On Mon, 17 Mar 2003 09:38:44 +0200 Silviu Marin-Caea <[EMAIL PROTECTED]> wrote:
> Imi dau si eu cu o parere pentru care as vrea ceva argumente contra, > daca sunt. > > Taiatul porturilor din firewall-ul este ultimul pas din securizarea > unei masini. Ultimul dar necesar in cazul unui admin care tine la securitate retelei/masinii. > 1. Update continuu, cel mai bine sa fie automat. Mai bine se buleste > masina (desi nu mi s-a intamplat niciodata) de la un update prost, > decat sa o sparga un kid. Update automat din surse externe=problema de securitate. S-a intamplat sa fie sparte serverele unor distributii in ultimele 12 luni. Nu voi da exemple pentru a evita flamewarurile dar cei interesati stiu unde pot gasi amanunte :) Daca e din surse interne deja insemana ca un admin a vazut ce este acolo si ce e nou si bun. Asa ca eu la punctul 1 as pune "update continuu si o BUNA informare a celui/celor care se ocupa de securitatea retelei". > 2. Configurare atenta a serviciilor; ruleaza numai cele necesare (asta > tine si de optimizare), si din acestea, asculta pe IP-ul public numai > cele care au treaba acolo. Foarte corect. > 3. Firewall, ca un fel de frectie, pentru cazul in care s-a gresit din > nestiinta sau neatentie la unul din punctele de mai sus. Niciodata nu exista 100% in real-world. Heisemberg a spus destul de multe despre asta. Ca sa ajungi cat mai aproape de 100% un firewall bine configurat pus in fata serviciilor (si ele bine configurate) nu face decat sa ajute. > Ce zic eu: daca punctele 1 si 2 sunt facute foarte bine (netstat -an > ajuta), atunci taiatul porturilor din firewall devine optional, o > munca de administrare suplimentara, fara un rezultat efectiv, si o > sursa de bataie de cap fara rost atunci cand se mai adauga niste > servicii. In materie de securitate NIMIC nu este in plus. Nici macar security-by-obscurity care poate fi un aliat valoros in unele cazuri. > Daca pe un port nu asculta nimic, atunci nu e nevoie sa fie taiat. Daca un port nu asculta nimic, nu e nevoie sa se poata ajunge la el. Paranoia=default. Flower -- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
