Firewall dicht van binnenuit; ervaringen?

Zullen we 'm iets uitbreiden en zeggen dat je ook IP spoofs op deze manier kan blokkeren?
En dat je (mits je wat uitzoekwerk voor lief wil nemen) met IPsec policies en XP Firewall GPO's je interne netwerk tegen andere wormpjes goed kan beschermen?

Als je het echt goed wil inrichten zorg je ervoor dat enkel de Servers filesharing/printsharing doen, de clients kunnen dat dan niet (ipsec policies werken daar heel goed bij).
Zo raken ze ook niet op die manier besmet (blaster-achtigen).


Begin allereerst met in kaart te brengen wat en wie er naar buiten communiceren (logging).
Zo kan je achterhalen of $administratiepakket via FTP, BAPI of via SMTP met de belastingdienst moet babbelen, of er ergens fijne phone-home software draait...

[ Voor 22% gewijzigd door alt-92 op 13-06-2006 15:00 ]

Je kan toch een weekje het netwerk verkeer analyseren? Als je zonder vooronderzoek bijna alles dicht zet, dan krijg je zo'n gebruikersopstand, dat je binnen de kortste keren door management gedwongen wordt om alles weer op te zetten en er niet meer aan mag komen.

in elk geval - als je het doet communiceer het dan wel even naar je gebruikers - dat ze dus problemen kunnen verwachten met $administratiepakket en $webapplicatie_die_iedereen_vergeten was

Ik beheer zelf de infra voor een 30mans bedrijf en ik vind het nogal een gedurfde houding om te beslissen wat ze wel en niet mogen doen op het internet.
Denk je echt dat iemand die nu 4 uur aan het msn'en is straks die 4 uur gaat werken als msn'en niet mogelijk is? Bovendien zijn er altijd wel wat slimmerds die gaan tunnelen en andere bypassing gaan gebruiken, niet alleen schadelijker maar helemaal lastig om bij te houden wat er gebeurd.

Zelf routeer ik al het internet verkeer over een gateway PC die middels ntop en een transparante proxy (squid) al het internet verkeer inzichtelijk maakt. Mensen die veel bandbreedte nodig hebben of vaak op msn zitten even een mailtje sturen van dat het opvalt dat er veel netwerktraffic is en ze snappen zo dat ze verkeerd bezig zijn of ze hebben een goede reden.

Van binnen zijn poorten 25, 3128-3198, 1025, 4751, 445, 6129, 5503, 6776, 6711, 7000, 1234-12346, 20000, 31337 en 9898-9999 geblokkeerd om een aantal standaard problemen te voorkomen.

Denk dat ik een half uur per week kwijt ben aan de automatisering.

Tja, hier heb ik daar een simpele oplossing voor : Cisco Router

Daar stel je gewoon in dat alles geblokkeerd moet worden op enkele poorten na problem solved

Echter, die router koste wel wat

Telebankieren die (active) ftp gebruitk, websites met https (443), etc. Op zich is het een goed idee om alleen open te zetten wat nodig is maar dan niet zo kort door de bocht als jij doet.

Poortje 443 outbound mag ook wel, dan kun je beveiligde pagina's nog openen
Ook dingen als 81/8080 oid. zijn misschien handig.

Heb het zelf hier n keer meegemaakt met n nieuwe router die standaard ook een outbound firewall had. Sommige sites werkten niet, ook MSN deed vreemd en mail was niet op te halen. Na héél lang zoeken ontdekte ik dat het die firewall was (ik had toen nog nooit zoiets gezien, gelukkig weet ik nu beter )

xx77qq schreef op dinsdag 13 juni 2006 @ 15:33:
Denk je echt dat iemand die nu 4 uur aan het msn'en is straks die 4 uur gaat werken als msn'en niet mogelijk is? .

Idd, dingen zoals emessenger en downloads van spyware zullen nog gewoon werken...

[ Voor 27% gewijzigd door DarthPlastic op 13-06-2006 15:40 ]

Marlibica schreef op dinsdag 13 juni 2006 @ 14:39:
Ik ben voornemens om bij een klant de firewall dicht te gooien voor uitgaand verkeer. Ze hebben daar nu veel vrijheid en dat levert nu wat problemen op (limewire, virussen, je kent het wel). In plaats van dat ze nu alles mogen en blokkeren wat niet mag wilde ik het omdraaien, ze mogen niets en we staan toe wat ze nodig hebben. Internet gaat uiteraard aan (80,53), verder kan ik niet echt iets bedenken wat ze nodig zouden moeten hebben. FTP'en doen ze niet, mail wordt verstuurd/ontvangen via mailserver, chatten doen ze maar in hun eigen tijd enzovoort.

Waar ik echter bang voor ben is dat ik dingen over het hoofd zie die sommige software vereist. Misschien een pagina die iets oproept en een andere poort nodig heeft o.i.d.

Wie heeft hier ervaringen mee en wil die met mij delen?

vergeet https niet (port 443). verder zal je even moeten kijken of je speciale pakketen hebt draaien die andere porten gebruiken (betalings proggies, citrix/ts naar andere klanten etc).
Verder is het ook nooit verkeerd om de firewall dicht te gooien en dan maar te zien wat voor klachten er komen. Hiervoor wel het management mee krijgen natuurlijk

wil je echt controle hebben, proxy neerzetten en alleen toegang naar internet geven via de proxy. op de proxy kan je dan finetunen (msn dichtzetten, wat je bijv. nu niet doet )

Zit er een learning mode op je firewall, dan kun je overwegen om aangekondigd naar de gebruikers om de poorten dicht te zetten en te openen obv je analyse.

poort 80, 443 en 21, dan ben je er wel zo'n beetje. 21 (FTP) zou ik wel doen ivm. softwareupdates etc.

in plaats van poort 80 open te zetten kun je er wellicht beter een proxy tussen zetten. Want anders kun je b.v. ook msn over poort 80 gaan draaien. En met een proxy kun je beter bepaalde sites blokkeren. Uiteraard heb je wel ergens een server nodig waar je een proxy opdraait. een proxy zelf kun je zonder kosten wellicht wel vinden (apache kun je b.v. als proxy gebruiken, maar ook de meeste andere mainstream http servers.)

leuk_he schreef op dinsdag 13 juni 2006 @ 16:41:
in plaats van poort 80 open te zetten kun je er wellicht beter een proxy tussen zetten. Want anders kun je b.v. ook msn over poort 80 gaan draaien. En met een proxy kun je beter bepaalde sites blokkeren. Uiteraard heb je wel ergens een server nodig waar je een proxy opdraait. een proxy zelf kun je zonder kosten wellicht wel vinden (apache kun je b.v. als proxy gebruiken, maar ook de meeste andere mainstream http servers.)

Inderdaad, is een goede oplossing. Hier heb ik Squid draaien in combinatie met Dansguardian. Daar kun je nog eens content blocken op mime-type enz... Een aanrader in een bedrijf dus als je ondermeer downloaden, filesharing, ... wil tegengaan.