sslug-teknik team mailing list archive

[storner@xxxxxxxx]

In <38D3DCC5.B52DE632@xxxxxx> Rasmus Resen Amossen <spunk@xxxxxx> writes:

>For nylig har jeg sat en firewall med følgende policies op for en
>virksomhed:
>   input: ACCEPT
>   forward: -s interne.adresser -d 0/0 -j MASQ
>   forward: ACCEPT
>   output: ACCEPT

>Eftersom maskinerne på indersiden af firewall'en er masqueradede kan jeg
>slet ikke komme på nogle situationer, hvor inputfilteret skal være andet
>end ACCEPT; man kan jo ikke få fat i maskinerne på indersiden eller hur?

Jo da. Hvis Linux serveren selv kører nogle services, vil man 
almindeligvis begrænse adgangen til disse. Det gøres med input filtre.
Det nytter jo ikke noget at du lader Linux maskinen være åben, så den
kan hackes - hvis det kan gøres, er der jo også adgang til det interne 
netværk.

Derfor er det som regel også nemmere at sætte default policy for input
til DENY, og så åbne for de få ting der skal være tilladt.

>Jeg kan heller ikke lige forstå, hvorfor jeg ikke bare skal åbne for al
>trafik i outputfilteret. Anyone?

input-filtre er som hovedregel de mest kritiske at sætte op. Der kan dog
være grunde til også at begrænse output - f.eks. er det den mest effek-
tive måde jeg har fundet til at forhindre FIN- eller ACK- baseret 
port-scanning. Men det er som sagt sjældent at output-filtrene er
kritiske for sikkerheden.

>De vil gerne have, at linuxmaskinen også fungerer som filserver, men de
>vil gerne have tilgang til filerne udefra. Dette betyder vel, at denne
>filserver skal sidde på ydersiden af firewallen, hvilket igen betyder at
>sikkerheden ryger i bund. Er jeg gal på den?

Nej, det er helt korrekt. File-sharing via Internet er grundlæggende en
usikker praksis - at enable filesharing på den maskine, der fungerer
som firewall er efter min mening en særdeles dårlig ide.

>Sidst men ikke mindst vil de gerne sætte nogle forskellige servere op,
>som skal kunne tilgås fra begge sider af firewallen. Hvordan bør jeg
>gøre dette på snedigst mulig vis?

Det lyder som om de har brug for et klassisk firewall-setup. Her deler
man systemerne ind i 3 zoner: Usikker (Internet), sikker (internt LAN)
og en "de-militariseret zone" (DMZ) som indeholder de systemer, hvor
man har offentligt tilgængelige services kørende. F.eks. en web- 
og mail-server. Hver zone er sit eget netværks-segment, og firewallen
skal derfor have tre net-kort. Den sikre zone og DMZ zonen benytter
private IP adresser - firewall'en masquerader så for disse systemer.
Adgang til DMZ systemerne udefra opnås ved at forbindelser til en
f.eks. port 80 på firewallen redirectes (af firewall'en) til port
80 på web-serveren.

Der skal selvfølgelig være regler i firewall'en, så trafik ind mod
det interne LAN er helt forbudt - såvel fra Internet-siden som fra
DMZ siden (der skal være lukket af, selv om det lykkes nogen at
bryde ind i f.eks. mail-serveren ude i DMZ zonen).

-- 
Henrik Storner     | "Software engineering is a race between engineers 
<storner@xxxxxxxx> |  who try to create foolproof software and the 
                   |  universe which is trying to create bigger fools.
                   |  So far, the universe is winning..."