[linux] firewall

Jarry guru jarry na gmx.net
Pondělí Září 17 09:37:10 CEST 2001


Eva Mala wrote:

> Ahojte. Chcela by som sa opytat, aka je vyhoda, ked mam
> firewall a zanim  www/mail server a ked to mam na jednom stroji.

Pokial mas taku moznost, jednoznacne odporucam mat pre
www/mail osobitny stroj, ci lepsie povedane nedavat nic
na firewall!

Firewall je dost exponovany a v drvivej vacsine sa odporuca
nemat na nom nic nainstalovane, okrem nevyhnutnych veci.
Cim menej toho na nom bezi, tym mensia je sanca, ze sa
komusi podari prostrednictvom nejakej sluzby ho hacknut.
O root-exploite pre apache som uz davno nepocul, ale
sendmail (pripadne bind) predstavuju velmi velke riziko.

Takisto riziko DoS proti firewallu je ovela vacsie, ked
na nom bezia nejake sluzby. A nemusi to byt zrovna DoS
zamerany na bandwith (u nasich povacsine pomalych liniek
je to dost jednoduhe a ucinne :-), moze smerovat napriklad
na preplnenie disku alebo 100% vytazenie cpu (co moze byt
tiez dost lahke a ucinne, ak na firewalle bude bezat
apache, sendmail, bind, wu-ftpd,...).

Mat firewal+sluzby na jednom stroji podla mna nema moc
vyhod, snad len to ze nemusis mat 2 kompy. Lenze na
firewall staci aj 386/8MB_RAM, cize hocijake stare
vyradene zelezo, ktoreho sa asi kazdemu z nas povaluje
dost po suplikoch...

Jarry

-- 
Sent through GMX FreeMail - http://www.gmx.net





Další informace o konferenci linux