Administrace komentářů

Jakému jinému pravidlu? Buď jsem to pravidlo napsal a chci tam přístup, nebo nenapsal (zapomněl jsem na něj) a pak je tam výchozí DROP.

Nebo jste napsal pravidlo, které dělá něco jiného, než jste si myslel. Nebo jste napsal pravidlo, a neuvědomil jste si, že mu vyhovuje i jiná komunikace, než ta zamýšlená. Kdyby takové případy nenastávaly, tak přece veškerý provoz spadne pod některé z vámi zadaných pravidel, a na politiku nikdy nedojde. Jenže tady celou dobu obhajujete, že ta pravidla přece můžete mít špatně, proto používáte politiku DROP. Rozdíl je jenom v tom, že vy si dovedete představit jedině takovou chybu, která je ve váš prospěch – tedy že pravidlo bude restriktivnější, než by mělo být, odříznete nějakou službu, uživatelé vás upozorní, vy to opravíte a všechno bude v pořádku. Já si dovedu představit i chybu, která je ve váš neprospěch – pravidlo bude méně restriktivní, než jste si myslel, a vy na to nikdy nepřijdete.

Napsat chybné pravidlo je mnohem méně pravděpodobné než nenapsat pravidlo vůbec.

Co tak pozoruji různé dotazy, kde má tazatel desítky nebo stovky pravidel ve firewallu a nerozumí ani jedinému, řekl bych, že je to přesně opačně.

Napsal jsem, že když zapomenu na nějakou službu, tak ta služba nebude fungovat nikomu (díky výchozí politice)

To sice píšete pořád dokola, ale stále ještě to není pravda. A ani dalším opakováním z toho pravdu neuděláte. Představte si třeba nějaký webový informační systém nebo administraci, které běží jako virtualhost na webovém serveru. Obojí jsou to pochybné aplikace, takže je nechcete zpřístupňovat do internetu. Firemní web samozřejmě z internetu přístupný má být. Takže jste zapomněl na nějakou službu, uživatelé nic nehlásí, protože se na interní IS i administraci dostanou. A vy jste v klidu, protože máte přece politiku na DROP, takže žádná služba nemůže být zpřístupněna omylem. No, evidentně může.

Tak ještě jednou: NEJDE O NÁHODNÉ BLOKOVÁNÍ, ALE O ÚMYSLNÉ BLOKOVÁNÍ!

Můžete přidat třeba deset vykřičníků, a stejně to nebude pravda. Kdyby to bylo úmyslné blokování, budete mít vyjmenováno, co přesně blokujete, a tomu budou odpovídat jednotlivá pravidla. Vy ale neustále píšete o případu, kdy máte pravidla firewallu špatně, takže paket náhodou žádnému pravidlu nevyhoví a propadne až do politiky.

Chyby dělá každý. Typická chyba je, že něco zapomenete uvést. Ve vašem případě je to pak přístupné všem, v mém není. Je to tak jednoduché…

Opakovaně jsem popisoval, proč je to ve vašem případě jenom otázka náhody, zda to bude nebo nebude přístupné všem. V tom je právě rozdíl mezi námi. Já vím, že můžu udělat chybu, proto se snažím udělat nějaké opatření, které může té chybě zabránit, odhalit jí nebo to ošetřit na jiné úrovni zabezpečení. Vy nastavíte politiku na DROP a chybně si myslíte, že jste něčemu zabránil.

A to je přesně ten problém. Pokud by šlo jen o techniku, je výchozí politika DROP stejně dobrá, jako výchozí politika ACCEPT. Jenže do toho vstupuje lidský faktor a to, že správce má pocit, že pro bezpečnost něco udělal, a na skutečné zabezpečení se pak už vykašle. Je to úplně stejné, jako přesouvání sshd na jiný port, zákaz přihlašování na roota apod. Samo o sobě nic z toho nezhoršuje bezpečnost, ale zároveň ji o v drtivé většině případů ani nezvyšuje, pouze správce získá mylný pocit, že bezpečnost zvýšil, a nevěnuje se pak skutečným bezpečnostním opatřením.

Jak to zaručíte?

Tak, že tam neinstaluju aplikace, které nejsou potřeba. Případně si můžu služby naslouchající v síti vypsat příkazem netstat.

Instaloval jste někdy aplikace třetích stran?

Myslíte třeba linuxové jádro, shell, webový server, databázový server, DNS server? Jistě, instaloval. Přece si nebudu všechen software psát sám. I firewall je aplikace třetí strany.

Spravoval jste někdy síť, kde jste nebyl jediný administrátor?

Částečně.

Aha, takže blokujete problémy, o kterých víte. A co ty problémy, o kterých nevíte?

Problémy, o kterých nevím, musím nejprve odhalit. Občas někde čtu, jak se někdo pokusil blokovat problémy, o kterých nevěděl – vždy to skončilo tak, že dotyčný vytvořil mnohem větší problém, než před kterým se pokoušel chránit.

Samozřejmě mám firewall jak na bráně, tak na všech počítačích v síti. O multi-level security jste někdy slyšel?

To je nazváno podle multi-level marketingu? Tam se také slibují zázraky, ale hlavně nesmíte pátrat po tom, jak to doopravdy funguje. Více vrstev zabezpečení funguje tehdy, pokud jsou ty vrstvy různé. Třeba pokud mám někde zámek na klíč, u následujících dveří bude nutné zadat PIN nebo tam bude čtečka otisků prstů. Dát na druhé dveře stejný zámek na ten samý klíč je k ničemu. A stejné je to s těmi vašimi firewally.

To předpokládá mít vytvořený seznam služeb, které mají být zpřístupněné, ne seznam všech služeb, které v síti běží, jako vyžaduje váš přístup.

Jenže když nemáte seznam všech služeb, nikdy nevíte, které služby jsou vlastně přístupné. Protože ta služba může být přístupná i jinými způsoby, než tím jedním, který znáte vy – tj. někdo zvenčí naváže spojení na konkrétní port dané služby.

Samozřejmě monitoring používám také.

Jak konkrétně monitorujete pakety, které spadly do politiky DROP?

Jak provádíte monitoring, že na nějakém portu nějakého počítače neběží služba, o které nevíte?

Pokud je to počítač, který mám ve správě, pak nejjednodušeji tak, že tam neinstaluju službu, o které bych nevěděl. Případně si můžu vypsat netstatem naslouchající procesy, rc-statusem provozované služby… Pokud je to nějaký blackbox, jako třeba starší verze Windows, u kterého nedokážu rozumn ěovlivnit, jaké služby tam poběží, pak nastavím pravidla firewallu pro ten konkrétní počítač – povolím komunikaci, která má být povolena, a ostatní komunikaci s tím konkrétním počítačem zakážu. Nebudu spoléhat na to, že paket probublá firewallem až nakonec a tam to zachytí politika.

V mém případě opomenutí způsobí, že je to blokováno před útočníkem i uživatelem.

Nezpůsobí. Pořád nechápete, že když směřujete útočníka, aby šel vámi zvolenou cestou, útočník vás vůbec nemusí poslechnout a může jít jinudy. „Podívejte, jak mám ty dveře perfektně zabezpečené, jaký je tam bytelný zámek!“ – „Ale vždyť hned vedle máte otevřené okno?!“ – „Aha, tak na ty dveře přidám ještě jeden zámek!!!“

Změnit nastavení služby, ke které se nedostanete, je trochu složitější než měnit nastavení služby, ke které se dostanete, nemyslíte?

Můžete na firewallu blokovat přístup na port webového serveru i databázového serveru, takže se na ně útočník nedostane. Když se ale na server přihlásí přes ssh, změní jejich nastavení velice snadno. Když naopak nebude mít přístup přes ssh, ale pouze se jako běžný uživatel dostane ne příslušný web nebo k databázi, nastavení těch služeb nijak nezmění.

Opět to byla jen parodie vašeho arogantního tvrzení, že si snad myslím, že DROP vyřeší všechny problémy.

Netvrdím, že si myslíte, že politika DROP vyřeší všechny problémy. Bohužel ale opakovaně ukazujete, že si myslíte, že politika DROP vyřeší problémy, které ve skutečnosti nevyřeší.