stateful firewall issues (Was Re: Think Simple!)

[george]

Giorgos Keramidas wrote:

> 
> 
> Κι εγώ ξαναλέω πως έχεις πιο σοβαρά προβλήματα αν χρησιμοποιείς αυτό το
> firewall από το να ανησυχείς για bugs του state-keeping κώδικα.
> 
> Οχι δεν είσαι αρκετά ασφαλής, αλλά δε φταίει το firewall γι αυτό.
>

δεν μου τα λες και εμενα αυτα τα προβληματα αντι
να παιδευεσαι με το εαν οι "εξαιρεσεις" που τσεκαρω
πριν ειναι cpu-αποδοτικες ή οχι

> 
> 
>>>>>8) Επιτρέπεις έτσι απλά και ανενδοίαστα όλα τα incoming connections για
>>>>>ports από 1024 και άνω.  ΑΥΤΟ ΔΕΝ ΕΙΝΑΙ ΚΑΛΗ ΙΔΕΑ!  Υπάρχουν περίπου
>>>>>64.510 διαφορετικοί λόγοι γιατί αυτό είναι βλακεία, αλλά θα σε αφήσω
>>>>>να τους ανακαλύψεις ξεχωριστά τον καθένα, καθώς θα στήνεις νέα
>>>>>services στο μηχάνημά σου.
>>>>
>>>>
>>>>#αφησε τον χρηστη να κανει νεα connections
>>>>#εχε το NEW εφόσον το POLICY ειναι DROP
>>>>
>>>>iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED -s $PPP_LOCAL -j ACCEPT
> 
> 
> Στο αρχικό σου μήνυμα δεν ήταν έτσι ο κανόνας στον οποίο αναφέρομαι:
> http://lists.hellug.gr/pipermail/linux-greek-users/2006-August/064592.html
> 
> Σε αυτό το μήνυμα, υπάρχει κάτι σαν:
> 
> iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -p tcp -d $PPP_LOCAL --dport 1024: -j ACCEPT
> iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -p udp -d $PPP_LOCAL --dport 1024: -j ACCEPT
> 
> Αναφέρομαι, φυσικά, στο ''--dport 1024:'' κομμάτι.
> 
> 

συγγνωμη συγκρινεις τους κανονες της OUTPUT με αυτους
της INPUT και περιμενεις να ειναι οι ιδιοι ?

φυσικο δεν ειναι στην OUTPUT ο χρηστης να μπορει
να ξεκινησει ενα ftp client στην 21 (και να περιμενει
πακετο στην INPUT απο τον server σε port > 1024 )


επικρινεις το γεγονος οτι υπαρχουν 64.510 ports ανοιχτα
αλλα δεν "βλεπεις" οτι υπαρχει state checking μεταξυ
INPUT και OUTPUT, γιατι να το εβλεπες και να μου λεγες
"βλακεια ειναι γιατι...." παει καλα, το αγνοεις εντελως
και μιλας για 1000 περιφερειακα θεματα

απο ολο το setup αφησα 3 γραμμες, αντε να δουμε
αν θα δεις αυτο το αγιο ESTABLISHED,RELATED


> 
>   * Τι εννοείς "html data";
> 
>   * Τι εννοείς "βάλε και udp για να κάνει resolve";
> 
>   * Τι εννοείς "data τα οποία δημιούργησε";
> 
>   * Τι εννοείς "προσπάθησε να είσαι adaptive";
> 
>   * Τι εννοείς "να τον αφήσεις να κάνει τη δουλειά του";
> 

το μονο που τσεκαρω ειναι εαν το πακετο που επιστρεφεται
στην INPUT ανηκει σε μια συνδεση που ξεκινησε απο την
OUTPUT (τον χρηστη δηλαδη), δεν τον περιοριζω ουτε
per host, ουτε per ports αλλα μονο στο εαν το πακετο
ανηκει σε συνδεση που πρωτο-ξεκινησε ο χρηστης, και
αρκετες μερες τωρα σε ρωταω εαν αυτο το πολυ "wide"
setup ειναι ασφαλες και εχω ακουσει τα παντα (και θα
τα χρησιμοποιησω και σε ευχαριστω) αλλα οχι αυτη την
απαντηση



πχ. lynx www.otenet.gr = resolve hostname otenet +
request σε www.otenet.gr (αυτα στην OUTPUT) , ε
λογικο δεν ειναι να περιμενει ενα IP address +
html data packets στην INPUT ? (και να του επιτραπει
του χρηστη)

το W32.bugbear_ΧΥΖ virus/bot (λεμε τωρα)  που κανει scan
το net και χτυπαει στο 445 της INPUT θα εχει να κανει
RELATED,ESTABLISHED με κατι της OUTPUT ?

σορρυ αλλα δεν μπορω να στο κανω πιο λιανα

> 
> Νομίζεις.  Τι σε κάνει να πιστεύεις ότι υπάρχει μόνο ο περιορισμός του
> state checking?
> 

προς χαριν της συζητησης ξεχασε οτι υπαρχουν αλλα
κομματια στο setup , εαν παρατηρησεις στις 3 γραμμες
που απεμειναν (υποθετωντας οτι ολα τα policy ειναι
DROP) θα δεις (ελπιζω) οτι μονο state-checking εχει
μεινει σαν περιορισμος

> 
>>
>>τα παραπανω κυριως "ρωτανε" εαν τα assumptions που εχω υιοθετησει
>>ειναι αρκετα ασφαλη, ακριβως 'ΔΕΝ ΓΝΩΡΙΖΩ' εαν το RELATED,ESTABLISHED
>>περιορισμος ειναι αρκετα ασφαλης
> 
> 
> Ορισμένα από τα assumptions που έχεις υιοθετήσει βασίζονται σε μια
> ημιτελή, σποραδική γνώτη του τι ακριβώς είναι ένα 'connection'.  Δεν
> είναι ακριβώς λάθος.  Είναι ΠΟΛΥ λάθος.
> 
ποια assumptions ειναι λαθος και γιατι ? :)

> 
> 
γιωργος

____________________________________________________________________
http://www.freemail.gr - δωρεάν υπηρεσία ηλεκτρονικού ταχυδρομείου.
http://www.freemail.gr - free email service for the Greek-speaking.