Welke firewall voor debian 5?

Ik gebruik gewoon IPTables :- )

in combinatie met Webmin uiterraard, het is wel zo handig om je firewall d.m.v. een gui uit te lezen

[ Voor 72% gewijzigd door Verwijderd op 06-02-2011 21:51 . Reden: i.c.m. ]

Verwijderd schreef op zondag 06 februari 2011 @ 21:49:
Ik gebruik gewoon IPTables :- )

in combinatie met Webmin uiterraard, het is wel zo handig om je firewall d.m.v. een gui uit te lezen

Shorewall werkt beter. Is een shell voor iptables.

As for iptables.. Is er iets anders dan ?

Ik ben benieuwd naar wat je precies bedoelt met DDoS beveiliging. Een aanval kan op diverse manieren en diverse niveaus plaatsvinden. Als de aanvallers simpelweg bakken met packets gaan sturen, maakt het niet meer uit. Je gaat dan toch wel offline.

Shorewall is de tool. Oh, en Debian 6.0 is nu stable.

kevinkrs schreef op zondag 06 februari 2011 @ 21:59:
Ja ik bedoelde met veel pakketten sturen, ik bezet trouwens een vps ik heb daar nog niet de keuze om debian 6 te kiezen =[

Shorewall had ik inderdaad al geprobeerd, hier moet je wel een goede tutorial bij de hand hebben om dat te begrijpen.
iptables vind ik zelf niet zo erg, is moeilijk te configureren.

Shorewall = (een shell voor) Iptables

Hier nog een Shorewall liefhebber

Ik snap compleet niet wat een firewall toe moet voegen op een gemiddelde server. Services die bereikbaar moeten zijn zijn dat, en services die niet bereikbaar moeten zijn draaien of op localnet, of helemaal niet. Kunnen jullie me uitleggen waarvoor jullie een firewall gebruiken?

(En ik weet best dat er nuttige toepassingen zijn voor firewalls op servers, zoals het toegankelijk maken van bepaalde services voor bepaalde adressen, of logging op IP nivo. Maar dat gebruiken de meesten hier volgensmij helemaal niet)

deadinspace schreef op zondag 06 februari 2011 @ 23:27:
Ik snap compleet niet wat een firewall toe moet voegen op een gemiddelde server. Services die bereikbaar moeten zijn zijn dat, en services die niet bereikbaar moeten zijn draaien of op localnet, of helemaal niet. Kunnen jullie me uitleggen waarvoor jullie een firewall gebruiken?

(En ik weet best dat er nuttige toepassingen zijn voor firewalls op servers, zoals het toegankelijk maken van bepaalde services voor bepaalde adressen, of logging op IP nivo. Maar dat gebruiken de meesten hier volgensmij helemaal niet)

Nou het is nuttig omdat je dan zelf bepaald welke services open staan voor de buiten wereld, het is niet altijd wenselijk dat alles gelijk bij het opstarten een luisterende poort opent. Verder is een uitgaande firewall natuurlijk ook erg belangrijk ivm veiligheid (zelfde als inkomende firewall).

Ik heb op al mijn servers een strenge firewall draaien. Mocht iemand command execution uit 1 van mijn servies halen kunnen ze iig niet zomaar een (reverse) shelletje draaien.

deadinspace schreef op zondag 06 februari 2011 @ 23:27:
Ik snap compleet niet wat een firewall toe moet voegen op een gemiddelde server. Services die bereikbaar moeten zijn zijn dat, en services die niet bereikbaar moeten zijn draaien of op localnet, of helemaal niet. Kunnen jullie me uitleggen waarvoor jullie een firewall gebruiken?

Goed punt. Wij installeren tegenwoordig een simpele standaard setje rules, maar het komt voornamelijk neer op het eenvoudig en zeker afschermen van bijvoorbeeld een database server of een service als memcached. In vrijwel geen geval is het nodig dat die bereikbaar is voor andere locaties dan de webserver.

Tuurlijk, je kunt ze alleen op een intern netwerk laten draaien, maar dat heeft ook weer nadelen op het gebied van monitoring bijvoorbeeld.

Toegegeven, op heel veel servers is geen firewall geconfigureerd, en op heel veel servers is dat ook helemaal niet erg

De nieuwe "standaard" is ebtables.

Ondersteund ook meteen ipv6, bridging arp en dergelijke.

deadinspace schreef op zondag 06 februari 2011 @ 23:27:
Ik snap compleet niet wat een firewall toe moet voegen op een gemiddelde server. Services die bereikbaar moeten zijn zijn dat, en services die niet bereikbaar moeten zijn draaien of op localnet, of helemaal niet. Kunnen jullie me uitleggen waarvoor jullie een firewall gebruiken?

(En ik weet best dat er nuttige toepassingen zijn voor firewalls op servers, zoals het toegankelijk maken van bepaalde services voor bepaalde adressen, of logging op IP nivo. Maar dat gebruiken de meesten hier volgensmij helemaal niet)

Dat kan je ook bereiken met een hardware-matige firewall en dan zou je kunnen zeggen dat een software-matige firewall op een server niet noodzakelijk is mits je /etc/inetd.conf goed bewerkt en alleen de porten opent die je nodig hebt.

kevinkrs schreef op zondag 06 februari 2011 @ 23:52:

Ik dacht dat zowat elke server wel een firewall draait, het is ook het hoogste prioriteit heeft?

Niet dus. Zoals deadinspace bedoelt heeft een simpele webserver eigenlijk geen firewall nodig. Mits de webapplicaties natuurlijk goed beveiligd zijn. In praktijk is een webserver tegenwoordig amper helemaal dicht te timmeren zodat bij een lek script er geen misbruik van kan worden gemaakt. Dan zou je naar een combinatie van allerlei beveiligingsoplossingen moeten, zoals een firewall en bijvoorbeeld selinux.

Weejo heb ik weer, dacht ik net met shorewall alles goed ingesteld te hebben.

REAGEER mijn ssh en apache niet meer omg

Ik denk dat we dat allemaal wel een keer hebben meegemaakt. En nadien nooit meer.

Een hardwarematige beveiliging waartegen? Wat stel je je daar precies bij voor?

kevinkrs schreef op zondag 06 februari 2011 @ 23:58:
[...]

Is dit wel veilig?
Ik zoek op google, meteen 2e resultaat "Hacking howto"

http://ebtables.sourcefor...tables-hacking-HOWTO.html

Heb je dat artikel ook gelezen (of alleen maar de 1e paar regels), of dacht je "omg er staat hacking het is onveilig!1!"?

[ Voor 71% gewijzigd door blaataaps op 07-02-2011 07:29 ]

kevinkrs schreef op maandag 07 februari 2011 @ 00:04:
[...]


Alles was net goed geconfigureerd :'] Qua apache dan, maar goed, ik weet niet eens of mijn vps wel een hardware matig beveiliging heeft. Ik ga hier wel vanuit.

Hmm ik had het ook direct geïnstalleerd, alleen is het nog steeds cli-based hoewel dit niet werd gezegd

Maargoed, tot zoverre vind ik het er goed uit zien. Vandaag of in iedere geval deze week, ga ik me er meer in verdiepen.

Een hardwarematige firewall is niks anders dan een mooie doos met daarin een gewone computer met een softwarematige firewall.

Eigenlijk heeft geen enkele machine ooit een firewall nodig, het voegt niks toe, het neemt alleen maar functionaliteit weg.

Een goede beveiliging bouw je in lagen op zodat een enkele zwakheid niet meteen de deur openzet.

Een aardig hobbyproject is proberen je SSH zo goed mogelijk te beveiligen.
firewall, acl's, ssh-keys, ssh allowedusers, tcpwrappers, er komt geen einde aan.

kevinkrs schreef op zondag 06 februari 2011 @ 23:36:
[...]
Ik vind het wel veilig dat ik alle poorten behalve door mij aangewezen zijn gesloten zijn.
Bied toch hier en daar veiligheid

tsja, als er "ineens" poorten bijkomen die je origineel niet open zou willen hebben gehad, is er toch al iets gebeurd op die box, of de firewall je dan helpt is maar de vraag dan.
Op een server dient alleen dat op een interface aan te staan en bereikbaar te zijn wat je op die server wilt draaien. Een firewall is daar geen hulp bij op zich.
en voor de rest idd shorewall ....

Als je een gui gebruikt, zou ik zeggen gebruik firestarter of ufw.
firestarter kan je ook zonder gui gebruiken trouwens.

kevinkrs schreef op zondag 06 februari 2011 @ 23:58:
[...]

Is dit wel veilig?
Ik zoek op google, meteen 2e resultaat "Hacking howto"

http://ebtables.sourcefor...tables-hacking-HOWTO.html

Zoals je wellicht al had gezien, staat deze pagina op de ebtables project page zelf.

"Hacking" is hierbij overdraagelijk. Er wordt alleen mee bedoeld dat ze de internals van het spul uitleggen.

ebtables is door bijvoorbeeld Redhat in Redhat 6 standaard gemaakt. Het lijkt me dus "gewoon" veilig. Daarnaast zit het rechtstreeks in de kernel, en daar kom je niet in met code (zeker niet security gerelateerde code) die mogelijk vol met gaten zit.

Rainmaker schreef op woensdag 09 februari 2011 @ 19:42:
[...]
...
Daarnaast zit het rechtstreeks in de kernel, en daar kom je niet in met code (zeker niet security gerelateerde code) die mogelijk vol met gaten zit.

Dat is echt onzin. Er worden wekelijks meerdere bugs in de Linux kernel gevonden. Ze zijn niet allemaal exploitable, maar een groot gedeelte ook wel.

Ik weet niet of je ooit naar de kernel source gekeken hebt, maar het is ook niet altijd de mooiste code. De base zit wel redelijk in elkaar, maar vooral drivers en modules zijn soms erg slecht geprogrammeerd .

CAPSLOCK2000 schreef op maandag 07 februari 2011 @ 23:03:
Een hardwarematige firewall is niks anders dan een mooie doos met daarin een gewone computer met een softwarematige firewall.

dat is dus niet waar. De grote firewall leveranciers hebben allemaal dedicated hardware er in zitten voor de firewall functionaliteit. De delay zou veel te hoog worden als je meerdere gigabits per seconde door een groot aantal rules moet laten checken door de CPU.

Hele speciale, softwareloze hardware.

Idd, zolang je een beetje intelligente uC's gebruikt moet je software schrijven.
Met losse transistors of buizen kan het prima, maar een firewall gaat dan een bescheiden energiecentrale vereisen.

Je kunt uiteraard wel wat gespecialiseerde ICs hiervoor gebruiken, zoals FPGA's. Die dingen hebben echter ook een fijne set software aan boord.

[ Voor 27% gewijzigd door Boudewijn op 09-02-2011 20:14 ]

tuurlijk moet je die ASICs programmeren en heb je software nodig het is alleen absoluut geen standaard hardware. Toevallig vandaag nog een prijslijst van een Juniper firewall gezien en voor die 40000 dollar kan je wel een bizarre server voor kopen als het allemaal standaard hardware was.

Hoe belangrijk is zoiets in een thuisserversituatie? Je zit daar achter een router met ingebouwde firewall die alle poorten dichthoudt. Als ik een securitycheck doe op open poorten (grc.com) dan vind ie gewoon niets, sterker nog, alles is stealth, terwijl ik drie machines eraan heb hangen die continue met inet zijn verbonden.

Moet je je dan ook zorgen maken? Ik maakte me op windows altijd wel zorgen daarover, maar sinds ik op linux zit eigenlijk niet meer, omdat ik ook stealth uit die testen kom, terwijl ik daar bij windows inderdaad een softwarematige firewall erbij voor moest gebruiken (ook om uitgaande dingen tegen te houden).

Hoe stealther hoe beter? Je hoeft niet alle onzinpropaganda van grc.com te geloven.

Rainmaker schreef op zondag 06 februari 2011 @ 23:55:
De nieuwe "standaard" is ebtables.

Ondersteund ook meteen ipv6, bridging arp en dergelijke.

ebtables is geen vervanging voor iptables, ze hebben een verschillend doel.
Ebtables werkt op ethernet-niveau, iptables op ip-niveau.

Zelf gebruik ik Firehol. Zit in elke distro die ik tot nu toe heb gebruikt. Is net als Shorewall (en anderen) een interface voor iptables. Het enige nadeel is dat het 'starten' van de Firehol erg traag is bij de complexere firewall configuraties. Dit komt door de manier waarop de config file geparsed word.

Ik stel mijn firewall btw altijd gewoon in met ipfw (FreebBSD) of iptables (Linux). Ik gebruik geen frontend.

Ik zou shorewall geen interface of frontend willen noemen. Het is een tool om gemakkelijker configuraties te beheren.