Zwłaszcza jeżeli chodzi o zakres portów w przedziale 1-1023, o nich powinniśmy wiedzieć wszystko! Jeżeli ktoś ma taką politykę na bramie, to potem nic dziwnego, że tak prosto zawirusowany komputer rozsyła spam.[+] Przekierowanie na wszystkich portach
Pacek, mnie interesuje co wychodzi z mojego serwera, a może to są dane osobowe za bezpieczeństwo, których odpowiadam Zwłaszcza jeżeli chodzi o zakres portów w przedziale 1-1023, o nich powinniśmy wiedzieć wszystko! Jeżeli ktoś ma taką politykę na bramie, to potem nic dziwnego, że tak prosto zawirusowany komputer rozsyła spam.
Zwłaszcza jeżeli chodzi o zakres portów w przedziale 1-1023, o nich powinniśmy wiedzieć wszystko! Jeżeli ktoś ma taką politykę na bramie, to potem nic dziwnego, że tak prosto zawirusowany komputer rozsyła spam.Grzesiek - zgadzam się z Tobą. Napisałem to ironicznie, a faktycznie powinienem podejść do zagadnienia bardziej poważnie. Dziękuję za zwrócenie mi na to uwagi. Mea culpa 
Wracając do tematu to jeżeli chodzi o łańcuch OUTPUT, to można ustawić jako domyślną politykę na ACCEPT, a DROP zrobić na portach na których serwer nie powinien nigdy nic wysyłać.
Natomiast serwer też nie wysyła danych ot sam z siebie (z dobroci serca ) do wszystkich. Łańcuch OUTPUT tyczy się tylko i wyłącznie interfejsów serwera. Według mnie kluczowym jest zamknąć wejście przed "kombinatorami", którzy do tych danych (lub usług) próbują się dobrać bezpośrednio na serwerze. Jak ktoś będzie chciał przechwycić pakiety to i tak je przechwyci, dlatego cały pic polega na tym, aby dane zarówno wejściowe jak i wyjściowe szyfrować. Dlatego zamiast telnetu używać ssh, zamiast http stosować https. Zamiast przekierowywać porty na routerach żeby dostać się do jakiejś usługi z zewnątrz stosować VPN.
Nie neguję również tego, że najlepiej jest wszędzie ustawić domyślną politykę na DROP i odblokowywać każdy potrzebny port jeden po drugim. Wymaga to bardzo dużego nakładu pracy ale w ogólnym rozrachunku bardzo się to opłaca.
Wracając do tematu to jeżeli chodzi o łańcuch OUTPUT, to można ustawić jako domyślną politykę na ACCEPT, a DROP zrobić na portach na których serwer nie powinien nigdy nic wysyłać. Natomiast serwer też nie wysyła danych ot sam z siebie (z dobroci serca
) do wszystkich. Łańcuch OUTPUT tyczy się tylko i wyłącznie interfejsów serwera. Według mnie kluczowym jest zamknąć wejście przed "kombinatorami", którzy do tych danych (lub usług) próbują się dobrać bezpośrednio na serwerze. Jak ktoś będzie chciał przechwycić pakiety to i tak je przechwyci, dlatego cały pic polega na tym, aby dane zarówno wejściowe jak i wyjściowe szyfrować. Dlatego zamiast telnetu używać ssh, zamiast http stosować https. Zamiast przekierowywać porty na routerach żeby dostać się do jakiejś usługi z zewnątrz stosować VPN.Nie neguję również tego, że najlepiej jest wszędzie ustawić domyślną politykę na DROP i odblokowywać każdy potrzebny port jeden po drugim. Wymaga to bardzo dużego nakładu pracy ale w ogólnym rozrachunku bardzo się to opłaca.
Defence in depth wszedł, ale musi jeszcze wyjść.
Co do domyślnej polityki DROP dla wszystkich łańcuchów to totalna podstawa w profesjonalnej zaporze i wcale taka trudna do zaadaptowania nie jest: http://debian.linux.pl/entries/87-Zapor ... a-domowego
Co do domyślnej polityki DROP dla wszystkich łańcuchów to totalna podstawa w profesjonalnej zaporze i wcale taka trudna do zaadaptowania nie jest: http://debian.linux.pl/entries/87-Zapor ... a-domowego