ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
אורח · ·
 

הודעה פורסם: 29/03/2013 - 14:14
נושא ההודעה: פיירוול בלינוקס, מדוע לא פעיל דיפולטיבית?

שלום לכולם,
כידוע, חומת-האש במחשב האישי היא כלי חזק וחשוב מאוד!
עבודה תחת מערכת ההפעלה ווינדוס בלעדיה יכולה לעיתים להיות מסוכנת.

שמתי לב, שברוב ההפצות, חומת-האש איננה פעילה לאחר התקנת המערכת, אלא יש צורך להפעיל אותה בצורה ידנית.

מדוע זה כך?
אני לא רואה סיבה\הבדל בנושא חומת-האש בין שני מערכות ההפעלה (וינדוס,לינוקס), משמע, היא חייבת להיות פעילה ולנטר את החבילות היוצאות\נכנסות.

בנוסף, הייתי שמח אם תפנו אותי למקומות\לינקים אשר אפשר ללמוד יותר לעומק על אבטחת-מידע במערכת ההפעלה לינוקס. (עדיף מהבסיס)
אני לא מצאתי מקור כזה.

תודה Smile
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 29/03/2013 - 14:57
נושא ההודעה: Re: פיירוול בלינוקס, מדוע לא פעיל דיפולטיבית?

Anonymous :
אני לא רואה סיבה\הבדל בנושא חומת-האש בין שני מערכות ההפעלה (וינדוס,לינוקס), משמע, היא חייבת להיות פעילה ולנטר את החבילות היוצאות\נכנסות.


המטרה של FW היא לא לנטר תעבורה (לייצר סטטיסטיקה או להיות IDS/IPS), אלא לחסום תעבורה.

למה הוא לא פעיל כברירת מחדל?
- לא כולם רוצים FW (למשל, זה לא שימושי על שרת דואר ארגוני שלא נגיש לאינטרנט).
- הוא מבזבז כוח עיבוד וזיכרון.

אגב, בחלק מההפצות יש FW כברירת מחדל.

https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-IPTables.html
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
רם אוןאורח · ·
 

הודעה פורסם: 29/03/2013 - 17:05
נושא ההודעה: אם אתה שואל אתה לא צריך.

לא צריך חומת אש עבור מערכת הנמצאת ברשת המקומית. רק אם המכונה מחוברת ישירות לראשת יש הצדקה לכזו מערכת. וגם במערכת חיצונית, לא חייבים כזו.

בעקרון, השירותים שלך צריכים להיות מאובטחים. ז"א, אם יש לך שרת ssh שאין עליו סיסמה, אז המערכת שלך פרוצה. אבל אם שאלת, אתה עדיין לא שם. Smile

קרא קצת על ports ו-services, שחק קצת עם apache וקרא על חומות אש.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 29/03/2013 - 18:42
נושא ההודעה:

ציטוט:
כידוע, חומת-האש במחשב האישי היא כלי חזק וחשוב מאוד!

צר לי, אך אני נאלץ לחלוק עליך. חומת אש היא כלי "חזק" (עם או בלי סימן קריאה), ב-gateway לרשת המקומית. במערכת ביתית וגם ארגונית זהו נתב או נתב+מודם.
(אלא אם אתה מחובר מהמחשב האישי ישירות לאינטרנט, שזו תצורה נדירה בימינו)
הסיבה שבחלונות חומת האש חיונית היא שישנן רוגלות למיניהן שעוברות ממחשב למחשב גם ברשת מקומית. מסיבות שונות המצב בלינוקס שונה (ולא זה המקום להתווכח על הסיבות, כולן כנראה נכונות במידה כזו או אחרת).
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 29/03/2013 - 19:57
נושא ההודעה:

ברשותך, אני חולק עליך.

זה לא לא שחסרות חולשות remoteיות ללינוקס - אם ב-Windows יש לך חולשות SMB למיניהן, בלינוקס יש חולשות במימוש של ICMP ב-kernel, ב-driver של כרטיס הרשת, ב-Samba, ב-CUPS, בשרתי SSH ובכל מקום - כל תוכנה היא פגיעה. המצב לא שונה מהמצב ב-Windows, פרט לדבר אחד קטן - כברירת מחדל, Windows תמיד מאזין על כמה portים שמאופשרי ב-FW (בשביל NBNS - נחוץ בשביל shares וכו'), אבל ב-Linux זה קל מאוד להביא מחשב למצב שהוא לא מאזין בכלל (בדר"כ, יהיה לך את CUPS, 631 ו-SSH, 22). אבל גם אז תרצה FW, בשביל למנוע מוירוסים להאזין.

FW משמש בשביל מטרה אחת - לחסום תעבורה שיכולה לשמש ע"מ לפגוע במחשב. למשל, אם יש לך שרת שנסרק 24/7 ומותקף עם חולשות phpMyAdmin ע"י כתובת IP כלשהי בסין (אגב, יש לי משהו ממש דומה) אפשר לשים חוק FW שיפיל תעבורה שיוצאת מסין. רצוי מאוד לעשות את זה אם הוא מחובר ל-LAN ולא מופרד פיזית משאר הרשת שלך.

זה לא קשור ל-gateway, router, switch וכו', אפילו לא לשכבות במודל ה-OSI (קו ורשת, במקרה הזה). למשל, בתוך LAN, אתה עדיין תרצה FW, כדי שוירוסים לא יצליחו לפעפע בתוך ה-LAN עד שהם מגיעים למחשב שנגיש לעוד LANים פנימיים (תחשוב על הרשת הארגונית של מקום העבודה שלך). למשל, ברשת הביתית שלי, יש שרת web שנגיש לאינטרנט דרך port forwarding ב-NAT. הוא משמעותית יותר פריץ מהמחשב האישי שלי (בגלל שהוא נגיש לאינטרנט ישירות ומריץ מספר שרתים). אני מגן על המחשבים בתוך ה-LAN מניסיונות פריצה דרכו, בעזרת FW שמפיל את כל פאקטות הנכנסות.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 29/03/2013 - 19:59
נושא ההודעה:

http://www.linuxsecurity.com/content/section/9/161/

http://www.linuxtopia.org/LinuxSecurity/
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 01/04/2013 - 15:01
נושא ההודעה:

חברים, תודה לכולכם על התגובות המועילות ועל הקישורים המצויינים! Smile
(הקישורים באמת מעולים! תודה! )

זה נשמע לי דיי מוזר שאין שום תוכנה שמנטרת תעבורה בלינוקס, הכוונה:
בווינדוס, חומת האש המובנית איננה שם על מנת לנטר את התעבורה על פי החלטת המשתמש, אלא כפי שאמרתם, היא פועלת על פי חוקים אשר המשתמש קבע. לחסום\ לא לחסום.

חומת-אש צד שלישי, כדוגמאת: comado firewalll, נותנת למשתמש את האופציה לשלוט בצורה מלאה על התעבורה היוצאת והנכנסת שלו. היא מציגה את החיבורים אשר מעוניינים "להיכנס" למחשב האישי, ואת אלו היוצאים ממנו.
כך ניתן למנוע מתוכנות זדוניות (וגם לגלות תוכנות כאלו) להוציא מידע מהמחשב.

לחומת-אש מסוג זה התכוונתי בשאלתי. האם אין צורך בדבר כזה במערכת לינוקס?
האם אין פורטים אשר פתוחים בצורה קבועה?
וכיצד מביאים מערכת למצב שאיננה מאזינה כלל כפי שצויין כאן?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 01/04/2013 - 15:46
נושא ההודעה:

Anonymous :
חברים, תודה לכולכם על התגובות המועילות ועל הקישורים המצויינים! Smile
(הקישורים באמת מעולים! תודה! )

זה נשמע לי דיי מוזר שאין שום תוכנה שמנטרת תעבורה בלינוקס, הכוונה:
בווינדוס, חומת האש המובנית איננה שם על מנת לנטר את התעבורה על פי החלטת המשתמש, אלא כפי שאמרתם, היא פועלת על פי חוקים אשר המשתמש קבע. לחסום\ לא לחסום.

חומת-אש צד שלישי, כדוגמאת: comado firewalll, נותנת למשתמש את האופציה לשלוט בצורה מלאה על התעבורה היוצאת והנכנסת שלו. היא מציגה את החיבורים אשר מעוניינים "להיכנס" למחשב האישי, ואת אלו היוצאים ממנו.
כך ניתן למנוע מתוכנות זדוניות (וגם לגלות תוכנות כאלו) להוציא מידע מהמחשב.

לחומת-אש מסוג זה התכוונתי בשאלתי. האם אין צורך בדבר כזה במערכת לינוקס?
האם אין פורטים אשר פתוחים בצורה קבועה?
וכיצד מביאים מערכת למצב שאיננה מאזינה כלל כפי שצויין כאן?


אתה עוד לא בשל להבין מה זה באמת FIREWALL (ייתכן שכן )
אז תפנים בכל מערכת הפעלה (ולא משנה מה הממשקים\תפריטים וכו' )

1. זה ההגדרה של חומת אש :
FIREWALL זה סוג של נתב שמנתב את התעבורה , ומה שאמור לחסום הוא מנתב את זה ל"כלום"
החומת אש נשלטת על ידי חוקים (גם בחלונות זה ככה )
בלינוקס החוקים נכתבים בצורה מילולית (מאפשר יותר גמישות ואפשרויות ניתובים)

http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables#.UVl-SclclVo

2. בלינוקס ה FIREWALL ממצא ב IPTABLES

3. חומת אש : בכל מערכת הפעלה איננה יודעת לחסום רוגלות
, תוכנות מעולם החלונות לנסות "לבלבל" אותנו כצרכנים ומערבבים מושגים מעולמות שונים על מנת לזרוע חול ובכך לשכנע שהתוכנה שלהם "טובה" יותר

וזה שיש תוכנות שעושות עוד דברים זה רק מהסיבה ש WINDOWS זה זבל ,
אבל אין קשר בין תוכנות כאלה ל FIREWALL

בלינוקס אין צורך ב FIREWALL אלה אם כן יש שירותים שפועלים כלפי "הרגל החיצונית"=מחוברים ישירות לאינטרנט ללא NAT .



לבדיקה :
תתקין על המחשב שלך את NMAP
ותקיש:
קוד:
NMAP -v -sS 127.0.0.1

וזה יציג לך את הפורטים הפתוחים אצלך
אצלך ברשת הפנימית (נניח ויש לך שרת שמריץ APACHE אז פורט 80 יהיה פתוח .

ברור כשמש שאתה מאחורי NAT כי אתה לא מחובר לאינטרנט ישירות אתה מחובר דרך\מודם\נתב\דרך משהו \ what ever

תקליד בגוגל : my ip ותכנס לאתר כלשהו ...

עכשיו ממחשב אחר תריץ את nmap -v -sS ipaddress
כאשר במקום המילה ipaddress תקיש את הכתובת שיצאה לך .

זה ייתן לך מידע על איזה פורט פתוח אצלך (ואם יש כזה אז הוא כנראה וירטואלי ואין בו שירות ממשי אלה אם כן הגדרת port forwarding בנתב )

אם יש שירותים פעילים כמו samba שיתופי nfs שאתה רוצה להגן עליהם אז בקבצי ההגדרות שלהם יותר חשוב להשתמש בסיסמאות .



עכשיו על מנת לבדוק שאתה
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 01/04/2013 - 15:57
נושא ההודעה:

חומת אש בלינוקס :קיימת החומה החזקה בעולם *
ברור המערכות אין צורך להפעיל אותה משום שלינוקס היא המערכת המוגנת בעולם
ואם אתה שרת אינטרנט שרץ על לינוקס אז אתה בהחלט תריץ (כי אתה מריץ שירותים)
IPTABLES זה החומת אש של לינוקס לרוב המקרים ...
שמאפשר דברים מטורפים
לדוגמה לאפשר גישה לאימיילם אבל לחסום אינטרנט לחלוטין (לארגונים)
להקצות מהירויות ל X מחשבים ולהגביל מהירות ל Y מחשבים , לאפשר Z לקבוצת מחשבים C

להגיד לך שלא משתמשים ב FIREWALL זה לא נכון אני משתמש ב IPTABLES
אבל המחשב שלי מספק שירותים כמו גישה מרחוק (מתוך האינטרנט)

ללינוקס יש חומת אש ברמה הגבוהה ביותר שיש .


אנטי וירוס:בלינוקס זה מיותר לחלוטין !!

אין צורך
עוד "קסם" אין צורך באנטי וירוס בלינוקס!

כפי שהוסבר לך לינוקס זאת המערכת המוגנת בעולם וללא הרשאות ROOT כמעט לא אפשרי שוירוס ירוץ במערכת


כן יש אנטי וירוס בלינוקס אבל למטרות אחרות :
נניח שאתה שרת דואר , בהחלט תרצה לסנן את הדואר של הלקוחות שלך מוירוסים על מנת שהם לא ידבקו (בהנחה שהם מריצים חלונות)
אז אתה בתור שרת דואר יכול להריץ ולסנן עבורם את הדואר .
כאמור ללינוקס עצמו אין סכנת הדבקות כלל , המטרה כאן היא שונה להגן על הלקוחות שמשתשים בך בשרת דואר .
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
SoOmSoOmלא בפורום כעת ת.הצטרפות: 31/08/2005 · הודעות: 627 ·
 

הודעה פורסם: 01/04/2013 - 21:42
נושא ההודעה:

Anonymous :
חומת אש בלינוקס :קיימת החומה החזקה בעולם *
ברור המערכות אין צורך להפעיל אותה משום שלינוקס היא המערכת המוגנת בעולם
ואם אתה שרת אינטרנט שרץ על לינוקס אז אתה בהחלט תריץ (כי אתה מריץ שירותים)
IPTABLES זה החומת אש של לינוקס לרוב המקרים ...
שמאפשר דברים מטורפים
לדוגמה לאפשר גישה לאימיילם אבל לחסום אינטרנט לחלוטין (לארגונים)
להקצות מהירויות ל X מחשבים ולהגביל מהירות ל Y מחשבים , לאפשר Z לקבוצת מחשבים C

להגיד לך שלא משתמשים ב FIREWALL זה לא נכון אני משתמש ב IPTABLES
אבל המחשב שלי מספק שירותים כמו גישה מרחוק (מתוך האינטרנט)

ללינוקס יש חומת אש ברמה הגבוהה ביותר שיש .


אנטי וירוס:בלינוקס זה מיותר לחלוטין !!

אין צורך
עוד "קסם" אין צורך באנטי וירוס בלינוקס!

כפי שהוסבר לך לינוקס זאת המערכת המוגנת בעולם וללא הרשאות ROOT כמעט לא אפשרי שוירוס ירוץ במערכת


כן יש אנטי וירוס בלינוקס אבל למטרות אחרות :
נניח שאתה שרת דואר , בהחלט תרצה לסנן את הדואר של הלקוחות שלך מוירוסים על מנת שהם לא ידבקו (בהנחה שהם מריצים חלונות)
אז אתה בתור שרת דואר יכול להריץ ולסנן עבורם את הדואר .
כאמור ללינוקס עצמו אין סכנת הדבקות כלל , המטרה כאן היא שונה להגן על הלקוחות שמשתשים בך בשרת דואר .



ננתחיל בכמה דברים:
לינוקס אינה "המערכת המוגנת בעולם" זה בולשיט. כל דבר אפשר לעקוף ולפרוץ.
מערכת ההרשאות? סבבה זה רק מכשול זה לא באמת, מתי שרוצים מוצאים חור אבטחה במערכת ופורצים. ואין דבר כזה "מערכת לא פריצה" - אם לפנטגון פורצים אז לכל מחשב אפשר לפרוץ.

פיירוואל? זה סבבה וטוב שזה קיים אבל אם המחשב שלך מחובר ישר לרשת ולא דרך ראוטר אז כן, זה הכרחי וחיוני, ברגע שאתה מחובר תחת ראוטר, רוב הסיכויים שהראוטר שלך תומך באופצייה של הפיירוואל, אבל מה? רוב הסיכויים שזה גם מכובה, ממליץ לך לבדוק את ההגדרות של הראוטר.

חומת אש ברמה הגבוהה ביותר? זה בולשיט שיווקי. הכל אותו הדבר זה חוסם פורטים ומונע תעבורה מתוכנות לא מוכרות.

אנטי וירוס: זה סבבה אבל לא כזה יעיל ועוזר. בלינוקס בתאכלס לא צריך, כי תאכלס מי יבנה וירוס למשהו שבקושי משתמשים בו?

זה כל מה שאני חושב על המערכות האלו.
צאו מהסרט.
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
ארתיום לא מחובראורח · ·
 

הודעה פורסם: 02/04/2013 - 17:24
נושא ההודעה:

התשובה היא הרבה יותר פשוטה - גבי ברירת מחדל...

1. זה תלוי הפצה, למשל אם תתקין פדורה או נגזרת רד-הט אחרת תראה שחומת אש מופעלת כברירת מחדל אפילו במהלך התקנה.
2. אם מתקינים אובונטו או הרבה הפצות אחרות אתה תראה שכל השירותים המותקנים כברירת מחדש או לא מופעלים או לא מקשבים ברשתות חיצוניות כך שבפועל אין לך מה לחסום

שוב כל מקרה לגופו
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 05/04/2013 - 19:38
נושא ההודעה:

יש גם "gui" לצורך העניין, כמו ב- מנדריבה/מגייה - http://www.classhelper.org/articles/mandriva-w3c-validator-server/screens/mandriva_config_14.png
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 06/04/2013 - 22:57
נושא ההודעה: תודה לכולכם על התגובות העינייניות,

תודה לכולכם על התגובות העינייניות! Smile

כמו שהציגו כאן, כאשר ביצעתי בכתובת ה-loopback סריקה ע"י nmap לא נמצאו שום פורטים פתוחים.
אך כאשר ביצעתי סריקה לכתובת החיצונית שלי היו כמה פתוחים.
נראה לפי אחת התגובות פה, שאם אכן (מה שנראה ככה) מדובר בשירותים וירטואליים אז אין חשש?

ועוד שאלה שדיי קשורה לנושא:
כאשר ביצעתי עם nmap סריקה "עוצמתית" (intense scan) קיבלתי תוצאת tcp sequence prediction difficulty דיי נמוכה (17).
מדוע זאת? וכיצד ניתן לשנות זאת?

תודה.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
הצגת הודעות מלפני:     
מעבר אל:  
כל הזמנים הם GMT + 2 שעות
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
PNphpBB2 © 2003-2004 

תוכן הדיון

  1. אורח
  2. אורח
  3. אורח [רם און]
  4. אורח
  5. אורח
  6. אורח
  7. אורח
  8. אורח
  9. אורח
  10. SoOmSoOm
  11. אורח [ארתיום לא מחובר]
  12. אורח
  13. אורח