opsætning af firewall

start med at læse denne artikel

http://www.eksperten.dk/artikler/554

Normale porte kan jo være meget forskelligt, men her er nogle du kan have brug for

20 og 21 til FTP
22 til SSH
25 til smtp (sende post)
53 DNS (hjemmeside opslag, se artiklen for at sikre denne yderligere)
80 http
110 POP3 (hente post)

Hvis du skal anvende mere specielle tjenester som f.eks. VPN eller windows replikering og kerberos så skal der åbnes for et par porte endnu.


Generelt kan jeg ikke lave en liste, men kun sige at du bør læse artiklen og så overveje grundigt hvad du vil

Hejsa Bufferzone

Det er absolut en glimrende artikel, som jeg nu kan bruge til at beskrive mit spm. lidt bedre.

Jeg har allerede en god firewall (SmoothWall) som tilsyneladende fungerer udemærket. Alt er sat op mht. web og mail osv. på serversiden.

Det jeg ønsker nu er, at blive en god "netnabo" og vil gerne have lukket for alt og derefter åbne for det nødvendige...

Det jeg efterspørger er et udgående regelsæt.

Jeg ønsker at vide noget mere om "ephemeral" porte, samt alle de gengse til hvad man nu bruger derude.

Der er max point, så der må da være nogen derude der kan se deres firewall igennem og lave en liste over de porte man skal være opmærksom på.
Jeg spørger jo ikke om hvorvidt de er åbne eller ej, men bare hvilke de er.

Det går jo ikke at jeg lukker ned for alle porte og så åbner op efterhånden som mine kunder ringer ind og klager ;-)

Her er en liste:
http://www.chebucto.ns.ca/~rakerman/port-table.html

Så mangler jeg "bare" at finde ud af hvilke porte er nødvendige...

AT være en god internetnabo er en god ide, også for dig selv, idet det sikre at dine ressourcer ikke kan bruges til andre ting end dine egne. Det du skal have fat i er Egress filtering, der handler om andet end porte. Her er to gode ressourcer til dig:

Her beskrives egress filtering:
http://www.sans.org/rr/whitepapers/firewalls/1059.php

Dette er en komplet opgave med en analyse af en virksomheds samlede behov samt efterfølgende firewall og routeropsætning. Normalt laves egress filtering i routeren da den er absolut. I denne opgave kan du se den samlede opsætning og jeg vil faktisk foreslå at du nærlæser den, den vil kunne give dig nogle pointer og en dybere forståelse over emnet. Firewallen der bruges i oggaven er en netfilter og aldså den smoothwall er bygget oven på

http://www.giac.org/certified_professionals/practicals/gcfw/0526.php.


Når jeg kommer hjem i aften, har jeg adgang til det undervisningsmateriale der høre til ovenstående opgave, så skal jeg nok lige lave en oversigt over hvad du bør filtrere fra

Vedrørende de ephemerale porte, så håndteres det af den statefulle inspection. På en almindelig pakkefiltrerings router er du nødt til at holde alle porte over 1023 åben for indkommende kommunikation. En stateful inspection firewall hoilder state, dvs. den holder styr på kommunikationen således at alle svar pares med forespørgslen. Den ephemerale port åbnes således kun for erkendte svar og kun i det splitsekund depassere.
Specefikke ephemerale porte skal håndteres via specifikke regler for dem. Det er f.eks. port 5900 for VNC´, hvis du anvender dette. For disse porte gælder at du er nødt til at vide hvilke services der anvender faste ephemerale porte og så lave regler for dem

Ja det er spændende læsning, men jeg vil lige have styr på portene først. Men det er helt oplagt at gå i gang med senere.

Jeg har lagt et screenshot af min opsætning her, men den virker ikke. Hvad har jeg overset ?

http://www.trumf.dk/download/sw.gif

Du mangler i hvert tilfælde t tillade port 53 som er DNS porten og som er absolut nødvendig for at kunne foretage navneopslag. Du skal tillade udgående trafik på port 53 fra dine maskiner til din primære og sekundære DNS servers IP adresse (og kun denne ip adresse) og du skal tillade indkommende trafik på port 53 fra og kun fra din primære og sekundære DNS server. Du kan se deres IP adresser i din IP opsætning

Jeg har læst lidt op på Egress filtrering og her er hvordan det gøres.

Du bør starte med at forbyde alt udgående
Herefter tillader du de interne IP adresser du har på dit net og kun dem og du tillader dem kun at gå ud på de porte du har brug for.

I realiteten præcist hvad der står i min artikel. Hvis du starter med at forbyde alt, og derefter tillade kun det ker kan og skal være, så har du opnået maxdimal sikkerhed og at du er en god net nabo

Smoothwall er en Linux distribusjon som er utviklet spesielt for å kunne fungere som en hardware firewall ved hjelp av en PC hardware. I forbindelse med dette så er den utstyrt med et grafisk konfigurasjonsgrensesnitt. En hel del av de problemstillinger som man tenker på  når man setter opp en Linux firewall ved hjelp av script bør man ikke tenke på når man setter opp en Smoothwall.

Problemstillingene rundt returtrafikk i forhold til trafikk som er initiert fra innsiden er tatt vare på automatisk og som default (Problemstilling rundt porter for returtafikk (ephemerale porter)  + problemstilling for dynamisk åpning for returtrafikk (Statefull inspection)) Dette er tatt vare på automatisk så skal man ikke tenke på (Når firewall er Smoothwall).

Smoothwall har så vidt jeg husker ingen innstilling for filtrering av utgående trafikk (Egress filtering). Hvis jeg nå husker rett vedrørende dette, så skal man ikke tenke på dette heller.

Ved default installasjon så vil man vel ha full åpning fra lan og ut, fra dmz og ut, fla lan til dmz og så vil det være helt lukket fra internet/wan til dmz og til lan.

Dette er et ok grunnoppsett så lenge som man ikke har noen servere.

Dersom man ønkser å sette opp noen servere som skal være tigjengelige fra lan og fra internet så setter man disse opp enten på lan segmentet (typisk hjemmenettverk) eller dmz segmentet (virksomhetsløsning.)

Forbindelsen mellom wan-dmz-lan er en "routed forbindelse" dvs en forbindelse mellom ulike nettverkssegmenter (subnet).

Ikke alle services er laget for å skulle være routbare, dvs de er ikke laget slik at de i utgangspunktet kan passere forbi en router. En av disse ikke routbare tjenestene er Windows harddisk shares som bare er beregnet for å kjøre i en lan sone. Man kan derfor i utgangspunktet ikke plassere denne på dmz, men inne på lan.

De typiske wan tjenestene (de servertjenestene som skal kunne tilgås fra internet og lan) installeres på server(e) i dmz segmentet, hvis man bruker en dmz løsning.

For å sette opp mulighet for trafikk fra wan (internet) til dmz sonen så må man gå inn i konfigurasjonsmenyen:

Klikk på "Networking" og så på "Portforwarding".

Så skal man legge inn opplysninger om den trafikken som skal tillates (forwardes) fra wan (internett) til servern(e) i dmz sonen.

Man kan eventuelt legge inn flere åpninger enn det som man har bruk for, og så kan man hake av for (sette flueben) for om denne åpningen (regelen) skal være aktiv eller ikke.

I default oppsett så virker Smotthwall som en "enveisventil" den har 100 % åpning for all trafikk ut og ingen åpning for trafikk inn fra wan/internet og til dmz eller lan. Slik er den satt opp med en rimelig høy grad av default sikkerhet.

Når man så setter opp forwarding rules via det grafiske konfigurasjonsgrensesnittet så vil man kunne åpene for en og en port (med tilordning av protokoll.) fra wan til dmz (lan-dmz håndteres automatisk.)

Man kan jo for eksempel lage dette settet med forwarding rules der man kan aktivisere en og en forwarding etter behov (flueben):

tcp 20 - ftp data (Behøves ikke for Smoothwall 2.0 Åpne automatisk.)
tcp 21 - ftp initiering av trafikk.
tcp 22 - ssh demon
tcp 23 - telnet (Denne brukes vanligvis ikke lengre. Sikkerhetsmessig problem.)
tcp 25 - mail server
udp 53 - dns server
tcp 53 - dns server (Vil vanligvis ikke være i bruk. Sikkerhetsmessig problem.)
tcp 80 - web server
tcp 110 - pop3 server (for henting av mail)
tcp 143 - imap server (for henting av mail)
tcp 443 - SSL web server

For alle disse portene/protokollene så er det slik at man normalt lar feltet avsender ip bli stående åpen mens man setter begge port feltene med samme port. Man må også taste inn ip til serveren på dmz.

Det er altså kun forwarding rukes for trafikken til dmz serverne man behøver å sette opp. Det øvrige er bygget inn pr default som "automatiske" løsninger i Smoothwall. Oppsett av forwarding rules er ellers beskrevet i manuelaen på side 28.

Oppsett av Smothwall er i virkeligheten meget enkelt. Link til admin manual:
http://downloads.smoothwall.org/pdf/2.0/admin.pdf

Ut i fra de standard konfigureringsmuligheter som er tilgjengelig, så har man egentlig ikke så mange valg og det hele er egentlig nokså enkelt (nemt).

MVH Langbein.

Ellers el litt mer omfattende liste over protokoller og porter:
http://www.iana.org/assignments/port-numbers

Bufferzone>

OK det er det der er problemet!!!
DNS kører så vidt jeg ved både på TCP og UDP. Er det på begge jeg skal åbne op så ?

Jeg kører DNS fra GratisDNS.dk, som pt. har 5 navneservere. For at være helt sikker på at de alle kører, så kan jeg åbne til dem alle, hvilket bliver noget med 5 porte (5 ns), 2 protokoller (tcp og udp) og både ind og ud... skal jeg lave 20 regler, eller kun nøjes med et par af navneserverne ???

langbein>

Hejsa igen, længe siden :)

Du skal huske på, at jeg har rodet en del med smoothwall efterhånden, så mit problem er ikke den opsætning man kan med SW alene...
Jeg har installeret Full Firewall Control til den, så nu kan jeg også styre de udgående porte. De indgående har jeg styr på!

Men tak for en grundig forklaring på SmoothWall.

Er du selv kommet videre med den ?

Bufferzone>

Jeg kommer lige til at tænke på, at jeg ikke før har haft åbnet for indgående trafik på port 53, så mon ikke det kan klares med udgående alene ???

Script nesten nederst i tråden har detaljinfo omkring trafikkflow gjennom 3 port firewall: http://eksperten.dk/spm/541674

Jo der er ingen der skal ind til nogen dns server hos dig lokalt, så kun udgående er fint. Du kan oven i købet overveje kun at tillade udp, da tcp kun bruges til zonetransfers og meget store dns opslag. Dette er dog ikke et kardinal punkt.

fin liste der er i bunden af det link langbein. Jeg fjerner dog nok nogle af dem i min opsætning.

# LAN -> WEB
tcp 23 #ftp
tcp 53 #dns oppslag
udp 53 #dns oppslag
tcp 80 #http web
tcp 110 #pop3
tcp 119 #news
tcp 143 #imap
tcp 443 #https web

# LAN -> DMZ
tcp 25 #smtp mail
tcp 80 #http webmail client http
tcp 110 #pop3
tcp 143 #imap
tcp 443 #https webmail client https
tcp 465 #ssl-smtp
tcp 993 #ssl-imap
tcp 995 #ssl pop3
tcp 3389 #remote desktop

# WEB -> DMZ
tcp 25 #smtp mail
tcp 80 #http webmail client
tcp 110 #pop3
tcp 143 #imap
tcp 443 #https webmail client
tcp 465 #ssl-smtp
tcp 993 #ssl-imap
tcp 995 #ssl pop3

# DMZ -> WEB
tcp 23 #ftp nedlasting virus def. + sw.
tcp 25 #smtp mail
tcp 53 #dns oppslag
udp 53 #dns oppslag
tcp 80 #http nedlasting (windows update)
tcp 110 #multipop sjekk av eksterne pop kontoer

Bufferzone>
Er det ok med de porte til dns, eller var der noget med, at de skulle pege på gratisDNS's IP ?

Bufferzone>
Er det ok med de porte til dns, som peger ud på nettet, eller var der noget med, at de skulle pege på gratisDNS's IP ?
(jeg hoster kun domæner med DNS gennem gratisDNS)

eller laver min mailserver opslag på alle domæner (også afsender)

Det burte være nok med at åbne for port 53 trafik til din primære og din sekundære dns server. GratisDNS er så du kan opsætte en DNS record så andre kan finde dine services og har således ikke nødvendigvis noget med dine brugere at gøre. Om gratisdns kan bruges som primær eller sekundær dns server ved jeg faktisk ikke

øhhhhhh

Hvad er min primære og sekundære DNS ???
Er det noget internt på mit eget net eller hvad ?

Jeg har så vidt jeg ved ingen DNS server, men der kører dog en service på serverne...

Håper det er ok at jeg legger inn et par ord ..

DNS og DNS det er prinsippelt to helt forskjellige ting.

Det ene er DNS server rollen for ens egne domener, for eksempel den funksjonen som man kan ha kjørende på gratisdns.dk Man behøver ikke å konfigurere egen firewall for å kunne ha kontakt med denne. Når man har lagt inn de dns records som skal være der så behøver man ikke å tenke mer på den.

Den annen DNS server rolle er i forbindelse med klientenes dns resolving inne på eget lan. (Jeg kjenner ikke til at gratisdns.dk har noen løsning for dette, men det kan dog ikke utelukkes.)

Når det gjelder DNS resolver funksjonen så finnes det i prinsipp to måter å gjøre dette på.

Alternativ 1. Man kjører sin egen lokale dns caching server. Denne vil da typisk (men ikke nødvendigvis) kjøre på en av serverne på dmz. Hvid det finnes en slik dns caching server så vil denne kunne oppdatere seg direkte fra root servers rundt om i verden (.com .dk .no osv)

Hvis man benytter filtrering av utgående trafikk i kombinasjon med en caching dns server for å ivareta dns resolverfunksjonen på dmz da må man ha åpning for udp port 53 fra lan til dmz og for returtrafikk (statefull inspection) Desuten så må det også finnes en tilsvarende åpning ut fra dmz til wan for den samme trafikken. (Lan klientene spør dns proxy server og dns proxy server spør videre ut til dns root servers.)

Alternetiv 2. Hvis man selv ikke har en caching dns server og man fitrerer for utgående trafikk, så må man i stedet åpne for tilsvarende trafikk fra lan ut via wan kortet og fram til ISP (internettleverandøren) sin caching dns server. Her finnes vanligvis minst 2, den primære og den sekundære.) (Så vidt som jeg vet eller kjennenr til så leverer ikke gratisdns.dk denne tjenesten, men jeg vet det ikke sikkert.)

Hvis man velger å fitrere utgående trafikk så kan man nok vinne en litt bedre sikkerhet, samtidig som antall feil og driftsfortyrrelser (eller det som oppleves som det) blir 10 doblet. Problemstillingene rundt dns er bare en av disse problemstillingene.

Rådene over forutsetter at man ikke lar trafikken passere gjennom en http proxy. Hvis den gjør det og man velger å filtrere utgående trafikk, så gjelder det atter igjen noen spesielle problemstillinger for dette.

Hvis man lar være å filtrere utgående trafikk, da vil disse problemstillingene stort sett være borte.

I de tilfellene at jeg har satt opp filtrering av utgående trafikk på Linux gateways, så har jeg alltid pleid å legge inn to aternative script slik at man enten kan kjøre med fri trafikk ut og med filtrering inn eller filtrering begge veier. I praksis så har det blitt til at filtrering av utgående trafikk bare har kjørt ved spesielle anledninger. Ulempene er for mange. Hvis man skal sette opp regler for hver eneste type tillatt utgående trafikk (for eksempel dns) da vil det alltid og hele tiden være brukere som dukker opp med nye behov, slik at man må endre hele tiden (Eller si at tjeneste x ikke er tillatt på vårt nettverk.)

Til sist .. hva er dns resolver funksjonen ..

Vel, når du skal ikk på www.vg.no for eksempel, så må dette oversettes til en ip. Det gjør dns resolver funksjonen. Dette er nærmest som å bla opp i en telefonbog. Man har navnet og finner numret. Hvis man har en caching dns server, da har man en lokal telefonbog som oppdatteres etter behov. Hvis man ikke har det så må man slå opp i isp sin telefonbog for å finne de aktuelle ip.

Telefonboken kan være opptatt eller i stykker, derfor så er det braktisk å abonere på to stk.


Når det gjelder tjenestene til gratisdns.dk så er vel dette et sted der man kan publisere egne ip'er og egne domenenavn for hele verden, slik at disse tilorningene kan tas i bruk i forhold til alle dns resolvere rundt i verden. Så vidt som jeg husker så kjører gratisdns.dk hele 6 paralelle dns servere ved siden av hverandre for å gi mangedobbel sikkerhet og sikkert også for å spre (fordele) trafikken. Man kan si det slik at gratisdns.dk er en orginal telefonbog som sprer kopier av sine sider ut til alle andre telefønbøger (caching dns servere) rundt om i verden.

Vet ikke om dette er forklart rimelig forståelig, men det går eventuelt bra å spørre en gang til om det som eventuelt måtte være mest uklart.

MVH Langbein.

Hvis du kikker i din IP opsætning på dine netkort, så har de alle både en primær og en sekundær dns server indtastet

Nei, jeg kjører nå en enkelt caching dns server, så derfor finnes det ingen annen ip for dns server enn denne ene lokale dns server (hos meg 10.0.0.2). Det er sånn sett valgfritt om man vil sette opp en eller to. Man kan for eksempel kombinere en lokal med en ekstern slik at den eksterene trår inn hvis den lokale er nede.

Ellers så synes jeg at det kjører hurtigst med den ene lokale caching dns server.

Dette har jo ellers ingen ting å gjøre med dns resolver funksjonen å gjøre og ikke med den funksjonen man normalt konfigurerer hos gratisdns.dk (Master og secondary dns servers for aktuelle domener.)

(Men det kan jo være at gratisdns.dk ut over dette også kjører en caching dns 1 og 2 for resolver funksjonen, for det som jeg vet. Har ikke sett noen opplysninger som tyder på det.)

Hvis du forsøker å konfigurere om og sette opp bare en dns server for resolverfunksjonen (på kortene) så kjører det normalt fortsatt. Skal man registrere et nytt domene så må man ha minst to dns servere å registrere på .. (men det er noe annet ..)

MVH Langbein.

Rettelse:

Dette har jo ellers med dns resolver funksjonen å gjøre og ikke med den funksjonen man normalt konfigurerer hos gratisdns.dk (Master og secondary dns servers for aktuelle domener.)

Jo, går fremdeles surr i dette ..

Forsøkte akkurat nå å resolve mot ns1.gratisdns.dk Fungerte ikke, slik som forventet.

Spørsmål: Hva er en dns resolver ?
Svar: http://ntcanuck.com/net/tools/resolve/index.php

Jeg takker mange gange, I har begge været kanon ;-)

Jeg forstår meget mere nu, og har næsten fået sat min firewall op.
Jeg er nu en god "netnabo" fra min lan side og har fået åbnet for det der skal åbnes for, og lukket resten. Det kører dog ikke helt på DMZ, men det tager vi i et andet spm, da opsætningen er klaret.

Endnu engang rigtigt mange gange tak, det har været en super indsats I har ydet :)