Det eneste der skal åbnes for er vel VNC (styrer serveren via dette), DNS og HTTP/FTP (så jeg kan hente updates ned)... og så lige de porte som F1C og GTR bruger?
Det er jo en server, så der skal vel kun åbnes for det mest nødvendige..
Port 80 for alle undtagen interne IP adresser (10.0.., 192.168.. osv samt ikke tildelte adresser Port 53 men kun for din servers IP adresse til DNS serverens IP adresse, resten er unødvendigt port 5900 mener jeg VNC køre på, men den kan vist konfigureres til at køre på alt muligt jeg kikker lige på F1C og GTR, hvad så siden det er
Jeg har ikke kunne finde noget fast om porte til F1C og GTR, det ser ud til at de kører på ephemerale porte (dvs porte over 1023). Hvordan dette sættes op afhænger om din firewall er stateful eller ikke
Hvis din firewall er stateful, så kan den holde state. Dvs holde styr på hvilke pakker der høre sammen med hvad. På en ikke stateful firewall er du ofte nødt til at åbne alle porte over 1023 så svar på forespørgsler kan komme tilbage. En stateful firewall ved hvilke forespørgsler derer udsendt, og kan åbne for porten for det enkle svar og derefter lukke igen.
Det er rigtig godt at den er stateful, det giver meget forøget sikkerhed, og er den med stateful inspection, så kan det ikke blive ret bedre.
Hvilket fabrikat taler vi om?
når vi tlaer inbound er source en IP adresse på dit net og destination en adresse på internettet. Taler vi outbound er det omvendt. Det er her du f.eks. sætter de regler der begrændser trafik po port 53 (DNS) til kun at være tiladt fra din web server til din DNS server.
jeg skriver i øjeblikket på en lille artikel om overvejelser i forbindelse med opsætning af firewall regler. Der står noget af ovenstående i denne artikel. Jeg skal nok give dig et vink når jeg loader den op
Public åpning av TCP port 53 åpner vel for dns zone transfer ? Jeg forstår det slik at public TCP port 53 må være lukket mens public UDP port 53 kan stå åpen ??!!
(Dette står vel nevnt for eksempel i boken "Ziegler: Linux Firewals, Second dition, side 131", "Hacking Linux Exposed, side 85", og i den mer generele boken "Hacking Exposed, side 23". Omkring DNS security: "On the network side, you could configure a firewall or packet-filtering router to deny all unauthorized inbound connections to TCP port 53. Since name lockup requests are UDP and zone transfer requests are TCP, this will effectively thwart a zone transfer attempt"
Jeg har i hvert fall alltid konfigurert med public TCP port 53 lukket og public UDP åpen. Kjenner ikke til at dette gir noe problem eller noen andre indikasjoner på at teksten i boken er feil, med mindre at jeg da har missforstått det hele.
Noen kildehenvisninger som støtter det syn at public TCP port 53 bør stå åpen ?
Ellers ftp: TCP port 20 og 21, VNC: TCP port 5800 og 5900, dersom man skal ha muligheten til å bruke en web browser som klient. Er forresten usikker på om det egentlig er nødvendig å åpne både for port 20 og 21 (selv om begge er i bruk) eller om statefull inspection/ftp connefction tracking "mekanismen" vil åpne automatisk for port no 2 av disse. Ville vel kanskje tro at dette kan variere fra hardware til hardware.
En annen viktig problemstilling .. serv om det dreier seg om en server, kan det forekomme at serveren i noen tilfeller også skal kunne fungere som en klient. Skal den for eksempl hoste noen proxy funksjoner, der proxy funksjonen i praksis vil være både klient og server samtidig. I så fall så vil man vel også måtte vurdere problemstillingen rundt trafikkretningen ut og eventuelle statefull inspection regler relatert til dette ?!
TCP port 53 bruges til 2 ting. Zone transfer's og når DNS recorden bliver større end 512 bytes. Sker dette sendes et retur svar med en trunkeret bit sat og dns queryen genfremsendes som tcp (i stedet for udp) Ganske almindelig DNS teori og sådan gøres det også i praksis.
Det vil dog ikke betyde det store at lukke for tcp port 53 i virkeligheden, da det errelativt sjældent at DNS recorden bliver så stor. I de tilfælde hvor det sker vil du så ikke kunne åbne siden men få en meddelelse om at siden ikke kan findes da du aldrig får svar på din DNS query.
Jeg har masser af kilde materiale, men det findes ikke online, da det er materiale til GCFW certificering
Hvis du kører VNC (hvilket jeg ikke ville gøre, men OK - det er gratis), så skal du som minimum ændre porten, så du ikke bruger standardporten som alle sniffere jo starter med at søge på.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
