Jak v roce 2017 správně nastavit firewall?

r223

Jak v roce 2017 správně nastavit firewall?
« kdy: 25. 02. 2017, 10:15:25 »
Možná se Vám to bude zdát jako triviální dotaz, ale postupně zjišťuji, že to tak jednoduché není.
Předpokládejma, že router má veřejnou v internetu.
Většinou volím klasické řešení - zakázat vše a povolit pouze věci které znám, plus zakazuji navázání spolení z venku, kromě těch pár věcí, které využívat chci.
Problém je, že se některé věci občas potom chovají divně. Např. jsem zjistil, že chrome často tahá data přes jakýsi google UDP protokol, se kterým jsem vůbec nepočítal... A celkově mám pocit, že dochází k problémům, zřejmě s některými skripty na webu....
Máte, nějaké typy, jak na to dnes?
« Poslední změna: 26. 02. 2017, 20:49:50 od Petr Krčmář »


TomasP

Re:jak v roce 2017 správně nastavit firawall?
« Odpověď #1 kdy: 25. 02. 2017, 10:28:20 »
Hoy,
na siti doma to mam nastavene tak, ze filtruji pouze traffic IN > default DROP, povolene RDP na jinem portu, Synology porty apod. ale ven z me LAN mam prave kvuli tomuto povolene vsechno, protoze v ni nepracuji jenom ja ...

Na serverech mam default DROP vsude, protoze znam moji aplikaci a presne vim s kterymi servery na jakych portech musi komunikovat, pricemz loguji veskere dropy a na ty se pak divam zpetne...

Re:jak v roce 2017 správně nastavit firawall?
« Odpověď #2 kdy: 25. 02. 2017, 11:10:56 »
Dnes pořád stejně, jako kdykoli dříve. Buď máte nějakou bezpečnou síť, kde máte jasně definované a zdokumentované komunikace – pak firewall nakonfigurujete tak, aby propouštěl jen zdokumentovanou komunikaci. Nebo máte běžnou domácí nebo firemní síť, pak necháte všechno otevřené, a případně explicitně zakážete komunikaci, o které víte, že je problematická (např. máte někde nějakou pochybnou službu, která má být dostupná jen vyjmenovaných počítačů, tak zakážete přístup odjinud; nebo máte službu notoricky známou bezpečnostními problémy, což byla dříve třeba sdílení disků ve Windows).

Předpokládám, že ten „jakýsi Google UDP protokol“ bude SCTP over UDP.

Krallinuxu1

Re:jak v roce 2017 správně nastavit firawall?
« Odpověď #3 kdy: 25. 02. 2017, 18:43:24 »
Možná se Vám to bude zdát jako triviální dotaz, ale postupně zjišťuji, že to tak jednoduché není.
Trivialni? No to asi ne. Hloupy? Jiste. Budes se mozna divit, ale plati to co v roce 2016 ... .
Předpokládejma, že router má veřejnou v internetu.
Většinou volím klasické řešení - zakázat vše a povolit pouze věci které znám, ...
To rozhodne neni "klasicke" nastaveni domaciho firewallu. Klasicky se komunikace z vnitrni site neomezuje. A kdo pozaduje tak paranoidni a doma tezko obhajitelny stupen ochrany si proste musi ty porty zjistit.

RE:

Re:jak v roce 2017 správně nastavit firawall?
« Odpověď #4 kdy: 03. 03. 2017, 15:44:43 »
Možná se Vám to bude zdát jako triviální dotaz, ale postupně zjišťuji, že to tak jednoduché není.
Trivialni? No to asi ne. Hloupy? Jiste. Budes se mozna divit, ale plati to co v roce 2016 ... .
Předpokládejma, že router má veřejnou v internetu.
Většinou volím klasické řešení - zakázat vše a povolit pouze věci které znám, ...
To rozhodne neni "klasicke" nastaveni domaciho firewallu. Klasicky se komunikace z vnitrni site neomezuje. A kdo pozaduje tak paranoidni a doma tezko obhajitelny stupen ochrany si proste musi ty porty zjistit.
Co je na tom paranoidniho, kazdy malware se chce dostat zpet do inetu.


bhhherh

Re:jak v roce 2017 správně nastavit firawall?
« Odpověď #5 kdy: 03. 03. 2017, 22:47:08 »
Možná se Vám to bude zdát jako triviální dotaz, ale postupně zjišťuji, že to tak jednoduché není.
Trivialni? No to asi ne. Hloupy? Jiste. Budes se mozna divit, ale plati to co v roce 2016 ... .
Předpokládejma, že router má veřejnou v internetu.
Většinou volím klasické řešení - zakázat vše a povolit pouze věci které znám, ...
To rozhodne neni "klasicke" nastaveni domaciho firewallu. Klasicky se komunikace z vnitrni site neomezuje. A kdo pozaduje tak paranoidni a doma tezko obhajitelny stupen ochrany si proste musi ty porty zjistit.
Co je na tom paranoidniho, kazdy malware se chce dostat zpet do inetu.
Toto je typická otázka na kterou se dá odpovědět opět otázkou. Kde se tam ten malware vzal a proč by měl paketový firewall routeru řešit jeho následky?

Když připustím fakt, že někomu hoduje v počítači nějaký neznámý malware o kterém nemá tušení tak nevidím důvod proč si myslet, že takový škodlivý program zastaví omezení portů na routeru. Spíš bych si myslel a je logické, že se ten program pokusí využít pro odeslání dat nějaké běžný port jako 80, 25, ping ... a tam tvoje "ochrana omezením portů ven na routeru naprosto selhala a nic neřeší. Ovšem bavíme se teoreticky a nevíme, co ten malware dělá.
Typický příklad je notebook nebo telefon. Dejme tomu že v něm hoduje ten malware a dejme tomu, že ten paketový firewall problém částečně vyřešil protože ten malware chce vyžít nějaký exotický port který je blokovaný. Malware se do zařízení dostal, což ukazuje na blbost uživatele a absenci další ochrany. Tím pádem se nedá čekat, že někdo ten malware objeví v krátkém čase. Co se stane až si notebook odnesu do jiné sítě a nebo telefon přepnu na data?

Ochrana proti napadení počítače malwarem se neřeší na paketovém firewallu routeru.

genex

Re:Jak v roce 2017 správně nastavit firewall?
« Odpověď #6 kdy: 04. 03. 2017, 00:21:29 »
Obecne sa v porovnaní s dobou minulou čiastočne zmenila bežná sieťová komunikácia, to čo pred 10 rokmi normálne nebolo sa dnes považuje za normálne. Konkrétne sa jedná o "telemetriu" a naväzovanie spojení zvnútra napr. kontroly update-ov, kontroly licencií. Niektoré "offline" programy sú už natoľko zvyknuté na prístup k internetu, že keď sú blokované firewallom, tak explicitne ohlásia informačnú chybu, že sa nemohli spojiť so serverom (typicky skontrolovať updaty a zároveň dať o sebe vedieť).

Dokonca aj browser naväzuje spojenia, ktoré nie sú bežným užívateľom známe, kvôli rozným novým technológiam.

Maros

Re:Jak v roce 2017 správně nastavit firewall?
« Odpověď #7 kdy: 04. 03. 2017, 14:26:56 »
V roku 2017 plati este viac to, co v roku 2016. Bud mate v hlave alebo v penazenke. Narazam na ochrany typu IPS a WAF. Teda, bud si viete taketo ochrany nasadit sami, alebo si ich kupite. Paketovy filter ju uz davno len mala cast z network security.