image

Uit het forum: firewall vragen

maandag 21 februari 2005, 16:54 door Redactie, 20 reacties

Dat firewalls ook onder de lezers van security.nl een hot topic vormen blijkt wel uit de vragen die regelmatig in ons forum opduiken.

Rein Velt is bijvoorbeeld op zoek naar een audit tool om z'n firewall te testen. De tool moet een mooie rapportage opleveren. Wij denken zelf aan de open source security scanner Nessus, maar misschien hebben lezers nog andere tips?

Een anonieme gebruiker vroeg al enige tijd geleden hoe je nu aan je firewall kunt zien dat je gehacked wordt. SirDice merkt uiteindelijk op dat je dit aan een firewall log niet kunt zien, maar wel als je een IDS (intrusion detection system) gebruikt.

Opnieuw een anonieme gebruiker vroeg zich gisteren af of je een software firewall op je PC nodig hebt als je router ook al een firewall heeft. De terechte reaktie was dat dit niet nodig is voor een thuisgebruiker, al is het bij een groot (zakelijk) netwerk misschien toch geen overbodige luxe om ook de interne werkstations van elkaar af te schermen. Hiermee voorkom je onder meer dat een eventuele worm zich van binnenuit over het netwerk kan verspreiden.

De firewall vragen blijven binnenstromen, want wederom een anoniem gebruiker vraagt zich af of IPFW voor Mac OS X echt veilig is of dat hij beter voor een commerciele firewall oplossing kan kiezen.

Of je naast een hardwarematige firewall ook een softwarematige firewall nodig hebt, blijft de gemoederen bezighouden. Een anonieme gebruiker wil graag weten of hij naast zijn router (Draytek VIGOR2200E) en Modem (Surfboard Motorla SB100) met N.A.T,
Firewall en DDoS-defense, het overbodig is geworden om voor zijn Windows XP PC en voor
zijn Linux (SuSe 9.2 Pro kernel 2.6.8-24.11) een firewall op de clients te installeren.

21-2-2005
Jos besloot niet het forum te gebruiken, maar stuurde ons direct een e-mail. Hieronder zijn vraag:

Enige dagen terug is Win4lin uitgekomen voor Windows 2000 (de versie voor XP komt wat later). Kosten voorlopig zo'n 100,00 dollar, in Europa mogelijk 73,00 euro. Met Win4lin kun je een legale versie van Windows, in mijn geval W2000, op een linux systeem installeren in een speciale Windows map en daar vervolgens noodzakelijke Windows applicaties in stoppen en het geheel veilig en snel onder linux (in mijn geval Mandrakelinux) laten draaien. Dual booten is dan niet meer noodzakelijk.
Nu ben ik een betrekkelijke nieuwkomer in linux en veiligheid, vandaar dan ook enige vragen over veiligheid waar u mogelijk of het forum een goed antwoord op hebt.
Op mijn systeem onder Windows zijn geinstalleerd: een externe adsl/cable firewall router, zonealarm en Norton AV. Onder linux (dual boot met W2000) geen antivirus-programma (zou ik mischien toch maar een keertje moeten doen). Een aantal programma´s die ik onder linux wil installeren (Windows OS 2000, fiscale software, Wordperfect) verlangen IE voor hun updates en dergelijke (naar vaste, soms vooraf ingestelde internetadressen). Na installatie van de oorspronkelijke versies van bijvoorbeeld W2000 OS met IE en Wordperfect kan het niet anders dan dat ik op het internet moet voor updates op de oorpronkelijke versies. Dan rijst gelijk de vraag, moet er dan ook een software firewall en antivirus in de windows-map onder linux geinstalleerd worden of is het linux OS veilig genoeg om onheil af te vangen, gericht op W2000 en de Windows-applicaties?
Email verkeer en internetbezoek zal overigens verder geheel buiten de Windowsmap onder linux plaatsvinden (nu nog Mozilla, straks Firefox en Thunderbird).

Wie helpt Jos?


Heb je zelf "brandende" firewall vragen dan ben je natuurlijk altijd welkom om deze in ons forum achter te laten.

Reacties (20)
15-02-2005, 11:04 door Poele
Jullie denken aan Nessus? Weten jullie dan ook al precies wat Rein
precies wil testen, zien en gerapporteerd zien? Nee, waarschijnlijk niet,
maar jullie denken toch aan Nessus? Waarom dan? Omdat het gratis en
Open Source is?
15-02-2005, 11:08 door SirDice
Waarom zou je niet aan Nessus denken? Heel uitgebreid..en inderdaad
gratis.. dus waarom zou je het dan niet proberen?

Overigens zei ik dat je een combinatie van logfiles nodig hebt. Met zoveel
mogelijk logging kun je een zo duidelijk mogelijk beeld krijgen van wat er
gebeurd is. Met alleen een IDS log weet je ook niet veel meer (false
positives, false negatives etc).

En verder ben ik geen voorstander van softwarematige firewalls op de clients in een groot netwerk. Dit maakt het (remote) beheren van die machines namelijk bijzonder lastig en dat is toch wat je 99% van de tijd moet doen.
15-02-2005, 11:14 door Anoniem
Rein Velt : Firewalker.... Hping, nmap etc..etc.. output kan je in excell
importeren waarna je grafiekjes kunt maken.

Een anonieme gebruiker : Je kunt door naar je logfiles te zien wie er
lastigblijft, door je firewall te koppelen aan dynamische rules (niet
verstandig voor DMZ's en zakelijk firewalls) kun je zulke 'slackers'
permanent droppen/tegenhouden.
Ook kun je aan de verbindingen zien of er verbindingen zijn opgebouwd op
je firewall die niemand achter de firewall bewust heeft opgebouwd.
Dit zijn tekenen dat er iets aan het handje kan zijn.
IDS'sen zijn net als virusscanners, die lopen altijd achter de feiten aan, als
je een omgekeerde SSL tunnel hebt weten te hacken zal geen enkele
IDS/Firewall je kunnen vertellen dat je gehacked bent.

Opnieuw een anonieme gebruiker vroeg zich gisteren af of je een software
firewall op je PC nodig hebt als je router ook al een firewall heeft.

a) indien je pc's op je lokale lan geen porten open hoeven te hebben, dan
is het aan te bevelen om ook lokaal je firewall (windows XP firewall) aan te
zetten. Ten eerste hebben de meeste router firewalls geen goede logging,
ten tweede heb je geen enkele inzicht of hij wel werkt zoals je verwacht
(statefull inspection e.d.).

Multi-layer security (op mindere plekken en lagen beveiligen) is in de
financieële wereld een verplichting en aangezien je thuis tegen geringe
inspanning dit al kan realiseren is het zeker aan te raden. Het voorkomt dat
indien iemand via je eigen webbroser een machine weet te hacken dat hij
via je eigen LAN zonder meer de andere computers kan hacken.


Mijn eigen vraag: Waarom zou je packetfilter willen gebruiken indien je
content probeert te beschermen ?
15-02-2005, 12:19 door Anoniem
Door SirDice
Waarom zou je niet aan Nessus denken? Heel uitgebreid..en inderdaad
gratis.. dus waarom zou je het dan niet proberen?

Omdat Nessus een Vulnerability Testing mechanisme is. Je steekt er
misschien wel iets van op (er zit een 'firewall testing' optie in en daarnaast
pik je misschien wat op van het firewall OS) maar je kan beter met het
echte netwerk protocollen werk bezig zijn.

Probeer http://www.packetfactory.net/projects/firewalk/ - Firewalk eens om
de rulesets te testen en gebruik een packet generator (IXIA of bouw er een
met linux) om de load en failure modes te testen.


Mijn eigen vraag: Waarom zou je packetfilter willen gebruiken indien je
content probeert te beschermen ?

Om overduidelijk gespoofd of anderzijds fout verkeer (zeg, multicast,
private, unallocated, etc IP ranges) bij je (content-serving) applicaties
vandaan te houden. 'Bottom-up filtering' wordt dat wel genoemd.
15-02-2005, 13:16 door Anoniem
Door Anoniem
Om overduidelijk gespoofd of anderzijds fout verkeer (zeg, multicast,
private, unallocated, etc IP ranges) bij je (content-serving) applicaties
vandaan te houden. 'Bottom-up filtering' wordt dat wel genoemd.

Dat is juist een teken dat de infrastructuur naar je toe fout zit.
Immers als spoofed, multicast, unicast, rfc1918 spullen zich bij je firewall
melden heb je elders grotere problemen, immers je routers op andere
plaatsen in je infrastructuur staan dan verkeerd geconfigureerd, met als
gevolg dat je verbinding daar al compromitteerd kan worden en dus je
eigen firewall geen zin meer heeft en je content dus alsnog gevaar loopt.

Dus nogmaals, waarom wil je packetbeschermen ipv content.
15-02-2005, 13:34 door Anoniem
Je beschermd jezelf nergens tegen met een firewall, zeker niet indien je
blijft browsen en mail blijft ophalen.
15-02-2005, 14:18 door Anoniem
Een leuke gratis online scanner is
scan.sygatetech.com.Die doet diverse tests en geeft in elk geval weer welkepoorten je open hebt staan.
15-02-2005, 15:43 door Anoniem
Door Anoniem
Een leuke gratis online scanner is
scan.sygatetech.com.Die doet diverse tests en geeft in elk geval weer welkepoorten je open hebt staan.[/quote]Misschien in dat gevaldan beter toch maar nmaphttp://www.insecure.org/nmap/nmap_download.html
15-02-2005, 16:35 door Anoniem
Tjsa, een firewall audit...

Wat wil je auditen? Een audit zonder norm is geen audit, dus zul je eerst je
norm moeten bepalen. Wil je een audit op de werking (doet het ding wat
het ding moet doen?) Wil je een audit waarbij je precies in kaart brengt wat
wel kan en niet kan? Wat voor firewall is het? Redunante firewall?
Perimeter firewall? Interne firewall? Proxy? Statefull? Pure Packet Filtering?
Heeft het IDS/IPS features? Wil je de applicaties testen die benaderbaar
zijn via de firewall?

Zo maar een paar vragen die in mij opkomen waar ik een antwoord op zou
willen zien, voordat ik tot een advies overga m.b.t. de te gebruiken tooling....
15-02-2005, 17:07 door Anoniem
Door Anoniem
Tjsa, een firewall audit...

Wat wil je auditen? Een audit zonder norm is geen audit, dus
zul je eerst je
norm moeten bepalen. Wil je een audit op de werking (doet
het ding wat
het ding moet doen?) Wil je een audit waarbij je precies in
kaart brengt wat
wel kan en niet kan? Wat voor firewall is het? Redunante
firewall?
Perimeter firewall? Interne firewall? Proxy? Statefull? Pure
Packet Filtering?
Heeft het IDS/IPS features? Wil je de applicaties testen die
benaderbaar
zijn via de firewall?

Zo maar een paar vragen die in mij opkomen waar ik een
antwoord op zou
willen zien, voordat ik tot een advies overga m.b.t. de te
gebruiken tooling....
Eens, buiten thuisgebruikers komen dat soort vragen aan de orde.
15-02-2005, 18:05 door Anoniem
Door Poele
Jullie denken aan Nessus? Weten jullie dan ook al precies
wat Rein
precies wil testen, zien en gerapporteerd zien? Nee,
waarschijnlijk niet,
maar jullie denken toch aan Nessus? Waarom dan? Omdat het
gratis en
Open Source is?
Daarom èn omdat je er steeds nieuwe tests uitkomen die je
als plugin kunt laden èn omdat je bij elk ontdekt potentiëel
lek duidelijke informatie krijgt over hoe je het kunt verhelpen.
Als jij het vreemd vindt dat mensen aan nessus denken, kun
je dan zeggen waarom je dat vreemd vindt en wat voor andere
manieren je ziet?
15-02-2005, 21:27 door Anoniem
Door Anoniem
Tjsa, een firewall audit...

---snip---

Zo maar een paar vragen die in mij opkomen waar ik een
antwoord op zou
willen zien, voordat ik tot een advies overga m.b.t. de te
gebruiken tooling....

Je hebt deels gelijk, het gevaar in het speficeren van het
doel van een audit is dat je hiermee iets over het hoofd kan
zien.

Bij het testen (load, functie, performance etc..etc..) van
oplossingen kun je vooraf danwel definieren wat je wilt
zien, en of dit wenselijk is, maar een domme test (nessus
all and dangerous enabled) is ook indien je eerdere audits
achter de rug hebt, altijd verstandig om te doen, immers je
wilt toch niet dat door vooraf vastgelegde normen dat 1
misvormde packet je firewall onderuit kan trekken omdat dat
net niet een onderdeel van je audits bleek te zijn.

Afgezien hiervan is er qua tooling nu eenmaal handig en kan
je niet vanaf elk platform elk packet verzenden....
16-02-2005, 23:03 door spatieman
als ik mijn linux firewall logs moet bekijken ,ben ik morgen
nog bezig.
er wordt aan de lopende band aan mijn deur geklopt :)
17-02-2005, 00:03 door Anoniem
Mijn favoriet is de online buitenaf scan van Steve Gibson (Shields Up) en
de scan van binnenuit (Leaktest), beiden te vinden op grc.com.
17-02-2005, 00:51 door Anoniem
Door Anoniem
Mijn favoriet is de online buitenaf scan van Steve Gibson
(Shields Up) en
de scan van binnenuit (Leaktest), beiden te vinden op
grc.com.
Zeker niet bekend met http://grcsucks.com/ ? :)

http://scan.sygate.com/

Of gewoon vollediger van buitenaf en van binnen uit:
http://www.insecure.org/nmap/nmap_download.html
17-02-2005, 08:05 door Anoniem
Als je je firewall in de gaten wilt houden ivm hacken zijn
er minstens twee dingen:
1. Hou in de gaten of je gehacked bent/wordt door md5 checks
met of andere checks te kijken of je binaries zijn gewijzigd.
2. hou je verkeer patroon in de gaten met grafieken of
andere middelen. Kijk hierbij naar hoeveelheden, maar ook
naar rare poorten.

Interne firewalls op je systemen zijn juist bij thuisgebruik
van belang om wormen en virussen en spyware te zien die naar
buiten willen verbinden.

Peer (van reset by)
17-02-2005, 09:07 door Anoniem
Audti tool en mooie rapportages ?
Dit is de kunstacademie niet.

Echt, security bij sommige mensen, zit blijkbaar in een
mooie doos die je bij de computer handel kan kopen o.i.d.
17-02-2005, 09:56 door Anoniem
Door Anoniem
Dat is juist een teken dat de infrastructuur naar je toe
fout zit.
Immers als spoofed, multicast, unicast, rfc1918 spullen zich
bij je firewall melden heb je elders grotere problemen,
immers je routers op andere plaatsen in je infrastructuur
staan dan verkeerd geconfigureerd, met als gevolg dat je
verbinding daar al compromitteerd kan worden en dus je eigen
firewall geen zin meer heeft en je content dus alsnog gevaar
loopt.

Dus nogmaals, waarom wil je packetbeschermen ipv
content.

Misschien beheer je die infrastructuur helemaal niet. Maar
zelfs als je dat wel doet - packetfiltering is een vereiste
in elk stuk van het netwerk. Doe je dat niet dan verwacht je
dat andere delen van het netwerk 'veilig' zijn - en da's een
redelijk domme aanname. ACLs op je content zetten is
natuurlijk ook belangrijk.

Maar laat ik even terug komen op :

met als gevolg dat je verbinding daar al compromitteerd kan
worden en dus je eigen firewall geen zin meer heeft
[/quote

He? Lees ik dat goed? Een ander deel van het netwerk is
gecompromitteerd en dus moet je maar omrollen en dood
spelen? Wat is dat nou voor instelling? Als een ander
(upstream) deel al gecompromitteerd is dan moet je
juist goeie filters rond het deel wat je wil
beschermen hebben! Hier nog een term voor je : 'Defense in
Depth'. Google maar eens.
22-02-2005, 07:34 door Anoniem
Jos: Linux -> Firewall -> Win4Lin
Je gebruikt in principe in dit geval een firewall van Linux,
hiermee block je veel poorten maar onder Windows moet je
sowieso nog op applicatie-niveau gaan filteren om te
voorkomen dat trojans,virussen en spyware door kunnen
dringen op je PC. Mijn advies is dus wel om een firewall &
virusscanner (lichte virusscanner zoals AVG) te draaien
22-02-2005, 11:09 door Anoniem
Door Anoniem
Je beschermd jezelf nergens tegen met een firewall, zeker
niet indien je
blijft browsen en mail blijft ophalen.

erg kort door de bocht mar wel gedeeltelijk waar. Daarom
moet je je bij een audit niet alleen focussen op wat je
tegen houdt, je moet ook controleren wat eruit gaat en naar
binnen komt. Uiteraard zijn er voldoende mechanismen om dat
browsen en mail vervolgens ook secure te maken.

En ik denk dat je dat zelf ook wel weet ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.