Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2013-04-02 20:21:49

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Regulki iptables - bezpieczenstwo Debiana.

Doszedlem do wniosku, ze jednym z najsilniejszych zabezpieczen Systemu jest prawidlowa zapora iptables.
Iptables moze byc sprzetowe np na routerach marki Fritz /i pewnie - nie tylko/ badz programowe w postaci pliku konfiguracyjnego zapory zawierajacego tzw regolki. W Internecie jest sporo wyrywkowego materialu na ten temat.
Mnie natomiast interesuje, czy na forum jest ktos z "przecwiczonym" tematem budowy regol iptables, temat jest baaardzo godny uwagi !

Pytania, jak powinna wygladac regolka:

1- sprawiajaca, ze stacje robocza opuszczaja wylacznie zapytania ?
2- weryfikujaca szerokopojeta prawidlowosc ramki. !
3- ograniczajaca otwarcie portu wylacznie na czas transmisji !
4 - przepuszczane sa wylacznie pakiety nalezace do polaczenia nawiazanego z strony komputera klienckiego !

Oczywiscie to jest nawet nie 1% problematyki, ale od czegos trzeba zaczac.


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#2  2013-04-03 10:33:38

  ba10 - Członek DUG

ba10
Członek DUG
Skąd: jesteś ?
Zarejestrowany: 2006-03-07
Serwis

Re: Regulki iptables - bezpieczenstwo Debiana.

Co rozumiesz  pisząc "weryfikujaca szerokopojeta prawidlowosc ramki. !" ?
Iptables działa na wyższej warstwie modelu [url=http://pl.wikipedia.org/wiki/Model_OSI]ISO/OSI[/url]. Ramka to 2 warstwa łącza danych, np [url=http://pl.wikipedia.org/wiki/Ethernet]ethernet[/url] i ma [url=http://pl.wikipedia.org/wiki/Cykliczny_kod_nadmiarowy]CRC[/url]. Do działań na warstwie 2 jest etables. Iptables to nie zapora sieciowa a filtr pakietów, co oczywiście wchodzi w skład firewalla, ponieważ na podstawie filtrowania są podejmowane decyzje co dalej zrobić. Do iptables masz [url=http://netfilter.org/documentation/]dokumentacje[/url] na stronie projektu.

Ostatnio edytowany przez ba10 (2013-04-03 10:36:47)


"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)

Offline

 

#3  2013-04-03 10:44:45

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Regulki iptables - bezpieczenstwo Debiana.

Bana na Wikipedię współczuję ;)

Ja tam znalazłem teki sznurek:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter

Ostatnio edytowany przez Jacekalex (2013-04-03 10:45:53)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2013-04-03 11:37:54

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Regulki iptables - bezpieczenstwo Debiana.

@Jacekalex
Z tym banem to sie pospieszyles. Iptables  to bardzo szerokie pojecie i nie znalazlem strony ani autora ogarniajacego wszystko.
Stad moj post w nadzieji, ze wsrod debianowcow jest ktos traktujacy kwestie bezpieczenstwa powaznie a dodatkowo ma problematyke iptables w malym palcu.
Ps: sznurkow sa setki, jedne lepsze drugie gorsze. Temat jest na tyle ciekawy, ze watek powinien ciagnac sie przez rok i miec kilkudziesieciu uczestnikow. /ale nie wiem czy tak bedzie/


@ba10
Wszystko co napisales - to prawda. Tutaj sznurek do strony ktora powinna byc kazdemu znana, zwiezle i prosto:
http://m6.mech.pk.edu.pl/~habel/dydaktyka/Kk/511e/t2/

Wracajac do zagadnienia "ramek" poruszylem je po przeczytaniu artykulu, ze jest to jedna z najnowszych technik omijania firewalli.
W tym iptables. Domyslam sie, ze zmiany dotycza ilosci bitow w ramce, szczegulow - nie znam. Warto sie tym zainteresowac.
Jezeli cos znajdziesz to wklej.
A w sprawie podanych przeze mnie 4 pytan, nic ?

Ostatnio edytowany przez Novi-cjusz (2013-04-03 11:50:15)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#5  2013-04-03 11:42:33

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Regulki iptables - bezpieczenstwo Debiana.

Pospieszyłem się?
Faktycznie, bardzo straszny przykład:
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/iptables/przyk%C5%82ady

Ostatnio edytowany przez Jacekalex (2013-04-03 11:42:53)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2013-04-03 11:55:58

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Regulki iptables - bezpieczenstwo Debiana.

@Jacekalex
Nie traktuj tego ambicjonalnie. To mniej niz 1% dobrego pliku iptables. W Polsce jest moze kilkudziesieciu ludzi ktorzy potrafia zrobic
regolki na korporacyjnym poziomie. Temat jest ogromny i bardzo ciekawy - to wyzwanie dla cierpliwych. Jest wiele stron i manuali - ale malo kto wszystko ogarnia a jeszcze mniej osob potrafi to zastosowac. Dobry admin - musi.
unmht://unmht/file.5/home/lucas/Downloads/IPtables-Kozlowski.mht/ - stara probka.

Ostatnio edytowany przez Novi-cjusz (2013-04-03 12:22:15)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#7  2013-04-03 12:14:13

  dominbik - Członek DUG

dominbik
Członek DUG
Zarejestrowany: 2011-07-25

Re: Regulki iptables - bezpieczenstwo Debiana.

ja tam traktuje kwestie bezpieczeństwa poważnie, ale najsilniejszego zabezpieczenia systemu nie posiadam. Jestem za NATem i nie mam usług na portach, jest jakieś zagrożenie?


[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]

Offline

 

#8  2013-04-03 12:21:43

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Regulki iptables - bezpieczenstwo Debiana.

Tak. Wszystko jest do obejscia. Haslo - portknocking. + temat niewymiarowej ramki j/w.
Najlepsze co moze byc w tej chwili to bezbledny restrykcyjny firewall iptables/
Mnostwo szukania i czytania: http://www.linuxlinks.com/
http://forums.pcper.com/showthread.php?380301-*-*-*-*-All-New-Linux-Forum-Links-*-*-*-*&p=3383024&postcount=3#post3383024
iptables, prosty tutorial: http://forums.pcper.com/showthread.php?432469-Linux-Firewall-%28iptables%29-Tutorial

Szukam forum dla iptables i nie moge znalezc, gdyby Tobie sie udalo to podaj linka !

Extra: http://www.tty1.net/blog/2007-02-06-iptables-firewall_en.html

Ostatnio edytowany przez Novi-cjusz (2013-04-03 13:27:39)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#9  2013-04-03 13:41:26

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Regulki iptables - bezpieczenstwo Debiana.

Podstawowy podręcznik:

Kod:

man iptables

- masz w systemie.
Na wikibooks masz tłumaczenie.
Iptables ma budowę modulową, żeby wytargać sposób używania modułu:

Kod:

iptables -m modul --help

w przypadku celu:

Kod:

iptables -j CEL --help

np

Kod:

iptables -m connlimit --help

Kod:

iptables -j LOG --help

Jak narazie widzę, zabierasz sie do sprrawy od dupy strony.
Zamiast sprawdzić najprostszy przyklad, to kombinujesz o jakichś korporacynych firewallach i tonach dokumentacji, co dowodzi, że nie rozumiesz w ogole podstaw działania firewalla netfilter - to prawdizna nazwa, iptables - to tylko nakładka do zarządzania.

Oprócz samego dzialania modułu trzeba też rozrózniać, które cele kończą, a które nie kończą przetwarzania pakietu.
np cele ACCEPT i DROP kończą, a cel LOG nie kończy przetwarzania pakietu, tylko loguje dane pakietu.
Ze wzgledu na to trzeba uważać na kolejonść umieszczania reguł.
I modul zazwyczaj oznacza sposób dopasowania pakietu, a CEL decyduje, co zrobić z pakietem, moze też być nastenym łancuchem, ktory można sobie stworzyć samodzielnie.

Brzmi to strasznie, ale w rzeczywiistości przypomina zabawę klockami Lego, jak się oczywiście obejmie rozumem logikę działania netfiltera.

Materiały pomocnicze:
http://jacekalex.sh.dug.net.pl/iptables_routing.pdf
http://jacekalex.sh.dug.net.pl/Iptables-packet-flow.png
Czyli dwa wykresy, przedtsawiające przepływ pakietów przez firewall z zaznaczonym routingiem i QoS.

To wszystko, co potrzeba, zeby projektować firewalla, choć oczywiscie internet jest pełny dokumentacji, co nie zmienia faktu, że na milionach stron jest ta sama informacja, opisana lepiej lub gorzej.

Iptables - to jedna z prostszych rzeczy w Linuxie, i ma bardzo logiczną strukturę konfiguracji.
Tylko trzeba myśleć, niestety. ;)

Ostatnio edytowany przez Jacekalex (2013-04-03 13:47:50)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2013-04-03 13:52:31

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: Regulki iptables - bezpieczenstwo Debiana.

[quote="Novi-cjusz"][b]bezbledny[/b] restrykcyjny firewall iptables[/quote]
A to jest taki o.O? Chcesz bezpiecznego firwalla? Odłącz kompa od sieci - a najlepiej od prądu ;]
Primo:

Kod:

man iptables

Secundo: README do iptables i jego modułów - lepszej dokumetacji i dokładniejszego opisu jak od samych twórców to chyba nie znajdziesz ;]

Kontynuując - Ty wiesz co masz na kompie, co będziesz uruchamiał, na co chcesz pozwolić na co nie. Nikt za Ciebie fw nie złoży to raz. Dwa fw to nie jest coś co się robi raz i jest na zawsze - zawsze się reguły dostosowuje do do systemu.
Wyobraź sobie sytuację: instalujesz apacza, otwierasz port 80, resztę blokujesz. Po pewnym czasie dochodzisz do wniosku, że jeszcze exim potrzebny. Instalujesz konfigurujesz i zastanawiasz się dlaczego nie działa. Odp jest prosta - przecież wcześniej zrobiłeś

bezbłędny restrykcyjny firewall[/quote]
który nie wymaga dalszych zmian.

Nie doszukuj się wszędzie teorii spiskowych, się poproś admina sieci o zdjęcie bana z wiki i google ;)
Materiałów jest sporo, tylko trzeba umieć zadać pytanie, albo sięgnąć bezpośrednio do źródeł (vide README).

No i na sam koniec wytłumacz mi jedną rzecz. Gdzie jest napisane, że im dłuższy plik z regułkami do fw tym lepszy? o.O Fw nie ma być długi tylko z głową ułożony.

Powiem brzydko: ogarnij się ;)


LRU: #472938
[b]napisz do mnie:[/b] ola@mojmail.eu
[url=http://valhalla.org.pl]Hołmpejdż[/url] | [url=http://valhalla.org.pl/foto]Galerie[/url] | [url=http://valhalla.org.pl/tech]"Twórczość"[/url] || [url=http://img.munn.in]Free Image Hosting[/url]

Offline

 

#11  2013-04-03 14:16:22

  dowoszek - Użytkownik

dowoszek
Użytkownik
Zarejestrowany: 2009-04-14

Re: Regulki iptables - bezpieczenstwo Debiana.

Jeśli mówimy o komputerze domowym, to może lepiej "zapuścić" jakiegoś autokonfiguratora? Ja zainstalowałem Arno iptables firewall i na razie nie stwierdziłem nic niepokojącego od czasu ostatniej instalacji (2008 czy 2009). No, chyba, że masz potrzebę, żeby "się na tym znać" :)

Offline

 

#12  2013-04-03 14:53:25

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Regulki iptables - bezpieczenstwo Debiana.

I bardzo dobrze, tylko wymiana pogladow /bez impertynencji !/ do czegos prowadzi.
Oczywiscie mozna uzyc GUI dla iptables: Gufw, KMyFirewall, FireStarter, GuardDog, Firewall Builder,
Ciekawe, do sprawdzenia: http://linuxpoison.blogspot.ie/2011/09/powerful-firewall-manager-built-on-top.html
Minusem jest to ze nie daja wszystkich mozliwosci jakie daje konsola. Iptables nie jest projektem skonczonym, wiec nawet jego tworcy gonia rzeczywistosc.

Fw nie ma być długi tylko z głową ułożony.[/quote]
Jak najbardziej, ale zlozonosc zagadnienia komunikacji internetowej przemnozona przez opcje konfiguracyjne iptables - wymusza wielkosc pliku.


@dwoszek
Ja tez mam Arno ale wymienionych w/w regulek - w nim nie widzialem.
http://rocky.eld.leidenuniv.nl/joomla/
Najlepiej podchodzic do tematu sceptycznie - nic nie jest skonczenie doskonale i zamkniete.
Tutaj jest akurat mnostwo spraw delikatnie mowiac, bardzo niezamknietych w glebokim tle.
Ataki na proby rozmowy na ten temat - daja baardzo duzo do myslenia ! Dla myslacych oczywiscie.
Wyobraz sobie, ze masz lapka z odpalona  kamera na stole, rodzina w trakcie posilku - a tu jakis "smutas" zwija sie z was ze smiechu. To tylko malutki przyklad.

Ostatnio edytowany przez Novi-cjusz (2013-04-03 15:26:23)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#13  2013-04-03 19:14:40

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: Regulki iptables - bezpieczenstwo Debiana.

A to mnie paranoikiem nazywają...

Rozwiązanie problemu z kamerką -> kawałek taśmy klejącej.
Pasuje jeszcze wylutować wbudowany mikrofon, moduł bluetooth i wifi.

Ciekawe jest jednak to że kolega doszukuje się największego zagrożenia ze strony wolnego i otwartego oprogramowania ignorując zupełnie temat backdoorów sprzętowych. Albo idąc dalej: UEFI. BIOS na sterydach zdolny do obsługi sieci niezależnie od systemu operacyjnego który jest zupełnie zamkniętym rozwiązaniem.

Cóż, można też, jak rms, kupić sprzęt w stylu Lemote Yeeloong z coreboot zamiast BIOS'u. No ale rodzi to z kolei inny problem - procki MIPS zaprojektowane i wykonywane przez chińczyków.

Jak już ktoś ładnie ujął wcześniej - najbezpieczniej nie włączać komputera a jeszcze lepiej w ogóle go nie posiadać. Bo co po mega setupie skoro tu ciastczko, tam referrer, etc. etc.

Offline

 

#14  2013-04-04 10:55:09

  dominbik - Członek DUG

dominbik
Członek DUG
Zarejestrowany: 2011-07-25

Re: Regulki iptables - bezpieczenstwo Debiana.

Ok. ale Nowicjusz chyba się mylisz. Jakie złamać hasło? Jak Portknocking bez odpowiemiej konfiguracji na hoście? Włamy przez hakerów w takich sytuacjach przez internet pomijając jakieś social techniki czy jak to się tam nazywa można włożyć między bajki.


[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]

Offline

 

#15  2013-04-04 11:46:48

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Regulki iptables - bezpieczenstwo Debiana.

[quote=dominbik]Ok. ale Nowicjusz chyba się mylisz. Jakie złamać hasło? Jak Portknocking bez odpowiemiej konfiguracji na hoście? Włamy przez hakerów w takich sytuacjach przez internet pomijając jakieś social techniki czy jak to się tam nazywa można włożyć między bajki.[/quote]
Przesadzasz.

Po prostu są dwa sposoby konfiguracji każdego elementu systemu:
1. albo się ogarnie zasady i logikę działania danego elementu, wtedy można wykorzystać wszystkie jego możliwości.
Przy netfilterze są podstawowe opcje, jest xtables, jest ipset, takze jest w czym wybierać.

2. Albo ktoś nie zamierza ogarnąć zsad i logiki dzialania takiego elementu, i potem się kręci jak ślepy we mgle, kopie z trepa w otwarte drzwi, i nawet za rok nie stworzy samodzielnie działąjącej konfiguracji, tak, zeby wiedział, o co w niej chodzi, i dlaczego coś działa tak, a nie inaczej.


A tutaj nawet są kombinacje z hasłem do firewalla, podczas, gdy zaden moduł firewalla nie weryfikuje żadnego hasła, bo to jest firewall, a nie demon sieciowy.
Hasłą przecież są w usługach sieciowych i w powloce systemu, a nie w filtrze pakietów.

Ale wytłumacz to czlowiekowi, który "nie wie i nie obchodzi go", jak to dziala, on wie, jak to jego zdaniem powinno dzialąć, i będzie czytał cała dokumentację w calym internecie, szukal specjalnego forum o iptables, zeby dowiedzieć sie, jak zrobić nieistniejącą opcję uwierzytelnienia na hasło w firewallu iptables.

Bo przeciez "każdy nomalny firewall ma coś takiego".

Pozdrawiam
;-)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#16  2013-04-04 13:07:28

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Regulki iptables - bezpieczenstwo Debiana.

@Jacekalex
Baardzo wielka szkoda, ze cala swoja energie kierujesz na deprecjonowanie rangi problemu, i komentarze - zamiast na rzeczowe trzymanie sie budowy regolek i skryptu iptables !
Rozumiem, ze jestes osoba ktora wie wszystko i z tej pozycji sie wypowiadasz.
Zalaczajac wyrazy zazdrosci proponuje zamknac watek, bo jest prowadzony w slepa uliczke - jak wszystko w tym kraju.
Poszukam, porozmawiam gzie indziej.

Os: Nic i nigdzie o zadnym hasle nie wspomnialem.
       Konczac napisze, ze mozna byc przez cale zycie infantylnym jak sierotka Marysia /ja przez ponad 10 lat doswiadczen z Windowsem/, lub alternatywnie przyjac zasade niewiary w podawane tresci /ja od teraz - rowniez wobec Linuxa/
A iptables i tak bede mial takie jak chce, a nie takie jak mi podsuwaja.
Szkoda ze byla destrukcja zamiast konstrukcji.


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#17  2013-04-04 13:30:28

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Regulki iptables - bezpieczenstwo Debiana.

@Jacekalex
Baardzo wielka szkoda, ze cala swoja energie kierujesz na deprecjonowanie rangi problemu, i komentarze - zamiast na rzeczowe trzymanie sie budowy regolek i skryptu iptables ![/quote]
To masz zadanie domowe:

Kod:

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Co robi ten zestaw regułek, i na jakim komputerze mozna go zastosować?
Czy istnieje komputer, w którym taki zestaw reguł będzie wystarczajacym zabezpieczeniem?
To przykład z Wikibooks, lekko poprawiony.

I nie opowiadaj mi tu o regułkach, bo firewall to nie są pojedyncze regułki tylko konfiguracja, która musi być zrobiona spójnie.
Netfilter przetwarza pakiety w łańcuchach, w których są zgrupowane reguły.
To daje mega elastyczną konfigurację, ale powoduje również, że pojedyncza regułka nieiwele znaczy, jeśli jest oderwana od całości konfiguracji.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2013-04-04 13:31:12)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#18  2013-04-04 13:43:30

  loop - Członek DUG

loop
Członek DUG
Zarejestrowany: 2013-02-23

Re: Regulki iptables - bezpieczenstwo Debiana.

a od teraz - rowniez wobec Linuxa/[/quote]
Dlaczego?

Offline

 

#19  2013-04-04 15:43:48

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Regulki iptables - bezpieczenstwo Debiana.

@loop
Nauczony doswiadczeniem, i niejednoznacznymi odpowiedziami.,

@Jacekalex
Workstation, regula odrzucajaca polaczenia nienawiazane z stacji klienckiej

Akceptuje polaczenia na zewnatrz, natomiast do wewnatrz wpuszcza polaczenia nawiazane lub powiazane z nawiazanymi.
Dla pozostalych blokuje ruch.

bo firewall to nie są pojedyncze regułki tylko konfiguracja, która musi być zrobiona spójnie.
Netfilter przetwarza pakiety w łańcuchach, w których są zgrupowane reguły.
To daje mega elastyczną konfigurację, ale powoduje również, że pojedyncza regułka nieiwele znaczy, jeśli jest oderwana od całości konfiguracji.[/quote]
Zgoda na 100% !


A teraz zadanie dla Ciebie:
Jak wyglada regola ktora blokuje ruch w obydwu kierunkach dla pakietow niewymiarowych.?

Ostatnio edytowany przez Novi-cjusz (2013-04-04 15:44:40)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#20  2013-04-04 15:51:28

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Regulki iptables - bezpieczenstwo Debiana.

Nie ma czegoś takiego, iptables przepuszcza tylko prawidłowe pakiety wg tej powyższej reguły, natomiast pakiety INVALID są traktowane domyślnie, czyli upuszczane (polityka DROP).

Jak chcesz filtrować pakiety po konkretnych rozmiarach, jest do tego moduł [b]length[/b], sa też moduły filtrujące na podstawie poszczególnych opcji nagłówka TCP.

Wszystko o obecnych modułach masz w

Kod:

man iptables

Jeśli masz Iptables 1.4.16 lub wyższy, to moduly są opisane w:

Kod:

man iptables-extensions

jak zainstalujesz xtables-addons to też jest do tego man, jak ipseta, to ipset też ma swój podręcznik systemowy.

Kod:

man xtables-addons

Kod:

man ipset

Jest też trochę opcji kernela dostępnych przez sysctl i pliki w /proc, tu masz conieco o tym:
www.przybytek.net/download/2.4routing.pdf

Ostatnio edytowany przez Jacekalex (2013-04-04 15:57:56)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#21  2013-04-04 16:56:44

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Regulki iptables - bezpieczenstwo Debiana.

@Jacekalex
Mam w pamieci utrwalone czesci artykulu ktory mimochodem przeczytalem pare miesiecy temu /nie przywiazujac znaczenia/
Tresc byla jednoznaczna, najnowsze metody inwigilacji komputerow internautow realizowane sa poprzez wykorzystanie niewymiarowych ramek, a w konsekwencji taka komunikacja jest niewidoczna dla wszystkich z wyjatkiem wyspecjalizowanych narzedzi analizy ruchu sieciowego. Jak znajde to wkleje. To bylo chyba w "Niebezpieczniku" ale nie jestem pewien.

Pyt Nr 2: Jak powinna byc sformulowana regolka ktora powoduje, ze stacje robocza opuszczaja wylacznie zapytania, a wszystko inne jest blokowane?

Szukam bloga albo innego forum poswieconego iptables, ale jak dotychczas bezskutecznie.

Ostatnio edytowany przez Novi-cjusz (2013-04-04 17:03:20)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#22  2013-04-04 17:03:32

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Regulki iptables - bezpieczenstwo Debiana.

Jak czytałeś w Niebezpieczniku, to był pewnie sposób ubicia niewymiarowych pakietów.
Na razie nie wiem, czym się te pakiety różnią od normalnych, więc na razie cieżko mi coś wykombinowac po samej nazwie.
Choć ciężko mi uwierzyć, zeby sam wymiar pakietu pomógł w inwigilacji, raczej podejrzewam, że jest w Windows lub MacOS (może też Linuxie) jakąs hardcorowa dziura, która pozwala odpowiednio spreparowanym pakietem odpalić exploita na maszynie ofiary z uprawnieniami ring0.
Taka dziura przez całe lata siedziała w Windows XP SP2 i Windows 2003 server, nie wiem nawett, czy kiedykolwiek została załatana w tamtych wersjach.
I chyba było o tym na Niebezpieczniku.

Inne opcje na razie nie przychodzą mi do głowy.

Wrzuć jakiś sznurek do tych twoich niewymiarowych pakietów i sposobu inwigilacji.

Szukam bloga albo innego forum poswieconego iptables, ale jak dotychczas bezskutecznie.[/quote]
Google coś strasznie dużo banów ostatnio rozdaje. :D
Tu jest jedyna oficjalna dokumentacja projektu Netfilter:
http://netfilter.org/documentation/

Pyt Nr 2: Jak powinna byc sformulowana regolka ktora powoduje, ze stacje robocza opuszczaja wylacznie zapytania, a wszystko inne jest blokowane?[/quote]
Domyślnie iptables posiada takie cele kończące przetwarzanie pakietu: ACCEPT wpuszcza, DROP upuszcza  "na podlogę", REJECT odbija pakiet z komunikatem błędu do nadawcy.
Tego pytanie w ogóle nie rozumiem, ale wydaje mi się, że kilka postów wyżej masz regułki, ktore to realizują w "zadaniu domowym".

Ostatnio edytowany przez Jacekalex (2013-04-04 17:12:08)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#23  2013-04-04 17:10:30

  hello_world - Członek DUG

hello_world
Członek DUG
Skąd: Rymanów Zdrój
Zarejestrowany: 2010-06-03
Serwis

Re: Regulki iptables - bezpieczenstwo Debiana.

ja tam traktuje kwestie bezpieczeństwa poważnie, ale najsilniejszego zabezpieczenia systemu nie posiadam. Jestem za NATem i nie mam usług na portach, jest jakieś zagrożenie?[/quote]
@dominbik
Jeśli sądzisz że nat to coś w rodzaju firewala to proponuję już w tej chwili zacząć czytać literaturę.

Offline

 

#24  2013-04-04 17:31:31

  dominbik - Członek DUG

dominbik
Członek DUG
Zarejestrowany: 2011-07-25

Re: Regulki iptables - bezpieczenstwo Debiana.

O jakie zadania hehh! :) można się czegoś nauczyć
[quote=Novi-cjusz]Os: Nic i nigdzie o zadnym hasle nie wspomnialem.
       Konczac napisze, ze mozna byc przez cale zycie infantylnym jak sierotka Marysia /ja przez ponad 10 lat doswiadczen z Windowsem/, lub alternatywnie przyjac zasade niewiary w podawane tresci /ja od teraz - rowniez wobec Linuxa/[/quote]
[quote=Novi-cjusz]Tak. Wszystko jest do obejscia. Haslo - portknocking. + temat niewymiarowej ramki j/w.[/quote]
Novi-cjusz można być przez całe życie infantylnym jak sierotka Marysia i używać przez 10lat Windowsa - jest jakieś realne zagrożenie? Można też zacząć używać Linuxa i poczytać trochę jak to funkcjonuje - a Ty od razu zakładasz, że jest nie dużo lepiej niż w Windows są backdoory, syfy, trzeba firewalla itd...  zasadę niewiary to można stosować do korporacji i firm typu Nokia czy M$, ale nie społeczności, której protoplastą byli hakerzy z MIT.

@hello_world NAT i firewall umiem rozróżnić :)

Ostatnio edytowany przez dominbik (2013-04-04 17:39:45)


[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]

Offline

 

#25  2013-04-04 17:37:40

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Regulki iptables - bezpieczenstwo Debiana.

@Jacekalex
Strone domowa Netfilter znam - szukam czegos jak: http://www.wilderssecurity.com/index.php.
Miejsca gdzie spotykaja sie praktycy i wymieniaja doswiadczeniami. Zakres materialu jest tak duzy ze musialbym pooswiecic kilka tygodni
zeby dojsc do prawidlowych wnioskow i w efekcie skryptu. Mozna oczywiscie zawsze skopiowac gotowca z Netu, a pozniej go modyfikowac. Najlepsze rozwiazanie to kolka osob ktore wiedza co mowia i wzajemne sprawdzanie bledow.
Mam nadzieje, ze wsrod forumowiczow Debiana kilka osob podejmie probe we wlasnym interesie.

Pyt Nr3: jak dynamicznie modyfikowac ustawienia dynamicznego filtra pakietow z pamiecia stanu?


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.012 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00015 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00110 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.188.110.150' WHERE u.id=1
0.00062 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.188.110.150', 1732635888)
0.00054 SELECT * FROM punbb_online WHERE logged<1732635588
0.00045 SELECT topic_id FROM punbb_posts WHERE id=229452
0.00005 SELECT id FROM punbb_posts WHERE topic_id=23278 ORDER BY posted
0.00057 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=23278 AND t.moved_to IS NULL
0.00007 SELECT search_for, replace_with FROM punbb_censoring
0.00242 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=23278 ORDER BY p.id LIMIT 0,25
0.00098 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=23278
Total query time: 0.007 s