שאלה רצינית על אבטחה ... או אולי שא

[דורון אופק]

שאלה רצינית על אבטחה ... או אולי שא

האם אפשר להרים firewall עם חוקים , לאחר מכן לכבות אותו .. ושהחוקים ימשיכו לעבוד ??? כלומר השירות ישאר פעיל על אף שהמחשב במצב "כבוי" ... ??? ואז כמובן להאקר לא יהיה לאן לפרוץ ??

 

[andré la-mousia]

huh!?

ומי, בדיוק, הולך לאכוף את החוקים? ולמה, בעצם, אתה רוצה לכבות את הפיירוול?

 

[דורון אופק]

רוצה לכבות אותו כדי שלפורץ לא יהיה

לאן לפרוץ ... ה firewall המכובה הולך לעאכוף את החוקים ..

(אני רק תוהה אם זה אפשרי .. )

 

[darkstar]

מה אתה מפגר או שאתה עושה את עצמך?

לכבות את הפיירוול ושהוא עדיין יפעל תגיד אתה בסדר?

 

[mavor]

פיירוול

דבר ראשון darkstar אתה לא צריך להתבטות כך !! לגבי השאלה הפיירוול הוא התוכנה שכופה את החוקים אם תפסיק אותה אז תפסיק את החוקים נדב

 

[דורון אופק]

ככה ממש לא עונים ..

צר לי לבשר לך ... גם אם אכן הייתי "מפגר" / " אידיוט" ועוד כמה פניני לשון אפשריים .. ככה ממש לא עונים לבן אדם .. בדר"כ כלל אני רגיל לקבל יחס קצת יותר רציני .. ואם אני שואל איזושהי שאלה .. ואפילו אם היא נראת לך מאד מפגרת או מאד פסיכית .. עשה טובה אם אתה לא רוצה/ לא מסוגל / לא יכול .. לענות כמו בן אדם אז פשוט אל תענה .. שאלה זו נשאלה לא מתוך כך שאני לא יודע את התשובה אלא מתוך רצון לגרות את מחשבתם של מי שעוסק בזה .. כדי שיחשבו ... מה אתה חושב .. כלל הנראה הבנתי .. כך שאולי לא כדאי שתוסיף לענות לכאלה שאלות .. בכל מקרה .. אם היית מציץ גם בפורומים האחרים - השאלה הזו הושמה בכולם אתמול באותה שעה כדי לפנות לכמה שיותר אנשים .. כמו כן אם תציץ קצת אחורה בדפים של כל הפורומים המרכזיים .. כנראה שתגיע למסקנה שאני קצת מבין בלינוקס .. אבל אם גם לא הייתי - ככה לא עונים .. אחלה שבת שתהיה לך ..

 

[הראל]

קצת כבוד לא יזיק

גיסי, שהוא אחד מגדולי פיזיקאי הגרעין בעולם, בנוסף להיותו בעל תואר רב (אמיתי, לא כזה של ישיבות דמה הקיימות בדיוק כמו אוניברסיטאות דמה). מפליא אותי תמיד בסבלנותו לשמוע כל שטות מכל אחד, ולו יהי זה האדם הרץ אחרי מכוניח הזבל. הוא נותן לכל אחד את ההרגשה שהוא חשוב ומכובד. פעם, לאחד שמישהו קישקש שטויות משך שעה ארוכה, שאלתי את גיסי, איך יש לו סבלנות לכך. והוא ענה לי שאפשר ללמוד מכל אדם ... ועוד הוסיף שלדעתו יש לכבד כל אחד בגלל היותו אדם ובצלם אלהים נברא (טוב, הוא גם דתי

בפורום הזה, לעיתים קרובות, חוזרות ונשאלות אותן שאלות בסיסיות שוב ושוב. למרות זאת, עאשר יש לי מצב רוח טוב וזמן, אני משתדל לענות אם אני חושב שאני יודע את התשובה. משתתפים בפורום הזה זקנים שלהם כבר נכדים (כמוני) לצד ילדים שטרם נהיו בני מצווה. יש פה אקדמאים ומומחי מחשב לצד מתחילים מהססים. יש פה רהוטי לשון וכתיבה לצד פגועים בדיסלקציה קשה. מעולם לא ראיתי תשובה בוטה ופוגעת כל כך. על שאלתו של דורון, גם אני רציתי לענות בסימן שאלה גדול

מכיוון שמכיר אני בדורון כי אדם בעל ידע רב הוא, אך בחרתי שלא לענות בכלל, אולי בכל זאת יש דברים בגו ?? (לעולם אין לדעת בביטחה).

 

[הראל]

../images/Emo52.gif מה ../images/Emo35.gif../images/Emo35.gif../images/Emo35.gif

לדעתי, ברור כשמש בצהרי יום שאי אפשר .... אבל, האם יש פה איזה מילכוד ?

 

[Mothers Milk]

אני גם חושש

שאני לא מבין... אתה רוצה להגדיר את הפיירוול, לסגור אותו, ושהחוקים עדיין יישארו ברשת? אם זה אפשרי, אני אשמח לדעת איך... ד"א, הייתי מוחק את ההודעה של darkstar, אבל אם אני מוחק אותה אז כל התגובות אחריה גם יימחקו, וחבל עליהן...

 

[darkstar]

sorry

hope you forgive me פשוט זה נשמע ממש לא הגיוני

 

[lizard]

כתבתי לך תשובה מפורטת אבל

המערכת משום מה לא הכניסה אותה ולי אין כוח לכתוב שוב

שלח לי הודעה במערכת מסרים או באייסי 2885404 ואני אשיב לך מיכה

 

[זאינאל]

לפני שאני שולח הודעה,

בעיקר במערכת של תפוז, שלא ידועה בידידותיות יתר למוזילה, אני תמיד מעתיק את ההודעה ל-clipboard, למקרה שההודעה לא תשלח.

 

[זאינאל]

כמובן שאם תכבה את המחשב עצמו,

אז שום דבר לא יעבוד. אבל, תאורטית, נראה לי שיתכן להרוג את כל התהליכים במחשב, מלבד init ועוד כמה kernel daemons חשובים (כמו kswapd או ה-daemon של כרטיס הרשת). עכשיו לא נותר שום דבר במחשב שאפשר לפרוץ אליו, אבל חוקי ה-firewall בקרנל עדיין יופעלו על כל חבילת מידע שמגיעה בכרטיס הרשת. כמובן, שבמקרה שכזה - כל שינוי קטן בתצורה יצריך אתחול מחדש של המחשב, וזה משהו שאנחנו מאוד לא רוצים שיקרה - כבר עדיף להתקין חלונות

 

[דורון אופק]

והתשובה היא .. ../images/Emo98.gif

טוב אז אחרי שקיבלתי היום לא מעט טלפונים של כל מיני אנשים ששאלו לשלומי ( .. חלקם חשב שאני קצת ירדתי מהפסים.. ) אני חושב שהצלחתי ליצור קצת עיניין בקרב חלק ממשתתפי הפורומים למינהם . אז קודם כל התשובה: אפשר לעשות את זה (הסבר קצר בהמשך ). אבל לפני זה מכוון שאמור דיברתי היום עם כמה אנשים שחלקם הלא קטן הינם משתמשי פס-רחב ו/או מחוברי קבע בחברות אני חושב שחשוב להזכיר שבנושא של הפעלת firewall יש כמה אלמנטים חשובים שאנשים קצת שכחו .. 1. בתחילתם של מספר מאמרים על הנושא מוגדר מחשב כמאובטח כאשר היו מכובה ונעול במרתף וסביב הבית יש שומרים ... כך שלא כדאי להיות שאננים כי "יש לכם את ה firewall הכי טוב בעולם " .. 2. שרת firewall אמור לעבוד עם מינימום 2 כרטיסי רשת .. הפעלה של שרת כזה עם כרטיס רשת אחד שמחובר לרשת הפנימית וגם לרשת החיצונית - כמוה כמו נסיון להחזיק אבקת סוכר במסננת .. 3. קיימות מספר תאוריות אשר עוסקות בנושא תצורה של שרתים כאלו בינהם תאוריות כגון " Back To Back " או " Multi Home " ( במקומות מסויימים נקרא גם 3 home ) - שיטות אלו הינן שיטות של הגנה תוך כדי הפעלת DMZ מסודר - קשה לומר כי firewall יחיד עם 2 כרטיסים יספק הגנה מספקת (אבל ככל הנראה הוא עדיף על כלום). תחילתו של סיפור ה firewall המכובה ( אפשר שתיתקלו במונחים כגון shadow-firewall או halted-firewall ) היה לפני מספר שבועות כאשר קיבלתי מאיזשהוא ירחון מקצועי סקירה על כתבות שיצאו בגליון הבא ( מכוון שאני מנוי ובגלל כמה סיבות אחרות הם מעבירים לקבוצה מסויימת לפני יציאת הגליון לדפוס את הכתבות - לכאורה כדי שנוכל גם להגיב ..) בכל אופן צדה את עיני כתבה שעוסקת בנושא .. גם לי בהתחלה זה ממש לא נשמע הגיוני .. שרת מכובה וממשיך לתת שרות .. אולם כשהתחלתי לקרוא "נפל לי האסימון" .. הצטיידתי במיטב הסיסמאות שיש לי לאתרים שמורים שונים (red hat , lpi ,dell, ibm וכיוצ"ב ) ויצאתי לצוד מידע בנושא .. האמת היא שאין ממש טונות של מידע על זה .. אבל הפטנט הוא די פשוט .. ניערתי את האבק מעל ההתקנה של redhat 6.2 והתקנתי אותה על מנת לנסות - ואכן הפטנט עובד .. בכל אופן אני כרגע לא יושב לכתוב howto שלם על הנושא .. אבל מי שזה מעניין אותו יכול לנסות את זה לעצמו .. כל נושא ה firewall אינו "תוכנית" אל מודול שרץ בתוך ה kernel , התוכניות הינן למעשה תוכניות סיוע למשתמש להכיס את מערך החוקים אבל למעשה ה kernel עושה את העבודה .. נושא נוסף הוא נושא ה network - גם כרטיס הרשת הינו למעשה מודול אשר מדבר עם ה kernel בצורה ישירה .. כך שלמעשה אם אני יבנה kernel מונוליטי (יחדיה אחת ללא מודולים) או לפחות יטמיע את המודולים הרלוונטים אל תוך ה kernel .. כל ה firewall יעבוד כשהוא מצוי ב ram (האמת שזה יקרה גם אם אני לא יקמפל kernel - אבל בחלק מהניירת טוענים שכך עדיף לעשות את זה .. ) עכשיו אני אמור לבצע shutdown -h למערכת כדי שהיא תתכבה ולמעשה האקר לא יוכל להיכנס אליה .. רק לפני שאני מבצע את זה אני יוריד את הסקריפטים שמבצעים kill לתהליכים שונים .. לדוגמה apm (כך מערכת ההפעלה תתכבה אבל המחשב לא , כלומר ימשיך לזרום חשמל מעבד ימשיך לעבוד וה RAM יהיה פעיל ) כמו כן אני יצטרך להסיר את הסקריפט שמבצע killall בכיבוי .. ( init 0 ) ולהסיר את הסקריפטים ש מבצעים kill ל firewall .. (כדי שהחוקים של ה firewall ישארו ב RAM ).. ( כמובן שמחשב כזה יצטרך ip קבוע .. ).. וזהו .. לאחר הכיבוי .. ה kernel ממשיך להתקיים ב RAM עם ה firewall והחוקים .. ה kernel יכול לתקשר גם עם כרטיס הרשת .. למחשב יש ip מכוון שערכים אלו נשמרים ב RAM ... אבל כאשר פורץ ינסה לפרוץ אותו .. משום מה הם פונים תמיד אל הכוננים .. הוא לא יגיע לכוננים מכוון שהם במצב של umount .. הוא גם לא יוכל לעשות להם mount מחדש .. למעשה לא קיימים במערכת הזו תהליכים כמו שאנו רגילים מכוון ש init לא פעיל .. בקיצור חייו של פורץ במקרה כזה קצת קשים ... עכשיו כשאני חושב על זה הייתי צריך אולי לשאול את זה בפורומים של אבטחת מידע .. זה אוליי היה "מדליק" כמה מהם על לינוקס .. אבל כבר אין לי כוח לעשות את זה .. אם למישהו יש הוא מוזמן או להעביר את ההודעות האלה לשם או להזמין אותם לכאן . זהו .. אחלה שבת .. לכולם דורון

 

[lizard]

עכשיו כשנתת הסבר מדוייק אז הבנתי

בדר"כ כשאומרים שרת מכובה אז מתכוונים שהוא לא עובד בכלל. אם אתה רוצה להיות יותר יצירתי....תקמפל את הקרנל לדיסקט ותריץ אותו משם. או לחילופין (כמעט בטוח שאפשר) תבנה מחשב עם הרבה RAM אבל בלי כוננים קשיחים, תבנה מערכת על סידירום (כמו סידי התקנה למשל) ותעבוד רק על הRAM. אולי תשתמש בדיסק קשיח לSWAP. אבל, בכל השיטות הללו יש חסרון, עדיין הן מתבססות על הפיירוול של הקרנל, או ליתר דיוק, בדר"כ כשיפרצו לך את המערכת בטח יעשו את זה בגלל באג בתוכנת פיירוול. תמיד אתה יכול לסגור את כל הפורטים פרט לאלו שאתה רוצה לאפשר. זה שהמערכת כביכול ללא כוננים לא נותנת לך כלום בסופו של דבר. מיכה

 

[דורון אופק]

נראה לי שאתה רואה ב firewall של

ה kernel חיסרון ... אני דווקא רואה בו יתרונות אדירים .. הרי אם הוא היה תוכנית נפרדת ניתן היה לפרוץ את התוכנית והית נשאר עם מערכת עובדת שמבצעת ip_forward ולמעשה הכניסה אל תוך הרשת שלך כבר היתה קלה יחסית .. כאשר אתה תנסה לפרוץ firewall אשר עובד מתוך ה kernel אזי במקרים רבים תהיה לך קריסה ככלית של ה kernel דבר אשר יגרום בהכרח לאי קיומה של המערכת ולמעשה יקשה על אותו פורץ להיכנס לך את תוך הרשת ..

 

[lizard]

לא בדיוק

אין לי שום דבר נגד פיירוול על הקרנל, כמו שציינת יש לזה יתרונות ברורים. אני בעד פיירוול שלא נמצא ברשת המקומית אלא ברשת המרחבית. על מנת לבצע דבר שכזה אתה צריך חומרה מתאימה שנמצאת על הרשת המרחבית או לבצע את זה ברמת הראוטר שהוא בעצם לב הרשת. קשה יותר לגלות מכשירים שנמצאים על הרשת המרחבית, גם אופן העבודה שלהם מעט שונה לפי הבנתי (יתכן ואני טועה) מכשיר לדוגמא הוא הWANSHAPER של NET REALITY, מכשיר זה לא מתוכנן לשמש כפיירוול אבל בהחלט יש לו יכולות דומות. מיכה

 

[andré la-mousia]

אם הבנתי נכון,

אתה מעביר את המודול שמחליט האם פאקט IP רשאי/לא רשאי לעבור אל הקרנל. כלומר, להטמיע את פיירוול בקרנל. אז זה לא בדיוק "לכבות את הפיירוול". (אם הבנתי נכון) עוד אשפרות שאתה מציע, זה שהפיירוול ירוץ על מחשב עם קונפיגורציה מינימלית, כדי שלא תיהיה לפורץ פוטנציאלי גישה לסרויסים/דיסקים/דבייסים. אפשר להשיג את זה בקלות אם אתה עושה bootable-CD שמכיל את הפיירוול ואת הקרנל הנדרש. זה יכול לשבת אפילו על דיסקט, נראה לי, אבל יותר קשה לארגן כזאת קומבינה. אפשר גם לעשות BOOT ולהפעיל את הפיירוול דרך הרשת (וואלה, לא ניסיתי, אבל אפשר) ואז אתה בכלל לא צריך שום דיסק. אבל אם כבר אתה הולך על כל הקומבינה הזאת, ומקדיש מחשב שלם שיהיה פיירוול, אז למה לא תקנה פשוט קופסא מוכנה (כמו למשל SONIC) שעושה את זה בדיוק, בעלות יותר נמוכה ותחזוקה יותר פשוטה. ?

 

[הראל]

"הקופסאות" האלו נפרצות גם !

"קופסאות" פיירוול נפרצות חדשות לבקרים. תמיד מוצאים בהם באגים. הן גם עולות לא מעט כסף. ואילו במקרה שמתאר דורון, מספיק לך איזה מחשב ישן נושן, אפילו 486 שמזמן לא מתפקד. שים בו כמה יותר זיכרון, שני כרטיסי רשת מהירים ... וזהו ... תוכל גם לשדרג את ה"פיירוול" הזה עם גרסת הלינוקס הבאה ...

 

[andré la-mousia]

אם כבר בבדיחות עסקינן,

מאיפה תשיג עכשיו זכרון ל486?? אם תמצא קופסא עם 8 MB תהיה מאושר. אבל ברצינות: אני יודע שלינוקס אמור לתפקד גם עם כמות מינימלית של זכרון, אבל כמה זה המינימום (RAM) למשימה כזאת, עם קו עמוס של ADSL ? (הלוואי שהיה לי ADSL, אבל בשביל לקבל קצת קנה מידה)