FTP na FW+routri - bezpecnost && only_SSH_zvonku
Dan Bar
Daniel.Bar na seznam.cz
Středa Červen 18 20:22:49 CEST 2003
MLS wrote:
> Pekny den
> Chcem sa opytat - ak mam router+FW na jednom stroji a cez iptables mam
> povolene zvonku iba 22 (SSH) a zvnutra vsetko:
>
> 1. staci mi to? (de facto zvonku sa ozaj (iba ja) xcem prihlasit, inak sa ma
> vsetko "zacinat" vo vnutri) - ide o "privedenie" netu do "poslednej LAN"
> (NET-LAN1-LAN2-(odtial sa staram ja; potial vsetko ide :) - nemam moznost
> ovplyvnit bezpecnost a tak ...--verejnaIP_on_router--LAN3(tam "moja").)
>
> 2. je (vyrazne) nebezpecnejsie dat proftp na ten stroj? - ak ano, preco?
>
> (ftp sluzi len pre LAN3, 1* denne rsync zo svetom)
>
>
> za ochotu vdaka
>
> MLS
Nejsem si zcela jist jestli uplne rozumim.
V kazdem pripade:
- cim mene verejnych sluzeb na serveru pobezi, tim lepe
- pokud muzete pristup na verejne sluzby (u vas SSH) omezit (skrze
iptables, TCP wrapper, "Allow from" config rules ..) pouze na vami
uzivane verejne IP adresy, tim lepe. (pokud se logujete jen z tech
urcitych adres)
- myslim ze neni spatny napad nakonfigurovat sluzby pro LISTEN na
nestandardnich portech (treba SSH 222 nebo tak). Pokud neudela utocnik
scan port po portu, pak na to nemusi prijit. Resp. pokud na to prijde,
pak pomaleji (zvlast pokud takove pakety DROPujete).
- i kdyz iptables rules zakazuji pristup na dany port (FTP z NETu) ,
neni na skodu udelat BIND sitovych daemonu pouze na adresy, kde je to
opravdu treba.
- u verejnych sluzeb budte velice opatrny na konfiguraci. Hlidejte si
bezpecnostni updaty.
Dan
Další informace o konferenci Linux