Οδηγός ρύθμισης Iptables (Firewall)

[ftso]

Όταν ένα service δεν σερβίρει έξω μία υπηρεσία δεν ανοίγει την πόρτα , για να διαπιστώσεις αυτό σε ένα Ubuntu.Κubuntu, Xubuntu η ότι άλλο θες τρέξε αυτά που τρέχεις συνήθος και κάνε το scan από άλλο Η/Υ στο εσωτερικό δίκτυο να δεις τι πόρτες έχεις ανοικτές

Ναι έχω ανοιχτές αυτές στις οποίες τρέχει κάποιο service.
Δεν λέω κάτι διαφορετικό.

Τρέχει η εφαρμογή που σερβίρει? ανοίγει και το port.
Δεν τρέχει? κλειστό.

Απο την στιγμή που στο ubuntu δεν τρέχει κάποιο service που να ακούει bydefault δεν υπάρχει κίνδυνος να πάθεις οτιδήποτε.

Το θέμα είναι κατα πόσο δύσκολα ή εύκολα κάποια εφαρμογή θα αρχίσει να ακούει σε κάποιο port χωρίς να το θες εσύ.
Σε ports μέχρι το 1024 ανοίγουν μόνο απο τον super user.
Τα υπόλοιπα μέχρι το 65535 ανοίγουν και απο τις user εφαρμογές. (Εδώ είναι το όλο θέμα που προσπαθώ να εξηγήσω)

[bullgr]

https://help.ubuntu.com/community/IptablesHowTo

Iptables is a firewall, installed by default on all official Ubuntu distributions (Ubuntu, Kubuntu, Xubuntu). When you install Ubuntu, iptables is there, but it allows all traffic by default.

[grimm]

Φιλολογίες!
Για τον όρο "κλειστή πόρτα" είναι σωστό αυτό που υποστηρίζει ο ftso, δηλαδή ότι
κλειστή πόρτα είναι εκείνη που δεν τρέχει service/daemon!

Επίσης, προσωπικά, νομίζω πως ακριβέστερα:
εκείνη που τρέχει κάποιο service αλλά υπόκειται σε έλεγχο κάποιου firewall λέγεται filtered ενώ
ανοικτή είναι εκείνη που τρέχει κάποιο service αλλά δεν υπόκειται σε έλεγχο κανενός firewall.

[bullgr]

Για τον όρο "κλειστή πόρτα" είναι σωστό αυτό που υποστηρίζει ο ftso, δηλαδή ότι
κλειστή πόρτα είναι εκείνη που δεν τρέχει service/daemon!

Κλειστή είναι η πόρτα γιατί δεν τρέχει service/daemon αλλά επιτρέπεται όταν ζητηθεί να τρέξει
Θέτοντας όμως τα iptables εμποδίζουμε να τρέξει service/daemon σε εκείνη τη πόρτα όταν ζητηθεί...

Αυτή είναι και η έννοια του iptables/firewall/net filtering... Γιατί μπορεί εμείς να μην τρέχουμε καμιά υπηρεσία σε μια συγκεκριμένη πόρτα και να παραμένει (θεωρητικά) κλειστή, αυτό δεν εμποδίζει όμως έναν κακόβουλο να το κάνει ο ίδιος.

Μόνο εάν δώσουμε κανόνες εμποδισμού στο iptables αποκλείουμε τους κακόβουλους στο να τρέχουν υπηρεσίες...

[ftso]

@bullgr
Δεν διαφωνούμε κάπου. Είναι ακριβώς αυτό που γράφεις.

Απλά στις κάτω απο την 1024 τα service τρέχουν μόνο με εντολή του su, ενώ τα υπόλοιπα τα οποία είναι συνήθως p2p ελεύθερα από όλους σε ports>1024.
Για αυτό ή είμαστε εξαιρετικά προσεκτικοί και παρακολουθούμε τα πάντα συνεχώς ή βάζουμε κανόνες στο iptables (αυτό μόνο στην περίπτωση που δεν είμαστε πίσω απο router με NAT και firewall.) και ξενιάζουμε παρακολουθώντας μόνο ότι επιτρέπουμε.

[grimm]

Είναι κουραστικό να παίζουμε με τις λέξεις αλλά σε θέματα σαν αυτό (ένα τικ πιο σοβαρά από άλλα) είναι σημαντικό.
Δεν είναι, π.χ., σαν τη διαχείριση αρχείων που δεν έχει ιδιαίτερη σημασία αν πεις το "φάκελο" "directory" ή "folder"

Ίσως να μην κατάλαβα τι θες να πεις με το "να σου ξεκινήσουν υπηρεσίες" ή "στο να τρέχουν υπηρεσίες" (οι κακόβουλοι):

Θέτοντας όμως τα iptables εμποδίζουμε να τρέξει service/daemon σε εκείνη τη πόρτα όταν ζητηθεί...

Μάλλον θες να πεις πως εμποδίζουμε την παροχή του service σε τρίτους. Ο daemon τρέχει ήδη όταν γίνει κάποιο request.
Τα iptables δεν νομίζω να σε εμποδίσουν να ξεκινήσεις έναν daemon...

Γιατί μπορεί εμείς να μην τρέχουμε καμιά υπηρεσία σε μια συγκεκριμένη πόρτα και να παραμένει (θεωρητικά) κλειστή, αυτό δεν εμποδίζει όμως έναν κακόβουλο να το κάνει ο ίδιος.

Αυτό έχει να κάνει με τα δικαιώματα που θα αποκτήσει ο κακόβουλος αφού έχει ήδη μπουκάρει και όχι με κανενός είδους packet filtering.

Ο κακόβουλος δε θα σου ξεκινήσει το service, τουλάχιστον remotely! (Δε μιλάω για την περίπτωση που σου τη φέρει με κανένα trojan!).
Ο κακόβουλος θα σε αλαλιάσει αφού βρει ένα service σου!

Επίσης διαφωνώ (για διάφορους λόγους) με τη χρήση μεγαλύτερων γραμμάτων στα posts!
Μπορούμε να κάνουμε τη δουλειά μας και με τα bold!

Sorry για το μεγάλο post...

[bullgr]

Το έχουμε κουράσει πολύ το θέμα... Λέμε πάνω-κάτω τα ίδια... Απλώς η επικοινωνία μέσω forum είναι προβληματική και ο καθένας αντιλαμβάνεται διαφορετικά τα γραφόμενα του άλλου...

Για να τελειώνω μια και καλή με τον οδηγό που έκανα:
*Ο οδηγός είναι για ubuntu server και γενικώς ενδείκνυται για συστήματα που δεν έχουν γραφικό περιβάλλον. Οι υπόλοιποι ας χρησιμοποιήσουν ufw+gufw
*Τα iptables από default έχουν ανοιχτές όλες τις πόρτες
*Όταν δεν τρέχει μια υπηρεσία (πχ ssh port 22) τότε φυσικά δεν χρειάζεται να τεθεί κανόνας στο iptables. Τα script του οδηγού όμως όταν θέτουν ερώτημα για πχ τη συγκεκριμένη πόρτα, καλό είναι να την κλείνουμε, ακόμη και ας μην τρέχει η υπηρεσία. Βέβαια και ανοιχτή να την αφήσουμε από τη στιγμή που δεν τρέχει η υπηρεσία, είναι το ίδιο. Αλλά συνηθίζεται για τακτικούς λόγους να κλείνουμε όλες τις πόρτες στις οποίες δεν τρέχουμε υπηρεσίες ακόμη και αν δεν υπάρχει λόγος... Αυτό βέβαια είναι στην κρίση του κάθε διαχειριστή, αλλά πιστεύω ότι το να τις κλείνουμε είναι η πιο σωστή λύση. Είναι ηθικό το ζήτημα... Ένας καλός διαχειριστής οφείλει να έχει μόνο ανοιχτές τις πόρτες οι οποίες τρέχουν υπηρεσίες.

Ελπίζω να ξεδιαλύναμε το θέμα... Κάναμε γύρω στις 10 δημοσιεύσεις για να εξηγήσουμε απλά πράγματα μόνο και μόνο επειδή ο καθένας τα γράφει με δικά του λόγια... Τι να κάνουμε, αυτό είναι ένα από τα μειονεκτήματα της επικοινωνίας μέσω forums...

[linuxman]

Όλα αυτά που λέτε είναι λογικά σωστά , όπως και βλέπω τον @bullgr οδηγός και κλείσιμο για τις πόρτες είναι για SERVERS και όχι για PC , όπου παρεμβάλει ρούτερ .
Δεν είναι θεωριτικά κλειστές η πόρτες είναι πράγματι κλειστές από την αρχή , άσχετα εάν ξεκινάς έναν daemon να τρέχει δεν σημάνει ότι ανοίγει πόρτα και μιλάμε για πόρτες που κλείνουμε με IPtables .
Όπως είπα και πριν εάν δεν πειράζουμε πόρτες δεν τις ανοίγει το σύστημα άσχετα εάν τρέχουν κάποια services .
Και πάλη πλέων από εξωτερικό δίκτυο κάνω scan το Η/Υ μου στο ΠΑΜΑΚ και βλέπω τα παρακάτω

Κώδικας: Επιλογή όλων


sudo nmap -P0 -sS my_ip
Starting Nmap 4.76 ( http://nmap.org ) at 2009-06-30 20:42 EEST
Interesting ports on my_ip:
Not shown: 993 closed ports
PORT STATE SERVICE
22/tcp open ssh ( αυτό τρέχει , το έχω βάλει )
135/tcp filtered msrpc (αυτό το βγάζει το switch του ορόφου )
139/tcp filtered netbios-ssn (αυτό το βγάζει το switch του ορόφου )
445/tcp filtered microsoft-ds (αυτό το βγάζει το switch του ορόφου )
1720/tcp filtered H.323/Q.931 (αυτό το βγάζει το switch του ορόφου )
1863/tcp open unknown (Δεν υπάρχει κάποιο τέτοιο service στο Η/Υ )
5190/tcp open aol (Δεν υπάρχει κάποιο τέτοιο service στο Η/Υ )


Και το PC τρέχει αρκετά πράγματα , κυρίως Vuze πρώην Azureus , που με αυτά που λέτε θα έπρεπε να ανοίξει πόρτες που είναι αυτές και δεν τις βλέπω .
Άρα όπως είπα και πριν δεν ανοίγει τις πόρτες εάν δεν βάζουμε να τρέχει το ufw - program for managing a netfilter firewall .
Εδώ http://0pointer.de/blog/projects/zeroconf-ubuntu
Και εδώ http://avahi.org/ που υπάρχει από την αρχή , Και το βασικό https://wiki.ubuntu.com/ZeroConfPolicySpec στο σημείο no-open-ports (by default) policy. και το αρχείο από τότε που το συζητούσαν https://lists.ubuntu.com/archives/ubunt ... 19680.html
Και αναφορά από το Computerworld στο σημείο Tips on keeping your Ubuntu Linux server secure
https://wiki.ubuntu.com/UbuntuWeeklyNewsletter/Issue11 .

[bullgr]

Ωραία, τότε αυτά που γράφει εδώ: https://help.ubuntu.com/community/IptablesHowTo

Iptables is a firewall, installed by default on all official Ubuntu distributions (Ubuntu, Kubuntu, Xubuntu). When you install Ubuntu, iptables is there, but it allows all traffic by default.

Τι σημαίνει αυτό το κομμάτι; Και ιδιαίτερα αυτό:

When you install Ubuntu, iptables is there, but it allows all traffic by default.

Ας μου το εξηγήσει κάποιος...

[baker]

Και το PC τρέχει αρκετά πράγματα , κυρίως Vuze πρώην Azureus , που με αυτά που λέτε θα έπρεπε να ανοίξει πόρτες που είναι αυτές και δεν τις βλέπω

Και αφού δεν ανοίγουν οι πόρτες όπως υποστηρίζεις, πως είναι δυνατόν να κάνεις upload στο Vuze? πως συνδεονται στο pc σου άλλοι χρηστες; δεν είναι λογικό αυτο που λες! εστω οτι το vuze ειναι ρυθμισμένο στην port 6000, αν με το iptables κλεισεις την κίνηση μέσα και έξω σε αυτήν την port, το vuze δεν πρόκειται να δουλέψει! που σημαίνει οτι πριν ήταν ανοικτή!