Mam dobre nastaveny firewall?

darksir

Ahoj,

prosim nasel by se nekdo tak ochotny a zkontroloval mi pravidla na firewallu? Nastavoval jsem si to sam a tak mam strach, jestli jsem neco nevynechal?

Za verejnou IP je jen mikrotik 751G-2HnD a na nem je povesena lokalni sit, ve ktere je linux server s LAMP a XMPP serverem. Chtel bych tedy dovnitr propoustet jenom HTTP/HTTPS, XMPP a VOIP a mit moznost se do vnitrni site (na verejnou IP mikrotiku) pripojovat pres L2TP VPNku, kde mi miktorik dela server.

Vsechno mi funguje, ale nejsem si jisty, jestli mam spravne definovana drop pravidla a zda je vsechno ostatni zablokovane.

Jak je to s aktualizaci firmware? Mam tam hooodne stary FW. Rikal jsem si, ze je kdyz to funguje, nebudu do toho hrabat, ale asi bych mel pravidelne aktualizovat na novejsi verze, kvuli zaplatam?

# jul/11/2014 13:49:05 by RouterOS 5.16

# software id = VJ2A-C7VY

/ip firewall address-list

/ip firewall connection tracking

set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \

tcp-close-wait-timeout=10s tcp-established-timeout=1d \

tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \

tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \

tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s

/ip firewall filter

add action=accept chain=input comment="default configuration" disabled=no \

protocol=icmp

add action=accept chain=input comment="default configuration" \

connection-state=established disabled=no

add action=accept chain=input comment="default configuration" \

connection-state=related disabled=no

add action=accept chain=input comment="== tik www admin ==" disabled=no \

dst-port=8080 protocol=tcp

add action=accept chain=input disabled=yes dst-port=80 protocol=tcp

add action=accept chain=input comment="== VPN ==" disabled=no dst-port=500 \

protocol=udp

add action=accept chain=input disabled=no dst-port=1701 protocol=udp

add action=accept chain=input disabled=no dst-port=4500 protocol=udp

add action=accept chain=input disabled=no protocol=ipsec-esp

add action=drop chain=input comment="default configuration" disabled=no \

in-interface=ether1-gateway

/ip firewall nat

add action=masquerade chain=srcnat comment="default configuration" disabled=\

no out-interface=ether1-gateway to-addresses=0.0.0.0

add action=dst-nat chain=dstnat comment="APACHE HTTP+HTTPS na server." \

disabled=no dst-port=80 in-interface=ether1-gateway protocol=tcp \

to-addresses=192.168.10.21 to-ports=80

add action=dst-nat chain=dstnat disabled=no dst-port=443 in-interface=\

ether1-gateway protocol=tcp to-addresses=192.168.10.21 to-ports=443

add action=dst-nat chain=dstnat comment="JABBER XMPP na server." disabled=no \

dst-port=5269 in-interface=ether1-gateway protocol=tcp to-addresses=\

192.168.10.21 to-ports=5269

add action=dst-nat chain=dstnat disabled=no dst-port=5222 in-interface=\

ether1-gateway protocol=tcp to-addresses=192.168.10.21 to-ports=5222

/ip firewall service-port

set ftp disabled=no ports=21

set tftp disabled=no ports=69

set irc disabled=no ports=6667

set h323 disabled=no

set sip disabled=no ports=5060,5061 sip-direct-media=yes

set pptp disabled=no

darksir

Tak děkuju :-)

ekrajnak

Z mojho pohladu je to nastavene celkom OK. Doplnil by som tam asi dropovanie Invalid paketou.

Pointa firewallu je pustit dnu iba Established spojenie, Related, pripadne ICMP, dropovat vsetko Invalid + pridat tam pravidla co potrebujes (http, l2tp pristup a pod.) Samozrejme na koniec vsetko ostatne DROP. Cize dopln ten drop invalid a budes mat v pohode ochranu z vonku.

Ak sa chces pozriet ako vyzera moj firewall tak ponukam demo. Je to moj domaci router, tiez tam mam nastavene nejaky NATy ale pouzivam ich iba obcas. Je to firewall ktory vsetko to co ty dropujes, on analyzuje a hlada SSH attackerou, port scannerou a pridava ich do black listou. A taktiez obmedzujem pocet ICMP paketou na router za minutu.

Adresa: home.ekrajnak.com (109.236.117.106 /2001:)

Meno: ispforum

Heslo: ispforum

rudolfdvorak

Z mojho pohladu je to nastavene celkom OK. Doplnil by som tam asi dropovanie Invalid paketou.

Pointa firewallu je pustit dnu iba Established spojenie, Related, pripadne ICMP, dropovat vsetko Invalid + pridat tam pravidla co potrebujes (http, l2tp pristup a pod.) Samozrejme na koniec vsetko ostatne DROP. Cize dopln ten drop invalid a budes mat v pohode ochranu z vonku.

Ak sa chces pozriet ako vyzera moj firewall tak ponukam demo. Je to moj domaci router, tiez tam mam nastavene nejaky NATy ale pouzivam ich iba obcas. Je to firewall ktory vsetko to co ty dropujes, on analyzuje a hlada SSH attackerou, port scannerou a pridava ich do black listou. A taktiez obmedzujem pocet ICMP paketou na router za minutu.

Adresa: home.ekrajnak.com (109.236.117.106 /2001:)

Meno: ispforum

Heslo: ispforum

Tvuj firewall se mi libi! Teda jeste by me zajimalo, kdy jsi vzal ty cisla portu z chainu virus.

ekrajnak

Tie porty som zobral z demo mikrotiku od developerov. Ale očividne, niečo sa mi tam chytá, takže to nechávam Ešte niekedy keď bude čas, tak to zanalyzujem, že čo vlastne sa tam chytá. Aj keď asi najzákladnejšie porty 135 - 139 a 445 som musel odtiaľ odobrať, lebo pristupujem ku svojmu NAS z vonku cez SMB. Ale určite si ich tam pridaj.

Adresa: demo.mt.lv

Meno: admin

Heslo: (žiadne)

darksir

Nebojis se te otevrene samby? Nebylo by lepsi neco, co bezi pres SSH? Ja treba na pristup k fileserveru z venku pouzivam webdav pres https. Ma to vyhodu, ze muzu primo pristupovat i z otevrenych wifin bez sifrovani, apod.

ekrajnak

Nebojis se te otevrene samby? Nebylo by lepsi neco, co bezi pres SSH? Ja treba na pristup k fileserveru z venku pouzivam webdav pres https. Ma to vyhodu, ze muzu primo pristupovat i z otevrenych wifin bez sifrovani, apod.

Samozrejme nie je to ideálny prípad. Ale zatiaľ som s tým nemal žiadne problémy, účty na vstup mám všetky zaheslované. Hmm, aj keď neviem či heslo do Samby sa prenáša šifrované. Ale každopádne mám tam aj FTP prístup (čo je síce tiež blbosť bez šifrovania).

Keď bude čas, nejak to skúsim opraviť / zmeniť / vyriešiť vhodnejšie

darksir

Ono nejde jen o to, jestli to bezi sifrovane, nebo ne... nakonec to by te musel nekdo odposlouchavat. Ale spis o to, ze kazda takova sluzba je potencialni riziko. Protoze vsechny ty aplikace maji nejake sve dosud neobjevene mouchy, v zavislosti na tom, jak casto aktualizujes vice, ci mene zneuzitelne.

V praxi to pak vypada tak, ze se ti pres otevreny port na takovou sluzbu muze utocnik pomoci nejake objevene a zdokumentovane chyby dostat bud do toho serveru, nebo potom pres nej dale do vnitrni site.

Proto je lepsi napad, pristupovat treba pres VPN tunel, protoze vsechny zranitelne sluzby mas ve vnitrni siti a do te se dostanes jen pres VPNku. Mas potom do systemu jen jednu potencialni diru :-)

Navic nemusis resit ani sifrovani, apod. Data putujou skrze sifrovany tunel. Prinasi to ale problem, pokud se chces pripojovat z cizich zarizeni, nebo poskytnou pristup cizim lidem. Musis je defakto pustit do site. Ale i to se da resit vhodnym rozdelenim site a volbou treba druheho uctu pro "rizikovy" VPN pristup.