Một host làm web server, fpt server cần cài đặt chính sách bảo mật cho firewall như thế nào?(ngăn mọi nguồn có khả năng gây nguy hại có thể, chỉ dùng packet filter, không dùng NAT, và áp dụng allow_all)  

Trước khi trả lời thắc mắc này, tớ có 2 câu hỏi: 1) Packet filter firewall có khả năng thế nào?  

2) Nguy hại đang được đề cập ở đây nằm ở mức độ nào?  

conmale wrote:

2) Nguy hại đang được đề cập ở đây nằm ở mức độ nào?  

Cái này thì thật sự không rõ em mới hỏi đây. Chẳng hạn, em sẽ tạo rule hủy ICMP request đi vào,... còn nhiều nữa không rõ( đang hỏi)  

vâng, để trả lời cho câu hỏi 2 em đã nói thật sự không rõ, nếu rõ thì có lẽ em sẽ tự thiết lập policy rồi mà không phải hỏi dd, còn cái luật em đưa ra không phải để trả lời cho câu số 2, nó chỉ bổ sung cho mục đích hỏi của em. ps: thật sự thì hỏi để học hỏi, tìm hiểu chứ không có điều kiện làm server, dùng Internet ở dịch vụ không quote được vì mạng chậm quá, dù sao cũng thanks anh đã tham gia chủ đề 

Sao bạn lại đi ngược thế kia. Người ta từ Yêu cầu bảo mật mới có thể thiết kế các policy cho hợp lý mà bạn lại muốn từ các policy để tìm hiểu? Hơn nữa, nếu ai dám mạnh miệng trả lời bạn là cần RuleA, RuleB vân vân khi chưa rõ yêu cầu cụ thể của bạn là gì thì bạn cũng đừng nên nghe theo. Các điều kiện bạn đưa ra: Không NAT, stateful packet filter hoàn toàn không giúp ích gì cho việc thiết kế một bộ policy cho thích hợp. Chỉ có cái default allow all (khoai đoán ý bạn là thế) là có thể ứng dụng thành một rule trong policy bảo mật của bạn mà thôi. Bạn có thể tự hỏi mình vài câu: 1. Bạn có dịch vụ gì? 2. Ai có quyền sử dụng dịch vụ đó. 3. Ai không có quyền sử dụng dịch vụ. 4. Sử dụng thế nào thì là thích hợp, thế nào là không thích hợp.  

.... Mình muốn tìm hiểu dùng policy allow_all thì cần những rule deny gì( mình ví dụ tạo luật hủy các ICMP đi vào để ngăng ping, chặn tấn công làm lụt ICMP, drop ngẫu nhiên các packet trong trường hợp bị DOS ...)  

enn3exlibs wrote:

.... Mình muốn tìm hiểu dùng policy allow_all thì cần những rule deny gì( mình ví dụ tạo luật hủy các ICMP đi vào để ngăng ping, chặn tấn công làm lụt ICMP, drop ngẫu nhiên các packet trong trường hợp bị DOS ...)  

Cái gì khiến cho em có ý tưởng khai triển từ hướng "allow_all" vậy? 

conmale wrote:

enn3exlibs wrote:

.... Mình muốn tìm hiểu dùng policy allow_all thì cần những rule deny gì( mình ví dụ tạo luật hủy các ICMP đi vào để ngăng ping, chặn tấn công làm lụt ICMP, drop ngẫu nhiên các packet trong trường hợp bị DOS ...)  

Cái gì khiến cho em có ý tưởng khai triển từ hướng "allow_all" vậy? 

em đang đọc tài liệu về fw, thử so sánh hai hướng triển khai deny_all và allow_all, thắc mắc của em không yêu cầu nhiều kiến thức về fw mà cần nhiều kiến thức về network.  

enn3exlibs wrote:

conmale wrote:

Cái gì khiến cho em có ý tưởng khai triển từ hướng "allow_all" vậy? 

em đang đọc tài liệu về fw, thử so sánh hai hướng triển khai deny_all và allow_all, thắc mắc của em không yêu cầu nhiều kiến thức về fw mà cần nhiều kiến thức về network.  

Em vẫn không tập trung trả lời câu hỏi của anh. Câu hồi đáp của em ở trên không dính dáng gì đến câu anh hỏi cả.  

deny và allow là những khái niệm gì mà chỉ cần nhiều kiến thức về network mà không cần nhiều kiến thức về fw? 

trước tiên em giải thích allow_all và deny_all một tí, vì em thấy anh dùng "allow_some", thực ra thì allow_all, deny_all cũng là "allow_some". Policy của firewall là một tập các rules( allow, hoặc deny). Khi tiếp cận allow_all thì ta chỉ cài đặt các rule deny, còn lại allow. Khi tiếp cận deny_all thì ngược lại, ta cài đặt các luật allow, còn lại deny. Với chính sách allow_all ít được dùng vì rất không an toàn vì người quản trị không thể nào quản lý hết các nguồn nguy ngại để mà deny, chưa kể những nguy hại mới phát sinh. trở lại vấn đề em hỏi bảo mật web server. tiếp cận deny_all: mặc định cấm tất cả, và cài đặt các rules cho phép( ở đây cho phép dịch vụ http trên cổng 80), các luật deny cụ thể(ví dụ cấm seg SYNACK, ăn theo topic DrDOS). deny tcp from any to server 80 tcpflags syn&ack allow tcp from any to server 80 in [keep-state] allow tcp from server 80 to any out [keep-state] deny ip from any to any vấn đề ở luật deny ip from any to any , nó quá tối, em muốn tiếp cận allow_all là để làm rõ luật này, deny từ any to any là cụ thể deny những cía gì, còn lại mặc định cho phép: chẳng hạn : deny icmp from any to server 80 deny tcp from any to server 80 tcpflags syn&ack .........???? allow ip from any to any hì...em diễn đạt không rõ nên anh không hiểu ý em thật :D  

À... hoá ra em thắc mắc mấy cái ipfilter rule?  

conmale wrote:

À... hoá ra em thắc mắc mấy cái ipfilter rule?  

vâng, em thắc mắc cần thêm những rules nào chỗ tô đỏ?  

em đã đọc kỹ rồi mới gởi bài mới. Anh phán: "firewall của em hoàn toàn vô dụng". Thứ nhất fw kiểu này không phải hoàn toàn vô dụng, vẫn được dùng khi không đòi hỏi khắt khe về bảo mật, hay dữ liệu bị mất không ảnh hưởng nghiêm trọng, dùng để ngăn một số nguồn nguy hại cụ thể. Thứ hai từ đầu em có đề cập đến hiệu năng của fw đâu? thực sự từ đầu những bài viết của anh quá xa với câu hỏi của em, vì muốn tìm hiểu em mới nhiều lần giải thích câu hỏi của mình, thôi em kết thúc ở đây.  

enn3exlibs wrote:

em đã đọc kỹ rồi mới gởi bài mới. Anh phán: "firewall của em hoàn toàn vô dụng". Thứ nhất fw kiểu này không phải hoàn toàn vô dụng, vẫn được dùng khi không đòi hỏi khắt khe về bảo mật, hay dữ liệu bị mất không ảnh hưởng nghiêm trọng, dùng để ngăn một số nguồn nguy hại cụ thể. Thứ hai từ đầu em có đề cập đến hiệu năng của fw đâu? thực sự từ đầu những bài viết của anh quá xa với câu hỏi của em, vì muốn tìm hiểu em mới nhiều lần giải thích câu hỏi của mình, thôi em kết thúc ở đây.  

Thiếu! đừng bỏ bớt câu nói của người khác ra và nhảy thẳng đến kết luận. "Nếu em dùng allow all ở dòng cuối cùng, firewall của em hoàn toàn vô dụng". Vô dụng bởi vì rốt cuộc nó cho phép mọi thứ đi vào. Nếu chưa hiểu thì chịu khó tìm hiểu thêm.  

Ngay từ đầu em nói rằng "ngăn mọi nguồn có khả năng gây nguy hại có thể", đây không phải là hiệu năng của FW thì là cái gì?  

Thực sự từ đầu em không trình bày rõ ràng nên câu trả lời không đúng như ý em muốn. Nếu em nêu ra cụ thể rằng em đang làm quen với ipfilter firewall và em muốn hiểu các rule của nó thì nội dung thảo luận đã khác rồi. Nên rút kinh nghiệm cho việc trình bày lần sau để tránh phí thời gian và bị lạc đề. 

deny xxx from A to B 

ại sao lại cho phép mọi thứ đi vào vậy anh? em xin nêu: "ở dòng cuối cùng" nó khác với ở dòng trên cùng, trước khi đến dòng cuối cùng thì đã bị chặn từ trên. Em thật sự không biết có fw nào hoạt động ngược lại( nghĩa là nó xử lý rule từ dưới lên) nếu có thì quả là em phải tìm hiểu thêm mới dám hỏi.  

Thế này, có firewall xử lí rule từ trên xuống, cũng có firewall xử lí rule từ dưới lên, cái quan trọng là bạn đặt câu hỏi trong khi đang thử nghiệm firewall nào.  

Vấn đề này đâu đáng để đi đến "xung đột" quá đáng nhỉ?  

-Trường hợp firewall xét rule từ trên xuống, cũng thế nhưng ngược lại thôi. -Trường hợp firewall của bạn xét rule từ trên xuống: allow_all đặt trên đầu thì allow tất cả (như bạn nói), firewall vô tác dụng, nếu ta sắp xếp các rule deny_one trên rule allow_all này thì ngoài các thứ bị "deny", các thứ còn lại đi vào được hết. **Thử trả lời câu hỏi của bạn: Nếu dùng Allow_all, bạn phải liệt kê từng thứ một muốn deny, có nghĩa bạn phải tạo một dãy rule dài dòng, phức tạp phía trên rule allow_all

deny xxx from A to B 

Theo yêu cầu của bạn _ngăn mọi nguồn có khả năng gây nguy hại có thể_, bạn phải tạo bao nhiêu rule như trên? Câu hỏi của anh Conmale _ Cái gì khiến cho em có ý tưởng khai triển từ hướng "allow_all" vậy?_ chắc là ám chỉ điều này :) Nếu dùng deny_all bạn sẽ tiết kiệm đc nhiều công sức viết rule, và sắp xếp rule cho hợp lí. --Vài ý kiến 

bạn thử set up một con ISA 2000 và set một rule deny_all ở phía dưới xem?