Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Unix\Linux Firewall vs ACL

16-07-2010, 09:22 door Anoniem, 6 reacties
LS

Een systeem kan je op verschillende configureren om te voorkomen dat andere geen toegang krijgen tot data of services. Veel applicatie`s met samba of bind als voorbeeld, hebben een eigen acl waarbij je doormiddel van een ip-range verkeer kan accepteren of blokkeren. Een andere optie zou Iptables kunnen zijn waar je de acl centraal en overzichtelijk zou kunnen beheren. Wat heeft jullie voorkeur? Centraal in Iptables of decentraal op applicatie niveau?

Gr, Isog
Reacties (6)
16-07-2010, 09:48 door Anoniem
Beveilging bestaat op diverse niveau's. Dus beide beveiligingsmethoden zijn van toepassing.
16-07-2010, 10:09 door Anoniem
Waarom niet allebei ivm gelaagde beveiliging?
16-07-2010, 10:13 door ej__
Omdat ACL's op een veel later moment ingrijpen, en alleen de betreffende dienst beschermen is het gebruik van beide tegelijkertijd aan te raden. Met name op bind doet een acl wezenlijk andere dingen dan een packetfilter.

Dus: ik gebruik beide, op zowel centraal als decentraal niveau.
16-07-2010, 10:27 door Maki
Ik gebruik onder andere gewoon denyhosts.
Samba en NFS heb ik uberhaupt niet geaccepteerd staan. Ik draai deze daemons niet eens.
16-07-2010, 10:31 door Anoniem
Als je beide gebruikt, brengt dit natuurlijk een administratieve overhead met zich mee. Troubleshooting word lastiger.
Beveiliging op diverse lagen ben ik helemaal voor. Maar wegen bovenstaande nadelen op tegen het voordeel van een centrale en overzichtelijke methode? In plaats van een 192.168.0.1/24 te gebruiken op applicatie en fw level. Ook hier geld volgens mij; zoek de balans tussen werkbaar en beveiliging.
16-07-2010, 11:03 door Loserenzo
Ik zou ook allebei gebruiken.

Zeker in het voorbeeld dat je zelf geeft met iptables. De kernel-module (iptables) grijpt veel eerder in in het pakket-verwerkingsproces dan de applicatie die moet gaan filteren, dan ben je al allerlei, mogelijk zwakke, schakels voorbij.

Zeker bij 'zwakkere' applicaties zoals Bind wil je graag dat iptables ertussen zit. Tenzij je bind in zulke volumes gaat draaien dat iptables een probleem gaat vormen, maar dan heb je het over vele duizenden dns verzoeken per seconde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.