Firewall z czym to się je

[linux4ever]

Jak opanować profesjonalną obsługę zapory ogniowej ?

Jakiego firewalla użyć gufw czy iptables?

Czy wystarczy sam firewall w routerze ?

[mirekc]

Jak opanować profesjonalną obsługę zapory ogniowej ?

Profesjonalną? To kupić Checkpointa, Stormshielda, Sophosa, FortiGate'a lub coś podobnego i pójść na szkolenie.

[microsofter]

Czyli UTM. Niestety, to nie są tanie rzeczy, w domu to raczej rzadkość. Do domu najczęściej zwykły IDS. Na Windows używam Snorta.

Czy wystarczy sam firewall w routerze ?

To pierwsza linia obrony, zatrzymuje większość prostych ataków. Ale nie po to każdy współczesny system operacyjny ma firewall, aby polegać na samym routerze. Którego firmware może przecież być dziurawe.

Jak opanować profesjonalną obsługę zapory ogniowej ?

Moim zdaniem, najlepiej wybrać taką zaporę, która jest popularna. Zmieniamy distro i od razu konfigurujemy firewall, zamiast uczyć się wszystkiego od zera. Sam z siebie opanujesz, jak nie będziesz w kółko zmieniał zapór.

Ja wszędzie używam IPFilter, który jest dołączony do większości systemów uniksowych.

[mirekc]

Czyli UTM. Niestety, to nie są tanie rzeczy, w domu to raczej rzadkość. Do domu najczęściej zwykły IDS. Na Windows używam Snorta.

To może jakaś specjalizowana dystrybucja, jak np. IPFire, ClearOS, OPNsense czy pfSense? Budowanie firewalla w oparciu o dystrybucję ,,ogólnego przeznaczenia" uważam za bardzo ryzykowne, jeśli się nie jest ekspertem od bezpieczeństwa i nie poświęca się życia na monitorowanie zagrożeń. Hardeningowanie Linuksa to trudne zagadnienie i łatwo ,,dziurę" zostawić.

[melis]

Jakiego firewalla użyć gufw czy iptables?

GUFW to graficzna nakładka na UFW, który to pracuje na iptables. Teraz jednak standardem jest nftables.

[microsofter]

To może jakaś specjalizowana dystrybucja

Dokładnie czegoś takiego używam jako centralny router i firewall, już niemal 3 lata - patrz mój podpis.

Budowanie firewalla w oparciu o dystrybucję ,,ogólnego przeznaczenia" uważam za bardzo ryzykowne, jeśli się nie jest ekspertem od bezpieczeństwa i nie poświęca się życia na monitorowanie zagrożeń.

Ależ nie! Pierwotnie planowałem zbudować swój firewall w oparciu o najzwyklejszy Solaris 10 (bez GUI). Jest to jak najbardziej możliwe, a hardening łatwo zrobisz za pomocą non-global zones. Jednakże po głębszym namyśle zrezygnowałem, gdyż efekt końcowy byłby taki sam jak przy specjalistycznym distrze, lecz musiałbym ręcznie edytować wszystkie zasady zapory i NATu. Latwo wtedy o pomyłkę.

Dedykowane rozwiązanie jest po prostu praktyczne: masz przyjazne GUI do zarządzania regułami, a dodatkowo różne zaawansowane funkcje, jak QoS czy Proxy ARP. No i hardening masz out-of-the-box: wszystko co zbędne jest wykastrowane, zainstalowany m0n0wall zajmuje tylko 20 MB, a dostęp do shella (i tak o ograniczonej funkcjonalności) jest wyłącznie przez webGUI. Nie zrootkitujesz tego nawet gdybyś odgadł hasło, praktycznie twierdza.

Hardeningowanie Linuksa to trudne zagadnienie i łatwo ,,dziurę" zostawić.

Dlatego Linuxa nawet nie brałem pod uwagę. Rozważałem Solaris, OpenSolaris, OpenBSD no i m0n0wall.

OPNsense czy pfSense

Te distra - notabene oba będące rozwinięciem m0n0wall - to coś więcej niż pierwowzór. Można je rozbudowywać pluginami i wykorzystać jako centralny IDS. Z pewnością kiedyś je przetestuję. Ale to w przyszłości, one potrzebują raczej czegoś więcej niż mój wysłużony Duron.