Hi Mivel meg csak most kezdek baratkozni a proxy-s tuzfalak hasznalataval, ezert szeretnek nehany alap kerdest feltenni. Ugyanazon a gepen kellene futtatni az iptables-t es a zorp-ot, ahol a web szervert is. Ebben az esetben az iptables redirect-eli a 80-as portra erkezo kerest a zorp 50xxx-es portjara, ami meg atpasszolja a web szerver 80-as portjara, ha minden ok? Ezt igy kellene megcsinalni? Ugyanez a helyzet az SSL-es kapcsolatokkal is? Elore is orok hala! Tamas
On Mon, Mar 11, 2002 at 05:46:33PM +0100, Trebisch Tamas wrote:
Hi
Mivel meg csak most kezdek baratkozni a proxy-s tuzfalak hasznalataval, ezert szeretnek nehany alap kerdest feltenni.
Ugyanazon a gepen kellene futtatni az iptables-t es a zorp-ot, ahol a web szervert is.
Ebben az esetben az iptables redirect-eli a 80-as portra erkezo kerest a zorp 50xxx-es portjara, ami meg atpasszolja a web szerver 80-as portjara, ha minden ok? Ezt igy kellene megcsinalni? Ugyanez a helyzet az SSL-es kapcsolatokkal is?
Elore is orok hala!
1. egyenlore a zorp ipchains-en erzi magat legjobban, de konkretan HTTP eseten azert iptables is hasznalhato. 2. az altalad vazolt megoldas mukodhet, bar szerintem REDIRECT-re se nagyon van szukseg: a Zorp hallgatozik a 80-as porton, majd tovabbitja a kapcsolatokat a barmilyen porton hallgatozo apache-nak. SSL-nel pedig ugyanigy, bar HTTPS-nel csak akkor van ertelme Zorp-ot elorehuzni, ha Pssl-el feldolgozod az SSL-t. Ekkor pedig az Apache-nak mar mehet cleartextben is a forgalom (igy elkerulsz egy csomo felesleges kodolast) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Mon, 11 Mar 2002, Balazs Scheidler wrote:
On Mon, Mar 11, 2002 at 05:46:33PM +0100, Trebisch Tamas wrote:
Ugyanazon a gepen kellene futtatni az iptables-t es a zorp-ot, ahol a web szervert is.
És miért van erre szükség? Nincs lehetõséged dmz kialakítására, vagy csak a webszervert kellene védeni? Ha különösebb HTTP protokoll szûrést nem akarsz csinálni az apache-on, akkor nem sok értelmét látom ennek. Legfeljebb sikerül lassítani a rendszeren.
1. egyenlore a zorp ipchains-en erzi magat legjobban, de konkretan HTTP eseten azert iptables is hasznalhato.
Bazsi, Mik az ismert hátrányai az iptables-nek az ipchains-el szemben? Én már használom ezt a setup-ot 1-2 helyen és eddig semmi szívás nem volt vele. A redirect itt is kiválóan megy. - ------------------------- Narancs v1 IT Security Administrator Warning: This is a really short .sig! Vigyazat: ez egy nagyon rovid szig! -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iEYEARECAAYFAjyNqIUACgkQGp+ylEhMCIW3ogCbBEsd7jJIbiy0+AD1Cke9q4UE 2W8AoJXJpnoCg7AohnHAu6Bk98ICpygu =Zc3p -----END PGP SIGNATURE-----
Hi Narancs v1 <narancs@narancs.tii.matav.hu> irta:
Ugyanazon a gepen kellene futtatni az iptables-t es a zorp-ot, ahol a web szervert is.
És miért van erre szükség? Nincs lehetőséged dmz kialakítására, vagy csak a webszervert kellene védeni?
Ha különösebb HTTP protokoll szűrést nem akarsz csinálni az apache-on, akkor nem sok értelmét látom ennek. Legfeljebb sikerül lassítani a rendszeren.
A szerver ki van teve a szolgaltatohoz. Jo lenne, ha valamilyen szinten vedve lenne a nem szabalyos keresektol, illetve szurve lennenek a szervizekhez kapcsolodni szandekozo felhasznalok. Az utobbira lenne az iptables, az elobbire a zorp. Vagy ez nem jo elkepzeles? Elore is koszonom! Tamas
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Tue, 12 Mar 2002, Trebisch Tamas wrote:
A szerver ki van teve a szolgaltatohoz. Jo lenne, ha valamilyen szinten vedve lenne a nem szabalyos keresektol, illetve szurve lennenek a szervizekhez kapcsolodni szandekozo felhasznalok.
Az utobbira lenne az iptables, az elobbire a zorp.
hmm, attol fugg, kerdes h 1. mekkora forgalmat bonyolit mekkora hw-n 2. milyen webszerver, milyen dinamikus nyelv, (gondolom pl apache+php, es a php-s tamadasok ellen akarod vedeni) 3. mennyire tudod beszabalyozni azt hogy mit engedsz A zorpban eleg jol belehet szukiteni a http-t, (lasd http.py) de ez korantsem ved meg minden tamadastol. A megfelelo taktika az, ha mindig uptodate tartod a rendszeredet sec. update-ekkel. Nincs olyan hogy install&forget&security. Kernem a lista velemenyet ez ugyben: Ad-e a zorp http proxyja vedelmet mondjuk egy apache vagy php sechiba ellen? milyen esetekben adhat? DoS eseten mi a helyzet? - ------------------------- Narancs v1 IT Security Administrator Warning: This is a really short .sig! Vigyazat: ez egy nagyon rovid szig! -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iEYEARECAAYFAjyNuDYACgkQGp+ylEhMCIWzDwCdGd0Ne2tybrrqqCYsc6l2WJMz 5cwAniQRgjSndmfK8Yh/UarGoX0HBqn7 =DM1H -----END PGP SIGNATURE-----
On Tue, Mar 12, 2002 at 09:11:32AM +0100, Narancs v1 wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Tue, 12 Mar 2002, Trebisch Tamas wrote:
A szerver ki van teve a szolgaltatohoz. Jo lenne, ha valamilyen szinten vedve lenne a nem szabalyos keresektol, illetve szurve lennenek a szervizekhez kapcsolodni szandekozo felhasznalok.
Az utobbira lenne az iptables, az elobbire a zorp.
hmm, attol fugg, kerdes h
1. mekkora forgalmat bonyolit mekkora hw-n 2. milyen webszerver, milyen dinamikus nyelv, (gondolom pl apache+php, es a php-s tamadasok ellen akarod vedeni) 3. mennyire tudod beszabalyozni azt hogy mit engedsz
A zorpban eleg jol belehet szukiteni a http-t, (lasd http.py) de ez korantsem ved meg minden tamadastol.
A megfelelo taktika az, ha mindig uptodate tartod a rendszeredet sec. update-ekkel. Nincs olyan hogy install&forget&security.
Kernem a lista velemenyet ez ugyben: Ad-e a zorp http proxyja vedelmet mondjuk egy apache vagy php sechiba ellen? milyen esetekben adhat? DoS eseten mi a helyzet?
a http proxy fogott mar ki ismeretlenul tamadasi kiserletet: CodeRed I/II. Konkretan a legutobbi file feltoltos exploit keresztul ment rajta, mert a HTTP adatreszt - egyenlore - nem ellenorzi, az pedig ott kozlekedett. Szoval, hogy mit fog meg es mit nem, az nagyban fugg a konkret hibatol. Csomagszintu DoS tamadasoknal magat a szervert ugyan megvedi, de lehet, hogy maga a tuzfal nem kepes tovabb mukodni. (pl synflood eseten ha nincs bekapcsolva a syncookies, illetve DDoS tamadaskor) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Hi! On 2002 Mar 12, Narancs v1 wrote:
Bazsi, Mik az ismert hátrányai az iptables-nek az ipchains-el szemben? Én már használom ezt a setup-ot 1-2 helyen és eddig semmi szívás nem volt vele. A redirect itt is kiválóan megy.
Bar nem a Bazsi vagyok, de azert megprobalok valaszolni. Szoval nem az iptables-el van a gond, hanem a 2.4-es kernellel. Ott ugyanis (majdnem) teljesen kiirtottak a transzparens proxy supportot. Vagyis pl. az UDP-s resz teljes egeszeben kimaradt es TCP-nel sem mukodik az SNAT (ha jol emlekszem). -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel/fax:(36-1)-217-14-98 1092 Bp. Köztelek u. 4/b mobil:(36-20)-950-30-55 http://www.balabit.hu
On Tue, 12 Mar 2002, SZALAY Attila wrote:
Hi! Szoval nem az iptables-el van a gond, hanem a 2.4-es kernellel. Ott ugyanis (majdnem) teljesen kiirtottak a transzparens proxy supportot. Vagyis pl. az UDP-s resz teljes egeszeben kimaradt es TCP-nel sem mukodik az SNAT (ha jol emlekszem).
pontosan melyik kernel verzio? ejnye, en meg pont ugy lattam, hogy a netfilter 1000 uj feature es hogy mennyivel jobb. utanananezek, koszi ------------------------- Narancs v1 IT Security Administrator Warning: This is a really short .sig! Vigyazat: ez egy nagyon rovid szig!
Hi All! On 2002 Mar 12, Narancs v1 wrote:
pontosan melyik kernel verzio?
2.4.0-nal mar biztosan igy volt, (Valahol 2.3-ban tuntettek el) es nem is szandekozzak visszarakni. Egeszen mas alapokon nyugvo megoldas keszul ugyan, de az meg hatarozottan csak keszul. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel/fax:(36-1)-217-14-98 1092 Bp. Köztelek u. 4/b mobil:(36-20)-950-30-55 http://www.balabit.hu
On Tue, Mar 12, 2002 at 08:04:34AM +0100, Narancs v1 wrote:
1. egyenlore a zorp ipchains-en erzi magat legjobban, de konkretan HTTP eseten azert iptables is hasznalhato.
Bazsi, Mik az ismert hátrányai az iptables-nek az ipchains-el szemben? Én már használom ezt a setup-ot 1-2 helyen és eddig semmi szívás nem volt vele. A redirect itt is kiválóan megy.
amit nem tudsz azok a kovetkezok: 1) forras IP cim hamisitas (altalaban azok az SNAT-ot, ahol a forras IP-t atirod, es nem a tuzfal sajat cimevel mesz tovabb) 2) ketcsatornas protokollok (FTP), ahol az adatcsatornara fenti cimhamisitasra van szukseg (hogy az adatkapcsolat a szervertol jojjon, ha a kliens eredetileg oda kapcsolodott) 3) udp-s proxyk egyaltalan nem mennek REDIRECT-el. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Hi All! Egy kiegeszites. On 2002 Mar 12, Balazs Scheidler wrote:
3) udp-s proxyk egyaltalan nem mennek .
-- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel/fax:(36-1)-217-14-98 1092 Bp. Köztelek u. 4/b mobil:(36-20)-950-30-55 http://www.balabit.hu
On Tue, 12 Mar 2002, Balazs Scheidler wrote:
2) ketcsatornas protokollok (FTP), ahol az adatcsatornara fenti cimhamisitasra van szukseg (hogy az adatkapcsolat a szervertol jojjon, ha a kliens eredetileg oda kapcsolodott)
ezt a kérdést én meg tudtam oldani máshogy hogy mûködjön, igaz kicsit trükkös volt. nincs cimhamisítás, csak ki kellett nyitni az intranet zónában egy porttartományt. lehet hogy nem olyan elegáns, de mûködik. ------------------------- Narancs v1 IT Security Administrator Warning: This is a really short .sig! Vigyazat: ez egy nagyon rovid szig!
participants (4)
-
Balazs Scheidler
-
Narancs v1
-
SZALAY Attila
-
Trebisch Tamas