Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Firewall Mac OS X en Ubuntu, waardeloos

26-09-2018, 16:59 door Anoniem, 90 reacties
Ik lees heel veel van jullie denken dat firewall de main security van een systeem is.
Er is een reden waarom Ubuntu en Mac OS uitstaat.
https://www.howtogeek.com/205108/your-mac%E2%80%99s-firewall-is-off-by-default-do-you-need-to-enable-it/

Firewall is iets wat windows gebruiks zich aan hebben geleerd.
Daarnaast is de firewall van Mac OS X bijvoorbeeld makkelijk te omzeilen.
https://www.defcon.org/images/defcon-14/dc-14-presentations/DC-14-Beale.pdf

Geloof niet wat de mening van andere maar weet iets zeker voordat je spreekt.
Ik zag een topic waar iemand Bonjour wou uitschakelen wat heel verstandig is en waarom zou je het gebruiken als je het niet gebruikt maar deze persoon krijgt kritiek.

Hetzelfde geld voor Ubuntu.
Avanhi bijvoorbeeld.

Windows is een kwetsbare OS, maar de Firewall van Windows is wel de meest Mature firewall (Is zeker ook nodig op een windows Machine).

Weet wat de firewall van Mac doet en hoe het is geconfigureerd voordat je aannames doet.
ALs je veilig wilt zijn voor op het Web dan heb je geadvanceerdere oplossingen nodig bijvoorbeeld een firewall als die van windows die meerdere lagen van bescherm biedt.
Little Snitch en andere firewalls schieten ook te kort hierin.
Reacties (90)
27-09-2018, 07:52 door Anoniem
Oh dat wist ik niet bedankt voor het delen hiervan!
27-09-2018, 08:12 door -karma4
27-09-2018, 08:31 door Anoniem
Door The FOSS: Simpel in te stellen: https://help.ubuntu.com/community/UFW

De firewall van Ubuntu is slecht geconfigureerd.
Heb jij zelf je firewall geconfigureerd?
27-09-2018, 08:47 door -karma4
Door Anoniem:
Door The FOSS: Simpel in te stellen: https://help.ubuntu.com/community/UFW

De firewall van Ubuntu is slecht geconfigureerd.
Heb jij zelf je firewall geconfigureerd?

Ja (met UFW onder Debian). Simpel. Robuust. Veilig. Zoals Linux zelf eigenlijk.
27-09-2018, 08:55 door Anoniem
Door The FOSS:
Door Anoniem:
Door The FOSS: Simpel in te stellen: https://help.ubuntu.com/community/UFW

De firewall van Ubuntu is slecht geconfigureerd.
Heb jij zelf je firewall geconfigureerd?

Ja (met UFW onder Debian). Simpel. Robuust. Veilig. Zoals Linux zelf eigenlijk.

Het is mythe dat Linux veilig is, het is veiliger...
27-09-2018, 09:09 door Anoniem
@TS

Je gooit dingen door elkaar en refereerd naar een 9 jaar oud document.

Ga je huiswerk maken voordat je paniek gaat zaaien.
27-09-2018, 09:24 door Anoniem
Ik vind dit een erg onsamenhangend verhaal,slecht Nederlands.
Kunt U het nog eens wat meer samenvatten?
27-09-2018, 09:29 door Bartbartbart
Met UFW valt niet in te stellen dat App1 bv wel poort 80 mag gebruiken en geen poort 25. Slechts Wel/Geen toegang.
Ook valt niet in te stellen dat App2 bv wel naar www.bla.com mag gaan maar niet naar www.phonehome.com.
Nieuwe connectionattempts op nieuwe poorten worden ook niet kenbaar gemaakt en als ze lokaal via andere apps die wel internettoegang hebben willen communiceren dan zie je dat ook niet terug. (Op Windows willen apps bv maar wat graag via svchost op internet als ze het niet rechtstreeks mogen, en dat moet je dan wel per connection kunnen managen.)
27-09-2018, 09:42 door Anoniem
Door Bartbartbart: Met UFW valt niet in te stellen dat App1 bv wel poort 80 mag gebruiken en geen poort 25. Slechts Wel/Geen toegang.
Ook valt niet in te stellen dat App2 bv wel naar www.bla.com mag gaan maar niet naar www.phonehome.com.
Nieuwe connectionattempts op nieuwe poorten worden ook niet kenbaar gemaakt en als ze lokaal via andere apps die wel internettoegang hebben willen communiceren dan zie je dat ook niet terug. (Op Windows willen apps bv maar wat graag via svchost op internet als ze het niet rechtstreeks mogen, en dat moet je dan wel per connection kunnen managen.)

Ja en dit op een interactieve wijze. Om echt veilig te zijn ben ik het de TS een dat er geadvanceerdere oplossingen nodig zijn dan hoe de meeste hun firewall configureren...
27-09-2018, 09:59 door Anoniem
Door Anoniem:
Ja en dit op een interactieve wijze. Om echt veilig te zijn ben ik het de TS een dat er geadvanceerdere oplossingen nodig zijn dan hoe de meeste hun firewall configureren...

Ja ik ben ook van mening dat bla bla bla....

Komt dan met concrete tips i.p.v. AOL te roepen.
27-09-2018, 09:59 door Anoniem
Door Anoniem: Ik vind dit een erg onsamenhangend verhaal,slecht Nederlands.
Een zich herhalend patroon de laatste dagen, kennelijk een nieuwe deelnemer die er lol in heeft om dit soort topics
aan te maken...
27-09-2018, 10:12 door Anoniem
Het onderliggende probleem is dat de Linux firewall een echte netwerk firewall is, die alleen kijkt naar pakketjes en niet
naar programma's. Dat is dus anders dan de Windows firewall.
Wat dat betreft kun je een firewall op een Linux machine vergelijken met een los staande machine en een daarvoor
staande router met firewall. Die router weet ook niet wat de bron/bestemming van het verkeer is.

Als je functionaliteit aantreft van "zet de poorten voor dit programma open" dan is dat niet gebaseerd op een koppeling
met dat specfieke programma, maar op info die er is vastgelegd over dat programma en de benodigde poorten.
Bijvoorbeeld als je een mailserver installeert en in de firewall registreert dan wordt inkomend poort 25 toegevoegd.
Maar het is dus niet zo dat de geinstalleerde server dan die poort mag gebruiken en een ander programma niet.
(uiteraard kan maar 1 programma luisteren op een bepaalde poort, maar als het originele programma niet draait kan
een ander programma dat wel).

Er bestaat wel een match op uid en gid van een lokaal proces maar daarmee laat je dus geen programma toe maar een
user/group.
27-09-2018, 10:15 door Anoniem
Ik heb een paar topics hier gelezen en irriteer mij hoe jullie over beveiliging denken.
Jullie lezen wat op het internet en weten niet wat er onder motorkap gebeurd en reageren in posts dan Mac en Linux een hele goede firewall hebben of met onzin dat je little snitch ofzo moet installeren.

De firewalls van Mac en Linux schieten veels te kort om je daadwerkelijk tegen een geadvanceerde hack te beschermen.
Als een proces wordt misbruikt door kwaadwillende code om netwerkacties uit te voeren, dan is dit bijvoorbeeld toegestaan in Mac en Linux (Windows blinkt hier uit, dat komt omdat Windows dat nodig heeft).

Mijn boodschap is ken de beperkingen van je systeem beveiliging ipv de suggesties die jullie in de media ofzo lezen.
Wees geen toetsenbord held maar een deskundige...
27-09-2018, 10:36 door Anoniem
Door Anoniem: Het onderliggende probleem is dat de Linux firewall een echte netwerk firewall is, die alleen kijkt naar pakketjes en niet
naar programma's. Dat is dus anders dan de Windows firewall.
Wat dat betreft kun je een firewall op een Linux machine vergelijken met een los staande machine en een daarvoor
staande router met firewall. Die router weet ook niet wat de bron/bestemming van het verkeer is.

Als je functionaliteit aantreft van "zet de poorten voor dit programma open" dan is dat niet gebaseerd op een koppeling
met dat specfieke programma, maar op info die er is vastgelegd over dat programma en de benodigde poorten.
Bijvoorbeeld als je een mailserver installeert en in de firewall registreert dan wordt inkomend poort 25 toegevoegd.
Maar het is dus niet zo dat de geinstalleerde server dan die poort mag gebruiken en een ander programma niet.
(uiteraard kan maar 1 programma luisteren op een bepaalde poort, maar als het originele programma niet draait kan
een ander programma dat wel).

Er bestaat wel een match op uid en gid van een lokaal proces maar daarmee laat je dus geen programma toe maar een
user/group.

Het is ook niet echt relevant welke applicatie op die poort draait en het geeft je prima mogelijkheden om te tunnelen.
27-09-2018, 10:40 door Anoniem
Door Anoniem: Het onderliggende probleem is dat de Linux firewall een echte netwerk firewall is, die alleen kijkt naar pakketjes en niet
naar programma's. Dat is dus anders dan de Windows firewall.
Wat dat betreft kun je een firewall op een Linux machine vergelijken met een los staande machine en een daarvoor
staande router met firewall. Die router weet ook niet wat de bron/bestemming van het verkeer is.

Als je functionaliteit aantreft van "zet de poorten voor dit programma open" dan is dat niet gebaseerd op een koppeling
met dat specfieke programma, maar op info die er is vastgelegd over dat programma en de benodigde poorten.
Bijvoorbeeld als je een mailserver installeert en in de firewall registreert dan wordt inkomend poort 25 toegevoegd.
Maar het is dus niet zo dat de geinstalleerde server dan die poort mag gebruiken en een ander programma niet.
(uiteraard kan maar 1 programma luisteren op een bepaalde poort, maar als het originele programma niet draait kan
een ander programma dat wel).

Er bestaat wel een match op uid en gid van een lokaal proces maar daarmee laat je dus geen programma toe maar een
user/group.

Ja dit is dus wat ik bedoel deels, gelukkig dat er mensen hier zijn met kennis van zaken...
Misschien zijn het toetsenbord helden die aangeven dat de Firewall van Mac OS "strak is"

De firewall van Linux en Mac zijn bedoeld om in je router te zetten.
Als je deze systemen veilig wilt hebben dan moet je echt nog heel veel doen en het heeft gewoon beperkingen...
27-09-2018, 10:42 door Anoniem
Door Anoniem:
Door Anoniem: Het onderliggende probleem is dat de Linux firewall een echte netwerk firewall is, die alleen kijkt naar pakketjes en niet
naar programma's. Dat is dus anders dan de Windows firewall.
Wat dat betreft kun je een firewall op een Linux machine vergelijken met een los staande machine en een daarvoor
staande router met firewall. Die router weet ook niet wat de bron/bestemming van het verkeer is.

Als je functionaliteit aantreft van "zet de poorten voor dit programma open" dan is dat niet gebaseerd op een koppeling
met dat specfieke programma, maar op info die er is vastgelegd over dat programma en de benodigde poorten.
Bijvoorbeeld als je een mailserver installeert en in de firewall registreert dan wordt inkomend poort 25 toegevoegd.
Maar het is dus niet zo dat de geinstalleerde server dan die poort mag gebruiken en een ander programma niet.
(uiteraard kan maar 1 programma luisteren op een bepaalde poort, maar als het originele programma niet draait kan
een ander programma dat wel).

Er bestaat wel een match op uid en gid van een lokaal proces maar daarmee laat je dus geen programma toe maar een
user/group.

Het is ook niet echt relevant welke applicatie op die poort draait en het geeft je prima mogelijkheden om te tunnelen.

Ja precies. Oh begin toch te zien dat er mensen hier zijn met kennis van zaken.
27-09-2018, 11:14 door Anoniem
Door Anoniem: Ik lees heel veel van jullie denken dat firewall de main security van een systeem is.
Er is een reden waarom Ubuntu en Mac OS uitstaat.
https://www.howtogeek.com/205108/your-mac%E2%80%99s-firewall-is-off-by-default-do-you-need-to-enable-it/

Firewall is iets wat windows gebruiks zich aan hebben geleerd.
Daarnaast is de firewall van Mac OS X bijvoorbeeld makkelijk te omzeilen.
https://www.defcon.org/images/defcon-14/dc-14-presentations/DC-14-Beale.pdf

Geloof niet wat de mening van andere maar weet iets zeker voordat je spreekt.
Ik zag een topic waar iemand Bonjour wou uitschakelen wat heel verstandig is en waarom zou je het gebruiken als je het niet gebruikt maar deze persoon krijgt kritiek.

Hetzelfde geld voor Ubuntu.
Avanhi bijvoorbeeld.

Windows is een kwetsbare OS, maar de Firewall van Windows is wel de meest Mature firewall (Is zeker ook nodig op een windows Machine).

Weet wat de firewall van Mac doet en hoe het is geconfigureerd voordat je aannames doet.
ALs je veilig wilt zijn voor op het Web dan heb je geadvanceerdere oplossingen nodig bijvoorbeeld een firewall als die van windows die meerdere lagen van bescherm biedt.
Little Snitch en andere firewalls schieten ook te kort hierin.

Uit de presentatie die jij opgaf: http://bastille-linux.sourceforge.net/running_bastille_on.htm
27-09-2018, 11:31 door Anoniem
Door Anoniem: Ik lees heel veel van jullie denken dat firewall de main security van een systeem is.
Er is een reden waarom Ubuntu en Mac OS uitstaat.
https://www.howtogeek.com/205108/your-mac%E2%80%99s-firewall-is-off-by-default-do-you-need-to-enable-it/

Firewall is iets wat windows gebruiks zich aan hebben geleerd.
Daarnaast is de firewall van Mac OS X bijvoorbeeld makkelijk te omzeilen.
https://www.defcon.org/images/defcon-14/dc-14-presentations/DC-14-Beale.pdf

Geloof niet wat de mening van andere maar weet iets zeker voordat je spreekt.
Ik zag een topic waar iemand Bonjour wou uitschakelen wat heel verstandig is en waarom zou je het gebruiken als je het niet gebruikt maar deze persoon krijgt kritiek.

Hetzelfde geld voor Ubuntu.
Avanhi bijvoorbeeld.

Windows is een kwetsbare OS, maar de Firewall van Windows is wel de meest Mature firewall (Is zeker ook nodig op een windows Machine).

Weet wat de firewall van Mac doet en hoe het is geconfigureerd voordat je aannames doet.
ALs je veilig wilt zijn voor op het Web dan heb je geadvanceerdere oplossingen nodig bijvoorbeeld een firewall als die van windows die meerdere lagen van bescherm biedt.
Little Snitch en andere firewalls schieten ook te kort hierin.

Dit is een gecompliceerd onderwerp. De firewalls waar jij over praat zijn zogenaamde blocking firewals.

Linux bied verder ook nog SELinux, daarmee bepaalt men ook of een programma wel mag praten over een netwerk. Dit in combinatie met netfilter (linux kernel) biedt best een goed beveiliging, alleen is dit complex.

Windows doet dit ook op meerdere lagen. Firewall en applicatie domeinen, als dan niet met netwerk.

Ubuntu heeft standaard apparmor, waarmee men applicaties al dan niet netwerk toegang kan geven.

In alle gevallen geld dat ze een firewall (data pakketten) en systeem(applicaties) controle tools heeft.

Simpel lijstje, maar je met meer zoeken denk ik:
- https://wiki.ubuntu.com/AppArmor
- https://www.netfilter.org/
- https://wiki.centos.org/HowTos/SELinux

Misschien een leuk begin voor jouw avontuur in systeem beveiling 101 wereld. Veel succes.
27-09-2018, 11:59 door Anoniem
Je kunt onder macOS Little Snitch gebruiken indien je gerichte controle wilt over je Firewall. Werkt erg eenvoudig (voor een firewall) en is vrij gedetailleerd beheersbaar.
27-09-2018, 12:04 door Anoniem
Ben het een met TS heel veel mensen denken veilig te zijn voor hackers door de standaard firewall Firewall te gebruiken of little snitch hoor ik ook veel voorbij komen.
De firewall op netwerk niveau biedt een eerste laag van beschermin maar echte firewall bescherming zoals windows ontbreekt
27-09-2018, 12:10 door Anoniem
Door Anoniem:
De firewall van Linux en Mac zijn bedoeld om in je router te zetten.
Als je deze systemen veilig wilt hebben dan moet je echt nog heel veel doen en het heeft gewoon beperkingen...

Dat ligt er maar aan met wat je met veilig bedoelt.
Deze firewall beveiligt prima tegen inkomend verkeer en dat is toch de grootste dreiging.
Als je trojans binnenhaalt dan kunnen die wellicht naar buiten communiceren. Maar dat doe je dan wel zelf.

Verder word ik een beetje moe van die reaguurders die overal op reageren met een quote van het hele artikel en
dan 1 regel eronder zetten, en dan een minuut later bedenken dat ze nog wat vergeten waren en dan nogmaals
hetzelfde doen. Hou je een beetje in en reageer niet op alles met van die dooddoeners.
27-09-2018, 13:01 door Anoniem
Door Anoniem:
Door Anoniem:
De firewall van Linux en Mac zijn bedoeld om in je router te zetten.
Als je deze systemen veilig wilt hebben dan moet je echt nog heel veel doen en het heeft gewoon beperkingen...

Dat ligt er maar aan met wat je met veilig bedoelt.
Deze firewall beveiligt prima tegen inkomend verkeer en dat is toch de grootste dreiging.
Als je trojans binnenhaalt dan kunnen die wellicht naar buiten communiceren. Maar dat doe je dan wel zelf.

Volledig vertrouwen op een pakketfilter firewall naief.
Patrick Wardle bijvoorbeeld besspreekt de kwetsbaarheden van de arhcitectuur van de Firewalls.
http://traffic.libsyn.com/collective/CI_WardleFirewalls_MM.mp3

Waarom zijn de firewalls goed volgens jou?
Hoe heb jij de jouwe ingesteld of gebruik je de standaard instellingen en zeg je dat deze goed is?
27-09-2018, 13:02 door -karma4 - Bijgewerkt: 27-09-2018, 13:04
Door Anoniem: Ben het een met TS heel veel mensen denken veilig te zijn voor hackers door de standaard firewall Firewall te gebruiken of little snitch hoor ik ook veel voorbij komen.
De firewall op netwerk niveau biedt een eerste laag van beschermin maar echte firewall bescherming zoals windows ontbreekt

Ik heb toch echt AppArmor (*) op mijn Debian installatie. En dat is gewoon de default volgens mij. AppArmor doet wat een Windows applicatie-firewall doet en nog veel meer. Het gaat dus verder dan wat Windows biedt. Verder nog iets?

(*) https://en.wikipedia.org/wiki/AppArmor
27-09-2018, 13:03 door Anoniem
Door Anoniem: Je kunt onder macOS Little Snitch gebruiken indien je gerichte controle wilt over je Firewall. Werkt erg eenvoudig (voor een firewall) en is vrij gedetailleerd beheersbaar.

Weet zon toetsenbord held...
Hoe geeft LS volgens jou controle?
Heeft het ooit iets voor jou tegen gehouden?
27-09-2018, 13:06 door Anoniem
Door The FOSS:
Door Anoniem: Ben het een met TS heel veel mensen denken veilig te zijn voor hackers door de standaard firewall Firewall te gebruiken of little snitch hoor ik ook veel voorbij komen.
De firewall op netwerk niveau biedt een eerste laag van beschermin maar echte firewall bescherming zoals windows ontbreekt

Ik heb toch echt AppArmor op mijn Debian installatie. En dat is gewoon de default volgens mij. AppArmor doet wat een Windows applicatie-firewall doet en nog veel meer. Het gaat dus verder dan wat Windows biedt. Verder nog iets?

We hebben het hier over de beperkingen van de firewall en niet windows vs Linux denk ik.
Daarnaast is windows firewall meer dan een APP-firewall.
27-09-2018, 13:30 door Anoniem
Door Anoniem:
Door Anoniem: Ik vind dit een erg onsamenhangend verhaal,slecht Nederlands.
Een zich herhalend patroon de laatste dagen, kennelijk een nieuwe deelnemer die er lol in heeft om dit soort topics
aan te maken...

Ik ben al heel lang deelnemer, maar irriteer mij wat in sommige topics lees en excuses zal mij proberen te inhouden.
27-09-2018, 13:32 door Anoniem
Wel ja, donder alles op èèn grote hoop en vergeet het hele OSI model m.b.t. layer 3 en layer 7.
27-09-2018, 13:35 door -karma4 - Bijgewerkt: 27-09-2018, 13:35
Door Anoniem:
Door The FOSS:
Door Anoniem: Ben het een met TS heel veel mensen denken veilig te zijn voor hackers door de standaard firewall Firewall te gebruiken of little snitch hoor ik ook veel voorbij komen.
De firewall op netwerk niveau biedt een eerste laag van beschermin maar echte firewall bescherming zoals windows ontbreekt

Ik heb toch echt AppArmor op mijn Debian installatie. En dat is gewoon de default volgens mij. AppArmor doet wat een Windows applicatie-firewall doet en nog veel meer. Het gaat dus verder dan wat Windows biedt. Verder nog iets?

We hebben het hier over de beperkingen van de firewall en niet windows vs Linux denk ik.
Daarnaast is windows firewall meer dan een APP-firewall.

De titel die topic poster heeft gekozen is 'Firewall Mac OS X en Ubuntu, waardeloos'. En dan wordt er door TS uitgeweid over de Windows firewall. Welnu: onder Linux heb je dezelfde functionaliteit (meer zelfs) dan onder Windows. Alleen heet het anders:

a) Linux firewall; plus b) AppArmor (of iets vergelijkbaars).

Dat Windows meer is dan een APP-firewall, dat geloof ik wel. Het gaat echter niet zo ver dan Linux firewall + AppArmor. (En de titel van TS heeft het over Linux.) Verder nog iets?
27-09-2018, 13:52 door Anoniem
Door The FOSS:
Door Anoniem:
Door The FOSS:
Door Anoniem: Ben het een met TS heel veel mensen denken veilig te zijn voor hackers door de standaard firewall Firewall te gebruiken of little snitch hoor ik ook veel voorbij komen.
De firewall op netwerk niveau biedt een eerste laag van beschermin maar echte firewall bescherming zoals windows ontbreekt

Ik heb toch echt AppArmor op mijn Debian installatie. En dat is gewoon de default volgens mij. AppArmor doet wat een Windows applicatie-firewall doet en nog veel meer. Het gaat dus verder dan wat Windows biedt. Verder nog iets?

We hebben het hier over de beperkingen van de firewall en niet windows vs Linux denk ik.
Daarnaast is windows firewall meer dan een APP-firewall.

De titel die topic poster heeft gekozen is 'Firewall Mac OS X en Ubuntu, waardeloos'. En dan wordt er door TS uitgeweid over de Windows firewall. Welnu: onder Linux heb je dezelfde functionaliteit (meer zelfs) dan onder Windows. Alleen heet het anders:

a) Linux firewall; plus b) AppArmor (of iets vergelijkbaars).

Dat Windows meer is dan een APP-firewall, dat geloof ik wel. Het gaat echter niet zo ver dan Linux firewall + AppArmor. (En de titel van TS heeft het over Linux.) Verder nog iets?

AppArmor is reactief, het blokt niet op het netwerk niveau.
Jij wilt dus op applicatie niveau gaan "firewallen",

(Ik ben zelf een Mac en Linux(Ubuntu, Kali) gebruiker).
27-09-2018, 14:15 door Anoniem
Nou weet ik waarom er zoveel problemen zijn met slecht werkende computers, virus infecties, ransomware etc. etc. etc.
Ik heb zelden zoveel onzin gelezen en onsamenhangende bijdrages gezien als hier. Er wordt hier vrijwel geen onderscheid gemaakt tussen netwerk en applicaties, inkomend,uitgaand en gerelateerd verkeer. Er wordt gerefereerd aan documenten uit de tijd dat een kut nog haar had om vervolgens een product 'aan te bevelen' (Bastille) wat voor het laasts geupdated was in 2006.

Kom jongens, laten we elkaar niet gek maken.
27-09-2018, 14:37 door Anoniem
Door Anoniem: Ik heb een paar topics hier gelezen en irriteer mij hoe jullie over beveiliging denken.
Jullie lezen wat op het internet en weten niet wat er onder motorkap gebeurd en reageren in posts dan Mac en Linux een hele goede firewall hebben of met onzin dat je little snitch ofzo moet installeren.

De firewalls van Mac en Linux schieten veels te kort om je daadwerkelijk tegen een geadvanceerde hack te beschermen.
Als een proces wordt misbruikt door kwaadwillende code om netwerkacties uit te voeren, dan is dit bijvoorbeeld toegestaan in Mac en Linux (Windows blinkt hier uit, dat komt omdat Windows dat nodig heeft).

Mijn boodschap is ken de beperkingen van je systeem beveiliging ipv de suggesties die jullie in de media ofzo lezen.
Wees geen toetsenbord held maar een deskundige...

a) je moet je niet zo irriteren -> slecht voor je hart
b) een geavanceerde hack (vrij ruim begrip btw) maakt van elk OS gehakt..ook met of zonder firewall
27-09-2018, 14:53 door -karma4 - Bijgewerkt: 27-09-2018, 14:55
Door Anoniem: AppArmor is reactief, het blokt niet op het netwerk niveau.

Uit https://en.wikipedia.org/wiki/AppArmor: AppArmor ("Application Armor") is a Linux kernel security module that allows the system administrator to restrict programs' capabilities with per-program profiles. Profiles can allow capabilities like network access, raw socket access, and the permission to read, write, or execute files on matching paths.

Door Anoniem: Jij wilt dus op applicatie niveau gaan "firewallen"

Ik ben geen beheerder dus dat soort dingen doe ik niet zelf. Echter bovenstaande toelichting suggereert dat AppArmor wel degelijk kan worden gebruikt om je applicaties te beveiligen. In dit artikel is een en anders zelfs mooi uitgewerkt beschreven: Firewall your applications with AppArmor https://www.linux.com/news/firewall-your-applications-apparmor. 'Application firewalling' - nou ja, ongeveer.

Verder nog iets?
27-09-2018, 15:31 door Anoniem
Door The FOSS:Ik ben geen beheerder dus dat soort dingen doe ik niet zelf. Echter bovenstaande toelichting suggereert dat AppArmor wel degelijk kan worden gebruikt om je applicaties te beveiligen.

Ja, dat is het geval. Dat is juist het hele idee er achter :-)

Verder nog iets?

Ja. Ondanks Linux, uitgerust met AppArmour en Gufw, zet ik een toch extra OpenBSD router met PF tussen mijn laptop en de modemrouter. De fijnmazige filtering besteed ik dus graag uit aan Theo de Raadt en consorten.
27-09-2018, 16:02 door Anoniem
Door Anoniem:
Door The FOSS:Ik ben geen beheerder dus dat soort dingen doe ik niet zelf. Echter bovenstaande toelichting suggereert dat AppArmor wel degelijk kan worden gebruikt om je applicaties te beveiligen.

Ja, dat is het geval. Dat is juist het hele idee er achter :-)

Verder nog iets?

Ja. Ondanks Linux, uitgerust met AppArmour en Gufw, zet ik een toch extra OpenBSD router met PF tussen mijn laptop en de modemrouter. De fijnmazige filtering besteed ik dus graag uit aan Theo de Raadt en consorten.
Ja maar dan heb je twee keer het zelfde een pakket protocol georienteerde firewall...
Het is overbodig om de firewall van je Ubuntu en Mac te gebruiken als je al een netwerk firewall hebt...
Tenzij openbare plekken verbinding maakt.
27-09-2018, 16:32 door Anoniem
Pssst, als je wilt kijken welke poorten er open zijn of open gaan moet je eens netstat draaien.
27-09-2018, 17:04 door Anoniem
Door Anoniem: Nou weet ik waarom er zoveel problemen zijn met slecht werkende computers, virus infecties, ransomware etc. etc. etc.
Ik heb zelden zoveel onzin gelezen en onsamenhangende bijdrages gezien als hier. Er wordt hier vrijwel geen onderscheid gemaakt tussen netwerk en applicaties, inkomend,uitgaand en gerelateerd verkeer. Er wordt gerefereerd aan documenten uit de tijd dat een kut nog haar had om vervolgens een product 'aan te bevelen' (Bastille) wat voor het laasts geupdated was in 2006.

Kom jongens, laten we elkaar niet gek maken.

Ja ben het met jou eens!
Hoe heb jij je firewall ingesteld?
27-09-2018, 17:28 door Anoniem
Door Anoniem: Het is overbodig om de firewall van je Ubuntu en Mac te gebruiken als je al een netwerk firewall hebt...

Dat is niet geheel overnodig, want dan behoeft mijn vriendin die mooie juffrouw, die de nieuwste wifi-modemrouter van de internet provider aanprijst, haar niet op haar mooi blauwe ogen te vertrouwen. Dat twee gaat niet samen.

Sleutel liever daarom zelf aan mijn eigen router dan dat voor mij onbekende derden dat buiten mijn medeweten kunnen doen. Het is maar net waar je je prioriteiten legt of wat je belang is. Ik heb geen zin in gezeur over computers die het niet goed doen.
27-09-2018, 17:29 door Anoniem
Door Anoniem:
Ja ben het met jou eens!
Hoe heb jij je firewall ingesteld?

Welke firewall bedoel je, die op mijn router, mijn desktops of op mijn servers? En bedoel je dan mijn inkomende of uitgaande (applicatie) firewall?

En zelfs daar kan ik geen generiek antwoord op geven omdat ik voor iedere computer en toepassing opnieuw bekijk wat ik aan beveiliging nodig heb.

Beveiliging is bij mij een mindset welke gesteund wordt door technische middelen.
27-09-2018, 18:08 door -karma4 - Bijgewerkt: 27-09-2018, 18:10
Door Anoniem: Pssst, als je wilt kijken welke poorten er open zijn of open gaan moet je eens netstat draaien.

Dat netstat is uit die tijd dat ze nog haar hadden. Tegenwoordig doe je bv. een ss -tupa

https://computingforgeeks.com/netstat-vs-ss-usage-guide-linux/

Hetzelfde voor ifconfig en ip. Tegenwoordig doe je een ip a

https://www.tecmint.com/ifconfig-vs-ip-command-comparing-network-configuration/.
27-09-2018, 18:19 door Anoniem
@ topicS starter

'Windows is kut want kijk maar naar dit gevonden lekje in windows95 !!!'

Wat waardeloos is, is dat je Mac informatie gebruikt dat van toepassing is op OS Software van 2003-2005 !
Mac OS X Panther 10.3 ! (pagina 4 van je pdf).
We zijn dertien jaar verder en 11 Mac OS systemen verder.

Het slaat als een tang op een varken dit.

Daarnaast is de post waarnaar je verwijst van jezelf, hou de boel hier niet voor de gek.
27-09-2018, 19:12 door Anoniem
Nou, vooruit ... hou vast, daar komt ie:

# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*nat
:PREROUTING ACCEPT [381:74503]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [118:8260]
:POSTROUTING ACCEPT [118:8260]
:OUTPUT_direct - [0:0]
:POSTROUTING_ZONES - [0:0]
:POSTROUTING_ZONES_SOURCE - [0:0]
:POSTROUTING_direct - [0:0]
:POST_public - [0:0]
:POST_public_allow - [0:0]
:POST_public_deny - [0:0]
:POST_public_log - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A POSTROUTING -j POSTROUTING_ZONES_SOURCE
-A POSTROUTING -j POSTROUTING_ZONES
-A POSTROUTING_ZONES -o tun0 -g POST_public
-A POSTROUTING_ZONES -o wlp4s0 -g POST_public
-A POSTROUTING_ZONES -g POST_public
-A POST_public -j POST_public_log
-A POST_public -j POST_public_deny
-A POST_public -j POST_public_allow
-A PREROUTING_ZONES -i tun0 -g PRE_public
-A PREROUTING_ZONES -i wlp4s0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*mangle
:PREROUTING ACCEPT [8792:9132693]
:INPUT ACCEPT [8552:9087565]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5939:2867992]
:POSTROUTING ACCEPT [5950:2868589]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
:POSTROUTING_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A PREROUTING_ZONES -i tun0 -g PRE_public
-A PREROUTING_ZONES -i wlp4s0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*raw
:PREROUTING ACCEPT [8792:9132693]
:OUTPUT ACCEPT [5939:2867992]
:OUTPUT_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A PREROUTING_ZONES -i tun0 -g PRE_public
-A PREROUTING_ZONES -i wlp4s0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*security
:INPUT ACCEPT [8856:9587642]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6311:2895523]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:FORWARD_IN_ZONES - [0:0]
:FORWARD_IN_ZONES_SOURCE - [0:0]
:FORWARD_OUT_ZONES - [0:0]
:FORWARD_OUT_ZONES_SOURCE - [0:0]
:FORWARD_direct - [0:0]
:FWDI_public - [0:0]
:FWDI_public_allow - [0:0]
:FWDI_public_deny - [0:0]
:FWDI_public_log - [0:0]
:FWDO_public - [0:0]
:FWDO_public_allow - [0:0]
:FWDO_public_deny - [0:0]
:FWDO_public_log - [0:0]
:INPUT_ZONES - [0:0]
:INPUT_ZONES_SOURCE - [0:0]
:INPUT_direct - [0:0]
:IN_public - [0:0]
:IN_public_allow - [0:0]
:IN_public_deny - [0:0]
:IN_public_log - [0:0]
:OUTPUT_direct - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES_SOURCE
-A INPUT -j INPUT_ZONES
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_IN_ZONES_SOURCE
-A FORWARD -j FORWARD_IN_ZONES
-A FORWARD -j FORWARD_OUT_ZONES_SOURCE
-A FORWARD -j FORWARD_OUT_ZONES
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j OUTPUT_direct
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A FORWARD_IN_ZONES -i tun0 -g FWDI_public
-A FORWARD_IN_ZONES -i wlp4s0 -g FWDI_public
-A FORWARD_IN_ZONES -g FWDI_public
-A FORWARD_OUT_ZONES -o tun0 -g FWDO_public
-A FORWARD_OUT_ZONES -o wlp4s0 -g FWDO_public
-A FORWARD_OUT_ZONES -g FWDO_public
-A FWDI_public -j FWDI_public_log
-A FWDI_public -j FWDI_public_deny
-A FWDI_public -j FWDI_public_allow
-A FWDI_public -p icmp -j ACCEPT
-A FWDO_public -j FWDO_public_log
-A FWDO_public -j FWDO_public_deny
-A FWDO_public -j FWDO_public_allow
-A INPUT_ZONES -i tun0 -g IN_public
-A INPUT_ZONES -i wlp4s0 -g IN_public
-A INPUT_ZONES -g IN_public
-A IN_public -j IN_public_log
-A IN_public -j IN_public_deny
-A IN_public -j IN_public_allow
-A IN_public -p icmp -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-output -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j DROP
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j DROP
-A ufw-before-input -j ufw-user-input
-A ufw-before-logging-forward -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-logging-input -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-logging-output -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -j LOG --log-prefix "[UFW AUDIT INVALID] "
-A ufw-logging-deny -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 20595 -j DROP
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Thu Sep 27 19:08:05 2018


En nou braaf gaan spelen ... ;)
27-09-2018, 19:17 door Anoniem
Door Anoniem:
Door The FOSS:Ik ben geen beheerder dus dat soort dingen doe ik niet zelf. Echter bovenstaande toelichting suggereert dat AppArmor wel degelijk kan worden gebruikt om je applicaties te beveiligen.

Ja, dat is het geval. Dat is juist het hele idee er achter :-)

Verder nog iets?

Ja. Ondanks Linux, uitgerust met AppArmour en Gufw, zet ik een toch extra OpenBSD router met PF tussen mijn laptop en de modemrouter. De fijnmazige filtering besteed ik dus graag uit aan Theo de Raadt en consorten.

Heerlijk dat OpenSense..... :P
27-09-2018, 19:28 door Anoniem
Door Anoniem:
Door Anoniem: Je kunt onder macOS Little Snitch gebruiken indien je gerichte controle wilt over je Firewall. Werkt erg eenvoudig (voor een firewall) en is vrij gedetailleerd beheersbaar.

Heeft het ooit iets voor jou tegen gehouden?

Ja hoor, het blokkeerd al mijn UITgaande netwerkverkeer en geeft een pop-up als er verkeer naar buiten wil gaan.
In die pop-up staat informatie over welk programma/applicatie naar buiten wil en naar wie. Als ik niet wil dat een programma naar buiten zou moeten praten dan blokkeer ik dat.

Mooi spul joh, zo'n UITgaande firewall, zouden meer mensen moeten doen.
27-09-2018, 19:39 door Anoniem
Door Anoniem:
Door Anoniem:
Ja ben het met jou eens!
Hoe heb jij je firewall ingesteld?

Welke firewall bedoel je, die op mijn router, mijn desktops of op mijn servers? En bedoel je dan mijn inkomende of uitgaande (applicatie) firewall?

En zelfs daar kan ik geen generiek antwoord op geven omdat ik voor iedere computer en toepassing opnieuw bekijk wat ik aan beveiliging nodig heb.

Beveiliging is bij mij een mindset welke gesteund wordt door technische middelen.

Ik ben het met jouw mindset eens! Na op je dekstop bijvoorbeeld?
En hoe is je desktop firewall anders dan je router firewall in jouw geval?
27-09-2018, 20:35 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Je kunt onder macOS Little Snitch gebruiken indien je gerichte controle wilt over je Firewall. Werkt erg eenvoudig (voor een firewall) en is vrij gedetailleerd beheersbaar.

Heeft het ooit iets voor jou tegen gehouden?

Ja hoor, het blokkeerd al mijn UITgaande netwerkverkeer en geeft een pop-up als er verkeer naar buiten wil gaan.
In die pop-up staat informatie over welk programma/applicatie naar buiten wil en naar wie. Als ik niet wil dat een programma naar buiten zou moeten praten dan blokkeer ik dat.

Mooi spul joh, zo'n UITgaande firewall, zouden meer mensen moeten doen.

Heb je er ooit een hacker mee tegen gehouden?
27-09-2018, 20:38 door Anoniem
Door Anoniem: Nou, vooruit ... hou vast, daar komt ie:

# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*nat
:PREROUTING ACCEPT [381:74503]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [118:8260]
:POSTROUTING ACCEPT [118:8260]
:OUTPUT_direct - [0:0]
:POSTROUTING_ZONES - [0:0]
:POSTROUTING_ZONES_SOURCE - [0:0]
:POSTROUTING_direct - [0:0]
:POST_public - [0:0]
:POST_public_allow - [0:0]
:POST_public_deny - [0:0]
:POST_public_log - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A POSTROUTING -j POSTROUTING_ZONES_SOURCE
-A POSTROUTING -j POSTROUTING_ZONES
-A POSTROUTING_ZONES -o tun0 -g POST_public
-A POSTROUTING_ZONES -o wlp4s0 -g POST_public
-A POSTROUTING_ZONES -g POST_public
-A POST_public -j POST_public_log
-A POST_public -j POST_public_deny
-A POST_public -j POST_public_allow
-A PREROUTING_ZONES -i tun0 -g PRE_public
-A PREROUTING_ZONES -i wlp4s0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*mangle
:PREROUTING ACCEPT [8792:9132693]
:INPUT ACCEPT [8552:9087565]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5939:2867992]
:POSTROUTING ACCEPT [5950:2868589]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
:POSTROUTING_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A PREROUTING_ZONES -i tun0 -g PRE_public
-A PREROUTING_ZONES -i wlp4s0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*raw
:PREROUTING ACCEPT [8792:9132693]
:OUTPUT ACCEPT [5939:2867992]
:OUTPUT_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A PREROUTING_ZONES -i tun0 -g PRE_public
-A PREROUTING_ZONES -i wlp4s0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*security
:INPUT ACCEPT [8856:9587642]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6311:2895523]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:FORWARD_IN_ZONES - [0:0]
:FORWARD_IN_ZONES_SOURCE - [0:0]
:FORWARD_OUT_ZONES - [0:0]
:FORWARD_OUT_ZONES_SOURCE - [0:0]
:FORWARD_direct - [0:0]
:FWDI_public - [0:0]
:FWDI_public_allow - [0:0]
:FWDI_public_deny - [0:0]
:FWDI_public_log - [0:0]
:FWDO_public - [0:0]
:FWDO_public_allow - [0:0]
:FWDO_public_deny - [0:0]
:FWDO_public_log - [0:0]
:INPUT_ZONES - [0:0]
:INPUT_ZONES_SOURCE - [0:0]
:INPUT_direct - [0:0]
:IN_public - [0:0]
:IN_public_allow - [0:0]
:IN_public_deny - [0:0]
:IN_public_log - [0:0]
:OUTPUT_direct - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES_SOURCE
-A INPUT -j INPUT_ZONES
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_IN_ZONES_SOURCE
-A FORWARD -j FORWARD_IN_ZONES
-A FORWARD -j FORWARD_OUT_ZONES_SOURCE
-A FORWARD -j FORWARD_OUT_ZONES
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j OUTPUT_direct
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A FORWARD_IN_ZONES -i tun0 -g FWDI_public
-A FORWARD_IN_ZONES -i wlp4s0 -g FWDI_public
-A FORWARD_IN_ZONES -g FWDI_public
-A FORWARD_OUT_ZONES -o tun0 -g FWDO_public
-A FORWARD_OUT_ZONES -o wlp4s0 -g FWDO_public
-A FORWARD_OUT_ZONES -g FWDO_public
-A FWDI_public -j FWDI_public_log
-A FWDI_public -j FWDI_public_deny
-A FWDI_public -j FWDI_public_allow
-A FWDI_public -p icmp -j ACCEPT
-A FWDO_public -j FWDO_public_log
-A FWDO_public -j FWDO_public_deny
-A FWDO_public -j FWDO_public_allow
-A INPUT_ZONES -i tun0 -g IN_public
-A INPUT_ZONES -i wlp4s0 -g IN_public
-A INPUT_ZONES -g IN_public
-A IN_public -j IN_public_log
-A IN_public -j IN_public_deny
-A IN_public -j IN_public_allow
-A IN_public -p icmp -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-output -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j DROP
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j DROP
-A ufw-before-input -j ufw-user-input
-A ufw-before-logging-forward -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-logging-input -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-logging-output -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -j LOG --log-prefix "[UFW AUDIT INVALID] "
-A ufw-logging-deny -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 20595 -j DROP
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Thu Sep 27 19:08:05 2018


En nou braaf gaan spelen ... ;)

Hoe moet je deze regels instellen?
Ik wil deze regels ook
27-09-2018, 21:53 door Anoniem
Door Anoniem:

Ondanks Linux, uitgerust met AppArmour en Gufw, zet ik een toch extra OpenBSD router met PF tussen mijn laptop en de modemrouter. De fijnmazige filtering besteed ik dus graag uit aan Theo de Raadt en consorten.

Heerlijk dat OpenSense..... :P

Armor of armour? OPN of Open? Een klinkertje meer of minder, maar wat geeft het? :-) Daar zijn rechtzaken om gevoerd.

https://en.wikipedia.org/wiki/Apparmor

https://en.wikipedia.org/wiki/OPNSense
27-09-2018, 21:54 door Anoniem
Door Anoniem:
Hoe moet je deze regels instellen?
Ik wil deze regels ook

Bye bye troll.
27-09-2018, 21:56 door -karma4
Door Anoniem:
Door Anoniem: Nou, vooruit ... hou vast, daar komt ie:

# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
...

En nou braaf gaan spelen ... ;)

Hoe moet je deze regels instellen?
Ik wil deze regels ook

Waarom kwoot je nou al die regels? Je kan met iptables-restore de met iptables-save regels activeren: https://www.cyberciti.biz/faq/how-to-save-restore-iptables-firewall-config-ubuntu/. Maar kijk uit wat je doet want je hakt je computer zo van het netwerk af. Ik zou eerst je eigen regels in een bestand opslaan met iptables-save, zodat je een backup hebt waarop je terug kan vallen.
27-09-2018, 22:03 door Anoniem
Door Anoniem: Nou, vooruit ... hou vast, daar komt ie:

[cut]

En nou braaf gaan spelen ... ;)

Als je zo'n "ongecompliceerde" firewall config ziet, dan ga je nog terugverlangen naar "ZoneAlarm" onder Windows 95.

:-)))

Sorry, kon het even niet laten.
27-09-2018, 22:16 door Anoniem
Door The FOSS:
Door Anoniem:
Door Anoniem: Nou, vooruit ... hou vast, daar komt ie:

# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
...

En nou braaf gaan spelen ... ;)

Hoe moet je deze regels instellen?
Ik wil deze regels ook

Waarom kwoot je nou al die regels? Je kan met iptables-restore de met iptables-save regels activeren: https://www.cyberciti.biz/faq/how-to-save-restore-iptables-firewall-config-ubuntu/. Maar kijk uit wat je doet want je hakt je computer zo van het netwerk af. Ik zou eerst je eigen regels in een bestand opslaan met iptables-save, zodat je een backup hebt waarop je terug kan vallen.

Ik ben de poster van die firewall rules, het is natuurlijk het domste wat de troll kan doen om zomaar klakkeloos deze regels over te nemen zonder dat hij weet wat hij ermee moet doen. Maar ja, hij wil het zo hebben. ;)
28-09-2018, 07:04 door Anoniem
Door Anoniem:
Heb je er ooit een hacker mee tegen gehouden?

Heb jij ooit een dief tegen gehouden die je huis wilde ontvluchten door de sloten op je deur?
28-09-2018, 09:09 door Anoniem
Door Anoniem:
Door Anoniem:

Ondanks Linux, uitgerust met AppArmour en Gufw, zet ik een toch extra OpenBSD router met PF tussen mijn laptop en de modemrouter. De fijnmazige filtering besteed ik dus graag uit aan Theo de Raadt en consorten.

Heerlijk dat OpenSense..... :P

Armor of armour? OPN of Open? Een klinkertje meer of minder, maar wat geeft het? :-) Daar zijn rechtzaken om gevoerd.

https://en.wikipedia.org/wiki/Apparmor

https://en.wikipedia.org/wiki/OPNSense

My fail die OpenSense, je hebt gelijk.
Gelukkig snapt DuckDuckGo mij wel en geeft als eerste URL OPNsense (http://opensense.org).
28-09-2018, 10:00 door Anoniem
Door Anoniem:
Firewall is iets wat windows gebruiks zich aan hebben geleerd.

Totale onzin natuurlijk, alle mensen die beroepsmatig met IT zaken bezig zijn gebruiken firewalls. Sterker nog iedereen die maar iets meer verstand van computers heeft dan het vinden van de aan/uit schakelaar gebruikt een firewall.
28-09-2018, 10:34 door Anoniem
Maar zijn jullie het niet eens met TS dat je services die je niet nodig hebt moet uitschakelen?
Ik wel maar @TS je vergelijkt twee complete andere security architecturen van twee groepen OS dat verschillend security aangepakt hebt.
Op Mac en Linux heb je bijna geen firewall nodig is security by design.
Er zijn kwetsbaarheden maar dan heb je het over zerodays
Die krijg jij niet dus maak je niet druk
28-09-2018, 11:53 door Anoniem
Door Anoniem: Maar zijn jullie het niet eens met TS dat je services die je niet nodig hebt moet uitschakelen?

TS heeft het helemaal niet over uitschakelen van services (ja terloops het uitschakelen van Bonjour), TS heeft een betoog of hoe waardeloos de firewalls van macOS en Ubuntu (hij bedoeld eigenlijk ... ik denk iptables), zijn betoog is gebaseerd op documenten uit de middeleeuwen. Bij TS ontbreekt de nodige kennis en wil hier een kant en klare oplossing van zijn "probleem". TS is anoniem en daardoor is uit de bijdragen niet op te maken welke zijn reacties zijn en welke van andere mensen zijn.

ONNODIGE services moet je niet aanzetten of eventueel uitzetten als je weet waar je mee bezig bent.
Ubuntu zet b.v. standaard cups aan, dat heb ik niet nodig dus dat zet ik uit maar ik weet dat dan mijn printer niet werkt, TS is zo iemand die b.v. cups uit zou zetten om vervolgens te klagen hoe hij zijn printer aan de gang moet krijgen.
28-09-2018, 11:56 door Anoniem
Ik ga vertellen wat er mis is met jullie logica en op basis van de firewall instellingen die ik heb gezien:

Hoe jullie filteren begrijpen de protocollen van de toepassingslaag niet.
Hoe jullie filteren bieden geen functies met toegevoegde waarde, zoals het cachen van HTTP-objecten, URL-filtering en verificatie omdat ze de gebruikte protocollen niet begrijpen.
Kan geen onderscheid maken tussen goed en slecht pakket
Hoe jullie filteren kan nodig zijn nieuwe regels toe te voegen als een je speciale vereisten nodig heeft om verbinding te maken met internet.
Er is geen enkele op gebruikers gebaseerde verificatie.
Hoe jullie filteren kan geen informatie verifiëren die afkomstig is van een specifieke gebruiker.

Zal ik nog doorgaan?
Ik wou alleen maar jullie iets duidelijk maken maar als er geen behoefte hieraan is dan zal ik niet meer hierop ingaan.
De basisfunctie van een firewall is om netwerkverkeer te screenen om ongeoorloofde toegang tussen computernetwerken te voorkomen.
Dit kan zowel bij windows als Linux en Mac beter alhoewel mac PF heeft wat zeer goede veiligheid opties heeft maar ook niet compleet is.

Als jullie door willen gaan met het hebben van een dubbele firewall zoals jullie dat doen ga jullie gang!
28-09-2018, 12:04 door Bartbartbart
Door Anoniem:
Op Mac en Linux heb je bijna geen firewall nodig is security by design.
Die naieve Linux-fanboy onzin hoor ik nu toch echt al veel te lang he.
Denk je nu werkelijk dat jouw Linuxapps niet ook even naar huis willen bellen om te rapporteren hoe goed het allemaal wel niet bij jou functioneert? Google social-meuk zit notabene tegenwoordig standaard in Ubuntu ingebakken.
Het beheren van outgoing verbindingen is ook op Linux relevant.
28-09-2018, 14:23 door -karma4
Door Bartbartbart:
Door Anoniem:
Op Mac en Linux heb je bijna geen firewall nodig is security by design.
Die naieve Linux-fanboy onzin hoor ik nu toch echt al veel te lang he.
Denk je nu werkelijk dat jouw Linuxapps niet ook even naar huis willen bellen om te rapporteren hoe goed het allemaal wel niet bij jou functioneert? Google social-meuk zit notabene tegenwoordig standaard in Ubuntu ingebakken.
Het beheren van outgoing verbindingen is ook op Linux relevant.

In open source software zitten dat soort dingen niet. Want iedereen die de source bekijkt kan het zo zien.

Door Bartbartbart: Het beheren van outgoing verbindingen is ook op Linux relevant.

Daar maak je jezelf alleen maar erg moe mee.
28-09-2018, 14:36 door Bartbartbart
Door The FOSS:
In open source software zitten dat soort dingen niet. Want iedereen die de source bekijkt kan het zo zien.
Jij gebruikt dus geen Firefox of Chrome ofzo, maar 1 of andere gare Win3.11/95 lookalike, en ook in open source is feedback relevant.


Door Bartbartbart: Het beheren van outgoing verbindingen is ook op Linux relevant.

Daar maak je jezelf alleen maar erg moe mee.[/quote]Helaas de werkelijkheid van goede beveiliging. Een nare stroperige klus zonder einde.
28-09-2018, 14:37 door ShaWormHa

In open source software zitten dat soort dingen niet. Want iedereen die de source bekijkt kan het zo zien.

Maar hoeveel software software in linux is nou FOSS,, the foss^^ Ubuntu word standaard geinstalleerd met een heleboel bagger en bende. En niet direct gaan schreeuwen bij het woord Ubuntu. De meeste linux beginners beginnen daar.


Daar maak je jezelf alleen maar erg moe mee.

Dat klopt, en ik word al de hele dag moe van niet wetende eindgebruikers in mijn mailbox en telefoon.
28-09-2018, 15:06 door Anoniem
Daar maak je jezelf alleen maar erg moe mee.

Goede defence is vermoeiend. Als je je goed wil verdedigen moet je ook zoveel mogelijk een architectuur heb dat uniek is.
28-09-2018, 15:06 door -karma4
Door Bartbartbart:
Door The FOSS:
In open source software zitten dat soort dingen niet. Want iedereen die de source bekijkt kan het zo zien.
Jij gebruikt dus geen Firefox of Chrome ofzo, maar 1 of andere gare Win3.11/95 lookalike, en ook in open source is feedback relevant.

Wat? Chromium is gewoon open source hoor: https://chromium.googlesource.com/chromium/src/.
28-09-2018, 15:20 door [Account Verwijderd]
Door Bartbartbart:
Door Anoniem:
Op Mac en Linux heb je bijna geen firewall nodig is security by design.
Die naieve Linux-fanboy onzin hoor ik nu toch echt al veel te lang he.

Ga je eigen onderwerp verzieken met alweer een Linux/Windows bashing gezeik.
28-09-2018, 15:26 door [Account Verwijderd]
Door The FOSS:
In open source software zitten dat soort dingen niet. Want iedereen die de source bekijkt kan het zo zien.

Kolder en je weet het, ook OSS heeft zijn problemen.

Niet weer een OSS/Linux/Windows in deze thread.
28-09-2018, 15:44 door -karma4 - Bijgewerkt: 28-09-2018, 15:47
Door TheFlOSS:
Door The FOSS:
In open source software zitten dat soort dingen niet. Want iedereen die de source bekijkt kan het zo zien.

Kolder en je weet het, ook OSS heeft zijn problemen.

Niet weer een OSS/Linux/Windows in deze thread.

Het is een beetje moeilijk te volgen, voor sommigen, die lange draadjes. Mag ik je eraan herinneren dat dit topic begonnen is als een Linux-Windows polarisatie? Lees de post van TS er maar eens op na. Hieronder een uittrekseltje van het relevante gedeelte:

Firewall Mac OS X en Ubuntu, waardeloos Windows is een kwetsbare OS, maar de Firewall van Windows is wel de meest Mature firewall (Is zeker ook nodig op een windows Machine).

Lees even door het totaal achterlijke taalgebruik heen en kijk door de kleuterschoolredenaties heen. Dan kom je uit bij een Linux-Windows polarisatie.
28-09-2018, 15:55 door ShaWormHa - Bijgewerkt: 28-09-2018, 15:55

Lees even door het totaal achterlijke taalgebruik heen en kijk door de kleuterschoolredenaties heen. Dan kom je uit bij een Linux-Windows polarisatie.

Dit hele forum is een Linux-Windows polarisatie, je kan geen topic openen en je mousewheel 3x naar beneden halen of iemand begint er weer over. En het zijn altijd dezelfde ruk argumenten.
28-09-2018, 16:04 door Anoniem
Door The FOSS:
Door TheFlOSS:
Door The FOSS:
In open source software zitten dat soort dingen niet. Want iedereen die de source bekijkt kan het zo zien.

Kolder en je weet het, ook OSS heeft zijn problemen.

Niet weer een OSS/Linux/Windows in deze thread.

Het is een beetje moeilijk te volgen, voor sommigen, die lange draadjes. Mag ik je eraan herinneren dat dit topic begonnen is als een Linux-Windows polarisatie? Lees de post van TS er maar eens op na. Hieronder een uittrekseltje van het relevante gedeelte:

Firewall Mac OS X en Ubuntu, waardeloos Windows is een kwetsbare OS, maar de Firewall van Windows is wel de meest Mature firewall (Is zeker ook nodig op een windows Machine).

Lees even door het totaal achterlijke taalgebruik heen en kijk door de kleuterschoolredenaties heen. Dan kom je uit bij een Linux-Windows polarisatie.

Je kan er altijd uit filteren wat je zelf wilt lezen, als ik het oorspronkelijke bericht van TS lees zie ik een firewall onderwerp als kern en niet een W/L 'polarisatie'. Wat ik wel zie is een tsunamie van onzin.
28-09-2018, 16:40 door Bartbartbart
Door The FOSS:
Door Bartbartbart:
Door The FOSS:
In open source software zitten dat soort dingen niet. Want iedereen die de source bekijkt kan het zo zien.
Jij gebruikt dus geen Firefox of Chrome ofzo, maar 1 of andere gare Win3.11/95 lookalike, en ook in open source is feedback relevant.

Wat? Chromium is gewoon open source hoor: https://chromium.googlesource.com/chromium/src/.
Een paar draadjes geleden werd nog gewezen op het feit dat ook Chromium ingebouwde Googlesync automatisch inlogde, maar dat had jij natuurlijk allang in de sourcecode ontdekt ;)
28-09-2018, 16:59 door -karma4
Door Bartbartbart:
Door The FOSS:
Door Bartbartbart:
Door The FOSS:
In open source software zitten dat soort dingen niet. Want iedereen die de source bekijkt kan het zo zien.
Jij gebruikt dus geen Firefox of Chrome ofzo, maar 1 of andere gare Win3.11/95 lookalike, en ook in open source is feedback relevant.

Wat? Chromium is gewoon open source hoor: https://chromium.googlesource.com/chromium/src/.
Een paar draadjes geleden werd nog gewezen op het feit dat ook Chromium ingebouwde Googlesync automatisch inlogde, maar dat had jij natuurlijk allang in de sourcecode ontdekt ;)

Inderdaad.
28-09-2018, 17:03 door Anoniem

ONNODIGE services moet je niet aanzetten of eventueel uitzetten als je weet waar je mee bezig bent.
Ubuntu zet b.v. standaard cups aan, dat heb ik niet nodig dus dat zet ik uit maar ik weet dat dan mijn printer niet werkt, TS is zo iemand die b.v. cups uit zou zetten om vervolgens te klagen hoe hij zijn printer aan de gang moet krijgen.

Het veiliger maken van systemen is door de systeem zo te intrustruren dat het alleen dat kan doen dat het hoor te doen voor dat gene wat de gebruiker ook alleen maar wilt doen.
Het is vrij om mij te bekritiseren in mijn eerdere posts paar berichten terug heb enige beperkingen aangeduid over de zienswijze van velen van jullie hier.
Als je Cups gebruikt laat je het aan en zo niet is het een potentiële beveiliging risico's.

Ik geef toe dat ik deze topic heb geopend nadat ik een vorige topic las en hoe belachelijk sommige antwoorden waren en na het terug lezen kan ik mij voorstellen dat dit als het creëren van polirastie kan overkomen maar ik wou alleen een statement maken, excuses voor de heibel.
28-09-2018, 17:38 door Anoniem
Zie een voorbeeld hoe tophackers te werk gaan en jarenlang onder de radar blijven.

https://www.security.nl/posting/579634/Mac-malware+Fruitfly+verspreidde+zich+via+zwakke+wachtwoorden

Lees vooral het stukje:
"Om toegang tot systemen te krijgen zocht de verdachte naar diensten die op de Mac-computers draaiden en vanaf het internet toegankelijk waren. Het ging onder andere om het Apple Filing Protocol (AFP, poort 548), RDP, VNC of SSH (poort 22) en Back to My Mac (BTMM)."
28-09-2018, 17:50 door Anoniem
Je kan er altijd uit filteren wat je zelf wilt lezen, als ik het oorspronkelijke bericht van TS lees zie ik een firewall onderwerp als kern en niet een W/L 'polarisatie'. Wat ik wel zie is een tsunamie van onzin.

Inderdaad en ik gebruik zelf een Mac en Linux machine(en ik geloof ook dat het stukken veiliger is dan Windows)!
Alleen dat gezeik van jullie in de forums over firewalls van Linux en Mac maakten mij boos.
(De firewall bezorgt mij de meeste zorgen kwa limitaties van een firewall(die van Linux/Mac al helemaal))

Ik heb zowel op mijn Mac als Linux heleboel services and deamons verwijderd.
Het maakt verkleint de attack-vector scope van een hacker.
Ik ben ervan overtuigd dat er meer verwijderd kan worden.

Google OS wordt veilig bestempeld door velen omdat dit hetzelfde approach aanneemt.
Tails OS doet dit ook.
Arch Linux is wat dit betreft toch een van mijn favoriete OS.

Als je je wilt beveiligen moet je niet met antwoorden komen als firewall of Little Snitch.
Ik heb in mijn post later (nadat ik minder emotioneel was) aangegeven wat de beperkingen van jullie houding is.
29-09-2018, 11:20 door Anoniem
Niemand die nu erop ingaat wat beetje jammer is...
29-09-2018, 15:13 door Anoniem
Door Anoniem:

[... ] ik wou alleen een statement maken, excuses voor de heibel.

Excuses aanvaard.

Als sommigen volstrekt onbenullige antwoorden mochten geven, of hun stokpaardjes berijden, negeer die lui dan. Dat komt voort uit onbegrip en door gebrek aan ervaring, vermoed ik. Soms speelt een amusant haantjesgedrag mee.

Dit forum kan echter wel tegen een stootje. Mocht kinderachtig gedrag weer eens voorkomen, besef dan dat het archief van Security.NL teruggaat tot begin 1998, en doe er gewoon niet aan mee.

Geniet van het leven :-) Morgen is er weer een dag.
29-09-2018, 15:37 door Anoniem
Heel simpel, hoe minder programma's er draaien op je computer des te minder kans op problemen, hacken en functionaliteit.
Dus het uitzetten van overbodige daemons is prima dat gaat natuurlijk wel ten koste van functionaliteit van je computer.
Als je weet waar je mee bezig bent is dat prima maar dat is uit de verschillende bijdragen niet op te maken omdat er niet te achterhalen is welke anoniem wat geschreven heeft. Daarnaast worden er vragen gesteld waar geen antwoord op gegeven wordt.

Vervolgens roep je nu ook (weer) "Als je je wilt beveiligen moet je niet met antwoorden komen als firewall of Little Snitch."
Zonder aan te geven waarom een FW of LS je niet zouden kunnen helpen om je systeem te beveiligen, geef eens op een duidelijke manier aan wat een firewall zou moeten doen en waarom een firewall niet zou helpen om je systeem veiliger te maken. Doe dat zelfde ook eens voor een UITgaande firewall zoals Little Snitch.

Haal diep adem, denk goed na en probeer in fatsoenlijk Nederlands (ik kijk niet op een 'd', 't' of 'dt') e.e.a. te verduidelijken.
Hou de discussie zuiver, noem vooral geen specifiek OS want dan reageren een aantal mensen hier als door een wesp gestoken.


En tot slot, het lijkt er nu op of je alleen maar terug komt om je gelijk te halen.
29-09-2018, 18:20 door Anoniem

Heel simpel, hoe minder programma's er draaien op je computer des te minder kans op problemen, hacken en functionaliteit.
Dus het uitzetten van overbodige daemons is prima dat gaat natuurlijk wel ten koste van functionaliteit van je computer.

Dit was 1 van mijn statements.
Wat betreft firewall geldt het advies hetzelfde, blokkeer zoveel mogelijk (zonder benodigde functionaliteiten te verliezen).
Firewalls heb je in verschillende vormen die als beschermringen functioneren met verschillende beschermingsniveaus.
Deze dienen consistent, compleet, compact te zijn.

Mijn boodschap is ken de beperkingen van je defence.
De firewall rules die hier gepost zijn bijvoorbeeld beschermen niet tegen een fragment attack.

Een firewall moet letterlijk als een barrière gezien (barrières kunnen verschillen en ik vind mijn eigen barriere op mijn systemen van slechte kwaliteit)

Mijn doel was dit duidelijk te maken en hopen dat mensen ook verder gingen kijken dan de firewall en blijf mijn firewall niet zo goed vinden.
30-09-2018, 10:45 door Anoniem
Vergelijkingen maken heeft hier vaak weinig zin. Dat heeft waarschijnlijk te maken met het Asperger karakter van nogal wat IT gebruikers (ik heb een hekel aan de term Autisme) maar toch maak ik hem.
Een groot huis met meerdere buitendeuren is complexer te beveiligen dan een rijtjeswoning met slechts een voor- en achterdeur.
Dat komt overeen met de gangbare besturingssystemen die wij gebruiken op onze digitale devices (computer/smartphone)
Hoe meer services/daemons (niet deamons; wat je zo vaak leest) er draaien hoe ruimer de aanvalsvector van buitenaf en dan hebben we het nog niet over de vaak grote aantallen programma's die allemaal openstaan voor malware exploitatie.

Is het overdreven om bijvoorbeeld MS Paint bij de Exploit protectie van HitmanPro.Alert te voegen? Bestrijd het maar. Maar kom dan wel met een gedegen bewijs dat morgen niet een exploit opduikt; een zero-day in de vorm van een gecompromiteerde fotobijlage die indien geopend MS Paint start.

Ik schrijf dit niet om onrust te zaaien maar om kenbaar te maken dat de consument over het algemeen digitale devices in huis heeft die een grote hoeveelheid aan exploitabele software biedt waar kwaadwillenden gebruik van kunnen maken.
Dus hoe uitvoeriger je een Firewall configureert hoe beter natuurlijk, maar kom, relativeer het een beetje; maak er geen neurose van. Een computer is om te gebruiken. Niet om je tactisch leider van een vesting te laten zijn, want dan gaat de lol er snel vanaf of je moet een security neuroticus zijn (niet negatief bedoeld)
30-09-2018, 12:00 door Anoniem

Dat komt overeen met de gangbare besturingssystemen die wij gebruiken op onze digitale devices (computer/smartphone)
Hoe meer services/daemons (niet deamons; wat je zo vaak leest) er draaien hoe ruimer de aanvalsvector van buitenaf en dan hebben we het nog niet over de vaak grote aantallen programma's die allemaal openstaan voor malware exploitatie.

Ik schrijf dit niet om onrust te zaaien maar om kenbaar te maken dat de consument over het algemeen digitale devices in huis heeft die een grote hoeveelheid aan exploitabele software biedt waar kwaadwillenden gebruik van kunnen maken.
Dus hoe uitvoeriger je een Firewall configureert hoe beter natuurlijk, maar kom, relativeer het een beetje; maak er geen neurose van. Een computer is om te gebruiken. Niet om je tactisch leider van een vesting te laten zijn, want dan gaat de lol er snel vanaf of je moet een security neuroticus zijn (niet negatief bedoeld)

Ik ben het ook met jou eens hoor en ben geen security neuroticus, maar mensen moeten hier ophouden te doen alsof ze veilig zijn puur vanwege de OS die ze gebruiken of hun firewall of AppArmor in (Gatekeeper in Mac).
Accepteer, of beter gezegd in dit geval ken je beperkingen van je verdediging.
Ik las in een post dat iemand UPNP wou uitschakelen wat ik een hele tactische zet vond als hij/zij dat niet gebruikt.
Mensen komen hier met firewall regels en presenteren deze alsof deze "de" oplossing is.

Iemand hier weet niet eens wat het doet en wilt het gewoon klakkeloos overnemen. Ik wil niemand afkraken ik wil alleen mensen aanmoedigen om verder te kijken dan alleen de firewall.
Daarnaast is het configureren van firewall een vergevorderde situationele taak wat enorm veel tijd en aandacht vraagt, maar dit moet je ervoor over hebben.
30-09-2018, 14:01 door Anoniem
Ik las in een post dat iemand UPNP wou uitschakelen wat ik een hele tactische zet vond als hij/zij dat niet gebruikt.

UPnP uitzetten is inderdaad een goede tactische zet. Die actie heeft echter alleen nut binnen een iets meer doordachte strategie. Het gaat uiteindelijke om het hele plaatje, gegeven een realistisch dreigingsmodel.

Mensen komen hier met firewall regels en presenteren deze alsof deze "de" oplossing is. Iemand hier weet niet eens wat het doet en wilt het gewoon klakkeloos overnemen.

Dat las ik ook. Ik kon mij echter niet aan de indruk ontrekken dat het een ironische of sarcastische opmerking betrof, want niemand hier -- mag je hopen -- neemt klakkeloos een firewall configuratie over.

Ik wil niemand afkraken ik wil alleen mensen aanmoedigen om verder te kijken dan alleen de firewall.

Mijn router staat in een tuinhuis met een uitzicht op een bloementuin. Het is fijn om in de moestuin te werken. De kinderen op de schommel te zien spelen. Dan weet je weer waar je het allemaal voor doet.

De polder moet worden bemaald. De democratie gehandhaafd. Brood op de plank. En dan zijn er nog wel meer dingen die je aandacht behoeven. Dat is verder kijken dan alleen de configuratie van een firewall.

Daarnaast is het configureren van firewall een vergevorderde situationele taak wat enorm veel tijd en aandacht vraagt, maar dit moet je ervoor over hebben.

Daar ben ik helemaal mee eens. Daarom besteed ik het configuren van een OpenBSD router uit aan iemand met veel meer ervaring. Dat laat ik mij stap voor stap uitleggen, want een blunder is zo gemaakt.

Op een dokterpost zouden ze dat intervisie noemen, in de wetenschap heet dat peer review. Zelf werk ik twintig jaar met Windows, macOS, Linux en BSD. Dagelijks leer ik er iets bij. Vragen kan altijd.
30-09-2018, 17:19 door Anoniem
Door Anoniem:
Ik las in een post dat iemand UPNP wou uitschakelen wat ik een hele tactische zet vond als hij/zij dat niet gebruikt.

UPnP uitzetten is inderdaad een goede tactische zet. Die actie heeft echter alleen nut binnen een iets meer doordachte strategie. Het gaat uiteindelijke om het hele plaatje, gegeven een realistisch dreigingsmodel.

Daar ben ik helemaal mee eens. Daarom besteed ik het configuren van een OpenBSD router uit aan iemand met veel meer ervaring. Dat laat ik mij stap voor stap uitleggen, want een blunder is zo gemaakt.

Op een dokterpost zouden ze dat intervisie noemen, in de wetenschap heet dat peer review. Zelf werk ik twintig jaar met Windows, macOS, Linux en BSD. Dagelijks leer ik er iets bij. Vragen kan altijd.

Je maakt goede besluiten en ben blij dat je het enigzins met mij eens bent als 1 van de weinigen. Ik maak precies gebruik van dezelfde OS systemen als jij en elke OS heeft iets wat de andere niet heeft.
Met elke zijn voor en nadelen wat betreft security.

OpenBSD is een hele fijne router!
30-09-2018, 18:20 door Anoniem
Door Anoniem:
Door Anoniem: Nou, vooruit ... hou vast, daar komt ie:

# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*nat
:PREROUTING ACCEPT [381:74503]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [118:8260]
:POSTROUTING ACCEPT [118:8260]
:OUTPUT_direct - [0:0]
:POSTROUTING_ZONES - [0:0]
:POSTROUTING_ZONES_SOURCE - [0:0]
:POSTROUTING_direct - [0:0]
:POST_public - [0:0]
:POST_public_allow - [0:0]
:POST_public_deny - [0:0]
:POST_public_log - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A POSTROUTING -j POSTROUTING_ZONES_SOURCE
-A POSTROUTING -j POSTROUTING_ZONES
-A POSTROUTING_ZONES -o tun0 -g POST_public
-A POSTROUTING_ZONES -o wlp4s0 -g POST_public
-A POSTROUTING_ZONES -g POST_public
-A POST_public -j POST_public_log
-A POST_public -j POST_public_deny
-A POST_public -j POST_public_allow
-A PREROUTING_ZONES -i tun0 -g PRE_public
-A PREROUTING_ZONES -i wlp4s0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*mangle
:PREROUTING ACCEPT [8792:9132693]
:INPUT ACCEPT [8552:9087565]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5939:2867992]
:POSTROUTING ACCEPT [5950:2868589]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
:POSTROUTING_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A PREROUTING_ZONES -i tun0 -g PRE_public
-A PREROUTING_ZONES -i wlp4s0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*raw
:PREROUTING ACCEPT [8792:9132693]
:OUTPUT ACCEPT [5939:2867992]
:OUTPUT_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A PREROUTING_ZONES -i tun0 -g PRE_public
-A PREROUTING_ZONES -i wlp4s0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*security
:INPUT ACCEPT [8856:9587642]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6311:2895523]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:FORWARD_IN_ZONES - [0:0]
:FORWARD_IN_ZONES_SOURCE - [0:0]
:FORWARD_OUT_ZONES - [0:0]
:FORWARD_OUT_ZONES_SOURCE - [0:0]
:FORWARD_direct - [0:0]
:FWDI_public - [0:0]
:FWDI_public_allow - [0:0]
:FWDI_public_deny - [0:0]
:FWDI_public_log - [0:0]
:FWDO_public - [0:0]
:FWDO_public_allow - [0:0]
:FWDO_public_deny - [0:0]
:FWDO_public_log - [0:0]
:INPUT_ZONES - [0:0]
:INPUT_ZONES_SOURCE - [0:0]
:INPUT_direct - [0:0]
:IN_public - [0:0]
:IN_public_allow - [0:0]
:IN_public_deny - [0:0]
:IN_public_log - [0:0]
:OUTPUT_direct - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES_SOURCE
-A INPUT -j INPUT_ZONES
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_IN_ZONES_SOURCE
-A FORWARD -j FORWARD_IN_ZONES
-A FORWARD -j FORWARD_OUT_ZONES_SOURCE
-A FORWARD -j FORWARD_OUT_ZONES
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j OUTPUT_direct
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A FORWARD_IN_ZONES -i tun0 -g FWDI_public
-A FORWARD_IN_ZONES -i wlp4s0 -g FWDI_public
-A FORWARD_IN_ZONES -g FWDI_public
-A FORWARD_OUT_ZONES -o tun0 -g FWDO_public
-A FORWARD_OUT_ZONES -o wlp4s0 -g FWDO_public
-A FORWARD_OUT_ZONES -g FWDO_public
-A FWDI_public -j FWDI_public_log
-A FWDI_public -j FWDI_public_deny
-A FWDI_public -j FWDI_public_allow
-A FWDI_public -p icmp -j ACCEPT
-A FWDO_public -j FWDO_public_log
-A FWDO_public -j FWDO_public_deny
-A FWDO_public -j FWDO_public_allow
-A INPUT_ZONES -i tun0 -g IN_public
-A INPUT_ZONES -i wlp4s0 -g IN_public
-A INPUT_ZONES -g IN_public
-A IN_public -j IN_public_log
-A IN_public -j IN_public_deny
-A IN_public -j IN_public_allow
-A IN_public -p icmp -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-output -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j DROP
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j DROP
-A ufw-before-input -j ufw-user-input
-A ufw-before-logging-forward -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-logging-input -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-logging-output -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -j LOG --log-prefix "[UFW AUDIT INVALID] "
-A ufw-logging-deny -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 20595 -j DROP
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT

# Completed on Thu Sep 27 19:08:05 2018


En nou braaf gaan spelen ... ;)

Hoe moet je deze regels instellen?
Ik wil deze regels ook

iptables-restore < regeltjes
30-09-2018, 19:57 door Anoniem

iptables-restore < regeltjes

Wat hoop je met deze firewall regels te bereiken?
01-10-2018, 06:09 door Anoniem
Door Anoniem:

iptables-restore < regeltjes

Wat hoop je met deze firewall regels te bereiken?

Dat er geen, of nagenoeg geen, binnenkomend netwerkverkeer connectie kan maken met die computer. En dan heb ik het niet over gerelateerd verkeer wat natuurlijk noodzakelijk is om uberhaubt iets met netwerken te kunnen doen.
01-10-2018, 09:02 door Anoniem
Door Anoniem:
Door Anoniem:

iptables-restore < regeltjes

Wat hoop je met deze firewall regels te bereiken?

Dat er geen, of nagenoeg geen, binnenkomend netwerkverkeer connectie kan maken met die computer. En dan heb ik het niet over gerelateerd verkeer wat natuurlijk noodzakelijk is om uberhaubt iets met netwerken te kunnen doen.

Het lijkt als of je een NAT hebt geïmplementeerd en enkele poorten hebt geblokeert en bepaalde protocollen(dit laatste is een hele slimme zet) klopt dit? Je kan ervoor kiezen om IP adressen hardcoded toegang te verlenen om zo spoofing en tunneling attacks deels te blokkeren. Bijvoorbeeld strickter te zijn dns alleen 8.8.8.8 on port 53.
Voor de rest ben ik niet bekend met ufw gegeneerde iptables rules.
01-10-2018, 10:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:

iptables-restore < regeltjes

Wat hoop je met deze firewall regels te bereiken?

Dat er geen, of nagenoeg geen, binnenkomend netwerkverkeer connectie kan maken met die computer. En dan heb ik het niet over gerelateerd verkeer wat natuurlijk noodzakelijk is om uberhaubt iets met netwerken te kunnen doen.

Het lijkt als of je een NAT hebt geïmplementeerd en enkele poorten hebt geblokeert en bepaalde protocollen(dit laatste is een hele slimme zet) klopt dit? Je kan ervoor kiezen om IP adressen hardcoded toegang te verlenen om zo spoofing en tunneling attacks deels te blokkeren. Bijvoorbeeld strickter te zijn dns alleen 8.8.8.8 on port 53.
Voor de rest ben ik niet bekend met ufw gegeneerde iptables rules.

Een lachertje natuurlijk om DNS 8.8.8.8, als ik iets niet wil dan is het iets met Google te maken hebben. ;)
01-10-2018, 11:12 door Anoniem
Ach kom, een paar firewall rules maak je toch niet met UFW.

Sta een ping toe.
Log al het inkomende en uitgaande verkeer maar voorkom overflooding van log entries.
Accepteer SSH van het hele interne netwerk.
Accpteer SSH van een specifieke host (80.80.80.80)

Klaar.


*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

:LOG_DROP - [0:0]
-A LOG_DROP -m limit --limit 5/min --limit-burst 10 -j LOG --log-prefix "INP:DROP: " --log-level 7
-A LOG_DROP -j DROP

:LOG_ACCEPT - [0:0]
-A LOG_ACCEPT -j LOG --log-prefix "INP:ACC: " --log-level 6
-A LOG_ACCEPT -j ACCEPT


-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT

# Alleen het internet netwerk toestaan op port 22
-A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j LOG_ACCEPT
-A INPUT -s 80.80.80.80 -p tcp -m state --state NEW -m tcp --dport 22 -j LOG_ACCEPT

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

-A INPUT -j LOG_DROP
-A INPUT -j LOG_ACCEPT
COMMIT

Be my guest om er op te schieten.
01-10-2018, 12:05 door Anoniem
Een lachertje natuurlijk om DNS 8.8.8.8, als ik iets niet wil dan is het iets met Google te maken hebben. ;)

Je kan ook openDSN of een andere DNS selecteren.
De standaard DNS instellingen van je ISP selecteren vermindert je beveiliging mogelijkheden (zelf ben ik klant van KPN) en via de laptop instellen gaat magelijk.
Daarnaast verzamelt misschien je ISP ook je DNS gegevens, weet jij het ;)
DNS aanvallen zijn populaire aanvallen om thuis gebruikers aan te vallen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.