2012-02-14

Firewall зөв тохируулах талаар хэдэн өгүүлбэр

Хэдэн жилийн өмнө Firewall гэж юу болох талаар энгийн үгээр бичих гэж оролдсоныг маань Галт хэрэмийн талаар... бичвэрээс минь уншиж болно. Харин энэ удаад үүнийг тохируулахдаа юу анхаарах, хэрхэн зөв хийх талаар өөрийн туршлага, бодлоосоо хуваалцахыг хүссэн юм. Энд таныг IP хаяг, порт, TCP/IP протолын талаар анхан шатны мэдлэгтэй гэж үзэх болно.


Товчхондоо, бид Firewall ашиглан IP холболтыг хүлээн авах эсвэл хаах зохицуулалтыг хийдэг. Гэхдээ үүнийг хийхэд ашигладаг хоёр зарчим байдаг нь бүгдийг нээгээд шаардлагатайг хаах болон бүгдийг хаагаад шаардлагатайг нээх юм. Үүнийг policy буюу бодлого гэж нэрлэнэ. Эхний тохиолдолд тухайлан хаагаагүй л бол бүх холболтыг зөвшөөрнө гэсэн үг. Энэ үед зөвхөн порт дээр 64 мянга гаруй сонголт, TCP болон UDP гэж нарийвчилбал 128 мянга гаруй сонголт бий болж байгаа бөгөөд IP хаягийг нэмбэл хааж болох сонголтын тоо хязгааргүйн зүг талийж өгнө. Тэр хэрээр ямар нэг холболт зөвшөөрөх боломж нээгдэж байгаа тул үүнийг ашиглахаас аль болох татгалзах хэрэгтэй.

Аюулгүй байдлын мэргэжилтнүүд бүгдийг хаагаад шаардлагатайг нээх бодлогыг ашиглахыг зөвлөдөг. Энэ үед өөрийн шаардлагатай, аюулгүй гэж бодсон цөөн хэдэн нөхцлийг зөвшөөрөх бөгөөд бусад нь бүгд хаагдах юм. Ажиллагаа багатай, хамгаалалт хавигүй илүү энэ арга нь ямар нэг шинэ аюул, эрсдлээс шууд хамгаалж байдгаараа өмнөх аргаас давуу талтай. Харин нээхдээ аль болох маш нарийн, нэг бүрчлэн нээх хэрэгтэй. Өөрөөр хэлбэл 21, 22, 23 гэсэн тус тусдаа үйлчилгээний TCP портууд нээх бол тус бүр дээр нь нээж өгөх ба заавал TCP гэж зааж өгөх хэрэгтэй. Залхуурч бөөнөөр нь нээвэл тэр хэрээр эрсдэл нэмэгдэж байгаа гэдгийг анхаарах хэрэгтэй.

Сүүлийн тохиолдолд заавал нээх ёстой хэд хэдэн зүйл бий. 53/UDP ба 53/TCP портууд нь DNS зөв ажиллахад ашиглагддаг тул интернэт хэрэглэх гэж байгаа бол заавал нээх хэрэгтэй. 80/TCP болон 443/TCP нь вэб үзэхэд ашигладана, 110/TCP, 143/TCP, 993/TCP, 995/TCP нь Outlook, Thunderbird дээр цахим шуудан шалгахад ашиглагдана, сүүлийн үед цахим захидал илгээхэд 587/TCP ашиглах болсон тул нээхэд илүүдэхгүй. За тэгээд 21/TCP - FTP, 22/TCP - SSH, 23/TCP - Telnet гээд энэ жагсаалт нэлээн үргэлжлэх тул дурын юникс төрлийн системийн /etc/services файл дотроос дэлгэрэнгүй үзэж болно. Харин 25/TCP портыг нээхгүй эсвэл нээсэн ч цөөн тооны IP хаяг руу нээх нь зөв юм, эс бөгөөд танай сүлжээн дахь вирустай тооцоолуурууд (компьютер) гадагш маш их СПАМ цацна шүү.

Бүгдийг нээчихээд суухад биед амар юм шиг боловч дараа гарч болох уршиг ихтэй, бүгдийг хаагаад шаардлагатайг нээх нь эхэндээ ажиллагаатай боловч дараа нь биед амар. Би дандаа сүүлийнхийг сонгодог, бусад мэргэжилтнүүд ч ингэж зөвлөдөг. Таны ч бас сонголт байх болно гэдэгт итгэлтэй байна.

3 comments:

busykid said...

25-g tsuun toonii IP-ruu neeh hrregtei gelee. uuniig sain oilgosongui. hamt ajilladag nuhduud uursdiin mailees duriin hereglegchruu bichihiig ni haana gesen ug u? bichih shaardlagatai bolvol huleen avah hunii mail hayag yamar IP deer bgaag yaaj medeh bile?

Dulmandakh Sukhbaatar said...

Захидал илгээхийн тулд аль нэг сервер рүү холбогддож түүнийг дамжуулдаг, үүний дараа тухайн сервер нь цааш дамжуулах ажлыг хариуцдаг. 25-г нээхдээ цөөн тооны серверийн IP хаяг руу л нээх хэрэгтэй, тэдгээр нь цааш дамжуулах ёстой гэсэн санаа.

Эс бөгөөс сүлжээнээс хаа хамаагүй серверүүд рүү маш их СПАМ шиднэ дээ.

tuvi said...

bayarlallaa...