Jaké porty "pustit" zvenku do veřejné sítě?

Zařídil jsem si ipv6 tunel a můžu si tak "zveřejnit" adresy ve vnitřní síti. Ta je teď zaNATovaná, takže mám iptables nastavené tak, aby dovnitř pustily pouze zevnitř navázaná spojení. Se zveřejněním nastává ale takové dilema: pokud nastavím ip6tables stejně jako iptables, tak se s nějakým v6 tunelem nemusím vůbec zabývat. Na druhou stranu pokud nechám všechny porty volné, tak je jen otázka času, než se objeví nějaký šikovný červík, který napadne widle vevnitř.

Otázky tedy zní: měly by všechny porty zvenku přístupné s doplňkovým zákazem "nebezpečných", nebo by měly být standardně všechny porty zakázané s whitelistem "chtěných" portů? A které porty by podle vás měly být na blacklistu/whitelistu?(s vyjímkou nebezpečných, které by byly na blacklistu) nebo naopak by měly být zvenku zakázané a

oVirt | SPICE

Odpovědi

Tak snad uplne normalni je nastavit vsecko na deny a povolovat jenom porty ktery potrebujes tu chvili - ty na ktery delas server.

29.7.2008 14:31 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Jaké porty "pustit" zvenku do veřejné sítě?

Jde mi o to, že veřejné adresy umožňují provoz třeba identd (k irc) nebo p2p služeb bez obezliček nutných pro prostřelení NATu. Pouštět si porty on-demand by bylo fajn, kdybych na síti byl sám, což ale nejsem. Bohužel jsou tam i neznalí uživatelé, kteří se chovají vyloženě nebezpečně. Vzdávat se ale end-to-end konektivity třeba pro přímé přenosy souborů po IM se ale kvůli tomu nechci, jde mi o nějaký rozumný kompromis.

oVirt | SPICE

osobne bych distribuoval dva prefixy - pro jeden bych nastavil -m state --state NEW -j DROP a druhy bych nechal bez omezeni

Na druhou stranu pokud nechám všechny porty volné, tak je jen otázka času, než se objeví nějaký šikovný červík, který napadne widle vevnitř.

Navic ten cervik bude muset byt podstatne chytrejsi nez utocici pres ipv4 zejo

29.7.2008 14:26 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Jaké porty "pustit" zvenku do veřejné sítě?

To je jen otázka času.

oVirt | SPICE

29.7.2008 14:41 phero | skóre: 17 | blog: techblog
Rozbalit Rozbalit vše Re: Jaké porty "pustit" zvenku do veřejné sítě?

Pri ipv6 budes muset pouzivat napr. nejaky web crawler aby si vubec ziskal seznam ip adres - a z toho vsechny starsi nez x hodin uz budou beztak mrtve ;-)

- takze je mozne ze takoveto cervi cilene na end-users umrou - utocnikum se vice vyplati jine techniky. Ale stejne bych na to nespolihal a vyresil to jak jsem napsal v predchozim prispevku.

29.7.2008 14:43 phero | skóre: 17 | blog: techblog
Rozbalit Rozbalit vše Re: Jaké porty "pustit" zvenku do veřejné sítě?

s/vsechny/velka cast/

29.7.2008 14:50 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Jaké porty "pustit" zvenku do veřejné sítě?

utocnikum se vice vyplati jine techniky.

Třeba crawler integrovaný v červu? ;-)

Prostě bych rád pro všechny desktopy jedno řešení.

oVirt | SPICE

29.7.2008 14:58 phero | skóre: 17 | blog: techblog
Rozbalit Rozbalit vše Re: Jaké porty "pustit" zvenku do veřejné sítě?

zkus nastavit dva prefixy - pro jeden v ip6tables -m state --state NEW -j DROP a druhy neblokuj - tomu prvnimu dej vyssi prioritu - pokud uzivatel bude chtit provozovat nejaky serverik tak ho bindne na ip z toho neblokovaneho prefixu

Dotaz: Jaké porty "pustit" zvenku do veřejné sítě?

Odpovědi