Czy warto blokować przychodzące pakiety z punktu widzenia bezpieczeństwa?

0

Jeśli zablokuję wszystkie wychodzące pakiety za pomocą iptables, to teoretycznie mój system jest bezpieczny, ponieważ przychodzące pakiety nie będą w stanie uruchomić kradzieży danych. Jednak te przychodzące pakiety mogą nadal wykorzystywać jakiś błąd i zadawać obrażenia lub omijać zasady wychodzące iptables.

Moje pytanie brzmi zatem, jaki jest najbardziej rozsądny, wygodny i bezpieczny sposób zarządzania przychodzącymi paczkami? Czy powinieneś blokować cały ruch przychodzący i zezwalać tylko na zaufane / potrzebne serwery, czy powinieneś pracować na czarnej liście? Innym przypuszczeniem byłoby to, że za każdym razem, gdy wysyłasz pakiet SYN do serwera, serwer ten jest automatycznie dodawany do białej listy, więc kiedy próbujesz połączyć się z witryną, automatycznie pozwala mu odpowiedzieć. Czy istnieje sposób na zrobienie czegoś takiego wygodnie?

Dłuta
źródło

Odpowiedzi:

1

Innym przypuszczeniem byłoby to, że za każdym razem, gdy wysyłasz pakiet SYN do serwera, serwer ten jest automatycznie dodawany do białej listy, więc kiedy próbujesz połączyć się z witryną, automatycznie pozwala mu odpowiedzieć. Czy istnieje sposób na zrobienie czegoś takiego wygodnie?

Tak już działa większość stanowych zapór ogniowych (np. Routery domowe, ponieważ jest to wymagane do wykonywania translacji NAT, ale jest również powszechne na serwerach).

W iptables odbywa się to za pośrednictwem conntrackmodułu lub jego uproszczonej statewersji. Oba przykłady są równoważne z nowoczesnymi jądrami (chociaż myślę, że -m state było to wymagane w 2.6.x dniach).

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Chociaż, moim skromnym zdaniem, należy również bezwarunkowo akceptować przynajmniej -p icmpi -p ipv6-icmp.

W pf utrzymywanie stanu jest domyślne dla passreguł (chyba że no stateokreślono).

grawitacja
źródło
czy możesz wyjaśnić, dlaczego polecasz zaakceptować -p icmpi-p ipv6-icmp
ChiseledAbs
Chciałbym to również wiedzieć, ponieważ nie widzę w tym żadnej korzyści. Chyba że chcesz, aby świat wiedział, że istniejesz.
Lasse Halberg Haarbye
Świat już wie, że istniejesz, i nie uważa cię za wystarczająco ważnego, by się tym przejmować. Nie ma sensu ukrywać tego kosztem utraty bardzo przydatnego narzędzia do debugowania (ICMP Echo), łamania PMTUD (fragment zbyt duży ICMP), łamania IPv6 (ICMPv6 ND) i tak dalej.
grawity