dessa maskiner för spridning av warez)!

Det är möjligt att vi beskriver samma scenario på olika sätt, men det finns i dagen läge ingen anledning till att inte ha en brandvägg som spärrar alla inkommande portar förutom dom portar/tjänster man vill exponera utåt.

Kriga mot min brute: http://gunnard.se.mybrute.com om du vågar :D

Trädvy Permalänk
Medlem
Registrerad
Mar 2003

Äsch, jag kör Ubuntu "out of the box" och alla 65535 portar är stängda som default, här tar sig ingen hacker in.