Ondanks blokkade in firewall toch verkeer in logs?
Auteur: Richard Sikkes,
geplaatst in
Website & Server
op uur.
Artikel is 74 keer gelezen en bevat 0 reactie(s).
Artikel is 74 keer gelezen en bevat 0 reactie(s).
Dat Microsoft een hardleers irritant bedrijf is, weten we al 40 jaar of zo, maar dit spant toch wel echt de kroon, men weet zelfs dwars door de firewall heen te breken, zo lijkt het, dit is dan toch wel een zorgwekkende ontwikkeling en dat vereist toch wel een nader onderzoekje.
Dat onderzoekje heb ik intussen gedaan en mijn conclusie is dat firewalls standaard heel slecht staan afgesteld. Zelfs de ufw firewall die ik gebruik op mijn Linux server. Standaard uit de doos staat alles wagenwijd open, wordt alles geaccepteerd en is alles toegestaan, ofwel dan heeft een firewall totaal geen nut.
Wil je echt een effectieve firewall, dan moet je gewoon alles dichtgooien en alles wat je wel wilt toestaan in de regels vastleggen. Dit zorgt ervoor dat alles wat niet is vermeld standaard geweigerd wordt.
Natuurlijk had ik al alles ingesteld dat alle diensten op de server gewoon toegestaan worden, voor zowel inkomend als uitgaand verkeer, op die manier kun je nu deze website bekijken, want alles op poort 80 en 443 is toegestaan, tenzij je IP adres in een deny regel staat. Maar hierbij moet ik toch de hand ook in eigen boezem steken, ik heb iets over het hoofd gezien, waardoor het effect van die firewall een heel stuk minder is dan eigenlijk de bedoeling was.
Standaard stond het inkomende beleid op deny, het uitgaande verkeer op allow en het routeren op deny, we zijn tenslotte geen router. En juist dat uitgaande verkeer daar wringt de schoen, die moet ook op deny staan en dan werkt de firewall zoals deze zou moeten werken en dan worden ook de IP's geblokkeerd die ik als deny in een regel opneem.
Dit werkt op de hele server, dus ook in MultiSite. In MultiSite kan ik ook IP's blokkeren, maar dat werkt alleen binnen MultiSite zelf, het zou heel mooi zijn als het me lukt om vanuit MultiSite die ufw firewall te voorzien van de IP adressen, zodat de blokkade meteen voor de hele server geldt. Dat moet op een 1 of andere manier wel mogelijk zijn, maar daar ga ik me in het nieuwe jaar eens over buigen.
Voor nu is het even de logs in de gaten houden en kijken of de firewall z'n werk nu wel doet.
Foto's bij dit artikel:
Klik op een foto voor een vergroting.