Názory k článku Firewall kontest
-
Článek je starý, nové názory již nelze přidávat.
-
Radoomek (neregistrovaný)
:)) Na pocitaci za firewallem bezi vsecky bezne sluzby:) Jen v teto fazi by se na ne nikdo zvenci nemel dostat. Bud se to nekomu povede a pak Firewall zklamal, nebo nepovede a pak v tomto konkretnim testu uspel.
Pokud vse vyjde optimalne, tak chvilku po ukonceni tohoto testu prijde test druhy s "normalne" nastavenym firewalem. -
Radoomek (neregistrovaný)
Berte to jako test zahrnujici X dalsich veci.
1. Uvidime jak "disciplinovane" se budou lide chovat. Pokud by to vedlo ke skenovani vsech pocitacu v domene, nebo DDoSovani vseho co se hybe atd. tak nema smysl tyto testy delat. Prineslo by to vetsi ujmu nez uzitek.
2. To default nastaveni, tj Inbound vse zakazane a Outbound Vse povolene je pro mnohe firmy take konecnou. Proste to nepotrebuji prestavovat. A kdyz chteji nekoho pustit dovnitr zvenci, tak je k tomu obvykle dodany VPN manazer.
3. Nikdo neozkousel v realnym provozu, jestli treba fluktuace napajeni to ve spojeni s nejakou kombinaci paketu neshodi. Mj. se overi, jestli to umi bezet aspon tyden bez padu.
5. Uvidim, jestli to vubec nekdo bude zkouset. Jestli to ma vubec cenu verejne provadet. Bez zajmu testeru jsou testy bezpredmetne.
Rad bych otestoval co nejvic firewallu. Prvni test jako tento (nejspise by stacila kratsi doba), tj. nechat default nastaveni z firmy. Potom provest druhy test ... s mnohem realnejsim nastavenim. Jenze pak uz se testuje spis administrator stroju za firewallem a jejich software, nez samotny firewall. Na fw jde overit, pokud ma neco jako blacklisting. Kdyz ho nekdo z nejakeho IP oscanuje, tak by ho tam mel zaradit a nepustit ho treba ani k webu apod.
Nakonec, ja se nebranim ani srovnatelnym testum softwareovych firewallu, zvenci to je prakticky to same.
Pokud nekdo najde cas, tak necht otestuje napr Linux s IPTables, ci pecku s FreeBSD. Podminkou je trvani testu po rozumnou dobu, nejmene 4 dny po zverejneni IPcka na webu.
Rad bych aby vznikla databaze firewallu, kde budou odkazy na jejich recenze, jejich vysledky v realnem provozu. Zkusenosti s konfiguraci. Zkusenosti majitelu techto fw i zkusenosti se servisem.
Sami vidite, ze moc komercni to neni, protoze takovato databaze zakaznikum umoznuje si vybrat a tak bere marketingu vitr z plachet, protoze na plane sliby jim nikdo neskoci.
Z toho plyne ma obava, ze jen maloktera firma/vyrobce/distributor do toho pujde. Vlastne se Rekonixu divim, ze do toho jdou. Asi tomu firewallu proste veri. Uvidime jestli se najdou i dalsi, kdo zariskuji:) Taky uvidime, jestli me Univerzita s timto nevypakuje:) Nikdo nevi, jak moc budou lidi fair-play dodrzovat. Proste je to experiment, ale pokud jsem zacal psat recenzi a pokud nechci aby byla jen planym povidanim bez realnyho overeni, tak si myslim, ze to ma smysl.
Tyto projekty maji smysl pokud se rozjedou ve vetsim.
Pak je mozna i sance ziskat od sponzoru ceny a mozna nejen pro uspesne prorazivsi:) To vse ale ukaze teprve budoucnost.
Jesli neceho mam malo, tak je to cas. Takze vitam dalsi pokusy, pokud mate cas, pustte se do toho. Staci mi zaslat mail od kdy do kdy a na jakem IPcku to visi. Pridam to do tabulky. Samozrejme tez podminky za jakych to je testovano a o co se jedna. -
pha (neregistrovaný)
pravidlo default inbound deny by si asi este vyziadalo dmz minimalne s mailserverom inac by sa asi do firmy s takto nastavenym fw nedostali maily a bezpecnost siete nie je len zalezitostou fw ale aj administratora siete btw v poslednom cryptograme je celkom zaujimavy clanok o moznostiach zvysenia bezpecnosti firemnych sieti (skor uvaha ako prakticky navod)
-
Radoomek (neregistrovaný)
Vsecko zalezi na tom, co to je za firmu. Mnohe z nich pouzivaji freemaily, ci maji maily u providera. Kdyz maji pocitac kde bezi mail, obvykle tam bezi i firewall a nepotrebuji externi krabicku.
Stran testu firewallu da shodny vysledek jeden otevreny port, jako deset otevrenych portu. Protoze pak dochazi k hackovani konkretni sluzby na stroji za FW, misto hackovani firewallu. U nej je dulezity, jestli spravne podle filtru neco pusti, nebo nepusti, co je dal ho uz nezajima. Nesmi se stat, ze by ho neco shodilo a otevrelo sit dokoran. Naopak firewall musi pustit ven lidi zevnitr. Ale to uz je o nastaveni.
Ono pokud je firewall standalone krabicka, tak je vubec tezke neco testovat. Bud to funguje, nebo nefunguje a nebo je to blbe nastaveny:)) -
maniac (neregistrovaný)
samozrejme ze je to auth ;-) dokonca v roznych identd boli remote root zalezitosti, ale - predpokladam ze toto je novy OS takze to derave nie je a zaroven aj keby som si pustil bindshell na nejakom porte tak sa tam nedostanem, z toho vypliva, ze by som musel v shellcode zhodit fw rules, co je dost roboty na to aby sa s tym niekto len tak babral ;-)
btw co hovori grep maniac /var/log/* ?
nic? -
Radoomek (neregistrovaný)
Hihi, ten poc je vazne za firewallem:)) Ja se k nemu dostanu az v ponedeli, ale zkoumat logy budu az jako celek. Vystavim to v nejaky rozumny podobe na web. Aby bylo videt co se vsecko zkouselo:) Nejprve z toho ale musim nejak odstranit IPcka. Bylo by nefer je vystavit.
Jinak na pingy to odpovida, takze FW zatim jede:)
Jestli to nekomu pomuze, tak jako zaklad poslouzilo tusim FreeBSD. -
mraky (neregistrovaný)
ahoj
mno mame tu pomerne hodne firewallu a nase sit je pocitam uz z principu napada pomerne hodne lidi ,ale pronik byl(a to jen diky spatne nastavenemu firewallu jen jeden co ja vim) -vsechno je cisco pixy - <br>
jedina vec co me napada u toho testovani - napriklad nektere firewaly od cisca pry maji problemy pri velkem narustu trafficu prez interfacy -
JV (neregistrovaný)
Bohuzel nestaci. Priklad, NPE-225 pro 7200 dokaze forwardovat 225kpps (pri CEF) , pri 42Byte/paket to je neco kolem (pokud pocitam spravne) 72Mbps. Pri vyssim trafficu tomu zkutecne odumre CPU. A to je jen router.
Myslim, ze by bylo zajimave zmerit propustnost hardwaroveho firewallu i z tohoto hlediska :) -
Ales Zitka (neregistrovaný)
Dnes rano jsem se od naseho obchodniho partnera, firmy Rekonix, dozvedel, ze dala RoBoX do tohoto testu na Root.cz [Nase firma vyrobce, spolecnost GTA http://www.gta.com, na trhu zastupuje, ale koncovi zakaznici by meli jedna primo s Rekonixem!] Puvodne jsem mel informace, ze pujde pouze o recenzi. O testu neprustrelnosti jsem se dozvedel az dnes. Zcela souhlasim, ze kde nic nebezi, neni co hacknout. Normalni stav je mozne nalezt napr. na 62.24.74.23 a 62.24.74.22, kde bezi nas vlastni firewall GB-Flash, coz je to same, ale ne jako BlackBox, ale jako software pro PC compatidebilni hardware.
Asi bych panu Kolarovi doporucil provest zmenu konfigurace a to takto: 1] Do PSN [DMZ] site umistit WWW a SMTP server, otevrit SMTP proxy a tunnel pro web. 2] Na externim NIC namapovat admin rozhrani [HTTPS a RMC]. 3] Zesilit obranu tim, ze zakazu ping a traceroute na externi rozhrani. 4] Nastavit logovani tak, ze bude vedet, co se kde "sustlo" Pak bych cely test zopakoval. Neosetreny WWW server za firewallem na PSN [DMZ] samozrejmne bude "prustrelny", pokud tam pouzije neosetrenou verzi, ale ani to vam neumozni do firewallu nebo firewallem proniknout do chranene site, coz je primarni ucel...
Sam jsem zvedav, jak tento test dopadne. BTW: Na nasich IPckach bezi tunnel do pcAnywhere na mem vlasnim pocitaci, jste vitani :-)
-
maniac (neregistrovaný)
ja by som ale fakt nenechaval pustene na tom firewalle otvorene auth :) [mam taky pocit ze je to v default konfigu]
a) je to zbytocne ked nebezi na nom ziadna sluzba
b) je to potencialne nebezpecne (usudzujem podla pripadov z minulosti)
skor by som tam spravil na inpute nieco taketo -p tcp --dport 113 --reject --reject-with-tcp-reset
pekny weekend
