Názory k článku
Firewall kontest

Co je tak úžasného na "firewallu", který vůbec nic nepropustí a nebeží na něm ani jedna služba? To už tam vůbec nemusí být ani kabely, ne? :-)

Todle je těžká komerce. Když budu chtít neprůstřelný firewall, tak tam dám OpenBSD a mam jistotu. Tohle je jenom divadýlko.

No, to se dovime v te recenzi, ne? :-))) ... doufam ... :-))) Komerce to urcite je, ale musim priznat, ze jsem na Ty recenze komercnich firewallu (pokud nezustane jenom u jende (popr u jednoho pokusu o recenzi)) docela zvedavy....
A na BSD to bezi,ne? I kdyz na FREE ....

pokial si pamatam nejake podobne divadlo skusal uberhaxor JXD nie az tak davno...hacknite mi pocitac na ktorom nic nebezi...

:)) Na pocitaci za firewallem bezi vsecky bezne sluzby:) Jen v teto fazi by se na ne nikdo zvenci nemel dostat. Bud se to nekomu povede a pak Firewall zklamal, nebo nepovede a pak v tomto konkretnim testu uspel.

Pokud vse vyjde optimalne, tak chvilku po ukonceni tohoto testu prijde test druhy s "normalne" nastavenym firewalem.

Berte to jako test zahrnujici X dalsich veci.

1. Uvidime jak "disciplinovane" se budou lide chovat. Pokud by to vedlo ke skenovani vsech pocitacu v domene, nebo DDoSovani vseho co se hybe atd. tak nema smysl tyto testy delat. Prineslo by to vetsi ujmu nez uzitek.

2. To default nastaveni, tj Inbound vse zakazane a Outbound Vse povolene je pro mnohe firmy take konecnou. Proste to nepotrebuji prestavovat. A kdyz chteji nekoho pustit dovnitr zvenci, tak je k tomu obvykle dodany VPN manazer.

3. Nikdo neozkousel v realnym provozu, jestli treba fluktuace napajeni to ve spojeni s nejakou kombinaci paketu neshodi. Mj. se overi, jestli to umi bezet aspon tyden bez padu.

5. Uvidim, jestli to vubec nekdo bude zkouset. Jestli to ma vubec cenu verejne provadet. Bez zajmu testeru jsou testy bezpredmetne.

Rad bych otestoval co nejvic firewallu. Prvni test jako tento (nejspise by stacila kratsi doba), tj. nechat default nastaveni z firmy. Potom provest druhy test ... s mnohem realnejsim nastavenim. Jenze pak uz se testuje spis administrator stroju za firewallem a jejich software, nez samotny firewall. Na fw jde overit, pokud ma neco jako blacklisting. Kdyz ho nekdo z nejakeho IP oscanuje, tak by ho tam mel zaradit a nepustit ho treba ani k webu apod.

Nakonec, ja se nebranim ani srovnatelnym testum softwareovych firewallu, zvenci to je prakticky to same.
Pokud nekdo najde cas, tak necht otestuje napr Linux s IPTables, ci pecku s FreeBSD. Podminkou je trvani testu po rozumnou dobu, nejmene 4 dny po zverejneni IPcka na webu.

Rad bych aby vznikla databaze firewallu, kde budou odkazy na jejich recenze, jejich vysledky v realnem provozu. Zkusenosti s konfiguraci. Zkusenosti majitelu techto fw i zkusenosti se servisem.

Sami vidite, ze moc komercni to neni, protoze takovato databaze zakaznikum umoznuje si vybrat a tak bere marketingu vitr z plachet, protoze na plane sliby jim nikdo neskoci.

Z toho plyne ma obava, ze jen maloktera firma/vyrobce/distributor do toho pujde. Vlastne se Rekonixu divim, ze do toho jdou. Asi tomu firewallu proste veri. Uvidime jestli se najdou i dalsi, kdo zariskuji:) Taky uvidime, jestli me Univerzita s timto nevypakuje:) Nikdo nevi, jak moc budou lidi fair-play dodrzovat. Proste je to experiment, ale pokud jsem zacal psat recenzi a pokud nechci aby byla jen planym povidanim bez realnyho overeni, tak si myslim, ze to ma smysl.

Tyto projekty maji smysl pokud se rozjedou ve vetsim.
Pak je mozna i sance ziskat od sponzoru ceny a mozna nejen pro uspesne prorazivsi:) To vse ale ukaze teprve budoucnost.

Jesli neceho mam malo, tak je to cas. Takze vitam dalsi pokusy, pokud mate cas, pustte se do toho. Staci mi zaslat mail od kdy do kdy a na jakem IPcku to visi. Pridam to do tabulky. Samozrejme tez podminky za jakych to je testovano a o co se jedna.

pravidlo default inbound deny by si asi este vyziadalo dmz minimalne s mailserverom inac by sa asi do firmy s takto nastavenym fw nedostali maily a bezpecnost siete nie je len zalezitostou fw ale aj administratora siete btw v poslednom cryptograme je celkom zaujimavy clanok o moznostiach zvysenia bezpecnosti firemnych sieti (skor uvaha ako prakticky navod)

Vsecko zalezi na tom, co to je za firmu. Mnohe z nich pouzivaji freemaily, ci maji maily u providera. Kdyz maji pocitac kde bezi mail, obvykle tam bezi i firewall a nepotrebuji externi krabicku.

Stran testu firewallu da shodny vysledek jeden otevreny port, jako deset otevrenych portu. Protoze pak dochazi k hackovani konkretni sluzby na stroji za FW, misto hackovani firewallu. U nej je dulezity, jestli spravne podle filtru neco pusti, nebo nepusti, co je dal ho uz nezajima. Nesmi se stat, ze by ho neco shodilo a otevrelo sit dokoran. Naopak firewall musi pustit ven lidi zevnitr. Ale to uz je o nastaveni.

Ono pokud je firewall standalone krabicka, tak je vubec tezke neco testovat. Bud to funguje, nebo nefunguje a nebo je to blbe nastaveny:))

toto nevyzera na zakazanie VSETKEHO inboundu...

maniac@lh[~]> telnet 147.230.190.20 113
Trying 147.230.190.20...
Connected to 147.230.190.20.
Escape character is '^]'.
knock knock
0 , 0 : ERROR : FORMAT-ERROR
Connection closed by foreign host.
maniac@lh[~]>

toto nevyzera na zakazanie VSETKEHO inboundu...

maniac@lh[~]> telnet 147.230.190.20 113
Trying 147.230.190.20...
Connected to 147.230.190.20.
Escape character is '^]'.
knock knock
0 , 0 : ERROR : FORMAT-ERROR
Connection closed by foreign host.
maniac@lh[~]>

Mel by to byt auth. Zkuste zapatrat, treba to je prave ta dira, kterou to pujde.

samozrejme ze je to auth ;-) dokonca v roznych identd boli remote root zalezitosti, ale - predpokladam ze toto je novy OS takze to derave nie je a zaroven aj keby som si pustil bindshell na nejakom porte tak sa tam nedostanem, z toho vypliva, ze by som musel v shellcode zhodit fw rules, co je dost roboty na to aby sa s tym niekto len tak babral ;-)
btw co hovori grep maniac /var/log/* ?
nic?

zkuste si nmap, ten jasne ukaze, ze na tomto IP bezi pouze sluzba 113/tcp - auth, operacni system i386-linux-redhat (pravdepodobne to je 7.2). Zajimavejsi asi bude az realneji nastaveny firewall.

Hihi, ten poc je vazne za firewallem:)) Ja se k nemu dostanu az v ponedeli, ale zkoumat logy budu az jako celek. Vystavim to v nejaky rozumny podobe na web. Aby bylo videt co se vsecko zkouselo:) Nejprve z toho ale musim nejak odstranit IPcka. Bylo by nefer je vystavit.

Jinak na pingy to odpovida, takze FW zatim jede:)

Jestli to nekomu pomuze, tak jako zaklad poslouzilo tusim FreeBSD.

jestli chcete, tak muzete zkusit hacknout pocitac s ipckem 147.251.60.238
kamos ho pred chvili vypnul, takze na nem momentalne bezi priblizne tolik sluzeb co na tom vasem

No to je snad normalni za na fw nic nebezi ?
Naprosto nechapu, proc by tam jeste melo neco bezet !!!!
Zato capu test, chcou vyzkouset asi i stabilitu fw + jestli jej nekdo nedonmuti k propousteni paketu atd....

Presne tak. Vyrobce tvrdi, ze tohle je idealni bezpecnostni zarizeni. Nebezi na nem ani jedna sluzba navic. Ale je to jen software na nejakem hardware a jako takovy to muze mit mouchy. Nerikam, ze ma, ale snazim se to testem zjistit. Kazde zarizeni ma sve hranice

ahoj
mno mame tu pomerne hodne firewallu a nase sit je pocitam uz z principu napada pomerne hodne lidi ,ale pronik byl(a to jen diky spatne nastavenemu firewallu jen jeden co ja vim) -vsechno je cisco pixy - <br>
jedina vec co me napada u toho testovani - napriklad nektere firewaly od cisca pry maji problemy pri velkem narustu trafficu prez interfacy

A byl byste ochotny o tom sepsat mensi povidani? :)

Hmm.. zkuste na to vrhnout tak 70-120kpps a podivejte se na zatizeni cpu :) Cisco ma vseobecne poddimenzovane cpu v routerech, nevim vsak jak v pixu.

Myslim,m ze je blbost se divat na zatizeni CPU, pokud to jede, tak CPU proste staci. Jsem taky na pevne lajne a mam hardwarovy firewall, radsi nez super vykone CPU v nem jsem rad, ze nema aktivni vetracky, a nezere moc proudu :-)

Bohuzel nestaci. Priklad, NPE-225 pro 7200 dokaze forwardovat 225kpps (pri CEF) , pri 42Byte/paket to je neco kolem (pokud pocitam spravne) 72Mbps. Pri vyssim trafficu tomu zkutecne odumre CPU. A to je jen router.
Myslim, ze by bylo zajimave zmerit propustnost hardwaroveho firewallu i z tohoto hlediska :)

Je to na 2,5Gb lince ... a primo to je pripojeny na 10/100Mbit LANku, takze jestli chcete toto otestovat, smele do toho.

zda se mi to, nebo je ten stroj down?

Pratele, zbezne jsem na ten
IP uzel mrkl a kdyby to
nekoho zajimalo, tak
porty protokolu udp ma
otevreny vsechny ..... ;-)

v pripade ze ti ten stroj neposle unreachable na ten port, tak nmap si mysli, ze ten port je otvoreny
tie porty su teda odfiltrovane ako drop a nie ako reject..

Nzní se pokusím pootvírat zakladni porty a ozvu se zda bude pokracovani. Log file bude v brzke dobe vystaven na strankach kontestu (s odfiltrovanymi IPcky, aby nikdo nemel problemy:)

Na masine za firewallem se v logach neobjevil jediny radek.

Dnes rano jsem se od naseho obchodniho partnera, firmy Rekonix, dozvedel, ze dala RoBoX do tohoto testu na Root.cz [Nase firma vyrobce, spolecnost GTA http://www.gta.com, na trhu zastupuje, ale koncovi zakaznici by meli jedna primo s Rekonixem!] Puvodne jsem mel informace, ze pujde pouze o recenzi. O testu neprustrelnosti jsem se dozvedel az dnes. Zcela souhlasim, ze kde nic nebezi, neni co hacknout. Normalni stav je mozne nalezt napr. na 62.24.74.23 a 62.24.74.22, kde bezi nas vlastni firewall GB-Flash, coz je to same, ale ne jako BlackBox, ale jako software pro PC compatidebilni hardware.

Asi bych panu Kolarovi doporucil provest zmenu konfigurace a to takto: 1] Do PSN [DMZ] site umistit WWW a SMTP server, otevrit SMTP proxy a tunnel pro web. 2] Na externim NIC namapovat admin rozhrani [HTTPS a RMC]. 3] Zesilit obranu tim, ze zakazu ping a traceroute na externi rozhrani. 4] Nastavit logovani tak, ze bude vedet, co se kde "sustlo" Pak bych cely test zopakoval. Neosetreny WWW server za firewallem na PSN [DMZ] samozrejmne bude "prustrelny", pokud tam pouzije neosetrenou verzi, ale ani to vam neumozni do firewallu nebo firewallem proniknout do chranene site, coz je primarni ucel...

Sam jsem zvedav, jak tento test dopadne. BTW: Na nasich IPckach bezi tunnel do pcAnywhere na mem vlasnim pocitaci, jste vitani :-)

ja by som ale fakt nenechaval pustene na tom firewalle otvorene auth :) [mam taky pocit ze je to v default konfigu]

a) je to zbytocne ked nebezi na nom ziadna sluzba
b) je to potencialne nebezpecne (usudzujem podla pripadov z minulosti)

skor by som tam spravil na inpute nieco taketo -p tcp --dport 113 --reject --reject-with-tcp-reset

pekny weekend