Ce reguli de firewall ar trebui folosite pentru un sistem de acasă [closed] (Administrarea sistemului, Rețea, Securitate, Port)

Guy a intrebat.

Tocmai îmi configurez o rețea wireless de acasă cu conexiune la internet. Routerul are setări pentru configurarea regulilor de firewall.

În prezent este setat la INBOUND ALL ANY și OUTBOUND ALL ANY.

Ce reguli ar trebui să setez (dacă este cazul) pentru a reduce riscul de compromitere? Laptopurile care se conectează sunt Vista și XP. Avem doar nevoi simple de navigare, așa că pot să deschid următoarele porturi de intrare?

80 HTTP
21 FTP
443 HTTPS

Este suficient pentru o navigare web normală? Ar trebui să setez vreo regulă de ieșire?

Nu mă aștept să folosesc POP sau SMTP

Comentarii

  • Vreți să ne spuneți ce firewall folosiți? Un router de internet standard pentru consumatori va avea un firewall de bază cu setări implicite (relativ) sigure. –  > Por tomjedrz.
  • Acestea sunt setările standard ale firewall-ului pe un router wireless SKY broadband home wireless. Nu existau setări implicite sigure! Trebuie să existe sute de mii de astfel de dispozitive în Marea Britanie! –  > Por Guy.
  • Dumnezeule mare! O configurație din fabrică pentru un dispozitiv de consum care permite toate conexiunile de intrare???? Cineva a fost sigur că a lovit pipa de crack înainte de a face acest apel. –  > Por Squillman.
4 răspunsuri
tomjedrz

Ar trebui să permiteți NU trafic de intrare. Ar trebui să permiteți traficul de ieșire pentru protocoalele pe care le veți utiliza. Lista dvs. este bună, deși ar trebui să adăugați DNS și NTP, dacă doriți să sincronizați timpul.

Rețineți că (prin definiție) TCP/IP este bidirecțional. Direcționalitatea la care se face referire aici este direcția în care este inițiată conexiunea. Adică … dacă navigați la www.serverfault.com, PC-ul dumneavoastră va trimite trafic HTTP către adresa IP pentru serverfault.com. Firewall-ul va recunoaște că urmează un răspuns, iar răspunsul va fi permis înapoi la PC-ul dumneavoastră. Dar acest lucru este denumit trafic „de ieșire” și nu trebuie să țineți cont de răspuns în majoritatea firewall-urilor.

Sugestie: utilizați programul lui Steve Gibson Shields Up pentru a testa ceea ce este permis în firewall-ul dumneavoastră și pentru a obține o mulțime de informații despre ce servicii fac fiecare.

Comentarii

  • +1 pentru Shields Up. Un site bun pentru a vedea ce permite firewall-ul dumneavoastră. –  > Por stukelly.
squillman

Pierdeți permisul de intrare orice! Singurul motiv pentru care trebuie să existe acest lucru este pentru FTP activ, dar puteți folosi în schimb FTP pasiv. Eu personal permit orice ieșire.

Dacă este vorba doar de browing simplu, atunci ar trebui să fie bine cu cele pe care le aveți. Singura diferență este atunci când applet-urile sau plugin-urile din paginile web doresc să vorbească direct cu serverele lor de origine prin altceva decât HTTP/HTTPS.

Comentarii

  • Vă mulțumim pentru răspunsul rapid. Nu e de mirare că există atât de mulți zombi când configurația standard este atât de deschisă! –  > Por Guy.
  • FTP este ciudat … FTP „activ” folosește atât portul 20, cât și portul 21. Unele firewall-uri înțeleg acest lucru și se acomodează, altele nu. –  > Por tomjedrz.
Murali Suriar

Așa cum a spus squillman, eliminați imediat inbound any.

Presupunând că firewall-ul este de tip stateful, tot ce ar trebui să aveți nevoie este „allow any outbound”; traficul de retur ar trebui să fie permis, deoarece va fi asociat cu conexiunile existente în tabelul de conexiuni.

Cunoașteți modelul de router? Ar fi interesant să vedeți care este configurația implicită de rutare/NAT/transmitere a porturilor.

l0c0b0x

[OUTBOUND-wise]

Vă sugerez să începeți să practicați o bună etichetă a vecinilor de internet, aplicând filtrare la ieșire reguli pe firewall-ul tău. În mare, închideți porturile nefolosite în mod obișnuit (de ieșire) care pot fi folosite de clienții dvs. atunci când sunt compromiși. Iată o explicație mai bună:

Filtrarea de ieșire vă împiedică pe dumneavoastră (și pe clienții dumneavoastră) să trimiteți trafic nedorit către internet. Acest lucru ar putea include scurgerea spațiului de adrese private sau oprirea sistemelor compromise care încearcă să comunice cu gazde la distanță. De asemenea, filtrarea la ieșire poate ajuta la prevenirea scurgerilor de informații datorate unei configurări greșite, precum și a unor încercări de cartografiere a rețelei. În cele din urmă, filtrarea de ieșire poate împiedica sistemele interne să efectueze atacuri de spoofing IP de ieșire.

Porturile comune care se aplică acestei practici sunt:

  • SMTP (Împiedică trimiterea de SPAM în lume)
  • DNS (Prevenirea deturnării DNS)
  • SMB
  • ICMPOops… am uitat că postul meu se referea la ieșire! PMTUD (ICMP:rfc792)

… ați înțeles ideea.

Comentarii

  • Nu, nu blocați ICMP de ieșire. Face parte din protocol cu un motiv anume, iar blocarea lui cauzează probleme cu lucruri precum PMTUD. –  > Por Alnitak.
  • Vă mulțumim că ați adus acest lucru în atenție. Cu siguranță se pare că nu toate variantele de ICMP ar trebui blocate… Voi mai cerceta puțin acest aspect. –  > Por l0c0b0x.