Conceptul the firewall nu este de "a taia porturi", ci mai curind a "acomoda/lasa porturi", avind insa la baza "by default deny everything" ... ceea ce vreau sa spun este ca inca ma surprinde ideea ca multi seteaza un firewall lasind totul sa treaca, si apoi inchizind porturi pe care le considera periculoase. Cind aud despre: "inchideti portul 137, 138, 139 sau 445" este destul de dureros ... pai de ce erau deschise "catre Internet" de la inceput?!? ... daca nu cumva din cauza conceptului care a fost aplicat gresit?!?
Cu alte cuvinte "filtrarea 137-139 sau 445" nici nu trebuie sa existe ca terminologie ... pentru ca ele trebuie sa fie parte din "default deny policy" Stefan On Monday 17 March 2003 01:38 am, you wrote: > Valkai Elod wrote: > > On Sun, 16 Mar 2003, Mircea Ciocan wrote: > >> immediately or prohibit access to TCP ports 139 and 445. > > > > asta spune multe. sunt f. multi idioti pe lumea asta. orice provider care > > se respecta filtreaza deja 137-139. > > Imi dau si eu cu o parere pentru care as vrea ceva argumente contra, > daca sunt. > > Taiatul porturilor din firewall-ul este ultimul pas din securizarea unei > masini. > > Cam orice serviciu are optiunea de a asculta numai pe anumite interfete. > De ex., in cazul samba, pe un computer care are un IP public si unul > privat: > > bind interfaces only = yes > interfaces = 192.168.1.1/24 > > Pasii simpli si eficienti pentru o masina rezonabil de sigura ar fi asa: > > 1. Update continuu, cel mai bine sa fie automat. Mai bine se buleste > masina (desi nu mi s-a intamplat niciodata) de la un update prost, decat > sa o sparga un kid. > > 2. Configurare atenta a serviciilor; ruleaza numai cele necesare (asta > tine si de optimizare), si din acestea, asculta pe IP-ul public numai > cele care au treaba acolo. > > 3. Firewall, ca un fel de frectie, pentru cazul in care s-a gresit din > nestiinta sau neatentie la unul din punctele de mai sus. > > Ce zic eu: daca punctele 1 si 2 sunt facute foarte bine (netstat -an > ajuta), atunci taiatul porturilor din firewall devine optional, o munca > de administrare suplimentara, fara un rezultat efectiv, si o sursa de > bataie de cap fara rost atunci cand se mai adauga niste servicii. > > Daca pe un port nu asculta nimic, atunci nu e nevoie sa fie taiat. -- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
