linux user group brescia
immagine del castello

Archivio della mailing list

iptables e as400

Luca Giuzzi giuzzi a lugbs.linux.it
Mar 10 Dic 2002 13:02:54 UTC 
On Tue, Dec 10, 2002 at 12:33:21PM +0100, Alieno666 wrote:
> 
> Alle 14:16, lunedì 9 dicembre 2002, Luca Giuzzi ha scritto:
> 
> > Innanzi tutto... che e' tutta sto moda per i firewalls di questi tempi??
> > Un firewall e' una cosa utile e necessaria in determinati frangenti
> 
> Scusa una domanda: dici che piuttosto che configurare male un iptables è 
> meglio lasciare le tabelle vuote in policy ACCEPT come di default?

Lo dico e lo sottoscrivo... una cattiva configurazione fornisce un falso
 senso di sicurezza... in piu', e' chiaro che quello che NON si installa
 non puo' essere forzato.

Versioni bacate di ssh sono piu' insicure di telnet, ricordiamocelo...
e tanti amministratori hanno bellamente ignorato gli advisory di
sicurezza

> Ultimamente sto giocando un po' con iptables (la mia è solo una rete casalinga 
> senza nessun dato "importante") e alcuni tutorial ad esempio consigliano di 
> bloccare i segmenti icmp echo-request.
> 

Beh... se vuoi disattivare la risposta al ping... ma io trovo il ping
utile in molti casi (come pure il traceroute) e mi secca non poco che
un firewall blocchi il tutto... che cosa migliora poi? La risposta
ai ping broadcast dovrebbe essere disattivata a livello di sistema,
 ma altrimenti conoscere se una macchina e' su non fornisce il destro
a troppi attacchi...

> Io vorrei avere solo i servizi ssh, vnc e ftp (più ddclient).
> Dici che non è necessario nessun firewall?
> 
Installa solo quei servizi... da xinetd.d (o da /etc/services se usi
inetd classico) disattiva tutto il resto.

> > [sorry about this, ma ho visto abbastanza firewalls configurati male
> >  di recente da essere scettico ... non e' l'insicurezza che mi preoccupa
> >  ma l'illusione di sicurezza]
> 
> Non voglio certo un firewall per sentirmi inattaccabile ma neppure lasciare 
> via libera al primo lamer di turno su irc...
> 

mah... se il sistema e' aggiornato ed ha solo i pacchetti che servono,
allora voglio vedere che puo' fare il lamer di turno...
chiaramente avere un firewall che lascia aperta solo la porta di ssh
e installare una versione di ssh bacata non protegge da nulla...

> Ps non ho ancora capito a che servono le porte aperte da portmap però!
> 
A gestire i servizi che si appoggiano sul portmapper... in particolare
RPC ... ad esempio serve per NFS, o per la gestione del fam...

Ciao,
 lg

Maggiori informazioni sulla lista Lug