The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +/
Сообщение от Allan Stark (ok) on 21-Янв-12, 20:01 
Поднял в личных целях "домашний" вебсервер под FreeBSD 9.0

Установка - все по минимуму. Сервер - "отдельно стоящий", с единственным сетевым адаптером, имеющим реальный айпишник.

На сервере будет:

Apache
MySQL
PHP

Помимо того стандартные: cv-sup, mc, sshd

После установки и настройки всего вышеназванного проверил снаружи nmap-ом открытость портов, снаружи видны только 22 и 80.

Вопрос.
Имеет ли смысл установка дополнительно файерволла (ipfw) ?
Как по мне - разве что для протоколирования ВСЕХ сетевых телодвижений...

Или на всякий случай стоит поставить ?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +/
Сообщение от reader (ok) on 21-Янв-12, 21:45 
>[оверквотинг удален]
> Apache
> MySQL
> PHP
> Помимо того стандартные: cv-sup, mc, sshd
> После установки и настройки всего вышеназванного проверил снаружи nmap-ом открытость портов,
> снаружи видны только 22 и 80.
> Вопрос.
> Имеет ли смысл установка дополнительно файерволла (ipfw) ?
> Как по мне - разве что для протоколирования ВСЕХ сетевых телодвижений...
> Или на всякий случай стоит поставить ?

а вы уверены что провайдеры не пропустят к вам пакеты от 127/8

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +/
Сообщение от Allan Stark (ok) on 22-Янв-12, 02:36 

> а вы уверены что провайдеры не пропустят к вам пакеты от 127/8

Не понял вопроса

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +/
Сообщение от reader (ok) on 22-Янв-12, 10:23 
>> а вы уверены что провайдеры не пропустят к вам пакеты от 127/8
> Не понял вопроса

тогда можете не ставить, потому что вы не знаете что в нем разрешать, а что нет.
начните с изучения типов атак.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +/
Сообщение от Allan Stark (ok) on 23-Янв-12, 23:39 
>>> а вы уверены что провайдеры не пропустят к вам пакеты от 127/8
>> Не понял вопроса
> тогда можете не ставить, потому что вы не знаете что в нем
> разрешать, а что нет.
> начните с изучения типов атак.

Извините, а можно поподробнее о таком типе атак ?
Имеется в виду подмена обратного адреса, взлом MySQL, настроенного на работу только с лупбэком или же все это шутка ?

Что разрешать/запрещать я таки знаю, просто чужие хосты взламывать не приходилось. Философия не позволяет...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +/
Сообщение от reader (ok) on 24-Янв-12, 15:40 
>>>> а вы уверены что провайдеры не пропустят к вам пакеты от 127/8
>>> Не понял вопроса
>> тогда можете не ставить, потому что вы не знаете что в нем
>> разрешать, а что нет.
>> начните с изучения типов атак.
> Извините, а можно поподробнее о таком типе атак ?
> Имеется в виду подмена обратного адреса, взлом MySQL, настроенного на работу только
> с лупбэком или же все это шутка ?

конечно же шутка, данные ваши я не получу, а вот будет ли ваша система слать reset вашему же web серверу при отправке из инета вам пакета на ваш_белый_ip:80 и обратным ip 127.0.0.1:3306 это еще вопрос

> Что разрешать/запрещать я таки знаю, просто чужие хосты взламывать не приходилось. Философия
> не позволяет...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

2. "Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +/
Сообщение от varda on 21-Янв-12, 22:27 
Что в вашем понимании "ставить файерволл"?

Сделаете что-то вроде:

kldload ipfw

И он активирован. Может быть ещё несколько сопутсвующих модулей ядра. Чтобы стартовало с загрузки впишите в /boot/loader.conf в соответствии с синтаксисом. Можете на всякий случай предварительно до отладки правил перекомпилировать модуль в режим "default to accept" если нет физического доступа к технике. Или net.inet.ip.fw.default_to_accept="1" в /boot/loader.conf

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +/
Сообщение от Allan Stark (ok) on 22-Янв-12, 02:39 
> Что в вашем понимании "ставить файерволл"?

Вопрос риторический: нужен в приведенном выше случае файерволл или нет ?

Обладает ли (гипотетически) уязвимостью к сетевой атаке голое ядро FreeBSD ?
Или в определенных (фантастических) условиях, скажем при нестандартном ICMP пакете возможна компрометация системы ?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +2 +/
Сообщение от anonymous (??) on 22-Янв-12, 08:32 
>> Что в вашем понимании "ставить файерволл"?
> Вопрос риторический: нужен в приведенном выше случае файерволл или нет ?
> Обладает ли (гипотетически) уязвимостью к сетевой атаке голое ядро FreeBSD ?
> Или в определенных (фантастических) условиях, скажем при нестандартном ICMP пакете возможна
> компрометация системы ?

firewall всегда имеет смысл ставить и по умолчанию дропать пакеты, во-первых, защита от скана портов, во-вторых действие DROP предполагает просто сброс пакета, вместо поведения по умолчанию (к примеру, для TCP) - отсылки TCP RST пакета. Аналогично с UDP, только там отсылается icmp port unreachable.
Есть еще такое, как zero-day vulnerabilities, так что, если сейчас голое ядро фрибсд от кривого пакета не падает, не факт, что такого не произойдет завтра или через неделю.
По моему мнению, минимально настроенный файрволл обязателен для любого хоста, не важно, десктоп это, тостер, холодильник или сервер.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +/
Сообщение от Pahanivo (ok) on 25-Янв-12, 12:33 
> firewall всегда имеет смысл ставить и по умолчанию дропать пакеты, во-первых, защита
> от скана портов, во-вторых действие DROP предполагает просто сброс пакета, вместо
> поведения по умолчанию (к примеру, для TCP) - отсылки TCP RST
> пакета. Аналогично с UDP, только там отсылается icmp port unreachable.
> Есть еще такое, как zero-day vulnerabilities, так что, если сейчас голое ядро
> фрибсд от кривого пакета не падает, не факт, что такого не
> произойдет завтра или через неделю.
> По моему мнению, минимально настроенный файрволл обязателен для любого хоста, не важно,
> десктоп это, тостер, холодильник или сервер.

+100500, такие вещи как 22 порт вообще категорически рекомендуется фильтровать

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +/
Сообщение от bs0d on 29-Фев-12, 09:25 
>> firewall всегда имеет смысл ставить и по умолчанию дропать пакеты, во-первых, защита
>> от скана портов, во-вторых действие DROP предполагает просто сброс пакета, вместо
>> поведения по умолчанию (к примеру, для TCP) - отсылки TCP RST
>> пакета. Аналогично с UDP, только там отсылается icmp port unreachable.
>> Есть еще такое, как zero-day vulnerabilities, так что, если сейчас голое ядро
>> фрибсд от кривого пакета не падает, не факт, что такого не
>> произойдет завтра или через неделю.
>> По моему мнению, минимально настроенный файрволл обязателен для любого хоста, не важно,
>> десктоп это, тостер, холодильник или сервер.
> +100500, такие вещи как 22 порт вообще категорически рекомендуется фильтровать

да и сменить дэфолтовый)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

7. "Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +/
Сообщение от terr0rist (ok) on 23-Янв-12, 13:54 
> Или на всякий случай стоит поставить ?

Поставить стоит. Как правильно замечено выше, дропать все лишние пакеты, в т.ч. ICMP (нефиг пинговать!)
Ещё крайне рекомендую поменять порт ссш - а то с публичным ИП и ссш на порту 22 ваши логи будут расти по 10-20мег в день. Не думаю, что это полезная нагрузка на сервер.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Есть ли смысл ставить файерволл на вебсервер под FreeBSD ?"  +/
Сообщение от Pahanivo (ok) on 25-Янв-12, 12:34 
>> Или на всякий случай стоит поставить ?
> Поставить стоит. Как правильно замечено выше, дропать все лишние пакеты, в т.ч.
> ICMP (нефиг пинговать!)
> Ещё крайне рекомендую поменять порт ссш - а то с публичным ИП
> и ссш на порту 22 ваши логи будут расти по 10-20мег

вот у таких как вы видимо и растут )) те кто "deny all from any to me 22" не  осилил ))
> в день. Не думаю, что это полезная нагрузка на сервер.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру