Firewall gia server

Alexandros Papadopoulos apapadop at cmu.edu
Wed Jun 30 16:21:49 EEST 2004


On Wednesday 30 June 2004 15:15, Antonios Christofides wrote:
> Γεια σε όλους,
>
> έχω ένα Debian server (DNS, mail, web, samba κ.ά) που μέχρι χτες ήταν
> χωρίς firewall, με ένα ALL: ALL στο hosts.deny και μια μεγάλη λίστα
> από το τι επιτρέπεται στο hosts.allow.

aaaaaaaaaaaaack! :-)

> Επειδή χτες και σήμερα τρώω 
> μια επίθεση DoS στον apache, αναγκάστηκα να κόψω τον εισβολέα με
> firewall. Αυτή τη στιγμή έχω ένα προσωρινό setup που έφτιαξα με το
> firestarter, αλλά κοιτάζω τι θα κάνω σε μόνιμη βάση.
>
> Μια σκέψη ήταν να καταργήσω τα hosts.allow και hosts.deny και αντ'
> αυτών να έχω όλο το access control στο firewall.

Εύγε, εύγε. This is the way to enlightenment.

> Έγραψα ένα σκριπτάκι 
> που περιέχει τις σχετικές εντολές iptables, και μαζεύονται περίπου 50
> rules (στο INPUT chain), που πολύ συνοπτικά λένε τα εξής:
>     * Ό,τι έρχεται από lo επιτρέπεται.
>     * Το icmp επιτρέπεται.
>     * Διάφορα services επιτρέπονται από παντού (π.χ. ssh, www) ή από
>       συγκεκριμένα hosts/υποδίκτυα (π.χ. sunrpc, mysql).
>     * Τα ports 1-1500 απαγορεύονται.
>     * Ορισμένα ports >1500 (π.χ. cvs, mysql) απαγορεύονται.
>     * Οτιδήποτε άλλο επιτρέπεται.
>
> Ερωτήσεις:
> 1) Είναι πολλά 50 rules από πλευράς performance;

Καθόλου.

> 2) Είναι ορθόδοξος αυτός ο τρόπος access control;

Όχι, το σωστό είναι να κάνεις allow μόνο αυτά που ξέρεις/θέλεις, και 
deny όλο το υπόλοιπο σύμπαν.

> Ή είναι καλύτερα να 
>    χρησιμοποιήσω το firewall για 2-3 βασικά πραγματάκια (και ποια)
> και ν' αφήσω τις λοιπές λεπτομέρειες στα hosts.allow/deny;

Τα hosts.allow/deny είναι μέρος του μηχανiσμού TCP wrappers, που έχει 
πολύ μακρινή σχέση με ένα πραγματικό firewall - δεν προστατεύει από 
πολλά πράγματα, μιας και λειτουργεί σε υπερβολικά υψηλό επίπεδο, και 
ξέρει μόνο για συγκεκριμένες υπηρεσίες του TCP (δηλαδή, πολύ μικρό 
υποσύνολο των τρόπων να επιτεθείς σε έναν server).

Θα πρότεινα να διαβάσεις κανένα tutorial για iptables, είναι απείρως 
καλύτερος μηχανισμός από το tcp wrappers για αυτό που θες να κάνεις. 
Αυτό δε σημαίνει ότι θα απενεργοποιήσεις τελείως τους tcp wrappers - 
καλύτερα δύο επίπεδα άμυνας από ένα!

Ρίξε μια ματιά σε ένα εισαγωγικό αρθράκι που έγραψα στο magaz, στο 
http://magaz.hellug.gr/34/03_security-2.html , και έχε και υπόψη σου ότι 
το να χρησιμοποιείς το ίδιο μηχάνημα και για firewall και για server 
είναι τακτική απελπισίας. Βρες ένα παλιό σαράβαλο, βάλτου Debian και 
δυο κάρτες δικτύου, και κάνε τη δουλειά σου εκεί.

-Α




More information about the Linux-greek-users mailing list