As tabelas de IP precisam ser configuradas ou um firewall autônomo é suficiente?

2

Eu tenho dois desktops e um laptop executando o Arch Linux. Eu não configurei nenhuma regra de iptable em nenhuma das máquinas, e estou curioso para saber se devo.

Uma área de trabalho é usada apenas em minha rede doméstica e é "protegida" por um modem a cabo / roteador / firewall que é essencialmente desconfigurado e não mantido (alterei a senha padrão quando a obtive e não a analisei desde em 3 anos). A área de trabalho executa aplicativos de usuário doméstico padrão (por exemplo, navegação na Web e Skype), além de um servidor SSH. Tanto quanto eu posso dizer a configuração padrão do firewall bloqueia todas as conexões de entrada, desde que eu só possa se conectar ao servidor SSH de dentro de minha rede doméstica.

O outro desktop está atrás do firewall da minha universidade. É mais permissivo (posso usar o SSH na máquina do campus) e espero ter uma manutenção melhor. Além do servidor SSH, a máquina não faz nada relacionado à rede além da navegação na Web e do Skype.

O laptop é usado atrás do firewall doméstico, do firewall da Universidade e, às vezes, de redes públicas sem fio e com fio sem fio (por exemplo, hotéis e lanchonetes).

Vale a pena configurar tabelas IP e, em caso afirmativo, a configuração deve variar entre as máquinas? Potencialmente relacionado, vale a pena configurar um firewall independente separado para proteger minha rede doméstica?

    
por StrongBad 01.05.2014 / 10:51

2 respostas

1

O uso ou não de iptables depende de você. Você tem que olhar para o que é capaz e o que você quer fazer. Em um nível muito alto, iptables pode fazer 3 coisas muito bem:

  1. Filtrar tráfego de rede de entrada
  2. Filtrar tráfego de rede de saída
  3. Tráfego de log

Normalmente, a configuração de iptables é desnecessária em sistemas que estão atrás de um roteador residencial, porque esse roteador deve bloquear pacotes de entrada por padrão. Se você decidir expor um serviço à Internet (por exemplo, ssh) e encaminhar uma porta em seu roteador para um servidor ssh em sua rede, usar iptables se tornará um pouco mais relevante. Ele pode ser usado para filtrar o tráfego com base no bloco ip / network de origem ou destino, controlar os erros icmp que seu sistema responde ao tráfego indesejado ou até registrar todos os pacotes enviados para qualquer um, nunca.

A questão é realmente:

  • você tem algum serviço em seus computadores que não deseja pessoas para interagir?
  • existem serviços externos que você não deseja que as pessoas em sua rede ser capaz de se conectar?
  • quanta log você quer fazer?

Informação adicional:

HOWTO do iptables do CentOS

Ulogd

man iptables procura por REJECT

    
por 01.05.2014 / 13:32
0

Na verdade, você está fazendo algumas perguntas diferentes. Aqui estão os problemas que você levantou e os pontos que precisam ser abordados:

1) Laptops que podem se conectar a outras redes, e não apenas a sua casa ou a universidade, talvez o café, a casa do grão-m ou um hotel distante; você realmente precisa estar executando um firewall interno. Se for LINUX / UNIX, o iptables é uma boa opção. Você precisará do Windows Defender para Microsoft, etc. Caso contrário, não importa o que você tenha em casa ou na universidade, seu dispositivo estará sempre vulnerável quando em redes não totalmente controladas e protegidas.

2) Os desktops (por definição) não estão pulando de LAN para LAN, eles são estáticos. No entanto, desde que você introduziu na equação que seus dispositivos de LAN internos poderiam ser comprometidos pelos dispositivos móveis (por exemplo, Laptop) que, por sua vez, podem ter sido expostos nessas redes externas, você apresenta um excelente argumento de por que você Também preciso executar o iptables em seus desktops. Um tipo de "Cavalo de Tróia", seu laptop ou qualquer dispositivo móvel pode ser infectado e usar sua LAN local, protegida por seu firewall, para infectar seus outros dispositivos.

3) Por fim, muitas vezes esquecemos outros dispositivos (não móveis) em nossa casa ou universidade, atrás do firewall. Os militares chineses foram muito bons em infectar IMPRESSORAS em rede, por exemplo. Essas impressoras não têm recursos internos de firewall e costumavam ser acessadas porque o software de rede Plug-and-Play descartava firewalls no roteador local para permitir a conexão de dispositivos através de portas de impressora comuns como as portas 170, 515, 631 e / ou 9100, dependendo O manufatureiro. Hoje em dia, refrigeradores, alarmes de fumaça, aparelhos de TV, o nome dele - todos eles estão em rede, geralmente sem fio e em sua LAN local. Então, você está pensando que sua LAN está protegida por um firewall e algum antivírus em um dispositivo ou dois, mas a segurança é tão boa quanto a manutenção das regras do firewall / roteador e não permitir (ou pelo menos descobrir logo depois) / mudanças imprevisíveis feitas por um número incontável de dispositivos Plug-n-Play que trazemos dentro da LAN regularmente.

Estes três cenários realmente mostram que você absolutamente precisa estar executando o iptables. E, sabendo disso com antecedência, seria realmente "doloroso" se um desktop ou laptop fosse comprometido quando de outra forma seria / poderia / deveria ter sido evitado.

    
por 09.05.2014 / 20:16