[ precedente ] [ Contenuti ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ I ] [ successivo ]

Securing Debian Manual
Appendice F - Aggiornamenti di sicurezza protetti da un firewall


Dopo un'installazione standard, la sicurezza di un sistema potrebbe avere ancora delle vulnerabilità. A meno che voi non scarichiate gli aggiornamenti da un altro sistema (o abbiate fatto il mirror di security.debian.org per un uso locale), il sistema dovrà essere collegato a Internet per i download.

Non appena vi collegate a Internet, però, esponete il sistema a dei rischi. Se uno dei vostri servizi locali ha una vulnerabilità, potreste essere compromessi ancor prima che l'aggiornamento termini! Può sembrare paranoico ma di fatto, analisi dell'Honeynet Project, hanno mostrato che i sistemi possono essere compromessi in meno di tre giorni, anche se non sono noti pubblicamente (cioè non siano riportati nei registri DNS).

Quando si esegue un aggiornamento, su di un sistema non protetto da un altro sistema esterno, come un firewall, è possibile configurare adeguatamente il vostro firewall locale per limitare le connessioni alle sole riguardanti gli aggiornamenti di sicurezza. L'esempio qui di seguito, mostra come configurare un tale firewall, per autorizzare solo le connessioni da security.debian.org, e registrare tutte le altre.

FIXME: aggiungere l'indirizzo IP di security.debian.org (altrimenti dovreste avere il servizio DNS avviato per funzionare).

FIXME: provare questa configurazione per verificare che funzioni correttamente.

FIXME: ciò funzionerà solo con le URL HTTP poiché ftp potrebbe richiedere il modulo ip_conntrack_ftp module, oppure utilizzare la modalità passiva.

       # iptables -F
       # iptables -L
       Chain INPUT (policy ACCEPT)
       target     prot opt source               destination
     
       Chain FORWARD (policy ACCEPT)
       target     prot opt source               destination
     
       Chain OUTPUT (policy ACCEPT)
       target     prot opt source               destination
       # iptables -P INPUT DROP
       # iptables -P FORWARD DROP
       # iptables -P OUTPUT DROP
       # iptables -A OUTPUT -d security.debian.org -p 80 -j ACCEPT
       # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
       # iptables -A INPUT -p icmp -j ACCEPT
       # iptables -A INPUT -j LOG
       # iptables -A OUTPUT -j LOG
       # iptables -L
       Chain INPUT (policy DROP)
       target     prot opt source               destination
       ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
       ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
       LOG        all  --  anywhere             anywhere           LOG level warning
     
       Chain FORWARD (policy DROP)
       target     prot opt source               destination
     
       Chain OUTPUT (policy DROP)
       target     prot opt source               destination
       ACCEPT     80   --  anywhere             security.debian.org
       LOG        all  --  anywhere             anywhere           LOG level warning

[ precedente ] [ Contenuti ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ I ] [ successivo ]

Securing Debian Manual

2.96 14 febrero 2004Sabato, 30 Agosto 2003 18:27:45 +0200

Javier Fernández-Sanguino Peña jfs@computer.org
Per la traduzione si veda l'Appendice I