Autor Téma: FIREWAL/FIREHOL - s nim ci bez neho? (Přečteno 3249 krát)

uf · « **kdy:** 23 Července 2007, 20:38:07 »

otazka uzivatela pc desktop:

mat firehol a ci ani netreba?

=> test bez fireholu ukazuje ze porty su zatvorene ale nie su secure - co to znamena vzhladom na bezpecnost °ubuntu voci roznym utokom?

truhlik · « **Odpověď #1 kdy:** 24 Července 2007, 12:35:53 »

Tusim ze zakladni bezpecnost systemu zajistuje iptables ktere je jiz v zakladni instalaci ubuntu tudiz dalsi firewall neni potreba. Pokud vsak pozadujete vyssi bezpecnost tak jo. Nevim jak je to aktualne ale Firehol pro ubunutu 7.04 byl zatim nefunkcni.

Pavelp · « **Odpověď #2 kdy:** 24 Července 2007, 13:28:20 »

Iptables sice v systemu nainstalovany jsou, ale nejsou aktivni, tedy neprovadeji zadnou filtarci paketu z toho prosteho duvodu, ze nevedi, CO a JAK maji filtrovat. To jim musi rict az nejaka sada prikazu, ktere nastavi pravidla pro filtrovani paketu. To se da udelat bud rucne, skriptem, nebo pouzit nejakou nadstavbu, ktera to "ulehci". Firehol, firestarter trebas.
Pokud jsou porty zavrene, nejde je nijak exploatovat, do dveri, ktere neexistuji se neprobourate. Pokud ovsem jste velmi paranoidni, je nutne pouzit pro paketfilter pravidlo "zahodit vse, co neni povoleno". V takovem pripade je ovsem konfigurace iptables trochu narocna, protoze nektere sluzby musite povolit z duvodu behu systemu a tim padem MUSITE vedet jake a proc.
Pokud nechcete zadne sluzby spoustet (rozumi se sluzby pro styk s vnejsim svetem), je nejjednodussi reseni vytahnout sitovy kabel z karty.

uf · « **Odpověď #3 kdy:** 24 Července 2007, 17:22:19 »

vela toho o iptables neviem...v defaultnom nastaveni iptables v °ubuntu nehrozi teda ziadne "vlamanie sa" do kompu.....je to teda vo vseobecnosti bezpecne ak som to dobre pochopil?

ak by ste mali vyjadrit bezpecnost v percentach: default iptables & dobre nakonfigurovany firehol - aky pomer by ste tomu dali?

Pavelp · « **Odpověď #4 kdy:** 24 Července 2007, 19:56:42 »

Defaultni nastaveni iptables po instalaci je "vse povoleno". Nepochopil (nebo necetl) jste muj predchozi post. Firewall se z toho "udela" az nakonfigurovanim, coz provede napr. Firehol, nebo firestarter. Tedy po instalaci iptables se Vam muze do PC nabourat utocnik stejne tak pohodlne, jako pred instalaci, NENI v tom rozdil.
Jeste poznamka, pokud je zde znamo, firehol ve Feisty NEFUNGUJE !!!

uf · « **Odpověď #5 kdy:** 24 Července 2007, 21:10:40 »

oukej.....moja logicky nasledovna otazka je ci mozno zbuchat nejaky script ktory by zakazal IBA konkretne porty ktore su nachylne na zneuzitie pricom ostatne porty ako stream radio a podobne by boli povolene.......vo firehol musim kazdy port definovat co nie je az take pohodlne najma ak neviem ktory mam povolit v tej ktorej aplikacii...

firehol mi vo fiesty fawn funguje hadam odkedy mam 7.04 :-) http://forum.ubuntu.cz/viewtopic.php?pid=66420#p66420

klasyc · « **Odpověď #6 kdy:** 25 Července 2007, 16:07:38 »

Teda to je docela fajn, já žiju v domění, že Ubuntu má ve standardní instalaci alespoň stavový firewall jako Fedora Core, ale zatím jsem nenašel ani konfigurák!!!

Pavelp · « **Odpověď #7 kdy:** 25 Července 2007, 19:18:33 »

Citace: uf

oukej.....moja logicky nasledovna otazka je ci mozno zbuchat nejaky script ktory by zakazal IBA konkretne porty ktore su nachylne na zneuzitie pricom ostatne porty ako stream radio a podobne by boli povolene.......vo firehol musim kazdy port definovat co nie je az take pohodlne najma ak neviem ktory mam povolit v tej ktorej aplikacii...

firehol mi vo fiesty fawn funguje hadam odkedy mam 7.04 :-) http://forum.ubuntu.cz/viewtopic.php?pid=66420#p66420

Vite, ja nechci nejak poucovat, ale jdete na to podle mne ze spatneho konce. Musite si nejak ujasnit veci kolem bezpecnosti systemu. Definovat nachylnost portu na zneuziti je docela prace pro experta z americkeho akcniho filmu. Vsechny porty na stroji u urcite distribuce jsou podle provedenych testu bezpecne. To ze je proveden nejaky exploit obvykle znamena, ze utocnik nalezl nejakou bezpecnostni diru. Ta je nasledna opatchovana, provedeny upgrady programu a tak to jde porad dokola. K tomu skriptu. Firehol JE skript, bohuzel to co chcete aby provadel, mu musite explicitne definovat a ono to jinak, tedy "samo", jaxi nejde. Tim, ze chcete vytvorit nejaky jiny skript, jen budete vymyslet to, co uz je davno vymysleno. Jen na okraj, programovat Vam to tady asi nikdo nebude. Pro inspiraci doporucuju stranku dejavix.sk Ivana Norise. Velmi poucne cteni a hezky napsane.

uf · « **Odpověď #8 kdy:** 25 Července 2007, 20:22:46 »

mozno to tak vyznelo ale moje prispevky ohladom tohto problemu chapte ako "zufale volania" :-)

Pavelp · « **Odpověď #9 kdy:** 25 Července 2007, 21:15:48 »

A pricina toho zoufalstvi? Odpovezte si na nekolik otazek. Napadl Vam nekdo system? Musite nutne mit spusteny vysoce restriktivni firewall? Z jakeho duvodu?

nick-db · « **Odpověď #10 kdy:** 25 Července 2007, 21:44:26 »

kurnik no to je diskusia...

byt na vasom mieste, tak by som tam nastavil drop all. je to taky skriptik (pravidlo), ktory zakaze vsetky porty 'ktore su nachylne na zneuzitie' :-P

a teraz vazne. myslim, ze na root.cz je nejaky serial (tusim 4 dielny) o iptables.

;-)

good luck & have fun

uf · « **Odpověď #11 kdy:** 26 Července 2007, 15:33:31 »

Citace: Pavelp

A pricina toho zoufalstvi? Odpovezte si na nekolik otazek. Napadl Vam nekdo system? Musite nutne mit spusteny vysoce restriktivni firewall? Z jakeho duvodu?

ide o prevenciu a z fireholu sa inak nez vedomostou o konkretnych portoch dalej nedostanem....ostava mi jedno: kazdy program ktory pouzivam budem vediet "naspamat" :-)

Pavelp · « **Odpověď #12 kdy:** 26 Července 2007, 19:27:49 »

Inu docela jste to vystihl. Sice az tak do hloubky "nazpamet" to jit nemusi, ale bud se spolehnete na nejaky navod ci doporuceni, nebo se to holt budete muset naucit. Ono toho zas tak moc neni.