Onderwerp: Alternatieve firewall instellingen

Een tijdje geleden heb ik de IP firewall rules op mijn eigen manier opgezet. Ben verre van een expert, maar zie geen problemen met deze opzet. Graag commentaar als ik iets over het hoofd zie. Schrijf het even in niet-technische beschrijving.

Server wordt alleen gebruikt voor web sites en mail.
regel 1-mijn ip is Allow (verder heeft niemand toegang en ik heb een vast ip).
volgende regels- diverse ip's die onjuiste dingen gedaan hebben en op drop staan
als laatste regels allow ik web en mail toegang voor iedereen.
als allerlaatste regel drop all.

Ik heb dus toegang tot alle poorten.
Andere ip's hebben alleen toegang tot web en mail.
Niemand, behalve ik, heeft bijvoorbeeld toegang tot mijn ssh poort en kan mij ook niet pingen.
Poortscan heeft dus weinig zin.
Het werkt naar mijn tevredenheid, maar zie ik iets over het hoofd?

Ja. Een firewall doet meer bijv beschermen tegen vormen van DDOS (detecteren en blokkeren).

Je kunt verder nog een aantal ip ranges blokkeren. Zoals ipadressen die niet gebruikt kunnen worden op het internet, ook kun je het ipadres van de server blokkeren. Deze zoekt natuurlijk geen verbinding met je eigen server.

Wat doe je met het verkeer dat naar buiten gaat, heeft die volledige toegang? Je kunt er voor kiezen om ook al het externe verkeer standaard te blokkeren en te filteren op port niveau.

Fragmented tcp packages filteren, verkeer over lo0 aanzetten, prive ranges blokken op de externe nics, traffic naar buiten eventueel blokken en ssh keys gebruiken.

ICMP ping kun je best aan laten staan. Niet alleen is het erg handig met troubleshooten, maar zolang iemand ook gewoon je poort 80 kan 'pingen', maak je het je alleen maar lastig.

Ik begrijp hieruit dat het in hoofdlijnen goed is, maar dat het wat optimaler zou kunnen.

Zal de ongebruikte/prive ip ranges toevoegen, maar maar men kan hier eigenlijk niks mee.

lo0 had ik al toegevoegd, maar was ik vergeten hier te vermelden.

Extern verkeer zal ik ook gaan blokkeren, maar hoe loop ik risico als alleen ik en het hosting bedrijf toegang hebben?

Het is niet zozeer dat ik de pingpoort blokkeer, maar alles zit dicht behalve 80 en 25 voor anderen. Dan zou ik specifiek ping en aanverwanten moeten gaan openstellen. Ik zie niet in waarom iemand mij moet pingen. De meeste internetters (90% ?) weten niet wat ping is of hoe het te moeten uitvoeren. Degenen die het wel kunnen, kunnen vaak ook meer dingen op dit gebied. Deze wil ik zo ver mogelijk van me vandaan houden. Ik weet, ping op zich kan geen kwaad, maar waarom. Ik heb een ping tooltje om de 10 minuten thuis lopen, dus heb downtime snel in de gaten.

Maak me ook geen illusies, want een echte expert hou je niet buiten. Maar die andere 95% wil ik zo ver mogelijk van mijn achterdeuren hebben. Heb geen zin meer in poort scans of eindeloze inbraak pogingen bij ssh. Ik heb nu bij alle poorten, op 2 na, een extra hindernis. Misschien overdrijf ik, maar in dit geval heb ik liever te veel dan te weinig. Een normale bezoeker heeft dit niet in de gaten.

Oorspronkelijk geplaatst door WillemP

Ik begrijp hieruit dat het in hoofdlijnen goed is, maar dat het wat optimaler zou kunnen.

Extern verkeer zal ik ook gaan blokkeren, maar hoe loop ik risico als alleen ik en het hosting bedrijf toegang hebben?

Het is sowieso meer dan de meestal überhaupt hebben
Maar het risico zit hem grotendeels in het hebben van een virus op 1 van de pc's van jou of de beheerder... het 'nieuwe' virus dat wel je ftp password jat en rotzooi upload, maar nog niet in de virusdefinities van je server/pc zit. Dit kan de beste nog gebeuren met 1 verkeerde klik ergens.
In dat geval kan het script relatief weinig uitvoeren aangezien je ftp gegevens niet voldoende zijn om de firewall naar buiten te openen.

Niet dat je het echt nodig hebt aan je instellingen te zien, maar ik laat SSH op een andere poort luisteren dan 22.
Voel me er dan net ietsje beter bij plus een heel stuk minder login pogingen.

OK. Zal dan voor de zekerheid uitgaand verkeer ook aan banden gaan leggen. Maar volgens mij kan een eventueel virus op mijn Windows pc, niet zo veel doen op de server. Daar draait geen Windows, maar FreeBSD. Was ik even vergeten te vermelden.

Voordat ik deze opzet had, zat SSH ook op en andere poort bij mij. Maar aangezien niemand nu nog bij deze poort kan komen, laat ik hem standaard. De eerste keer dat ik de inbraakpogingen zag bij SSH ben ik daar behoorlijk van geschrokken. Honderden combinaties werden uitgeprobeerd. Wachtwoord is wel niet te raden, maar toch. Nu stop ik ze al buiten het hek. Ik wil geen gerammel meer aan mijn poorten.

Oorspronkelijk geplaatst door WillemP

OK. Zal dan voor de zekerheid uitgaand verkeer ook aan banden gaan leggen. Maar volgens mij kan een eventueel virus op mijn Windows pc, niet zo veel doen op de server. Daar draait geen Windows, maar FreeBSD. Was ik even vergeten te vermelden.

Wat denk je van een windows trojan die via je ftp password wat onzin op je server upload om remote een DOS te starten? Kan ook op freebsd

Oorspronkelijk geplaatst door systemdeveloper

Wat denk je van een windows trojan die via je ftp password wat onzin op je server upload om remote een DOS te starten? Kan ook op freebsd

Of nog tal van andere tools om p2p downloads of rootkits te starten. En de "goeide" tools doen bij het uitvoeren wel even een check op welk os ze runnen om de juiste commando's te gebruiken. Of om het totaal simpel te maken een php script dat gebruik maakt van de standaard libs en mods en functies.

Als je het standaard verkeer naar buiten accepteerd en al het andere tegehoud weet je dat ook al staan er rare dingen op je server (door middel van hacken via ssh of een bug in een of andere cms systeem), dat deze rare dingen niet via irc bijvoorbeeld naar buiten kunnen. Ook is het niet mogelijk om vanaf je eigen server deel te nemen aan een portscan of DDOS.

Waarom zou je deze kleine moeite niet nemen, terwijl dit je later problemen kan voorkomen.

OK, jullie hebben me overtuigd. Zal ook een beveiliger bij de deuren naar buiten zetten.