Pæling varðandi Router og eldvegg

[djjason]

Ég er með smá pælingu í framhaldi af póstinum mínum hér varðandi eldvegg á Linux umræðuþræðinum. Ég er í miklum hugleiðingum varðandi öryggi á servernum mínum og hvort ég get aukið öryggið eitthvað.

Málið er að ég er með server og utanáliggjandi ADSL router. Það er lokað fyrir allt í routernum nema ég NAT-a bara nokkur port sem ég nota, td. 80, 21, 110, 53, 5900.
Serverinn er sem sagt ekki með mikið í gangi nema ég opna fyrir HTTP umferð, ftp umferð, pop3, DNS og VNC.

Oft á tíðum er ég nú með lokað fyrir 21 og opna það ekki nema ég þurfi á því að halda, einhverntíman var mér sagt að það er lang auðveldast að komast inn á servera í gegnum það.

Routerinn er náttúrulega á milli umheimsins og server vélarinnar...og leyfir náttúrulega bara umferð um þessi port....þannig að get ég gert eitthvað til að tryggja öryggi vélarinnar eitthvað meira. Gagnast það eitthvað fyrir mig að vera að setja upp td eldvegg á vélinni þar sem hún er fyrir aftan routerinn? Einhverjar tillögur?

[tms]

Nei þú ættir að vera ansi secure. Þú gætir td sett upp ip-logger sem loggar hverja einustu tengingu sem er gerð til þín. Þannig geturu náð upplysingum um 'tölvuþrjótinn' ef þú lendir í svoleiðis.

Það er lokað fyrir allt í routernum nema ég NAT-a bara nokkur port sem ég nota, td. 80, 21, 110, 53, 5900.

Ég er með svipað uppsett og þú, nema ég læt hardware routrinn nat'a bara öllu og læt linux serverinn sem stendur á milli um að filtra og nat'a tengingar inn á LANið, og líka logga hversu mikið hver vél downloadar frá útlöndum.

Oft á tíðum er ég nú með lokað fyrir 21 og opna það ekki nema ég þurfi á því að halda, einhverntíman var mér sagt að það er lang auðveldast að komast inn á servera í gegnum það.

21 er ftp-server. Það fer alveg eftir forritinu hvort það sé hægt að hacka þig í gegnum það. Það er enginn munur á portunum.

Routerinn er náttúrulega á milli umheimsins og server vélarinnar...og leyfir náttúrulega bara umferð um þessi port....þannig að get ég gert eitthvað til að tryggja öryggi vélarinnar eitthvað meira. Gagnast það eitthvað fyrir mig að vera að setja upp td eldvegg á vélinni þar sem hún er fyrir aftan routerinn? Einhverjar tillögur?

Já það gæti gagnast ef eldveggurinn geriri eitthvað meira en að loka á port etc., td stoppa "vonda" icmp pakka og fragments. Ef hardware routerinn þinn er með web-control panel eða telnet væri líka fínt að láta þá serva á einhverjum öðrum portum en default.

[tms]

https://grc.com/x/ne.dll?bh0bkyd2 þetta er fínt að hafa til að tékka á veikleikum.

[Jakob]

Mér sýnist þetta vera nokkuð öruggt hjá þér.

En hafðu í huga að eldveggurinn er bara enn einn hugbúnaðurinn keyrandi á vélinni.

Ef þú ert virkilega paranoid þá myndi ég takmarka outgoing tengingar (nota deny-deny uppsetningu) líka...

Svo getur þú athugað Snort, forrit sem fylgist með umferðinni sem er í gangi.

[MezzUp]

Já það gæti gagnast ef eldveggurinn geriri eitthvað meira en að loka á port etc., td stoppa "vonda" icmp pakka og fragments.

Ekki ef að edlveggurinn er á vélinni bakvið routerinn. Routerinn forwardar varla ICMP á vélina frekar heldur en öðru?

En einsog Jakob segir gæti verið gott að hafa software firewall ef að þú vilt passa uppá outgoing traffic

[djjason]

Þakka kærlega greinargóð svör. Ég var greinilega á réttri braut í mínum þankagangi.
Maður er alltaf svo paranoid í þessum málum.