[Comm] немного мыслей по брандмауэру

[Comm] немного мыслей по брандмауэру

[hisbreht]

Настраивал недавно брандмауэр. Возникло несколько мыслей.
Если не прав, поправьте и ткните пальцем.
1.  Почему в дистрибутивах Alt Linux отсутствует начальная настройка правил 
брандмауэра и примеры настроек для типовых ситуаций (ppp0 + eth0, например).
2.  Есть ли канонический пример настройки для случая ppp0 + eth0?
Если брать тот, который rc.DHCP.firewall.txt из учебника по 
брандмауэростроению, то в учебнике сразу запугивают, что он ненадежный.
3. Относительно альтератора и настройки брандмауэра (ALD 4.1.1).
Почему отсутствующие в системе на момент вызова интерфейсы (ppp0, например) не 
отображаются в выпадающем списке? Будут ли работать правила, установленные в 
результате настройки альтератора, после выключения и включения интерфейса 
(после этого он с большой вероятностью получит новый IP адрес).
Почему в альтераторе выбираются разрешенные протоколы только для входящих 
соединений?
-- 
Виктор.

Re: [Comm] немного мыслей по брандмауэру

[Alexei V. Mezin]

hisbreht@rambler.ru пишет:
> 1.  Почему в дистрибутивах Alt Linux отсутствует начальная настройка правил 
> брандмауэра
Потому что они не нужны. На безопасность десктопной системы они не 
влияют, а к серверу должен прилагаться мозг с руками (он же админ), с 
помощью которого должна решаться конкретная задача.


> и примеры настроек для типовых ситуаций (ppp0 + eth0, например).
Что такое "типовая настройка"? ppp0 это у вас аналоговый модем с 
dial-up, а eth0 это интерфейс, смотрящий на второй комп в комнате? Или 
может eth0 это интерфейс в локалку местного провайдера, а ppp0 это 
VPN-соединение для выхода в интернет через этого провайдера? В первом 
случае, наверное, пользователь будет думать про NAT, во втором про 
static routes (которые, кстати, не имеют отношения к брэндмауэру).


> 2.  Есть ли канонический пример настройки для случая ppp0 + eth0?
Нету. Потому что нет такого случая. Есть множество возможных случаев, в 
которых образуется два таких интерфейса, и все они требуют разной настройки.

Re: [Comm] немного мыслей по брандмауэру

[Sergey]

On Tuesday 21 July 2009, Alexei V. Mezin wrote:

> > 1.  Почему в дистрибутивах Alt Linux отсутствует начальная настройка
> > правил брандмауэра

> Потому что они не нужны. На безопасность десктопной системы они не 
> влияют,

Вообще, кое на что влияют. Вот такой примерно набор правил по-умолчанию
не помешал бы:

-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j LOG
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j DROP

Вопрос только, куда их писать... Есть /etc/sysconfig/iptables, а есть
http://www.altlinux.org/Etcnet/firewall. Тут уже личный выбор.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Comm] немного мыслей по брандмауэру

[Dmitriy Kruglikov]

21 июля 2009 г. 15:31 пользователь Sergey написал:
> Вот такой примерно набор правил по-умолчанию
> не помешал бы:
>
> -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource
...
Это вам, мистер, еще не приходилось наблюдать,
как во время атаки на SSH блокируется все остальное :)
Или вам самому нужно зайти на сервер в то время, как его кто-то атакует ...

Брандмауэр - это не то место, которое можно доверить кому-либо,
даже шибко уважаемому ...
Его нужно выдумать, выстрадать и самостоятельно выродить ...

Тогда и будет понятно, что, куда и зачем писать...

-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Comm] немного мыслей по брандмауэру

[Alexei V. Mezin]

Dmitriy Kruglikov пишет:
> Это вам, мистер, еще не приходилось наблюдать,
> как во время атаки на SSH блокируется все остальное :)

И что, часто ли десктопные системы подвергаются таким атакам? Наблюдения 
показывают, что еженощные (с часу до двух по Мск) 5-минутные "атаки" с 
китайских адресов, при которых пытаются подобрать пароль root'а, не 
сильно напрягают машину. А с учетом того, что рута по ссх не пускают...

Но таки да, после 3 попыток дроп на пару минут может и пригодиться. Хотя 
для десктопа, возможно, проще chkconfig sshd off из коробки.

Re: [Comm] немного мыслей по брандмауэру

[Dmitriy Kruglikov]

21 июля 2009 г. 17:49 пользователь Alexei V. Mezin  написал:
> И что, часто ли десктопные системы подвергаются таким атакам?
А на десктопных системах открывать порты вообще нужно только в случае,
если точно знаешь, что, кому и зачем.
Иначе просто закрыть извне все ...

> Но таки да, после 3 попыток дроп на пару минут может и пригодиться.
> Хотя для десктопа, возможно, проще chkconfig sshd off из коробки.
sshutout рулит ...

-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Comm] немного мыслей по брандмауэру

[hisbreht]

On Tuesday 21 July 2009 12:37:09 Alexei V. Mezin wrote:
> hisbreht@rambler.ru пишет:
> > 1.  Почему в дистрибутивах Alt Linux отсутствует начальная настройка
> > правил брандмауэра
> Потому что они не нужны. На безопасность десктопной системы они не
> влияют, а к серверу должен прилагаться мозг с руками (он же админ), с
> помощью которого должна решаться конкретная задача.
Почему не нужны? Одно дело, начинать писать правила с нуля, другое - 
отталкиваться от некоторого минимального набора. Конечно, заготовку можно 
взять и из другого источника, но было бы приятно, если бы оно было в 
дистрибутиве. Собственно именно с этой точки зрения оно меня интересовало.

> > и примеры настроек для типовых ситуаций (ppp0 + eth0, например).
>
> Что такое "типовая настройка"? ppp0 это у вас аналоговый модем с
> dial-up, а eth0 это интерфейс, смотрящий на второй комп в комнате? Или
> может eth0 это интерфейс в локалку местного провайдера, а ppp0 это
Хорошо, неверно выразился. На самом деле, типовых конфигураций не так уж и 
много (с точностью до имен интерфейсов). Опять же, все с той же целью, чтобы 
в качестве отправной точки использовать готовый шаблон, дорисовав в нужное 
место некоторое количество новых правил/прибив некоторое количество старых.

-- 
Виктор.

Re: [Comm] немного мыслей по брандмауэру

[Dmitriy Khanzhin]

hisbreht@rambler.ru пишет:
>>> 1.  Почему в дистрибутивах Alt Linux отсутствует начальная настройка
>>> правил брандмауэра
> 
Примеры настройки
$ rpm -ql rp-pppoe-client | grep firewall
/etc/ppp/firewall-masq
/etc/ppp/firewall-masq-iptables
/etc/ppp/firewall-standalone
/etc/ppp/firewall-standalone-iptables

Не?
-- 
Rgrds, jinn.

Re: [Comm] немного мыслей по брандмауэру

[Sergey]

On Tuesday 21 July 2009, Dmitriy Kruglikov wrote:

> > -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource
> ...
> Это вам, мистер, еще не приходилось наблюдать,
> как во время атаки на SSH блокируется все остальное :)

Да ладно ?! :-)

> Или вам самому нужно зайти на сервер в то время, как его кто-то атакует ...

Вот как раз это и поможет.

-- 
С уважением, Сергей
a_s_y@sama.ru

PS:  таки да, я могу сервер и на граничных маршрутизаторах закрыть, чтобы на него
залезть. ;-)

Re: [Comm] немного мыслей по брандмауэру

[Sergey]

On Tuesday 21 July 2009, Alexei V. Mezin wrote:

> И что, часто ли десктопные системы подвергаются таким атакам? Наблюдения 
> показывают, что еженощные (с часу до двух по Мск) 5-минутные "атаки" с 
> китайских адресов, при которых пытаются подобрать пароль root'а, не 
> сильно напрягают машину.

На самом деле не только рута. Ну и трафик это может создавать относительно
заметный. Для безлимитных тарифов это сейчас не очень критично, но раньше 
было заметно для пользователей с не очень большим трафиком.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Comm] немного мыслей по брандмауэру

[Alexei V. Mezin]

Sergey пишет:
> Ну и трафик это может создавать относительно
> заметный. Для безлимитных тарифов это сейчас не очень критично, но раньше 
> было заметно для пользователей с не очень большим трафиком.
> 

Посколько пакеты дропаются на самом конечном хосте, сервера провайдера 
они уже проходят. И биллинг запросто может насчитать траффик, даже если 
комп у пользователя уже выключен месяц как. Прецеденты были.

Re: [Comm] немного мыслей по брандмауэру

[Sergey]

On Wednesday 22 July 2009, Alexei V. Mezin wrote:

> > Ну и трафик это может создавать относительно
> > заметный. Для безлимитных тарифов это сейчас не очень критично, но
> > раньше было заметно для пользователей с не очень большим трафиком.
> 
> Посколько пакеты дропаются на самом конечном хосте, сервера провайдера 
> они уже проходят. И биллинг запросто может насчитать траффик, даже если 
> комп у пользователя уже выключен месяц как.

Я в курсе, причём со стороны провайдера в курсе. Дело в другом. После
того, как червячка обламывают дропом на минуту, он уходит перебирать
пароли в другое место и, если и возвращается обратно, то очень не скоро.
Дни, а то и недели. А когда наблюдал за своим рабочим компьютером, я
вообще не видел, чтобы возвращались.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Comm] немного мыслей по брандмауэру

[hisbreht]

On Tuesday 21 July 2009 20:56:42 Dmitriy Khanzhin wrote:
> hisbreht@rambler.ru пишет:
> >>> 1.  Почему в дистрибутивах Alt Linux отсутствует начальная настройка
> >>> правил брандмауэра
>
> Примеры настройки
> $ rpm -ql rp-pppoe-client | grep firewall
> /etc/ppp/firewall-masq
Похоже на правду, будем посмотреть. 
Сам в этом месте посмотреть не догадался.
-- 
Виктор.