Administrace komentářů

Nevím, jestli to úplně blbému pomůže, když mu to napíšu potřetí: například komunikace příslušné služby vyhoví jinému pravidlu firewallu, nebo tím protokolem bude komunikovat jiný počítač v síti (mezi nímž a serverem není firewall), nebo se útočník na server dostane jiným protokolem.

Jakému jinému pravidlu? Buď jsem to pravidlo napsal a chci tam přístup, nebo nenapsal (zapomněl jsem na něj) a pak je tam výchozí DROP.

Fakt si myslíte, že získání přístupu ke dvěma počítačům je stejně jednoduché jako získání přístupu k jednomu? Možná ve vaší síti…

Psal jste, že jste o nějaké komunikaci nevěděl. Když o té komunikaci nevíte, snadno můžete napsat pravidlo, kterému ta komunikace vyhoví, aniž by to byl záměr. Nebo prostě uděláte chybu - když můžete udělat chybu v tom, že o nějaké komunikaci nevíte, můžete udělat chybu i při psaní pravidla.

Napsat chybné pravidlo je mnohem méně pravděpodobné než nenapsat pravidlo vůbec.

Nekonfiguruju.

Chytrému napověz, … Tak tedy trkám: jen jsem parodoval vaše arogantní tvrzení, že firewall nastavuji nějak náhodně.

Nedělám. To vy jste napsal, že spoléháte na to, že nastavením výchozí politiky jste trefil komunikaci, na kterou byste jinak zapomněl, a že když něco nakonfigurujete špatně a máte štěstí, že to uživatelé poznají, tak že vás uživatelé upozorní.

Nenapsal. Napsal jsem, že když zapomenu na nějakou službu, tak ta služba nebude fungovat nikomu (díky výchozí politice), čehož si všimnete mnohem snáze (např. že si budou stěžovat uživatelé), než když to funguje všem (to si totiž nikdo stěžovat nebude). Jmenuje se to least privilege principle. Možná jste o tom již slyšel.

Ano, to je základní povinností každého administrátora. Je to jediný způsob, jak zajistit bezpečnou síť - náhodné blokování to opravdu nezajistí.

Tak ještě jednou: NEJDE O NÁHODNÉ BLOKOVÁNÍ, ALE O ÚMYSLNÉ BLOKOVÁNÍ!

Chyby dělá každý. Typická chyba je, že něco zapomenete uvést. Ve vašem případě je to pak přístupné všem, v mém není. Je to tak jednoduché…

Pokud to mají povolené, ať si na svém počítači uživatelé zpřístupňují, co chtějí. V takovém případě jsou uživatelské počítače samozřejmě oddělené od bezpečné části sítě.

Což vám nepomůže, když ta služba nemá být veřejně dostupná a uživatel má k té službě přístup.

INPUT nikdy, protože počítač, na kterém firewall běží, mám vždy zabezpečený, tj. běží tam pouze nutné služby a ty jsou aktualizované. Takže není, před čím by tam firewall chránil.

Jak to zaručíte? Instaloval jste někdy aplikace třetích stran? Spravoval jste někdy síť, kde jste nebyl jediný administrátor?

Ve FORWARD jsem míval REJECT pro navázání komunikace z venku na stanice s Windows, protože tenkrát byly Windows známé tím, že tam běží spousta zbytečných služeb, které je zbytečně složité správně zlikvidovat.

Aha, takže blokujete problémy, o kterých víte. A co ty problémy, o kterých nevíte?

Ale nebyl důvod dávat to jako výchozí politiku, protože v síti byly i jiné počítače, které byly také zabezpečené, takže firewall před nimi by nic neřešil.

Samozřejmě mám firewall jak na bráně, tak na všech počítačích v síti. O multi-level security jste někdy slyšel?

To ovšem předpokládá nejprve mít vytvořený ten seznam služeb.

To předpokládá mít vytvořený seznam služeb, které mají být zpřístupněné, ne seznam všech služeb, které v síti běží, jako vyžaduje váš přístup.

Navíc to opravdu není jediná možnost, ve spoustě případů uživatelé mnohem víc ocení, pokud jim dovolíte cokoli, co nepoškozuje ostatní.

Ocení to nejen uživatelé, ale i útočníci. Hlavně útočníci, protože většina aplikací už je na least privilege připravena a bude fungovat i ve velmi restriktivní síti.

Třeba v takovém hostingovém centru by uživatelé asi nebyli nadšení, kdyby ve výchozím stavu byl jejich server firewallem úplně odříznutý, a o povolení každé komunikace by museli extra žádat.

Pokud se firewall používá (zákazník požádá/zaplatí za HW firewall), tak přesně tak to funguje, zákazník žádá o povolení každé komunikace. Pokud se nepoužívá, tak jaksi nemá smysl se bavit o nějakých pravidlech.

Pořád je to mnohem dřív, než když vy ji nezjistíte nikdy.

Samozřejmě monitoring používám také. Nejste jediný!

Pokud útočník získá možnost měnit nastavení firewallu, může změnit tu vaši zázračnou politiku na ACCEPT.

A když na to ten monitoring nepřijde? Jak provádíte monitoring, že na nějakém portu nějakého počítače neběží služba, o které nevíte?

V mém případě opomenutí způsobí, že je to blokováno před útočníkem i uživatelem. Ve vašem případě, že to není blokováno vůbec. Změnit nastavení služby, ke které se nedostanete, je trochu složitější než měnit nastavení služby, ke které se dostanete, nemyslíte?

Těch problémů jste popsal přesně 0.

Tady je včetně zdůvodnění.

Monitoring nikdy žádný problém neodstraní. Nanejvýš na něj může upozornit.

Opět to byla jen parodie vašeho arogantního tvrzení, že si snad myslím, že DROP vyřeší všechny problémy.