Kdyby takové případy nenastávaly, tak přece veškerý provoz spadne pod některé z vámi zadaných pravidel, a na politiku nikdy nedojde.

Hovadina. Na politiku dojde vždy, když se nematchne jiné pravidlo.

Rozdíl je jenom v tom, že vy si dovedete představit jedině takovou chybu, která je ve váš prospěch – tedy že pravidlo bude restriktivnější, než by mělo být, odříznete nějakou službu, uživatelé vás upozorní, vy to opravíte a všechno bude v pořádku. Já si dovedu představit i chybu, která je ve váš neprospěch – pravidlo bude méně restriktivní, než jste si myslel, a vy na to nikdy nepřijdete.

Já si ji umím představit taky. A co jako? To nic nemění na tom, že taková chyba je mnohem méně pravděpodobná než ta opačná, kdy nějaké pravidlo ZAPOMENU. V bezpečnosti se vždy operuje s pravděpodobnostmi a vždy se snažíte minimalizovat pravděpodobnost chyby.

To sice píšete pořád dokola, ale stále ještě to není pravda. A ani dalším opakováním z toho pravdu neuděláte. Představte si třeba nějaký webový informační systém nebo administraci, které běží jako virtualhost na webovém serveru. Obojí jsou to pochybné aplikace, takže je nechcete zpřístupňovat do internetu. Firemní web samozřejmě z internetu přístupný má být. Takže jste zapomněl na nějakou službu, uživatelé nic nehlásí, protože se na interní IS i administraci dostanou. A vy jste v klidu, protože máte přece politiku na DROP, takže žádná služba nemůže být zpřístupněna omylem. No, evidentně může.

PŘESTAŇTE UŽ DĚLAT Z OSTATNÍCH DEBILY! Nikde jsem nepsal, že jsem v klidu a že nemůže být něco zpřístupněné omylem, to si tu jen vymýšlíte, abyste měl vůbec nějaké argumenty. Psal jsem, že je mnohem méně pravděpodobné, že to bude zpřístupněné omylem než že to bude omylem zablokované. Tenhle příklad funguje úplně stejně s ACCEPT, takže když ignoruju ty arogantní narážky, tak jde dodal argument úplně stejně fungující proti vašemu přístupu.

Tak, že tam neinstaluju aplikace, které nejsou potřeba. Případně si můžu služby naslouchající v síti vypsat příkazem netstat.

Fakt kontrolujete netstat po každé aktualizaci? Víte o tom, že u mnoha systémů (včetně těch linuxových) se služby spouští už v průběhu instalace, v té době je tedy nemáte zablokované a navíc mají výchozí jména a hesla? Víte o tom, že mnoho útoků je automatizovaných a server s výchozím natavením prolomí za pár sekund? Víte o tom, že následným zablokováním komprimované služby jste situaci nemusel opravit?

Myslíte třeba linuxové jádro, shell, webový server, databázový server, DNS server? Jistě, instaloval. Přece si nebudu všechen software psát sám. I firewall je aplikace třetí strany.

Ne, to jsou aplikace druhých stran. Myslím aplikace, které nejsou v balíčkách, často mají mizernou dokumentaci a je otázka, na čem všem naslouchají.

Částečně.

Takže vůbec. Je to vidět.

Problémy, o kterých nevím, musím nejprve odhalit.

Pokud ho dřív neodhalí někdo jiný.

Občas někde čtu, jak se někdo pokusil blokovat problémy, o kterých nevěděl – vždy to skončilo tak, že dotyčný vytvořil mnohem větší problém, než před kterým se pokoušel chránit.

Já zase čtu často lidech, kteří se blokovat problémy, o kterých neví, nepokoušejí. Jsou jich miliony. Jako třeba u rom-0, NAT traversal, veřejně dostupné sdílení souborů, veřejně dostupné web kamery a podobně.

To je nazváno podle multi-level marketingu? Tam se také slibují zázraky, ale hlavně nesmíte pátrat po tom, jak to doopravdy funguje.

To má být vtip?

Více vrstev zabezpečení funguje tehdy, pokud jsou ty vrstvy různé. Třeba pokud mám někde zámek na klíč, u následujících dveří bude nutné zadat PIN nebo tam bude čtečka otisků prstů. Dát na druhé dveře stejný zámek na ten samý klíč je k ničemu. A stejné je to s těmi vašimi firewally.

Aha, takže pokud máte dveře na klíč a za tím další dveře na jiný klíč, tak to nefunguje? Zajímavý názor… (Ty firewally samozřejmě nejsou totožné a pravděpodobně nebyly nastavovány najednou.)

Jak konkrétně monitorujete pakety, které spadly do politiky DROP?

Jako základ stačí iptables -A INPUT -m limit --limit 3/min --limit-burst 10 -j LOG, pak se to dá prohánět nějakými analyzátory. U mého monitoringu nevadí, pokud něco přehlédnu nebo se to odhalí za týden (prostě to nefunguje). U vašeho je to průser (dostane se tam kdokoliv).

Pokud je to počítač, který mám ve správě, pak nejjednodušeji tak, že tam neinstaluju službu, o které bych nevěděl.

To se hezky řekne, ale v praxi to nejde zaručit.

Pokud je to nějaký blackbox, jako třeba starší verze Windows, u kterého nedokážu rozumn ěovlivnit, jaké služby tam poběží, pak nastavím pravidla firewallu pro ten konkrétní počítač – povolím komunikaci, která má být povolena, a ostatní komunikaci s tím konkrétním počítačem zakážu. Nebudu spoléhat na to, že paket probublá firewallem až nakonec a tam to zachytí politika.

Jak to nastavíte pro konkrétní počítač? Podle IP adresy? Co když ji změní?

Jak to uděláte u sítě, kde máte desítky strojů, které nemáte ve správě?

Nezpůsobí. Pořád nechápete, že když směřujete útočníka, aby šel vámi zvolenou cestou, útočník vás vůbec nemusí poslechnout a může jít jinudy. „Podívejte, jak mám ty dveře perfektně zabezpečené, jaký je tam bytelný zámek!“ – „Ale vždyť hned vedle máte otevřené okno?!“ – „Aha, tak na ty dveře přidám ještě jeden zámek!!!“

Chápu, moc dobře chápu, proto se snažím jakékoliv vektory útoku minimalizovat. Ale to nemá nic společného s nastavováním firewallu. A určitě to moc dobře víte. A PŘESTAŇTE ZE MĚ DĚLAT DEBILA!

Můžete na firewallu blokovat přístup na port webového serveru i databázového serveru, takže se na ně útočník nedostane. Když se ale na server přihlásí přes ssh, změní jejich nastavení velice snadno. Když naopak nebude mít přístup přes ssh, ale pouze se jako běžný uživatel dostane ne příslušný web nebo k databázi, nastavení těch služeb nijak nezmění.

Jak tedy blokujete služby, o kterých nevíte?

Netvrdím, že si myslíte, že politika DROP vyřeší všechny problémy. Bohužel ale opakovaně ukazujete, že si myslíte, že politika DROP vyřeší problémy, které ve skutečnosti nevyřeší.

Ne, to mi vy jen neustále podsouváte a vymýšlíte si absurdní způsoby, kdy to nefunguje.

DISKUSE S JIRSÁKEM EVIDENTNĚ NEMÁ SMYSL, KDYŽ ZE VŠECH OKOLO DĚLÁ NEUSTÁLE DEBILY, TAKŽE S NÍ KONČÍM