bezp. nastroje pro firewall

Jan Markus markus.jan na seznam.cz
Sobota Únor 5 15:27:02 CET 2005


Dobry den,

(Prosim odpustte zacatecnicke dotazy)

Stavim svuj prvni firewall, jimz bych rad oddelil nasi sit od internetu,
a hledam nastroje, ktere mi overi, zda-li jsem na fw stale jeste jedinym
spravcem. Takovych nastroju existuje znacne mnozstvi. Trochu me tlaci
cas (a sef, se svym M$-for-all resenim) a tak prosim o radu zkusenejsich.

Nase situace je jednodussi o to, ze nepotrebujeme povolovat zadny
traffic dovnitr (web mame mimo nasi sit na nejakem hostingu). A proto se
domnivam, ze nepotrebuji nastroje typu 'Snort'. Nepotrebuji ani zadne
antiviry/spamassasiny, ani nepotrebuji chranit fw 'zevnitr'.

Na fw bezi NAT a DNS-forwarding/cache a vse posloucha jen na interni
sitove karte. Na externi jsem povolil akorat ping a tracerout icmp , vse
ostatni zvenku je blokovane. Postval jsem na to Nessus a vse se zda byt ok.

To co hledam jsou male programky (a'la echolot), ktere by me upozornily,
ze mi firewall nekdo scanuje, pripadne ze uz mi po siti beha 'nekdo
novy'. Problem je, ze takovych utilit existuje ohromne mnozstvi. Kazda
umi neco vic/neco min a me chybi zkusenosti a cas. Navic ani nevim 'co
vsechno by se mohlo prihodit' (cetl jsem cosi o nebezpeci otevrenych
portu pri aktivnim rezimu FTP klientu a pod.) a tedy co vsechno bych mel
sledovat.

A tak vas prosim, zda-li byste mi nenapsali nekolik jmen nastroju, s
nimiz mate dobre zkusenosti, pripadne na co si dat pozor i u takhle
jednoducheho fw.

  ================================================

A jeste prosim o pomoc s jednim problemem:

Na externi karte jsem povolil jenom icmp typu 0, 3, 8 a 11, ale Nessus
mi tvrdi, ze mam povolen i timestamp request/reply (13, 14). Na teto
strance:
	http://www.faqs.org/docs/iptables/icmptypes.html
je u techto requestu poznamka 'obsolete'. Ze by je vyrizoval uz jiny typ?

Nakolik je vhodne zakazat veskere ICMP odpovedi u fw? A nakolik si mam
lamat hlavu s varovanim Nessusu ohledne tohoto nedostatku?

  ================================================

Predem diky za vasi trpelivost, napady a odkazy.

Jan 'markoska' Markus





Další informace o konferenci Linux