Forum Debian Users Gang

suncez · 2006-06-24 20:51:31

Witam, chciałbym poznać Wasze opinie na temat tych dwóch zabezpieczeń.
Mój komputer nie udostępnia żadnych usług i nie jest połączony z siecią lokalną, mam zewnętrzne IP z dostępu radiowego.
Do niedawna w Mandrake i Debianie używałem shorewalla, potrafię ustawić w nim podstawowe reguły, tak aby zablokować/odblokować wszystkie/niektóre porty, nie wiem jednak, zwłaszcza w Debianie, jak zarządzać informacjami, które generuje shorewall (zwykle przeglądam np. syslog, a przydałaby się jakaś interaktywność).
Ostatnio korzystam wyłącznie z Debiana, z przeglądu np. forum.dug.net wynikać mogło by, że większość użytkowników korzysta ze skryptów iptables, czy tez np. właśnie Firestartera. Zainstalowałem Firestartera, mam interaktywność i wygodną konfigurację, tylko męczy mnie taka kwestia.

Na forum mandrake wyczytałem, że shorewall jest bezpieczny, gdyż nie da się go przekonfigurować zdalnie, czy to prawda? Przecież jeśli przy uruchomionym shorewallu wydam w konsoli polecenie np. z regułą iptables odcinającą wyjście przez port 80 to tracę dostęp do www, czy włamywacz, po uzyskaniu praw roota nie może zrobić tego samego, albo wykonać inną regułę, czy edytować konfig zapory? A może będzie mógł tylko zawężać istniejące reguły i ewentualnie dodawać nowe, które nie są ustalone w konfigu (przykład z odcięciem www).

A jak to jest w Firestarterze, czy też "nie da się go przekonfigurować z zewnątrz"?
I co to właściwie jest ta "zdalna konfiguracja", może nie rozumiem istoty sformułowania (nigdy nawet nie próbowałem być włamywaczem)?

Proszę o opinie, objaśnienia.

czadman · 2006-06-24 22:17:41

Jądro linux chyba nie ma zabezpieczenia przed zmianą reguł firewalla w trakcie pracy systemu.
Te wszystkie shorewalle czy firestartery są frontendami dla iptables i nie dają gwarancji niezmienialności reguł. Takie zabezpieczenie musiałoby być na poziomie jądra systemu. Być może jest to osiągalne w linuksie, nie sprawdzałem.
W *BSD jest zabezpieczenie przez zmianą reguł, gdzie po włączeniu najwyższego poziomu bezpieczeństwa tylko przez bezpośredni (fizyczny) dostęp do maszyny można zmienić ustawienia firewalla i tylko przez restart, ponieważ nie da się go zmniejszyć (poziomu bezpieczeństwa).

suncez · 2006-06-24 23:03:13

Dziękuję za odpowiedź, chyba będę musiał sam poeksperymentować z "łamaniem" reguł obu firewalli, aby przekonać się jak reagują na próbę ich zmiany - ograniczę się do prób otwarcia wcześniej zamkniętych portów i zamknięcia już otwartych (naruszę kolejność reguł).
Zdaje się, że zabezpieczenie z BSD wymagające restartu komputera jest nie do pobicia, w Mandrake jest wprawdzie msec, ale czy on potrafi ochronić sam siebie...
:)
Może jeszcze jakieś opinie?

AgayKhan · 2006-06-24 23:20:40

He, he. A mi się przypomniało, jak na forum SuSE zastanawiano się, jak Kmyfirewall lub guargoga zmusić, by był w trayu, bo wszak inaczej firewall nie będzie działał. I żebu był w autostarcie.

synchro · 2006-06-25 05:10:08

Wyłącznie na desktop można jeszcze używać lokkit (albo gnome-lokkit). Taka nakładka na iptables dla początkujących do złudzenia przypominająca "firewall" z fedory, ten ustawiany przy instalacji. Czyli ogranicza się do odpowiedzi na kilka pytań. Jeśli ktoś używa komputera tylko do pisania, słuchania muzy, oglądania filmów itp. rzeczy, to wg mnie wystarczy. Natomiast jeśli wymagamy cosik więcej, to moim skromnym zdaniem laika lepiej omijać wszystkie ułatwiacze, vide shorewall.
Wniosek: w debianie znajdziemy wszystko, począwszy od programów dla początkujących umożliwiających "klikalną" konfigurację, po bardziej zaawansowane rozwiązania wymagające troszkę wiedzy, pomyślunku i cierpliwości. Zatem ludzie wywalajcie mandrivy, susy, fedory i przede wszystkim ubunty (nie mogłem się powstrzymać ;>), bo po prostu nie warto, hehe.
BTW, jeśli chodzi o kontrolę dostępu, to jest jeszcze selinux. :) Może tego kolega szuka.

suncez · 2006-06-26 23:45:04

No i wybrałem shorewall, słabo się znam na bezpieczeństwie, więc sądziłem po efektach. Z konsoli jako root mogłem regułą iptables zmieniać ustawienia zapory tak jednej jak i drugiej. Co zdecydowało? Firestarter "zamulał" mi czasem system (a opcja "blokady" zapory skutkowała nieprzewidywalnym zachowaniem różnych aplikacji).
Nie wiem dlaczego odczyt reguł (iptables -L) w Firestarter trwał i trwał... czyżby on je tworzył na bieżąco?
Shorewall wymaga dużej wiedzy i jeszcze długo będę raczkował w tym temacie, ale chyba warto. No i nie nazwałbym shorewalla "ułatwiaczem", chyba, że miałbym do dyspozycji jakieś narzędzie do automatycznej konfiguracji. Tymczasem wszystkie pliki rzeźbię ręcznie.

A właśnie, jest w Debianie jakiś skrypt do generowania plików shorewalla?

czadman · 2006-06-26 23:53:52

Nieco o shorewall'u

suncez · 2006-06-27 00:03:08

No tego właśnie mi cały czas brakowało (ślepy już jestem), bardzo dziękuję :) .

Forum Debian Users Gang

Ogłoszenie

#1 2006-06-24 20:51:31

suncez - Użytkownik

shorewall czy firestarter - ochrona przed włamaniem, który?

#2 2006-06-24 22:17:41

czadman - Bicycle repairman

Re: shorewall czy firestarter - ochrona przed włamaniem, który?

#3 2006-06-24 23:03:13

suncez - Użytkownik

Re: shorewall czy firestarter - ochrona przed włamaniem, który?

#4 2006-06-24 23:20:40

AgayKhan - Członek DUG

Re: shorewall czy firestarter - ochrona przed włamaniem, który?

#5 2006-06-25 05:10:08

synchro - Członek DUG

Re: shorewall czy firestarter - ochrona przed włamaniem, który?

#6 2006-06-26 23:45:04

suncez - Użytkownik

Re: shorewall czy firestarter - ochrona przed włamaniem, który?

#7 2006-06-26 23:53:52

czadman - Bicycle repairman

Re: shorewall czy firestarter - ochrona przed włamaniem, który?

#8 2006-06-27 00:03:08

suncez - Użytkownik

Re: shorewall czy firestarter - ochrona przed włamaniem, który?

Stopka forum