Firewall: co je potřeba na síti blokovat?

[rado3105]

Vo firewalle blokujem vsetky rozsahy vyhradene pre lokalne siete, ktore nepouzivam. Teraz si kladiem otazku, ci to ma zmysel?

[Reklama]

[Vilith]

Zakladni pravida

1/ zakaz vse
2/ povol co potrebujes odkud potrebujes

[Lambo]

Odkud kam ty rozsahy blokujes?

Spise otoc svoje mysleni. Neptej se, co je treba blokovat, ale naopak co je nezbytne povolit. To je spravny pristup.

[rado3105]

ano len v pripade forwardu sa da predist napr. utokom pod hlavickou lokalnej siete a vypisanim tych co sa pouzivaju a zablokovanim ostatnych sa da tomu predist...
http://gregsowell.com/?p=1076

[V.]

Ok, blokuješ privátní rozsahy.
A na jakých interfejsech?
A to je vše, co děláš?

[Reklama]

[phpkral]

Vo firewalle blokujem vsetky rozsahy vyhradene pre lokalne siete, ktore nepouzivam. Teraz si kladiem otazku, ci to ma zmysel?

To co povídáš nemá a nedává smysl. Ale záleží co je to za síť a firewall.

[jd]

Co blokovat? Vsechno!
A pak resit co potrebujes, aby fungovalo co pouzivas a pouz je to povolit

[xxxxxxxx]

Taketo otazky tu pokladaju "uzivatelia" ktori su lokalnymi ISP. Vazne?
Potom nemozeme cakat BCP38, IPv6, DNSSEC atp. ked po 20 rokoch svojej posobnosti riesia tieto otazky.

[Miroslav Šilhavý]

Taketo otazky tu pokladaju "uzivatelia" ktori su lokalnymi ISP. Vazne?
Potom nemozeme cakat BCP38, IPv6, DNSSEC atp. ked po 20 rokoch svojej posobnosti riesia tieto otazky.

To je otázka poptávky. Pokud hraje roli cena, je zde prostor jen pro malé, často i neznalé ISP. Jedině tak pak může stát přípojka méně, než DSL nebo kabelovka, ačkoliv by to mělo být naopak (kvůli úsporám z rozsahu).

[Pavelka]

dobrý den, chtěl bych například blokovat domény facebooku nebo reklamních serverů, které mám v primárním zdroji například v hosts (nebo různé malware hosts domain). Ovšem takhle to mám v rámci browseru. Já bych tento seznam chtěl mít, aby fungoval na mém mobilu/ laptopu, který se bude chovat jako access point (například pro použití setkání kamarádů, málokdo má data velkomožny, a já se uvolím, že zpřístupním AP., protože budeme třeba se muset podívat na google docs, nebo se na něco jiného podívat (ne porno), někdo bude čumet na FB, někomu se hned napíchnou mobily na aktualizace, Huawei začnou posílat telemetriji,.).

Jaký je správný přístup:?
1. Blokovat DNS - viz soubor s doménami. Jak provedu vlastní blokaci.
2. Blokovat IP . Nejprv proč: Je možné, že klienti budou mít vlastní DNS nebo je šance, že si mohou získat DNS překlad nějak jinak (například si nastaví vlastní DNS nebo prohlížeče používají různé DNS-HTTP nebo znají IP) *** Jak to technicky provést? Jak často například domény mění IP? Mám si udělat mapping seznamu domén na seznam IP? Co když mají domény a IP relační vztah M:N? je zde nějaké riziko, že zablokováním určité IP zablokuji i legitimní doménu (virtual hosti...) Jak to řešit? Co když naopak má jeden server víc IP (a jak to funguje vůbec)?
3. Blokovat DNS provoz ´mimo dns na můj server???

[phpkral]

Co blokovat? Vsechno!
A pak resit co potrebujes, aby fungovalo co pouzivas a pouz je to povolit

Tohle je smrtelné zobecnění a obecně to neni pravda.

U domácích sítí stačí blokovat nevyžádanou příchozí komunikaci a odchozí nechat povolenou. Příchozí komunikace je jasná. A co se týká odchozí, tak tu má cenu blokovat jen u zákazníků, kteří vysloveně požadují zákaz určitých služeb ze stanic.

[jouda]

Jaký je správný přístup:?
1. Blokovat DNS - viz soubor s doménami. Jak provedu vlastní blokaci.

Ano. Záleží na nameserveru a na tom, jak jste s ním obeznámen, těch možností je mraky. Například pro nežádoucí vytvoříte vlastní zónu s hvězdičkou někam (ale viz dále). Nebo na rootu byl asi před rokem hezký článek o blacklistech na bindu.

2. Blokovat IP . Nejprv proč: Je možné, že klienti budou mít vlastní DNS nebo je šance, že si mohou získat DNS překlad nějak jinak (například si nastaví vlastní DNS nebo prohlížeče používají různé DNS-HTTP nebo znají IP) *** Jak to technicky provést? Jak často například domény mění IP?

Ano. Např iptables. ale viz dále

Mám si udělat mapping seznamu domén na seznam IP? Co když mají domény a IP relační vztah M:N? je zde nějaké riziko, že zablokováním určité IP zablokuji i legitimní doménu (virtual hosti...) Jak to řešit? Co když naopak má jeden server víc IP (a jak to funguje vůbec)?

Ano, ano, ano :-). Kladete správné otázky, odpověď je složitější. Věci v cdn má obvykle cenu blokovat spíš podle DNS. Jiné věci zase podle IPček (nebo ip rozsahů), všechno je případ od případu, někdy až podle SNI (pokud máte něco co to dokáže efektivně rozhrabat - z free věcí možná snort?).
Taky není úplně od věci nastavit proxy a blokovat to na ní, dost to omezí potřebu třídit traffic napřímo. (a hodí se to i jinak, viz dál)

3. Blokovat DNS provoz ´mimo dns na můj server???

Spíš přesměrovat na DNS vlastní, optimálně i logovat ať víte co se ve vašich vlastních zařízeních děje.

Pozn. To viz dále - pak zjistíte, že když ty zablokované věci přesměrujete někam do /dev/null tak se načítá neskutečně pomalu. Tak to přesměrujete někam, kde žádný web není. To zase pár věcí rozbije. Tak vás napadne, že si rozjedete vlastní webserver kam ty kritické věci dáte. Pak zjistíte že polovina nefunguje kvůli důvěryhodnosti certifikátu. Pak si rozjedete vlastní CA, naimportujete do svých zařízení a něco málo začne fungovat - pak třeba reklamy na některých našich TV webech prostě přesměrujete do vlastní sekundové .mp4. Pak zjistíte že někde ani to všechno není. Pak si rozchodíte squida s https inspekcí kterej to posílá do icap serveru, kde si pohodlně napíšete celkem triviální filtry a můžete koupit popcorn a z povzdálí na některých webech sledovat věčný boj s adblockem ;-)
Ale celé to je dost namáhavé a výsledek je, že máte pár desítek nejoblíbenějších webů odvšivených a dalších pár tisíc rozbitých, což vás netrápí protože tam nechodíte a případně si je owhitelistujete.

[jouda]

ano len v pripade forwardu sa da predist napr. utokom pod hlavickou lokalnej siete a vypisanim tych co sa pouzivaju a zablokovanim ostatnych sa da tomu predist...

Boha, tohle někdo musí dělat ručně? /proc/sys/net/ipv4/conf/_IF_/rp_filter
(případně RTFM od jakéhokoli komerčního firewallu - kterej navíc dost hlasitě řve když to někdo nastaví špatně).
U lokální sítě bych se spíš zaměřil třeba (Cisco) na 802.1x, dhcp snooping a věci okoli.

... pro rejpaly - vzhledem k charakteru dotazu nepředpokládám složitější topologii, dynamický routing apod.

[Miroslav Šilhavý]

dobrý den, chtěl bych například blokovat domény facebooku nebo reklamních serverů, které mám v primárním zdroji například v hosts (nebo různé malware hosts domain). Ovšem takhle to mám v rámci browseru. Já bych tento seznam chtěl mít, aby fungoval na mém mobilu/ laptopu, který se bude chovat jako access point (například pro použití setkání kamarádů, málokdo má data velkomožny, a já se uvolím, že zpřístupním AP., protože budeme třeba se muset podívat na google docs, nebo se na něco jiného podívat (ne porno), někdo bude čumet na FB, někomu se hned napíchnou mobily na aktualizace, Huawei začnou posílat telemetriji,.). )

1. Toto se blokuje v spolehlivě jedině na proxy serveru, který umí filtrovat HTTP/HTTPS obsah. Nevýhodou je ztráta infromace o certifikátu.
2. Pokud nenastavíte absolutně restriktivní politiku firewallu (tj. že ven smí jít provoz POUZE na ručně vybrané IP adresy), nemůžete očekávat, že telemetrie neleakne ven. Běžně je telemetrie (záměrně) odesílána zároveň s provozem, který budete chtít povolit (např. aktualizace android? zapnutí hry v multiplayeru?).

Pokud je Vaší prioritou bezpečnost ve smyslu "nenakazit se něčím", pak lze o firewallu uvažovat. Pokud máte na mysli "nemoci být sledován", pak je to zbytečná námaha.

[Vilith]

Pokud nechces byt sledovan, tak se odstehuj do hor nebo hlubokeho lesa.
A hlavne nelez na internet