none
Regole firewall hardware, tutto a default?

    Domanda

  • Ciao a tutti,

    mi trovo per la prima volta a configurare un firewall hardware. La rete che andrò a gestire è composta da 5 postazioni lavoro.
    Ho installato il firewall a monte del router adsl e tutto funziona.
    Volevo solo avere un chiarimento circa le policy da configurare.

    Il firewall nativamente è cosi impostato:

    REGOLE IN USCITA: tutto è concesso
    REGOLE IN ENTRATA: blocca tutto tratte che i pacchetti provenienti da regole in uscita concesse.

    Cosi facendo ho visto internet funziona, la posta funziona.. dovrò solo aprire alcune porte dedicate qualora servisse attivare qualche servizio particolare su alcune postazioni..

    Mi chiedo: è corretto cosi? Ho la rete aziendale protetta?
    Non corro nessun rischio?

    Grazie
    Ciao

    mercoledì 13 novembre 2013 22:40

Risposte

  • non è detto che non corri nessun rischio: in realtà qualche utente della rete potrebbe anche inviare dei pacchetti tcp/ip in uscita in maniera del tutto inconsapevole e le regole del tuo firewall permetterebbero l'entrata di pacchetti possibile fonte di attacco.

    pensa banalmente a una mail di phishing con un fake url in un link.

    il firewall che hai può essere utile per certe eventualità ma non per altre.

    otterresti maggiore protezione da un firewall che effettui packet inspection.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 14 novembre 2013 12:55
  • Ciao Simone, direi che non va perché non tutto quello che esce è lecito (anzi...). Ovviamente alcune cose cambiano in relazione al produttore ma, in genere, è buona norma lasciare uscire i servizi essenziali (DNS, HTTP, HTTPS, NTP, FTP, etc). Può sembrare rognoso creare tutto a mano ma è l'unica soluzione. Per quanto riguarda le regole in ingresso se non hai servizi esposti (es. server mail, web, etc.) non devi aprire niente in quanto il firewall tiene traccia delle connessioni in uscita e di conseguenza abilita la risposta in ingresso. (spero di essere stato chiaro).

    Se hai necessità di qualche info particolare ti conviene postare il modello del firewall (magari qualche altro utente che lo utilizza lo trovi). Ma penso che le indicazioni di massima che ti abbiamo dato possano andar bene.

    Saluti
    Nino

     

    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    giovedì 14 novembre 2013 21:34

Tutte le risposte

  • non è detto che non corri nessun rischio: in realtà qualche utente della rete potrebbe anche inviare dei pacchetti tcp/ip in uscita in maniera del tutto inconsapevole e le regole del tuo firewall permetterebbero l'entrata di pacchetti possibile fonte di attacco.

    pensa banalmente a una mail di phishing con un fake url in un link.

    il firewall che hai può essere utile per certe eventualità ma non per altre.

    otterresti maggiore protezione da un firewall che effettui packet inspection.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 14 novembre 2013 12:55
  • Ciao Simone, direi che non va perché non tutto quello che esce è lecito (anzi...). Ovviamente alcune cose cambiano in relazione al produttore ma, in genere, è buona norma lasciare uscire i servizi essenziali (DNS, HTTP, HTTPS, NTP, FTP, etc). Può sembrare rognoso creare tutto a mano ma è l'unica soluzione. Per quanto riguarda le regole in ingresso se non hai servizi esposti (es. server mail, web, etc.) non devi aprire niente in quanto il firewall tiene traccia delle connessioni in uscita e di conseguenza abilita la risposta in ingresso. (spero di essere stato chiaro).

    Se hai necessità di qualche info particolare ti conviene postare il modello del firewall (magari qualche altro utente che lo utilizza lo trovi). Ma penso che le indicazioni di massima che ti abbiamo dato possano andar bene.

    Saluti
    Nino

     

    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    giovedì 14 novembre 2013 21:34
  • ciao,

    la maggior parte dei firewall esce con le impostazioni di default come il tuo, il traffico dall'interno è permesso almeno per quanto riguarda le porte well know (443,80,53 ecc) , mentre quello entrante è bloccato, a meno che risulti essere la risposta a sessioni avviate dall'interno.

    STORIA SUI FIREWALL:

    Le prime difese vennero implementate sotto forma di IDS (intrusion Detection System), seguiti da li a pochi anni dagli IPS (Intrusion Prevention System), capaci di bloccare da soli gli attacchi a differenza dei primi. I firewall sono la generazione successiva, dapprima sotto forma di semplice filtraggio di pacchetti Ip scorrelati tra loro, e poi come filtraggio "statefull" che verifica anche se i pacchetti fanno parte di connessioni esistenti a livello 4 (established) andando ad esaminare i flag SYNC RST ACK FIN ecc. I primi Firewall erano implementati nei router sotto forma di ISR (integrated service router) poi vennerò implementati sotto forma di apparati o appliance standalone.

    "Ho la rete aziendale protetta?"

    alla tua domanda rispondo dicendoti che non esiste la protezione totale ogni firewall è violabile puoi prevenire prevedendo più barriere dall'esterno all'interno (IPS + FIREWALL ECC)

    Per implementare la sicurezza in azienda servono competenze ben precise e di carattere elevato. questa che ti riporto è la soluzione CISCO standard che prevede una rete interna di solito trusted (sicura, di fiducia) , una rete untrusted (la rete internet) e una rete DMZ (dove di solito si mettono server con indirizzi ip pubblici verso l'esterno)

    MAttia Lodi



    venerdì 15 novembre 2013 08:35
  • Ciao Simone,

    Evidenzio i consigli ricevuti qui in attesa delle tue notizie.

    Tienici aggiornati sul tuo percorso, intanto grazie a tutti della participazione nel Forum di Sicurezza :-)


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    mercoledì 20 novembre 2013 14:26