Toon posts:

XP ipsec als firewall goed?

Pagina: 1
Acties:
  • 292 views sinds 30-01-2008
  • Reageer

zondag 21 augustus 2005 04:02

Acties:
  • HENNESSY
  • Registratie: September 2002
  • Niet online

HENNESSY

Be water my friend

Topicstarter
Ik vroeg mij af of IPsec als firewall een goede vervanger is voor 3rd party software firewalls.
Als ik de documentatie goed begrepen heb kan ik met het onderstaande batch bestandje webbrowsen toestaan en de rest blokkeren.

code:
1
2
3
4
5
6
7
8
9

REM firewall.bat
ipseccmd -w REG -p "fw" -o

ipseccmd -w REG -p "fw" -r "allow outbound TCP HTTP/80" -f 0+*:80:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow outbound TCP HTTPS/443" -f 0+*:443:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow outbound UDP DNS/53" -f 0+*:53:UDP -n PASS
ipseccmd -w REG -p "fw" -r "deny all" -f *+* -n BLOCK

ipseccmd -w REG -p "fw" -x


Zijn er meer mensen die IPsec als firewall gebruiken in XP? En hoe hebben jullie die geconfigureerd?

zondag 21 augustus 2005 04:16

Acties:
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Wat ik zie in die batchfile is dat je alle uitgaande verkeer behalve 80 (HTTP), 443 (HTTPS) en 53 (DNS) blokkeert. 80 en 53 zijn onmisbaar tijdens het browsen, 443 tijdens het secure browsen ;) En de laatste regel specificeert dat er verder helemaal niks naar binnen of buiten mag (op die 3 uitzonderingen dus na).

Maar waarom zou je uitgaand verkeer willen stoppen? 999 v/d 1000 keer gaat het om inkomend verkeer dat je wil stoppen (of routen naar iets dat er weg mee weet ;) )

Of ik lees de batchfile verkeerd, dat kan ook ;)

[ Voor 27% gewijzigd door RobIII op 21-08-2005 04:18 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zondag 21 augustus 2005 04:28

Acties:
  • HENNESSY
  • Registratie: September 2002
  • Niet online

HENNESSY

Be water my friend

Topicstarter
Ja je leest 'm goed.
Maar volgens jou zou de onderstaande dus beter zijn?:
code:
1
2
3
4
5
6

REM firewall.bat
ipseccmd -w REG -p "fw" -o

ipseccmd -w REG -p "fw" -r "deny inbound" -f *+0 -n BLOCK

ipseccmd -w REG -p "fw" -x


Dan laat ik toch eigenlijk meer toe dan nodig is?

zondag 21 augustus 2005 04:57

Acties:
  • Nitroglycerine
  • Registratie: Januari 2002
  • Laatst online: 16:36

Nitroglycerine

Autisme: belemmering en kracht

Een firewall is primair bedoeld om verkeer NAAR een netwerk te blokkeren. Dat werkgevers het tegenwoordig ook gebruiken om te reguleren welke toepassingsoorten toegestaan zijn en welke niet, tsja, dat is een bijkomend iets.

Als je enkel HTTP, DNS en HTTPS toestaat om vanaf je pc te connecten, dan beperk je de functionaliteit van die machine behoorlijk. Wat dacht je bijvoorbeeld van webcasts, video bekijken, instant messaging, ftp, online games e.d. ?
Als dit allemaal niet nodig is, ja dan kun je het internet tegen jouw computer beschermen door vrijwel niets toe te staan.

Hier kon uw advertentie staan

zondag 21 augustus 2005 05:34

Acties:
  • HENNESSY
  • Registratie: September 2002
  • Niet online

HENNESSY

Be water my friend

Topicstarter
Nitroglycerine schreef op zondag 21 augustus 2005 @ 04:57:
Een firewall is primair bedoeld om verkeer NAAR een netwerk te blokkeren. Dat werkgevers het tegenwoordig ook gebruiken om te reguleren welke toepassingsoorten toegestaan zijn en welke niet, tsja, dat is een bijkomend iets.

Als je enkel HTTP, DNS en HTTPS toestaat om vanaf je pc te connecten, dan beperk je de functionaliteit van die machine behoorlijk. Wat dacht je bijvoorbeeld van webcasts, video bekijken, instant messaging, ftp, online games e.d. ?
Als dit allemaal niet nodig is, ja dan kun je het internet tegen jouw computer beschermen door vrijwel niets toe te staan.
Dat kan toch ook allemaal via IPsec?
Voorbeeldje:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

REM firewall.bat
ipseccmd -w REG -p "fw" -o

ipseccmd -w REG -p "fw" -r "allow outbound TCP HTTP/80" -f 0+*:80:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow outbound TCP HTTPS/443" -f 0+*:443:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow outbound TCP POP3/110" -f 0+*:110:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow outbound TCP NEWS/119" -f 0+*:119:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow outbound UDP DNS/53" -f 0+*:53:UDP -n PASS
ipseccmd -w REG -p "fw" -r "allow outbound TCP EmpirePoker/2047" -f 0+*:2047:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow outbound TCP EmpirePoker/2147" -f 0+*:2147:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow outbound TCP eMule/4661" -f 0+*:4661:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow inbound TCP eMule/4662" -f *+0:4662:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow inbound UDP eMule/4672" -f *+0:4672:UDP -n PASS
ipseccmd -w REG -p "fw" -r "allow inbound TCP FTP/21" -f *+0:21:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow inbound TCP FTP-DATA/20" -f *+0:20:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow inbound UDP Skype/7013" -f *+0:7013:UDP -n PASS
ipseccmd -w REG -p "fw" -r "allow inbound TCP Skype/7013" -f *+0:7013:TCP -n PASS
ipseccmd -w REG -p "fw" -r "allow inbound UDP BitTorrent/6881" -f *+0:6881:UDP -n PASS
ipseccmd -w REG -p "fw" -r "allow inbound TCP BitTorrent/6881" -f *+0:6881:TCP -n PASS
ipseccmd -w REG -p "fw" -r "deny all" -f *+* -n BLOCK

ipseccmd -w REG -p "fw" -x

zondag 21 augustus 2005 07:00

Acties:

Verwijderd

Het zou mij niet verbazen als met ipseccmd alleen verkeer over ipsec vpn tunnels gefilterd kan worden. Voor normaal IP verkeer heb je er m.i. niets aan.

zondag 21 augustus 2005 12:25

Acties:

Verwijderd

Heb je dit al getest? Ik bedoel run die file eens en scan je pc met shieldsup.

Volgens mij configureer je nu IPSec regels en heeft dit niets met een firewall te maken.

zondag 21 augustus 2005 16:04

Acties:
  • HENNESSY
  • Registratie: September 2002
  • Niet online

HENNESSY

Be water my friend

Topicstarter
Verwijderd schreef op zondag 21 augustus 2005 @ 12:25:
Heb je dit al getest? Ik bedoel run die file eens en scan je pc met shieldsup.

Volgens mij configureer je nu IPSec regels en heeft dit niets met een firewall te maken.
Als ik met shieldsup een scan doe geeft ie 'stealth' aan voor alle poorten die niet in firewall.bat staan.
Wat meer info:
http://www.microsoft.com/...ork/security/ipsecld.mspx
http://www.petri.co.il/block_web_browsing_with_ipsec.htm
http://www.petri.co.il/block_ping_traffic_with_ipsec.htm
http://www.microsoft.com/...umns/cableguy/cg0205.mspx
http://support.microsoft.com/?id=813878

[ Voor 23% gewijzigd door HENNESSY op 21-08-2005 16:14 ]

zondag 21 augustus 2005 19:46

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op zondag 21 augustus 2005 @ 12:25:
Heb je dit al getest? Ik bedoel run die file eens en scan je pc met shieldsup.

Volgens mij configureer je nu IPSec regels en heeft dit niets met een firewall te maken.
Ipsec policies die niet een antwoord kunnen krijgen van een ander endpoint gooien de boel dicht.
De rules die je met die batch aanmaakt maken uitzonderingen op de algemene ipsecpolicy die (standaard) geen verkeer toelaat zonder een gelijke policy aan de 'andere kant' , effectief een open port in een firewall.

Ik heb al 3 jaar een Windows 2000 webserver operationeel staan waar naast tcp/ip filtering alleen een ipsec policy op draait.
Scannen van die doos geeft alleen de poorten aan die er open mogen staan, sterker nog: er staan voor een aantal services policies in die alleen voor een beperkt aantal IP adressen beschikbaar zijn.

Het werkt wel degelijk dus.

[ Voor 24% gewijzigd door alt-92 op 21-08-2005 19:49 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 23 augustus 2005 15:09

Acties:
  • Chilly_Willy
  • Registratie: April 2000
  • Laatst online: 23-04 12:16

Chilly_Willy

Ik gebruik in windows 2000 ook al een lange tijd ipsec als firewall. Ik maak hierbij wel gebruik van de GUI ipv een batch file.

En dit werkt ook echt. Wanneer ik de IP Security Policy uitzet en een scan doe vanaf http://scan.sygatetech.com/ krijg ik closed voor de poorten waar niets op draaid. Zet ik de IP Security Policy aan dan krijg ik blocked. Hetzelfde geld voor Shields Up, dan respectievelijk closed en stealth.

En nee het heeft niet alleen betrekking op een IPSec tunnel. Je kan namelijk opgeven of een rule betrekking heeft op een IPSec tunnel of niet
Afbeeldingslocatie: http://vzuijlekom.com/images/ipsec.gif

[ Voor 6% gewijzigd door Chilly_Willy op 23-08-2005 15:19 ]

Coïtus ergo sum

dinsdag 23 augustus 2005 15:54

Acties:
  • McBurger
  • Registratie: December 2004
  • Laatst online: 14-11-2025

McBurger

Volgens mij doet een goede firewall meer dan alleen maar poorten blokkeren.

Een beetje firewall controleert ook pakketten die langs komen.
Een groot deel van aanvallen loopt gewoon via bekende poorten (oa http)
Hij inspecteerd dus het verkeer wat langs komt.

Verder is het een belangrijke taak om goed te loggen. Bij een eventuele aanval kan dan snel worden gezien waarvandaan deze komt. En natuurlijk wordt je dan ook op tijd gewaarschuwd.

Natuurlijk is een ipsec-blokkering leuk als je toevallig een worm hebt opgelopen kan ie zich niet zo makkelijk verspreiden. Maar ja als je al besmet bent is het aanmaken van een extra IPSEC-rule ook niet zo moeilijk.

En ook is het leuk dat je poorten daarmee kan afsluiten maar dat kan met TCP-IP Filtering ook al.

dinsdag 23 augustus 2005 21:13

Acties:
  • HENNESSY
  • Registratie: September 2002
  • Niet online

HENNESSY

Be water my friend

Topicstarter
Van wat ik gelezen heb heb je niet veel aan die tcp-ip filtering omdat je bv voor webbrowsen niet alleen poort 80 nodig hebt maar ook nog een random source poort. En voor wijzigingen moet je telkens rebooten.

dinsdag 23 augustus 2005 21:54

Acties:
  • Chilly_Willy
  • Registratie: April 2000
  • Laatst online: 23-04 12:16

Chilly_Willy

McBurger schreef op dinsdag 23 augustus 2005 @ 15:54:
Volgens mij doet een goede firewall meer dan alleen maar poorten blokkeren.

Een beetje firewall controleert ook pakketten die langs komen.
Een groot deel van aanvallen loopt gewoon via bekende poorten (oa http)
Hij inspecteerd dus het verkeer wat langs komt.

Verder is het een belangrijke taak om goed te loggen. Bij een eventuele aanval kan dan snel worden gezien waarvandaan deze komt. En natuurlijk wordt je dan ook op tijd gewaarschuwd.

Natuurlijk is een ipsec-blokkering leuk als je toevallig een worm hebt opgelopen kan ie zich niet zo makkelijk verspreiden. Maar ja als je al besmet bent is het aanmaken van een extra IPSEC-rule ook niet zo moeilijk.

En ook is het leuk dat je poorten daarmee kan afsluiten maar dat kan met TCP-IP Filtering ook al.
Wat jij beschrijft is een network intrusion detection system (NIDS) en geen firewall. Een firewall is gewoon puur het tegenhouden van verkeer.

Ik gebruik een firewall (IPSec in mijn geval) alleen voor het blokkeren van bepaalde open poorten die alleen voor mijn LAN open moeten staan (ICS, Netbios, MySQL, etc) + een aantal bekende poorten waar exploits gebruik van maken (DCOM RPC bijv.). De rest is gewoon gebruiksklaar. Een worm of een virus komt niet vanzelf op je pc en ook een hacker komt er niet zomaar in en een virusscanner heb ik ook niet (behalve in mijn mailserver), kost te veel performance. Al jaren geen virus meer gezien.

Coïtus ergo sum

Pagina: 1
Reageer