From: Serdar KOYLU (serdarkoylu@yahoo.com)
Date: Sat 07 Jul 2001 - 18:15:24 EEST
--- Berk Demir <berk@linux.org.tr> wrote:
>
>
>
> Nilgün Belma Bugüner wrote:
> >
> > Selam,
> >
> > Serdar Köylü 53 porta tcp izni ver diyorsa vermek lazım :-)
> > Listeye eklendi.
> > Neyse ki başka kusur bulmadı :-)
> >
>
> Asagidaki kurallarda, eger gozumden kacmiyor ise, UDP protokolu ile
> paketlerin makineye local interface harici baska bir aygittan girisi
> engelleniyor.
>
> Benim bildigim ev kullanicilari ICQ, AIM, Yahoo Messenger
> gibi instant messenger'lar kullaniyorlar :-). Bu IM'ler, mesaj ve
> sunucu ile iletisim icin UDP protokolunu kullaniyorlar.
>
> Bu durumda asagidaki kurallar ile bir cok IM'e baglanmak
> mumkun olmayacaktir.
Bu dogru. Daha baska UDP kullanan bazi Java Oyun/chat siteleri var.
Onlara da baglanti gidecek.
> Bir revizyona daha ihitiyaci var gibi.
"Belki ?" diyebilirim. Tercih bu yonde olabilir. DNS'i yasaklamak cok
kotu sonuclar dogurabilir. Fakat UDP'yi yasaklamak sadece bazi
servisleri etkiler. DNS sanki acik gibi gorunuyordu ilk basta. Bu
nedenle coklari olusacak hatanin firewall'den kaynaklandigini
kavrayamayabilir, liste arsivlerimizi baya bir sisirebilirdi. Oysa cok
yaygin olmayan servisleri kapatmak hemen firewall'i akla getirirdi.
Buda bir tercih meselesidir. Ama bunu farkettigimde, en azindan
hatirlatma yazip, bunu yapmak icin su duzenlemeleri yapmak gerekir
demem gerekirdi.. Ne yapalim, kalin kafamiz bu kadarcik calisiyor...
Zaten bence boyle koruma cabalari gereksiz emek. Client iseniz,
/init.d/*, inetd vs.den servisleri iptal edersiniz. Ping ile
gelebilecek bir crack girisimi zaten olmaz. ICMP'yi bloke etmek te
gereksiz. Smurf vs. yerseniz zaten sadece oturup seyredebilirsiniz,
elinizden bir sey gelmez. Boyle zincirleri uzatmak ancak CPU yukunu
artirir boyle bir uygulamada. Belki binde bir ama, gene artirir.
Serverlerde, uyusa bile, bir server kernelin is yukunu artirir. Windows
olsa makineniz, hani 139. Porta bir zorlama komut gelirde sizi cokertir
deriz. Windows gibi trojan vs. dolu olan bir environment
kullanirsinizda, boyle tum kapilari kapatmaya calisirsiniz. Evde
Dial-up kullanim icin bu tur guvenlik onlemleri gereksiz diyorum
tekrar. Gerekli olan, sizi firewall olsa bile zora sokabilecek olan
serverleri kapatmak. Bu yeterli. Birde bir kac periyodik kontrol,
kabaca bir "Bu nedir, bu nerden cikmis" diyebileceginiz bir ps -aux ve
netstat -a size yeter.
Benim makinemde boyle hic bir sey yok. Bunu en guzel firewall'in tanimi
aciklar: "Aglari birbirinden yalitmak". Sizin tarafinizda bir ag yokki
yalitasiniz. Yok WS makinenizi gidip bir server apartmanina
cevirmisseniz, o zaman zaten onun adi bir server olur, server-specific
firewall ve intrusion onlemleri gerekir ki, bu script cok yetersiz
kalir.
Ama, boyle bir kac kural yazip ati saglam kaziga baglayalim
diyebilirsiniz. En azindan ortada at olmadigi icin yulari simdiden
kaziga baglamis olursunuz.
Genede konu guvenlik olunca, sizi rahat ettiriyorsa kullanin. Bunu
yapmadiginiz zaman tedirgin oluyorsaniz ona bir sey diyemem. Bu tur
calisma insani disiplin altinda tutar. Boyle bir faydasi olur. Ben, kis
nedeniyle helikopterle bile ulasilamayan dag basinda bir mevzide, kac
saat nobet tuttugumu hatirlarim. Cunku su uyur dusman uyumazmis. Eger
uyumaya bir alisirsaniz, yarin her yerde uyursunuz. Olaya bu acidan
bakinca mantikli bir cevap "dilerseniz kurun, faydali olmasada, zarari
yok, iciniz rahat olur" anlamina gelir. Zaten tecrubeniz artinca nasil
bir guvenlik plani yapacaginizi, en iyi olacak sekilde kendiniz tespit
edersiniz.
Saygi ve sevgiler..
__________________________________________________
Do You Yahoo!?
Get personalized email addresses from Yahoo! Mail
http://personal.mail.yahoo.com/
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------