bezp. nastroje pro firewall

[Dalibor Straka]

On Sat, Feb 05, 2005 at 03:27:02PM +0100, Jan Markus wrote:
> Dobry den,
> 
> (Prosim odpustte zacatecnicke dotazy)
> 
> Stavim svuj prvni firewall, jimz bych rad oddelil nasi sit od internetu,
> a hledam nastroje, ktere mi overi, zda-li jsem na fw stale jeste jedinym
> spravcem. Takovych nastroju existuje znacne mnozstvi. Trochu me tlaci
> cas (a sef, se svym M$-for-all resenim) a tak prosim o radu zkusenejsich.
> 
> Nase situace je jednodussi o to, ze nepotrebujeme povolovat zadny
> traffic dovnitr (web mame mimo nasi sit na nejakem hostingu). A proto se
> domnivam, ze nepotrebuji nastroje typu 'Snort'. Nepotrebuji ani zadne
> antiviry/spamassasiny, ani nepotrebuji chranit fw 'zevnitr'.
> 
> Na fw bezi NAT a DNS-forwarding/cache a vse posloucha jen na interni
> sitove karte. Na externi jsem povolil akorat ping a tracerout icmp , vse
> ostatni zvenku je blokovane. Postval jsem na to Nessus a vse se zda byt ok.
> 
Pokud na stroji bezi nat tak zakazte vsechno na INPUT a povolte jenom
FORWARD. Neni to vsespasitelne. Z INPUTu povolte dulezite typy icmp,
mezi ktere nepatri ping (echo reply) ale MTU atd ;). AFAIK traceroute
icmp nepouziva, alebrz udp s ruznym TTL.

> To co hledam jsou male programky (a'la echolot), ktere by me upozornily,
> ze mi firewall nekdo scanuje, pripadne ze uz mi po siti beha 'nekdo
No tak scanuje no... Zajimalo by me, co s takovym clovekem udelate:
- zakazete mu jeho IP :-)))
- zakazate cely segment C? :)
- podate trestni oznameni?

V tom pripade si poridte dalsiho pracovnika.

> 
> A tak vas prosim, zda-li byste mi nenapsali nekolik jmen nastroju, s
> nimiz mate dobre zkusenosti, pripadne na co si dat pozor i u takhle
> jednoducheho fw.
> 
> Nakolik je vhodne zakazat veskere ICMP odpovedi u fw? A nakolik si mam
> lamat hlavu s varovanim Nessusu ohledne tohoto nedostatku?
> 
S tim bych si hlavu nelamal. Pres ICMP vam na fw nikdo nevleze. Akorat
by pres to mohl po uspesnem nabourani systemu udrzovat backdoor, ale to
je "kdyz -> pak".

-- Dalibor Straka