niif valasz a tuzfalra

Veres Sandor veresh at kossuthzs-szeged.sulinet.hu
2013. Ápr. 9., K, 10:29:26 CEST 

Szia Péter!

2013.04.08. 22:31 keltezéssel, Molnár Péter írta:
> Ezt most kaptam, ertelmezzetek..., s figyeljetek a sajat rendszereiteket!
>
> "Amikor atvettuk az egesz Sulinetet akkor ket lehetosegunk volt.
> - megtartjuk azon szureseket amelyek korabban voltak -
> atalakitjuk ezen vegpontokat is az NIIF szabvanyra - azaz Internetet 
> szolgaltatunk
> szamunkra es nem csak nehany nyitott portot.
> Mi az utobbi mellett dontottunk. (lehetne rajta vitatkozni, hogy 
> melyik a jobb megoldas -
> de az ido eldontotte) Normalis rendszergazdak szemszogebol az utobbi,
> a "konyvtaros neni" szemszogebol viszont az elso. Valamikor talan 
> februarban irt
> egy levelet Kristof, hogy aggalyosnak tartja a vegpontok 
> sebezhetoseget es ugye nincs
> abban igaza, hogy levettuk az osszes szurest. Akkor megvalaszoltuk, 
> hogy pedig levettuk.
> Ezt kovetoen jott az igeny, hogy "tegyunk vissza valamit" ;)
> Akkor elkezdodott egy parbeszed az AlKosz es a Halosz kozott amelynek 
> eredmenye lassan
> megszuletett ennek a vegeredmenye alapjan a heten visszakerulnek 
> bizonyos szuresek
>  az osszes sulinetes routerre."
>
>  Illetve: "
> 1. A szuresi szabalyok valoban lazabbak lettek.
>  2. Most kerul implementalasra, hogy egy kicsit megis szigorubb legyen -
> sajnalatos, hogy ezt most kell implementalni.
> 3. SPAM es virus terjedes nem indukalodott a valtoztatas miatt.
> A fertozesek mar 2012 oszen megvoltak. A hagyomanyos virus terjedeset 
> a lazabb szabalyok
> is megfogtak.
> 4. Egy fontos valtozas: 25-os porton ki tudnak menni az iskolak.
> Ha tehat fertozott volt a gepuk, akkor innentol kezdve jonnek rajuk a
> panaszok -> meg kell javitani a fertozott gepet.
> Ugy is lehet fogalmazni, hogy "jott tettunk" nekik, hogy kapjak a 
> figyelmezteteseket,
>  hogy fertozott a gepuk es elharithatjak a hibakat." * * *
>  Ha jol ertem, akkor a heten visszakerulnek a szuresi szabalyok 
> egysegesitett valtozatanak egy resze. 

Köszönjük, hogy továbbítottad ezeket az információkat.

Úgy érzem, hogy ebben a történetben most én vagyok a fekete bárány, mert 
én indítottam útjára a témaindító levelet, holott engem "nem is érintett 
a probléma" mert én védettnek érzem magma (nálam a befelé és a kifelé 
irányuló forgalom is saját szerverrel korlátozva van). Véleményem 
szerint, viszont ezzel nincs minden iskola így, ezért szerettem volna rá 
felhívni a figyelmet (biztos vagyok benne, hogy több olyan iskola is 
van, aki szervert is üzemeltet a Sulinetes vonalon, saját tűzfal nélkül; 
vagy a PC-k csak lógnak a publikus portokon). Korábban volt több 
dokumentum is, ami leírta, hogy milyen portok vannak szűrve kifelé, 
befelé pedig alapból minden port tiltva volt (ha a rendszergazdának 
szüksége volt egy portra akkor korábban kérte a nyitását, de utóbb már 
maga is kinyithatta), továbbá aránylag részletesen le volt írva, hogy a 
privát-publikus-védett szegmensek közötti a csomagforgalom hogyan történt.
Ezt a dokumentumot egy picit hiányolom, és azt sérelmeztem egy kicsit, 
hogy egyáltalán nem kaptunk tájékoztatást a tűzfalszabályok módosításáról.

Egy dolog számomra továbbra sem világos. A router-en milyen irányú 
portszűrés lazításról és most ennek a szigorításáról van szó: a bejövő 
vagy a kimenő irányról beszélünk?
Nekem a bejövő irányú tűzfalszabályok hiánya tűnt fel, a kimenővel nem 
foglalkoztam.
Semmiképpen sem kellene, hogy nyitva legyen a nagyvilág számára az 53, 
139, 3306 (ez három nagyon könnyen támadható port), stb.. Természetesen 
ezek jobb esetben szűrve vannak (vagyis nincsenek engedélyezve) saját 
szerverrel, de mi van abban az esetben, ha a rendszergazda arra 
alapozott, hogy ezeket úgy is kiszűri a sulinet router.

A speciális igényektől eltekintve egy iskolában szerintem az alábbi 
nyitott portokra van szükség bejövő irányba:
22 (ssh)
25 vagy 465 (smtp, ssmtp)
80, 443 (http, https)
993 vagy 143 (imaps, imap)
995 vagy 110 (pop3s, pop3)

esetleg még az alábbiak:
1723, 1194 (vpn, openvpn)
20, 21 (ftp)

Befelé irányban alapból minden port zárva, és amire szükség van/volt azt 
a rendszergazda kinyitotta vagy kinyittatta, ez egy nagyon jó 
alapállapot volt szerintem.
Viszont remélem, hogy most a szigorítás során nem zárnak be minden 
bejövő portot, mert akkor sok szolgáltatás elérhetetlen lesz. Jó lenne, 
ha figyelembe vennék, hogy a jan 1. előtt milyen portok voltak nyitva a 
végpontokon, és azokat nyitva hagynák, vagy valamilyen webes felületen 
megadhatnánk, hogy milyen nyitott portokra van szükségünk.

Remélem nem bosszantottam fel a NIIF-et, nem volt szándékomban, engem jó 
szándék vezérelt.

Veres Sándor

További információk a(z) Techinfo levelezőlistáról