Šta je novo?
Od:
Filteri

Podešavanje hardverskog firewall-a

mare_bj

mare_bj

Slavan
Učlanjen(a)
21.05.2006
Poruke
77
Poena
309
Imam Connexant ADSL router koji sam dobio od Sezama i na njemu sam, radi veće sigurnosti dva računara, uključio firewall.
U okviru podešavanja firewall-a imam odeljke: inbound policy i outbound policy.

Ovo su podešavanja za outbound:

Kao što vidite, sa moje IP adrese moguće je povezati se samo na sledeće portove:
20 i 21 (FTP)
25 (SMTP)
53 (DNS)
80 (HTTP)
110 (POP3)
123 (NTP)
443 (HTTPS)
Sve ostalo je zablokirano, a otvoriću prema potrebi portove za messenger, chat i šta još bude već trebalo.
Ostaje mi još da podesim inbound policy, ali tu sam u nedoumici pa bi vas molio za savete. Da li je uopšte potrebno definisati inbound policy i ako jesto koje je portove poželjno zatvoriti?
Da napomenem da na računaru nemam nikakvih podignutih servera (HTTP, FTP, SSH, Telnet) pa nije potrebno ostavljati portove za njih.
 
Nemas potrebe da zatvaras nista sto ide "izunutra" ka "napolje".....

Ako si zatvorio sve sto je outbound (spolja ka tvojim racunarima), onda je to kako valja...
 
Twix je napisao(la):
Nemas potrebe da zatvaras nista sto ide "izunutra" ka "napolje".....

Ako si zatvorio sve sto je outbound (spolja ka tvojim racunarima), onda je to kako valja...
Kliknite za proširenje...

Jedino ako mu racunari u mrezi nisu zarazeni nekim malware-om koji ce ostvarivati komunikaciju spolja na nekom od portova razlicitih od gore navedenih.

@mare_bj
Moj savet, sve sto ne treba - zatvaraj. Ne znam kako se podesava taj uredjaj koji imas, ali pogledaj da li postoji opcija da se na ulaznom interfejsu u smeru ka lokalnoj mrezi propusti samo saobracaj iniciran iz LAN mreze (established). Time bi resio ulaznu access listu. Ukoliko ne postoji ta opcija, mozda je po defaultu tako podeseno, zato probaj da nista ne definises na inbound policy i vidi da li mozes da koristis net. Konsultuj i dokumentaciju, i vidi da li kada se polisa primeni, a prazna je, ona sadrzi eksplicitni deny all traffic...Javi sta si uradio...



Pozdrav.
 
Machiavelli je napisao(la):
Jedino ako mu racunari u mrezi nisu zarazeni nekim malware-om koji ce ostvarivati komunikaciju spolja na nekom od portova razlicitih od gore navedenih.
Kliknite za proširenje...

Hm,request ce otici napolje,ali se nece vratiti unutra....eventualno jedino ako koriste neke od vec otvorenih portova (u pitanju je firewall u ruteru, ne windows-ov, sto ce reci malware ne moze da ga konfigurise kako se njemu svidja)....

Znaci, po potrebi moze a i nemora da se zatvara u inbound-u....po potrebi i zelji...


P.S.Mogao bi da zatvoris 123 (NTP) ako ti je ne potreban...
 
Poslednja izmena:
Machiavelli je napisao(la):
Jedino ako mu racunari u mrezi nisu zarazeni nekim malware-om koji ce ostvarivati komunikaciju spolja na nekom od portova razlicitih od gore navedenih.
Kliknite za proširenje...
Portove sam iz tog razloga i zatvorio, kao preventiva ako se slučajno zarazim.

Machiavelli je napisao(la):
@mare_bj
Moj savet, sve sto ne treba - zatvaraj. Ne znam kako se podesava taj uredjaj koji imas, ali pogledaj da li postoji opcija da se na ulaznom interfejsu u smeru ka lokalnoj mrezi propusti samo saobracaj iniciran iz LAN mreze (established). Time bi resio ulaznu access listu. Ukoliko ne postoji ta opcija, mozda je po defaultu tako podeseno, zato probaj da nista ne definises na inbound policy i vidi da li mozes da koristis net. Konsultuj i dokumentaciju, i vidi da li kada se polisa primeni, a prazna je, ona sadrzi eksplicitni deny all traffic...Javi sta si uradio...
Kliknite za proširenje...
Problem je u tome što je dokumentacija koja dolazi uz Sezamov Conexant/Hasbani ruter prilično oskudna.

Twix je napisao(la):
P.S.Mogao bi da zatvoris 123 (NTP) ako ti je ne potreban...
Kliknite za proširenje...
Upravo sam ga zatvorio!

------------------------------
Primećujem da je malo zeznuto podesiti firewall da radi torrent.
Evo u čemu je problem:

Kao što vidite na screenshotu uTorrent pokušava da uspostavi outbound konekcije sa velikim brojem nasumičnih portova, tako da nikako nisam mogao da ga podesim da radi sa uključenim firewall-om.
Sa ostalim programima (MSN, ICQ, chat) nisam imao problema jel traže najviše tri porta da budu otvorena.
 
Prvo sto ti treba je ovakav router
cdccont_0900aecd8031a14b.jpg

( http://www.cisco.com/en/US/products/hw/switches/ps708/index.html )

cdccont_0900aecd805c6d88.jpg

Ona u njega stavis 4 ovakva modula sa ukupnih bandwithom od preko 20 Gb/s
( http://www.cisco.com/en/US/products/hw/modules/ps2706/ps4452/index.html )
I imas najbolji HW firewall trenutno :D
 
Poslednja izmena:
mare_bj je napisao(la):
........
Kao što vidite na screenshotu uTorrent pokušava da uspostavi outbound konekcije sa velikim brojem nasumičnih portova, tako da nikako nisam mogao da ga podesim da radi sa uključenim firewall-om.
............
Kliknite za proširenje...

to je zato sto si u options-ima od µTorrenta stiklirao da koristi random portove.
 
mrle je napisao(la):
to je zato sto si u options-ima od µTorrenta stiklirao da koristi random portove.
Kliknite za proširenje...
Kao što vidiš na slici to nije problem.
screenshot001pe3.jpg

Problem je u tome što je svako otvorio neki svoj port, a ja moram da se povezujem sa peer-ovima na port koji su oni otvorili, a to može biti bilo koji port (vidi sliku od firewall-a). Tako da mi jedino ostaje da isključim hardverski firewall dok koristim P2P. Bolje rešenje nisam našao, a ako neko zna molio bi da mi malo objasni ili da me uputi na neki link gde bih mogao to da naučim.
Hvala!
 
Poslednja izmena:
Twix je napisao(la):
Nemas potrebe da zatvaras nista sto ide "izunutra" ka "napolje".....

Ako si zatvorio sve sto je outbound (spolja ka tvojim racunarima), onda je to kako valja...
Kliknite za proširenje...
Naravno da treba blokirati i outbound jer:
1. postoje varijante kada se ne salje request i ne ceka na reply
2. ne zelis da ti bilo sta izlazi na net sto ne treba da izadje
Izmedju ostalog, zbog nepostojanja kontrole outbound saobracaja je toliko i napljuvan XP-ov FW ;)

mare_bj je napisao(la):
Problem je u tome što je svako otvorio neki svoj port, a ja moram da se povezujem sa peer-ovima na port koji su oni otvorili, a to može biti bilo koji port (vidi sliku od firewall-a). Tako da mi jedino ostaje da isključim hardverski firewall dok koristim P2P. Bolje rešenje nisam našao, a ako neko zna molio bi da mi malo objasni ili da me uputi na neki link gde bih mogao to da naučim.
Hvala!
Kliknite za proširenje...
Upravo tako i ako koristis torrente moraces ceo p2p opseg da ostavis otvoren za outbound :S:
 
Poslednja izmena:
Crni je napisao(la):
Naravno da treba blokirati i outbound jer:
1. postoje varijante kada se ne salje request i ne ceka na reply
2. ne zelis da ti bilo sta izlazi na net sto ne treba da izadje
Izmedju ostalog, zbog nepostojanja kontrole outbound saobracaja je toliko i napljuvan XP-ov FW ;)


Upravo tako i ako koristis torrente moraces ceo p2p opseg da ostavis otvoren za outbound :S:
Kliknite za proširenje...

To sam i kazao...:)
Outbound je ono sto treba pozatvarati i ostaviti samo ono sto je potrebno, jer najvece pretnje odatle i dolaze...
 
Na kraju sam uradio ovako:

untitledxu9.gif


untitled2se9.gif


Prema ovim podešavanjima dozvoljena je dvosmerna komunikacija na portovima 20,21,53,80 i 443. Što se tiče P2P, kao što je i rekao CRNI, morao bi da se otvori ceo opseg portova, tako da ću pri korišćenju P2P ipak gasiti hardverski firewall.
 
Koja je onda svrha hardverskog fajervola ako ćeš ga pri korištenju p2p gasiti?
 
DariusIII je napisao(la):
Koja je onda svrha hardverskog fajervola ako ćeš ga pri korištenju p2p gasiti?
Kliknite za proširenje...
P2P koristim retko. Možda jednom mesečno. Tako da to neće biti problem, tj. mreža će biti 99% vremena zaštićena. A i bolje rešenje za to nisam našao jer ako otvorim sve portove na firewall-u to će biti identično kao da sam ga ugasio.

Crash Owerride je napisao(la):
Pa lepo, znaci NIKAD necu imati ovako nesto :wall::crash:
Kliknite za proširenje...
Kada ti je rođendan? Mislio sam da svi sa foruma uplatimo 50 dinara na račun koji će biti namenjen tebi i da ti za rođendan kupimo ruter. :D
 
Poslednja izmena od urednika:
sto rece Crash Owerride, imam samo jedno pitanje pa da ne otvaram novu temu.
covek se napusi smesnih cigara, pa mu svasta pada na pamet .
koja je razlika izmedju SW i HW firewall-a?
mislim, zasto se jedan zove software-ski, a drugi hardware-ski?

prvi mi je software koji radi pod OS (windouz) na masini (PC) koja ima svoj procesor, memoriju itd.
drugi je isto software koji radi pod OS (linux) na masini (router) koji ima svoj procesor, memoriju itd.

sta je zapravo razlika?

.... hmmm, ni sijalica nije samo hardware.
i njoj su potrebni neki elektroni da bi radila, zar ne?

hvala
 
Zanimljivo pitanje! ,)
Razlika je u tomoe što se hardverski firewall obično nalazi na ruteru tako da štiti celu mrežu koja se nalazi iza njega. Softverski firewall štiti samo onaj računar na kome je instaliran. Takođe malware može specijalnim tehnikama isključiti softverski firewall (ZoneAlarm, Comodo ...) dok hardverski ne može.
 
mare_bj je napisao(la):
Razlika je u tomoe što se hardverski firewall obično nalazi na ruteru tako da štiti celu mrežu koja se nalazi iza njega. Softverski firewall štiti samo onaj računar na kome je instaliran.
Kliknite za proširenje...

Zavisi na kome principu je sastavljena mreza...kod mene internet ide direktno u server na kome je ISA 2006, pa tek onda u mrezu, i taj firewall radi svoj posao fantasticno....da ne pominjem linux firewall-ove koji su jos bolji....
 
Poslednja izmena:
mare_bj je napisao(la):
Na kraju sam uradio ovako:

untitledxu9.gif


untitled2se9.gif


Prema ovim podešavanjima dozvoljena je dvosmerna komunikacija na portovima 20,21,53,80 i 443. Što se tiče P2P, kao što je i rekao CRNI, morao bi da se otvori ceo opseg portova, tako da ću pri korišćenju P2P ipak gasiti hardverski firewall.
Kliknite za proširenje...
Pa ne gasis ceo FW, nego samo outbound, mada i tada nisu otvoreni bas svi portovi, nego samo opseg, ali mozes tada da upalis neki softverski firewall, pa da pokrijes tu "rupu" ;)
 
mare_bj je napisao(la):
Zanimljivo pitanje! ,)
Razlika je u tomoe što se hardverski firewall obično nalazi na ruteru tako da štiti celu mrežu koja se nalazi iza njega. Softverski firewall štiti samo onaj računar na kome je instaliran. Takođe malware može specijalnim tehnikama isključiti softverski firewall (ZoneAlarm, Comodo ...) dok hardverski ne može.
Kliknite za proširenje...

I ne samo to. Hardverski firewall/router najčešće radi na 3 i 4 sloju OSI modela (nivo mreže i transporta) i radi sa headerima i paketima, jako su brzi jer imaju hardver (chip) koji je optimizovan za filtriranje paketa i softverski se tu ne mogu meriti sa njima (ovo je već diskutabilno jer su mašine sve brže), dok softverski firewall može da radi i na 7 sloju (nivo aplikacije) tj. možeš da filtriraš pakete ne samo po portovima već i u zavisnosti koja je aplikacija u pitanju, i tu su u prednosti u odnosu na hw firewall-ove. Najbolje je kombinovati softverske i hardverske firewall-ove.

P.S. Ovo je jako uprošćeno objašnjenje, i prezentovano onako kako sam ja tu problematiku shvatio.
 
Twix je napisao(la):
Hm,request ce otici napolje,ali se nece vratiti unutra....eventualno jedino ako koriste neke od vec otvorenih portova (u pitanju je firewall u ruteru, ne windows-ov, sto ce reci malware ne moze da ga konfigurise kako se njemu svidja)....

Znaci, po potrebi moze a i nemora da se zatvara u inbound-u....po potrebi i zelji...


P.S.Mogao bi da zatvoris 123 (NTP) ako ti je ne potreban...
Kliknite za proširenje...

Ne mora da znaci. Ako firewall, po defaultu, propusta inbound pakete vezane za sesije koje su inicirane iz lokalne mreze, proci ce svaki paket. To sam, takodje, napomenuo da treba proveriti, ali dobili smo odgovor da je router lose dokumentovan.

Zatim, sto se tice zabrane nepotrebnih outbound portova, sta bi radili sa malicioznim aplikacijama koje koriste port 80, na primer, za komunikaciju? Ne bi bilo lose da se radi inspekcija dolaznih paketa upravo iz tog razloga. Jedno od pravila pri konfigurisanju bezbednosnih polisa je, da treba zatvoriti sve sto se ne koristi u oba smera. Nema potrebe diskutovati o tom pravilu...

P.S. Mislim da NTP moze posredno da utice na bezbednost, zbog poremecaja timestampova i kasnijih forenzickih akcija. Zatvaranje NTP-a je sekundarni task u odnosu na regulisanje outbound saobracaja.

@maul
Cisco nudi HW resenja, koja mogu prepoznati aplikacije i vrsiti akcije nad paketima (QoS ili blokiranje). Nbar, ASA, FWSM, itd...

@mare_bj
Nisu lose definisana pravila, ali me bas zanima da li si uspeo da razmenis postu preko SMTP/POP3 servera :)
Uz to, da li se ova pravila odnose samo na TCP ili postoje setovanja i za UDP? Da li si probao da koristis p2p programe sa ukljucenom UPnP opcijom, a da su pritom zatvoreni portovi na firewall-u/ruteru?

Pozdrav.
 
Machiavelli je napisao(la):
Nisu lose definisana pravila, ali me bas zanima da li si uspeo da razmenis postu preko SMTP/POP3 servera :)
Kliknite za proširenje...
Poštu bez problema mogu razmeniti kada omogućim dvosmernu komunikaciju na portovima 25 i 110, ali sada to nije omogućeno jer koristim google webmail.
Machiavelli je napisao(la):
Uz to, da li se ova pravila odnose samo na TCP ili postoje setovanja i za UDP?
Kliknite za proširenje...
Na sve!
Machiavelli je napisao(la):
Da li si probao da koristis p2p programe sa ukljucenom UPnP opcijom, a da su pritom zatvoreni portovi na firewall-u/ruteru?
Kliknite za proširenje...
Vidiš nisam. Da li za to moram imati router koji to podržava?

Machiavelli je napisao(la):
Pozdrav.
Kliknite za proširenje...
Takođe!
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Vrh Dno