On Sun, 16 Mar 2003, Mircea Ciocan wrote:
immediately or prohibit access to TCP ports 139 and 445.
asta spune multe. sunt f. multi idioti pe lumea asta. orice provider care se respecta filtreaza deja 137-139.
Imi dau si eu cu o parere pentru care as vrea ceva argumente contra, daca sunt.
Taiatul porturilor din firewall-ul este ultimul pas din securizarea unei masini.
Cam orice serviciu are optiunea de a asculta numai pe anumite interfete. De ex., in cazul samba, pe un computer care are un IP public si unul privat:
bind interfaces only = yes interfaces = 192.168.1.1/24
Pasii simpli si eficienti pentru o masina rezonabil de sigura ar fi asa:
1. Update continuu, cel mai bine sa fie automat. Mai bine se buleste masina (desi nu mi s-a intamplat niciodata) de la un update prost, decat sa o sparga un kid.
2. Configurare atenta a serviciilor; ruleaza numai cele necesare (asta tine si de optimizare), si din acestea, asculta pe IP-ul public numai cele care au treaba acolo.
3. Firewall, ca un fel de frectie, pentru cazul in care s-a gresit din nestiinta sau neatentie la unul din punctele de mai sus.
Ce zic eu: daca punctele 1 si 2 sunt facute foarte bine (netstat -an ajuta), atunci taiatul porturilor din firewall devine optional, o munca de administrare suplimentara, fara un rezultat efectiv, si o sursa de bataie de cap fara rost atunci cand se mai adauga niste servicii.
Daca pe un port nu asculta nimic, atunci nu e nevoie sa fie taiat.
--
Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
