1 votes

Nick Taylor avatar

Pourquoi avons-nous des paramètres iptables complexes pour les services autorisés ?

Demandé el 20 de Février, 2014
Quand la question a-t-elle été
147 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Sur plusieurs systèmes de serveurs, j'ai rencontré deux styles dominants de iptables les configurations de pare-feu :

La première bloque tous les INPUT à l'exception des ports des services fournis tels que HTTP.

La seconde bloque tous les INPUT à l'exception des paquets pour les connexions dans NEW pour plusieurs services, avec des paramètres élaborés et tous les paquets pour les connexions en cours. ESTABLISHED état. Il bloque également tous les OUTPUT les paquets sauf ceux des connexions en ESTABLISHED état.

Quel type de sécurité cette dernière offre-t-elle que la première solution simple ne permet pas d'assurer ?

Bien sûr, il peut être utile de bloquer les utilisateurs qui utilisent les ports sortants pour leur raison, mais si je n'ai pas besoin de protéger le serveur contre ses propres utilisateurs, mais seulement contre les menaces extérieures, les deux méthodes sont-elles identiques, ou la seconde apportera-t-elle encore des avantages ?

Demandé el 20 de Février, 2014 par Nick Taylor

Réponses

Trop de publicités?

9voto

Michael Hampton avatar
Michael Hampton Points 232226

Le premier type de pare-feu que vous avez décrit est sans état. Il est simpliste et ne garde pas trace des connexions ; il se contente de vérifier les règles données aussi vite qu'il le peut. Ce type de pare-feu n'est généralement plus recommandé, sauf dans les cas où les performances du pare-feu constituent un goulot d'étranglement important, car il autorise un trafic beaucoup plus important qu'il n'y paraît à première vue. En particulier, le trafic qui n'est pas associé à une connexion légitime peut passer à travers un tel pare-feu.

Le deuxième type de pare-feu est à l'état pur . Il est capable de suivre les états de connexion, de déterminer si un paquet particulier est associé à une bonne connexion connue, et de l'accepter ou de le rejeter. Il est beaucoup plus apte à détecter le trafic non valide qu'un pare-feu sans état. En l'absence d'une préoccupation majeure, tous les pare-feu devrait être à état constant pour une sécurité maximale.

Répondu el 20 de Février, 2014 par Michael Hampton (232226 Points )

0voto

Publiccert avatar
Publiccert Points 1110

Dans le premier cas, il s'agit généralement d'une mauvaise planification. Résolution réactive des problèmes de sécurité/éteindre les incendies. Par exemple, "Oh merde, ils nous attaquent sur la 123, verrouillez-la !" ou, de manière plus appropriée, la mise sur liste noire. Cette dernière est une forme de liste blanche (meilleure pratique) et se résume généralement à verrouiller les choses par exclusion implicite et à ouvrir ce dont vous avez besoin en fonction des besoins.

Le choix de l'un ou l'autre dépend généralement de votre environnement/style.

Répondu el 20 de Février, 2014 par Publiccert (1110 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X