Katera "odhodna" vrata na požarnem zidu za rsync

Zanima me, v kateri port je potrebno izvrtati luknjo v požarnem zidu, da lahko (iz precej konzervativne mreže) z rsync-om vlečeš datoteke iz strežnika (zgolj rsync, brez ssh-ja). Rsyncd sicer posluša na portu 873. Ali to pomeni, da mora biti odprt isti port na klientu? Če z wiresharkom pogledam promet, se rsync lokalno poveže na "kar nek naključen port" (nekje nad 64.000).

Admina sem prosila, če mi odpre rsync, pa me sprašuje, kateri port naj odpre in po katerem protokolu. Protokol je verjetno kar TCP? Sama se na požarne zidove ne spoznam dovolj, da bi vedela odgovor ali da bi znala najti odgovor na googlu brez parih ur študiranja tematike.

Hvala. So mi razložili, da se na požarnem zidu filtrira glede na "destination port" in da "source port" nima veze. Ta podatek mi je manjkal. Tisti "naključen port" me je zmedel, zdaj razumem.

Mi pa admin noče odpreti porta, ker ne ve, če je varno (in ker se tega niso učili na Microsoftovih TMG in ostalih certificiranjih).

Mojca, ne uporabljaj rsynca brez ssh, razen če nadzoruješ vse kable in mašine na poti.

Rsync sam ne uporablja šifriranja (to velja tudi za morebitna gesla).

Če vseeno rabiš rsync, mu lahko rečeš naj uporablja kak drug port.

In kako naj administratorja nekega naključnega strežnika, od koder prenašam datoteke, prosim za ssh account oz. za spremembo porta? Oziroma ali naj kar vsem svojim tisočim uporabnikom dodelim ssh dostop do strežnika (ki sicer ni za tem specifičnim požarnim zidom), ker bo bolj varno, če imajo vpogled v vse datoteke na strežniku namesto dostopa do izključno tistih datotek, ki jih želim deliti?

(Je pa res, da še nisem pomislila na to, da bi svoje osebne datoteke "objavila" v rsyncd konfiguraciji. Ko gre za prenos "zasebnih stvari" iz drugega računalnika, samodejno uporabim ssh. Zdaj vsaj razumem argument, da "rsync ni varen". Ampak enako lahko Apache skonfiguriraš, da na portu 80 servira celotno vsebino diska. Pa porta 80 zaenkrat še nimamo blokiranega.)

Če imaš ssh dostop do strežnika, to ne pomeni nujno, da imaš dostop do vsega na /. Ravno zato obstajajo dovoljenja ter chroot (howto). Oziroma lahko uporabnik uporablja sftp, če rabiš dostop samo za prenos datotek, ssh dostop mu pa onemogočiš.

Torej imaš lahko na strežniku 1000 userjev, ki imajo ssh/sftp dostop. En drugega ali vidijo in ne morejo dostopat do datotek, ali sploh ne vidijo (chroot), omejiš pa jim tudi nabor ukazov, ki jih lahko izvajajo. Imaš samo kar nekaj dela, da to vzpostaviš in administriraš. Obstajajo boljše namenske rešitve. :)

Se pa načeloma za vsako zahtevo/"problem"najde ustrezna (lahko tudi specifična) rešitev, ki je prilagojena situaciji in ustreza vsem kriterijem ter se prilagodi vsem zahtevam. Zato pač ni vedno ssh (edina) rešitev.

Neobičajno je, da so porti zaprti navzven. Če je administrator zatežen, se seveda da utemeljiti, zakaj je to pametno.

Ja, zaprti so navzven. Da navznoter niso odprti brez posebnega razloga, je logično. Administrator pa itak prvič sliši za rsync. Po komunikaciji sodeč tudi prvič za ssh. (Je pa večkrat poudaril, da je certificiran IT Security Engeneer, pa MS Certified whatever, pa naštel izkušnje z N požarnimi zidovi. Vsaj iz prve roke vidim, koliko so vredni tisti pildki.)

Naslednje vprašanje. Admin pravi, da Microsoft TMG ne podpira nobenega preverjanja prometa na portu 873 in da bi moral ekstra zaračunati, da bi glede na RFC standard pravilno implementiral zaščito, da ne bi ogrožali varnosti ostalih v omrežju, če odpre ta port.

Kakšen komentar na tole? (Priznam, da TMG-ja ne poznam, ampak moj nesramen odgovor bi bil, da je morda čas, da se zamenja firewall.)

Offtopic: priznam, da sem verjetno res preveč razvajena. Dosedanji admini (drugje) so ti še kavo skuhali, če si prišel s kakšnim zanimivim problemom. Imeli so par sigma večji IQ od povprečnega zaposlenega. Uredili so karkoli. Težav z vdori niso imeli. Znali so popedenati vse od Linuxa, Mac-ov, Windows mašin, iPhonov, ostalih pametnih telefonov, pa do Vaxov ... Tu pa nisem edina, ki ima probleme z adminom. Samo tajnici lahko po mili volji prodaja buče in namesto "ne da se mi" in "ne znam" odgovarja z "ne da se" in "ni varno". Moj predhodnik se je težavam pametno izognil tako, da je jasno in glasno povedal, da njihovega maila ne bo uporabljal, s sabo je privlekel svoj router in ignoriral admina. Jaz pa naivno pristopim k stvari, sporočim vse MAC adrese, poskušam urediti IP-je za vso že prej obstoječo opremo. Ampak po pol leta admin še vedno ne zna maila urediti tako, da bi delal kjerkoli drugje razen na Nokiah in v Outlooku. In v webmailu, kjer niti tipkati ne morem, ker z mojo nastavitvijo tipkovnice na vsak natipkan "š" veselo pošlje mail sredi prvega stavka in tega "ni mogoče popraviti". In za vsako mojo prošnjo samo komplicira, kaj si spet zmišljujem. Ignorira vsaj polovico mailov. In če smo že pri varnosti: imajo odprt wireless brez gesla. Kdorkoli lahko pride na parkirišče in prisluškuje vsemu prometu. Ampak ne, rsync je na tem omrežju prenevarno odpreti. Zaradi mene lahko admin uprablja strežnik na luknjanje kartic. Samo spedena naj ga tako, da bo delal tudi ostalim.

Ontopic: Dejansko me zanima, ali je to z rsync-om in TMG-jem spet samo prodajanje buč ali je TMG res tako butast kot pravi admin.

Hvala za popestritev dneva

Bom upoštevala tvoj nasvet.

mojca je 22. jul 2014 ob 11:42 izjavil:

Naslednje vprašanje. Admin pravi, da Microsoft TMG ne podpira nobenega preverjanja prometa na portu 873 in da bi moral ekstra zaračunati, da bi glede na RFC standard pravilno implementiral zaščito, da ne bi ogrožali varnosti ostalih v omrežju, če odpre ta port.

Kakšen komentar na tole? (Priznam, da TMG-ja ne poznam, ampak moj nesramen odgovor bi bil, da je morda čas, da se zamenja firewall.)

Nenavadno nakladanje. Skrajno nenavadno nakladanje. Ne vem, kaj bi imel za računati.
Če si edini uporabnik, ki ta port potrebuje, se pač samo tebi (ali tvojemu sistemu) dovoli, da ga uporablja, medtem ko za vse ostale ostane zaprt. Če je admin zelo strikten, lahko zahteva tudi eksplicitno definicijo IP naslova, do katerega naj bi odprl ta port.
V malo resnejših mrežah mora poleg admina takšno spremembo na požarni pregradi 'požegnati' vsaj še ena nadrejena oseba. Kaj dosti več 'čaranja' pa tu ni.

Edino kar ostane na koncu vprašanje varnosti uporabe določenega protokola, ki nima nobene enkripcije za prenos podatkov. Mogoče sami podatki niso 'zaupne narave', je pa lahko problematično, če se username in password preko omrežja pretakata v cleartextu. Tu mora vsakdo znati presoditi, ali se gre za nekaj 'brezveznega' in imaš uporabljeno neko 'brezvezno' geslo, ali se gre za sistem, kjer bi bila izguba gesla lahko boleča zadeva. Problem pa je, če ti sistem na oddaljeni strani ne ponuja nekih drugih, varnejših opcij za prenašanje datotek.

BigWhale je 23. jul 2014 ob 08:38 izjavil:

SeMiNeSanja je 22. jul 2014 ob 18:18 izjavil:

'Neobičajno' izključno zaradi lenobe administratorjev in odsotnosti neke resne varnostne politike v podjetju. Tam kjer so zadeve poštimane 'kot treba' so navzven zaprti vsi porti razen explicitno dovoljenih.

Tole je navaden crap. Ce imas odprt en port, je popolnoma vseeno, ce imas odprte vse. Navzven.

No comment....
Ni vredno komentiranja!

mojca je 23. jul 2014 ob 11:01 izjavil:

Katerega dela nevarnosti pri navzven odprtih portih se ne razumem? Oziroma kaksni so razlogi, da bi zganjal paranojo pri navzven odprtih portih?

Napadi iz spleta se izvajajo na porte, ki so odprti navznoter, ali se motim?

Odvisno od tega, kaj razumeš kot 'napad'.
Vse velike kompromitacije zadnjega časa, kjer je ušlo neznano kam na tone podatkov kreditnih kartic in podatkov intelektualne narave, pa koneckoncev tudi Cryptolocker, so bile tipa 'trojanec' - ti se okužiš (phishing, drive-by download, itd.), namesti se ti zlonamerna programska koda, ki potem vzpostavi stik s svojim nadzornim centrom nekje na internetu. Torej imamo v tej fazi že outgoing promet. V primeru razvpitega primera trgovin Target, je malware podatke kreditnih kartic pošiljal ven preko FTP protokola. Če bi imeli zaprte porte za FTP in spremljali, da se je 'nekaj blokiralo' na teh portih - z blagajn, ki sicer nimajo kaj uporabljati FTP, bi zadevo lahko preprečili. (Dejansko so zadevo spremljali in bili opozorjeni, da se nekaj nenavadnega dogaja, pa niso ukrepali - kar je po svoje še bolj žalostno).
Zadnji krik mode pri malware-u je uporaba TOR omrežja, za povezavo navzven, tako da se ne ve, kam dejansko odtekajo podatki in kje se nahajajo nadzorni centri. Tako je logično, da boš želel imeti zaprte tudi porte za TOR. Od nekdaj pa je priljubljen tudi IRC za nadzorne kanale botnetov.
Ker se te zdeve spreminjajo iz dneva v dan in ne moreš kot gasilec neprestano krpati luknje, je ustaljena praksa (ki se je pa žal držijo le v resnejših okoljih), da se navzven zapre vse porte in odpira izključno tiste, ki so za poslovanje potrebni - za tiste računalnike, ki jih rabijo. Če imam npr. SIP centralo, bom odprl SIP porte samo za centralo in nikogar drugega.

Načeloma naj bi 'varnostna politika podjetja' (med drugim) opredeljevala, kaj sme v omrežje vstopati in kaj ga sme zapuščati. Vendar se v praksi tako dodelane politike redko kje najde. Sploh v manjših podjetjih vse skupaj ostane na ramenih administratorja, ki je pogosto edini, ki se mu vsaj malo sanja (če se mu sanja).
Ker večina požarnih pregrad ne nudi kakšnih posebnih orodij, ki bi olajšala ugotavljanje, kaj je 'sprejemljiv' in kaj 'nesprejemljiv' odhodni promet, mnogi admini preprosto sploh ne poskušajo karkoli blokirati na outgoing strani. Šele ko jih kakšen šef začne nadlegovati, začno zapirati kakšen posamezni port - z namenom 'dviga produktivnosti'.
Prvenstveno se admini izogibajo zapreti vse, ker jih je strah, kaj vse se bo s tem 'podrlo' in da se bo nanje vsula toča jeznih klicev uporabnikov, kaj vse jim ne deluje.

Če imaš prava orodja, se da takšen sistem vzpostaviti v enem dnevu. Nato potrebuješ še dva dni za 'finetuning' in na koncu noben uporabnik sploh ne sme opaziti, da so vsi porti razen eksplicitno dovoljenih zaprti.
Če nimaš pravih orodij, je zadeva bolj počasna, vse skupaj traja kakšen dan dlje, ni pa nerešljiva. Treba je imeti zgolj pravi pristop.

Ko je enkrat takšno varno stanje vzpostavljeno, se lahko takšne zahteve, kot je bila tvoja po odprtju dodatnega porta, obravnava individualno. Uporabnika vprašaš kaj ima to za eno aplikacijo, čemu jo potrebuje, kam bo z njo komuniciral in s katerega računalnika. Ti podatki bi morali adminu zadoščati za presojo o tem, ali je odprtje tega porta v skladu z zadano varnostno politiko (ali pa bi jo bilo potrebno popravljati), kot mu tudi omogoči, da lahko port zelo selektivno odpre in s tem minimizira tveganje, ki bi s tem nastalo.

Še to....

Trditev, da če imaš odprt port 80, da si že s tem v 'peklu', drži le pogojno - če uporabljaš neko predpotopno požarno pregrado, ki ne premore nobenih dodatnih kontrol prometa (klasična SPI pregrada).

Sodobne požarne pregrade zmorejo prepoznati aplikacije, ki ustvarjajo tak promet. Pametna požarna pregrada npr. ne bo dovolila IRC prometa ali telneta preko porta 80. Istočasno nad prometom bdi IPS, ki lahko zazna anomalije, na koncu pa se še s pomočjo web filtra blokira dostop do znanih IP-jev, na katerih so različni nadzorni centri.

skratka imaš opravka s kar tremi dodatnimi mehanizmi, ki ne bodo kar tako spustili 'karkoli' skozi port 80, temveč skušajo ta promet omejiti na legitimno spletno brskanje.

Nekoliko večji problem predstavlja https, kjer moraš dekriptirati promet, da bi lahko izvajal zgoraj navedene kontrole. Ta del je sicer popolnoma legitimen, vendar je nekaterim, ki jim ni jasno, zakaj bi to bilo potrebo, hud trn v očesu.

Drugače pa se v pravilu skušaš omejevati pri odpiranju portov, da dovoliš določen protokol do ZNANIH strežnikov, kjer je to možno in ne kar 'kamorkoli ven'.

Če se potem nek računalnik na omrežju okuži, rabiš kot administrator imeti zgolj nekaj pozornosti nad tem, če se nek računalnik sumljivo pogosto znajde na listi blokiranih povezav. Določena orodja so pri tem bolj nazorna, druga manj. Če imaš na voljo zgolj syslog logiranje in potem gledaš kot tele v nova vrata v tisto log datoteko, pa verjetno ne boš kaj dosti videl.

V petek je bil SysAdmin Day. Si mu poslala čestitko?

Drugače pa se bojim, da je preteklo že veliko bitov, odkar je bil tale vaš admin nazadnje na kakšnem šolanju, logika pa....jah, se mi zdi, da ni vredno izgubljati besede.

Če je problem tvojega prenosnika to, da je kao 'BYOD' šara, se take zadeve rešuje tako, da se uredi poseben segment omrežja, ki je ločeno od poslovnih računalnikov in se tam lahko dodeli manj stroga pravila. Lahko bi imeli tudi 'guest network', na katerem bi ti zadevo odprl.
Še bolj elegantno se rešuje zadevo s pomočjo avtentikacije na požarni pregradi. Definiraš, da sme user 'mojca' uporabljati ta in ta port - ne glede na IP naslov, s katerega se je avtenticirala.

Opcij je kolikor jih hočeš, da lahko stvari izpelješ na varen način, ne glede na to, koliko si paranoičen, ali pa imate strogo postavljena varnostna pravila.

Žalostno je, da se je treba 'boriti' za takšno stvar, če je potrebna za delo. Več kot en mail in en 'sestanek' tu nebi smelo biti potrebno...

Jaz sicer ne vem s čem se ukvarjaš in kaj v firmi počneš (očitno tudi vaš admin ne?) - ampak ravno v takem primeru bi ti dal na razpolago lasten Vlan (ali dva), ki bi ga izoliral od ostalega omrežja. Kao 'eksperimentalno omrežje'. Tako potem ni problem odpirati določene porte, ki jih na ostalih omrežjih ne želiš imeti odprte.
Ravno tako potem ni problem DHCP, saj vse ostane v tistem eksperimentalnem delu omrežja.

Včasih je treba biti tudi malo prilagodljiv in se znajdet. Varnost je že prav da je, vendar ne na račun tega, da se potem ne da delati. Treba je biti toliko fleksibilen, da se potrudiš poiskati rešitve, ki so sprejemljive za obe strani, a hkrati ne kompromitiraš varnosti.

Sicer pa TMG odhaja v pokoj - kaj si bo vaš 'talent' potem izmislil (glede na to, da obvlada sam MS)? To bo še zanimiva zgodba.....

Aja, če še koga zanima. Moj predhodnik se je naveličal ukvarjati z adminom in si je (na službene stroške, čeprav tega nihče ni vedel) naročil mobilni internet neomejeno, da je zaobšel firewall. Dva tedna nazaj je Telekom do tu pomotoma napeljal optiko (povsem neodvisno od preostale mreže), tako da lahko ponovim "nepokorščino adminu" še na mnogo elegantnejši način .