"utesallo" hardveres tuzfal

[tamas at ajrg.hu]

Hello!

Tegyük fel, hogy fogsz egy jól felkonfigurált linux-tűzfalat: semmilyen kívülről
érkező kezdeményezést nem enged át (még saját maga felé sem!), és belül nem
megpatkolt-meghackelt gépek vannak, valahogyan biztosítod, hogy ne települhessen
a belső gépekre vírus-trójai, stb.
Azt hiszem, hogy egy ilyen gépre mernék fontos adatokat bízni.

De mi is az elsődleges célja egy ilyen rendszernek:
az, hogy a belső gépeken/szervereken található adatokat mindenáron meg kell
védeni az elől, hogy ezt illetéktelen személyek megszerezzék.
Mivel lehet próbálkoznia a crackernek:
- A linux iptables moduljában kell találni valamilyen hibát. A saját véleményem
az (és lehet, hogy ebben tévedek), hogy ezt már páran átnézték, és reméljük,
semmilyen támadási felületet nem nyújt. (Bár az is igaz, hogy tökéletes program
nincs, viszont ez ebben az esetben vonatkozik az általad misztifikált egychipes
tökéletes tűzfal firmware-ére is.)
- Valahogyan (levélben, weboldalon, IE hibájait kihasználva) be kell juttatni a
gépbe egy trójai programit, ami majd egy külső IP című gép felé kapcsolatot
kezdeményez, amit meg mint tudjuk, a firewall gond nélkül kienged. A
védekezésként e-mail vírusvédelmet, spyware detektálást, windows update-et,
IE-től különböző böngésző használatát, stb. lehet javasolni. Felhívnám a
figyelmedet arra, hogy ebben az esetben egy tökéletesen működő alaptűzfalon
keresztül fértek hozzá az adataidhoz.
- Abban a pillanatban, amint a tűzfalon megnyitsz bizonyos portokat (pl. egy
belső gép webszervere felé, vagy magán a tűzfalon telepített webszerver miatt -
esetleg levélszerver vagy SSH és telnet szerver felé), abban a pillanatban el
lehet kezdeni támadni azt az alkalmazást, és ha az nincs tökéletesen beállítva
- van valamilyen sebezhetősége, akkor már be is tudtat juttatni a belső gépbe
azt a trójait, ami az portot nyit, kijuttatja az adatokat, belülről támadja a
tűzfaladat, stb.

Lehet olyan tűzfalakat is telepíteni, amelyek az átmenő forgalmat figyelik és
szűrik, illetve valamilyen szempont alapján korlátozzák a belső gépek
internet-elérését, hogy egy esetleges, már futó trójai ne tudjon kimenni a
Netre, de ebben is vannak hibalehetőségek.

A tanúság szerintem az, hogy lehetőleg tartsd karban a belső gépeket, és
lehetőleg minél kevesebb szolgáltatást, minél kevesebb portot nyiss meg a
tűzfalon. Ha mindenképpen szeretnétek Web szervert üzemeltetni, akkor például
nagyon észnél kell lenni, lehetőleg az ne a tűzfalon legyen, ha valami
szerveroldali webnyelvet (PHP) használtok, akkor azt nagyon tudni kell
felkonfigurálni, stb.

Még egy eszembe jutott, hogy a mindenfajta DSL-Routerekben is van valamilyen
szintű tűzfal, és ma már nagyon sok olyan van, amelyikben belülről egy embedded
linux fut... De ha már itt tartunk, a T-Com által adott D-Link ADSL modemben is
linux van, letölthető a forrása!

És mivel a témát messze nem ismerem 100%-ig, kérem, hogy ha hülyeséget írtam le,
akkor javítsátok.


Üdv.
Tamás



Idézés indicator <indicator at freemail.hu>:

> Udv a listasoknak,
>
> valami jo kis hardveres tuzfalat keresek, persze nem aranyarban.
>
> Az irodank bejovo, fix IP-s ADSL-je mogotti 4-5 gepet kene megvedeni.
> Eloszor egy linuxos, megfeleloen konfigolt PI-es gepre gondoltam, de....
> Komoly rendszergazdaktol hallotam eleg elgondolkodtato dolgokat, megpedig
> hogy egy igazan kepzett hacker (vagy cracker, most ez tokmindegy) egy
> ejszaka atjutott egy 200 gepes rendszert vedo Novell auth szerveren es a
> mogotte levo Linuxos tuzfalgepen is, pedig mindket gep szepen
> karbantartott, konfiguralt es patchelt volt. Hiszen vannak ugye olyan
> buffer overflow, trace es pingelesi trukkok valamint opsystem hibak, amik
> kiskaput nyitnak meg ezekben a "biztonsagos" rendszereken is, ha igazan
> komoly tudasu ember probalkozik. Mint tudjuk, nemreg jelent meg az IT
> hirekben az is, hogy
> megszereztek a Cisco routerek forraskodjat (!) es ebbol rogton sok hack
> szuletett es eleg nagy balhe van.
>
> A lenyeg:
>
> Arra gondoltam, hogy valami tok egyszeru, "szinte egychipes" hardveres
> tuzfal kellene, ami olyan buta, hogy utni-vagni lehet, es egyuttal olyan
> hmmm "primitiv" is, hogy egyaltalan nem lehet ravenni semmi rosszra.
> Biztos van itt olyan profi, aki egy linux-al is tud koszikla szoftveres
> tuzfalat csinalni, amiben megbizik, de az nem en vagyok.
> Azt hallottam, hogy bizonyos D-link routerek beepitett tuzfala
> attorhetetlen(?), pedig hat az nem is nagy marka. De talan olyan egyszeru
> es a maga nemeben "makacs" a kis firmware benne, hogy nem lehet atverni es
> megzavarni.
>
> Mit javasoltok, ami mar bizonyitott? A szokasos (http 80 stb.) portokat
> kene atengedni, a tobbit, ami veszelyes, pedig _atomstabilan_ kene zarni,
> pingeles es "denial of service" ellen is.
> Azt akarom, hogy a legjobb hacker is lepattanjon, ha ez egyaltalan
> lehetseges... eppen a rendszer primitiven egyszeru volta miatt.
>
> Udv:
>
> H. Peter
>
>
> -----------------------------------
>  Szponzorunk: http://tonerbolt.hu/
>




----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.