Por que temos configurações complexas do iptables para serviços permitidos?

Navegue suas respostas
1

Em vários sistemas de servidores, encontrei dois estilos dominantes de iptables configurações de firewall:

O primeiro deles está bloqueando cada INPUT , exceto as portas de serviços fornecidos, como HTTP.

O segundo está bloqueando cada INPUT exceto os pacotes para conexões no estado NEW para vários serviços, com configurações elaboradas e todos os pacotes para conexões no estado ESTABLISHED . Ele também está bloqueando todos os pacotes OUTPUT , exceto os das conexões em ESTABLISHED state.

Que tipo de segurança esta última fornece que a primeira solução simples não gerencia?

É claro que pode ser útil bloquear usuários usando portas de saída por sua razão, mas se eu não precisar proteger o servidor de seus próprios usuários, mas apenas de ameaças externas, os dois métodos são idênticos ou o segundo ainda fornecer benefícios?

    
por dronus 20.02.2014 / 01:37

2 respostas

9

O primeiro tipo de firewall que você descreveu é stateless. É simplista e não acompanha as conexões; ele apenas verifica as regras dadas o mais rápido possível. Isso geralmente não é mais recomendado, exceto em circunstâncias em que o desempenho do firewall é um gargalo significativo, já que permite tráfego significativamente maior do que é óbvio à primeira vista. Particularmente, o tráfego que não está associado a uma conexão legítima pode passar por esse firewall.

O segundo tipo de firewall é stateful . Ele é capaz de rastrear estados de conexão, determinar se um determinado pacote está associado a uma conexão válida e aceitá-lo ou rejeitá-lo. É muito melhor para capturar tráfego inválido do que um firewall sem estado. Sem alguma preocupação primordial, todos os firewalls devem ser stateful para máxima segurança possível.

    
por 20.02.2014 / 01:46
0

Geralmente, trata-se de um mau planejamento da descrição anterior. Resolução de segurança reativa / apagar incêndios. Ou seja, "Oh merda, eles estão nos martelando no 123, trancam-no!" ou mais apropriadamente, lista negra. O último é uma forma de lista branca (melhor prática) e geralmente se resume a bloquear as coisas através da exclusão implícita e abrir o que você precisa, conforme necessário.

Qual deles você escolhe geralmente se resume ao seu ambiente / estilo.

    
por 20.02.2014 / 01:44

Tags

Por que é tão difícil conseguir servidores com Lote de Ram, mas poucos núcleos? Abrangência da Árvore Necessária com 2 Comutadores Geridos Dell Empilhados?