Administrace komentářů

Pro úplně blbé tedy ještě potřetí: jak můžete zneužít díru, když zapomenete ve firewallu uvést protokol, na kterém naslouchá služba, a výchozí politika není ACCEPT?

Nevím, jestli to úplně blbému pomůže, když mu to napíšu potřetí: například komunikace příslušné služby vyhoví jinému pravidlu firewallu, nebo tím protokolem bude komunikovat jiný počítač v síti (mezi nímž a serverem není firewall), nebo se útočník na server dostane jiným protokolem.

To jako že když nejsem Jirsák, tak nevím, co jednotlivá pravidla povolují?

Psal jste, že jste o nějaké komunikaci nevěděl. Když o té komunikaci nevíte, snadno můžete napsat pravidlo, kterému ta komunikace vyhoví, aniž by to byl záměr. Nebo prostě uděláte chybu - když můžete udělat chybu v tom, že o nějaké komunikaci nevíte, můžete udělat chybu i při psaní pravidla.

Ne, vy ji konfigurujete tak, že něco náhodně nastavujete tak dlouho, dokud nějaká služba nepřestane fungovat.

Nekonfiguruju.

Nedělejte z ostatních blbce.

Nedělám. To vy jste napsal, že spoléháte na to, že nastavením výchozí politiky jste trefil komunikaci, na kterou byste jinak zapomněl, a že když něco nakonfigurujete špatně a máte štěstí, že to uživatelé poznají, tak že vás uživatelé upozorní.

Opravdu ten seznam služeb obsahuje všechny služby? Opravdu ho budete aktualizovat při každé změně? Budou to tak dělat i všichni ostatní admini?

Ano, to je základní povinností každého administrátora. Je to jediný způsob, jak zajistit bezpečnou síť - náhodné blokování to opravdu nezajistí.

Nebudou ty služby zpřístupňovat přes svoje počítače uživatelé?

Pokud to mají povolené, ať si na svém počítači uživatelé zpřístupňují, co chtějí. V takovém případě jsou uživatelské počítače samozřejmě oddělené od bezpečné části sítě.

Osobně tipuju, že máte na konci INPUT a FORWARD chainů DROP pro všechno, co nevyhoví předchozím pravidlům

Nemám. INPUT nikdy, protože počítač, na kterém firewall běží, mám vždy zabezpečený, tj. běží tam pouze nutné služby a ty jsou aktualizované. Takže není, před čím by tam firewall chránil. Ve FORWARD jsem míval REJECT pro navázání komunikace z venku na stanice s Windows, protože tenkrát byly Windows známé tím, že tam běží spousta zbytečných služeb, které je zbytečně složité správně zlikvidovat. Ale nebyl důvod dávat to jako výchozí politiku, protože v síti byly i jiné počítače, které byly také zabezpečené, takže firewall před nimi by nic neřešil.

Allow only those activities that you expressly permit

To ovšem předpokládá nejprve mít vytvořený ten seznam služeb. Navíc to opravdu není jediná možnost, ve spoustě případů uživatelé mnohem víc ocení, pokud jim dovolíte cokoli, co nepoškozuje ostatní. Třeba v takovém hostingovém centru by uživatelé asi nebyli nadšení, kdyby ve výchozím stavu byl jejich server firewallem úplně odříznutý, a o povolení každé komunikace by museli extra žádat.

Zjistit díru z monitoringu je pozdě.

Pořád je to mnohem dřív, než když vy ji nezjistíte nikdy.

Navíc ten monitoring na to také nemusí přijít nebo může být přes tu díru ovládnut útočníkem.

Pokud útočník získá možnost měnit nastavení firewallu, může změnit tu vaši zázračnou politiku na ACCEPT.

psal jsem tu pouze příklady, kdy problémy (bezpečnostní díry) způsobuje ACCEPT.

Těch problémů jste popsal přesně 0.

Ne, evidentně jste spoléhal na to, že všechny problémy odstraní všemocný monitoring.

Monitoring nikdy žádný problém neodstraní. Nanejvýš na něj může upozornit.