Security Professionals - ipfw add deny all from eindgebruikers to any

Poortbeheer welke?

08-06-2016, 16:22 door Anoniem, 15 reacties
Vragen over poortbeheer naar aanleiding van het nieuws de laatste tijd. *

A) Welke poorten voor uitgaand verkeerd heb jij nog wel openstaan?

[1] Alles
[2] Alleen de noodzakelijke, namelijk de poorten ..., ... ,...
[3] Geen idee
[4] Niets
[5] Mijn systeem heeft geen extra poortbeheer nodig, alles gaat vanzelf
[6] Mijn provider regelt dat wel


B) Welke poorten voor inkomend verkeer heb jij nog wel openstaan?

[1] Alles
[2] Alleen de noodzakelijke, namelijk de poorten ..., ... ,...
[3] Geen idee
[4] Niets
[5] Mijn systeem heeft geen extra poortbeheer nodig, alles gaat vanzelf
[6] Mijn provider regelt dat wel


C) Met welk programma voor welk OS heb jij goede ervaringen en zou jij aanraden voor poortbeheer?


D) Waarom is extra poortbeheer aan te raden of juist af te raden?


Goet,
Port zero


* T.b.v. een inhoudelijke zinnige educatieve security discussie.
Reacties (15)
08-06-2016, 18:36 door karma4
Bedoel je voor de thuissiuatie of voor de serieuze bedrijfsomgevingen met big data toepassingen.
Naast de vraag over poorten services demons ben je ook geïnteresseerd in welke data door de gebruiker benaderd moet kunnen worden? Je zult in big data bi omgevingen de discussie krijgen dat een shell (poort 23) verboden ze is terwijl de dat op een andere manier weliswaar beperkt wel benaderd wordt.
Ik maak me zorgen over de bedrijsmatige omgevingen.
08-06-2016, 18:49 door Anoniem
Het lijkt wel een vragenlijstje ivm een schoolopdracht. :)
Zonder enige informatie waarom je dit vraagt. Ivm nieuws laatste tijd ?
Welk nieuws specifiek ?
Wat was jouw reactie op dat nieuws ?
1. Geschrokken, gelijk gecheckt of de poort van de achtertuin dicht zat.
2. Als er aan de poort wordt gerammeld hoor ik het toch wel.
3. Mijn huisbaas houdt de poort in de gaten.
4. Ik heb een bordje met de tekst : geen toegang voor onbevoegden.

Wat heb jezelf opgezocht/gevonden op internet. ?
08-06-2016, 19:35 door [Account Verwijderd]
[Verwijderd]
08-06-2016, 20:00 door Anoniem
In principe als je het echt goed wil doen gooi je alle poorten dicht en open je alleen de poorten die je daadwerkelijk nodig hebt.
08-06-2016, 20:41 door mcb - Bijgewerkt: 08-06-2016, 20:47
Thuissituatie:

Uitgaand: Alles.
De firewall op mijn pc's regelt op applicatieniveau of iets naar buiten mag en onder welke voorwaarden (en of het automatisch mag of alleen na handmatige bevestiging).

Inkomend: Enkele poorten.
T.b.v. gaming. Host af en toe online games voor vrienden.

Firewall: Comodo (runt op win10). <<-- nee, ik heb geen last van win10 telemetry, wordt volledig geblokkeerd.
Rules voor applicaties zodat ze:
- naar buiten mogen (bepaalde poorten of soms ook bepaalde ipranges);
- alleen op lokale netwerk mogen (inkomend en/of uitgaand);
- helemaal geen netwerk toegang krijgen.
Bij iedere applicatie zonder rules (of verkeer dat niet voldoet aan een rule) komt popup of netwerkverkeer is toegestraan.

[offtopic (beetje)]
Daarnaast heb ik een aparte server draaien dat o.a. dienst doet als DNS, DHCP en WSUS server.
Wat betreft DNS een hele berg domeinen gesinkholed.

Via DHCP geregeld o.a. welke devices het internet op kunnen (d.w.z. een default gateway opgegeven krijgen).

Via WSUS installeer ik windows- en office updates.
Voordeel:
- bepaal zelf welke updates worden uitgerold en wanneer (d.w.z. nadat ze zijn approved in wsus);
- hoef alles slechts 1 keer te downloaden;
- bij wipe/reinstall duren update installs geen uren omdat ik alle updates al lokaal heb staan;
- geen enkele ms executable hoeft nog naar buiten. Met name svchost.exe dat voor meer wordt gebruikt dan windows updates.
[/offtopic]

(edit: typos)
09-06-2016, 09:01 door BaseMent
Voor uitgaand? Niets want mijn router doet dynamische NAT.
Inkomend. 3 Poorten voor mijn mailserver waarvan de 2 die ik ik zelf kan instellen op een ander portnummer gezet zijn en ssh. Ook op een ander poortnummer. Heerlijk stil in de logging van mijn linux machine.
Ohja, en een poort voor mijn satellietontvanger, ook een alternatief portnummer.
09-06-2016, 11:53 door Anoniem
Thuis heb ik een Sophos XG UTM met gratis Home licentie, mijn eigen netwerkje is dus fysiek gescheiden van het boze internet.
In principe is alles van buiten naar binnen dicht, m.u.v. enkele poorten die ik forward naar intern. Op deze forwards (eigenlijk "Business Applications" genoemd op de firewall) zit weer controle zodat er niet veel slecht verkeer doorheen komt (IPS).

Groet,
Port zero
09-06-2016, 16:23 door Anoniem
Tja, port beheer. Alles wat via TCP/80 gaat, dat is betrouwbaar en toegestaan ? ;)
09-06-2016, 18:52 door Anoniem
ABUSE

'Felicitaties' voor de poster
"Vandaag, 11:53 door Anoniem"
je doet je met succes voor als de topic starter door te ondertekenen met
"Groet,
Port zero"

Helaas,
helaas ben je de topic starter niet
en helaas wordt met een abuse melding onder opgave van data waaruit vastgesteld kon worden dat ik wèl de echte topic starter ben niets gedaan.

Gefeliciteerd dus met je geklier want nu kan het topic lekker off topic.
Felicitaties ook aan moderatie die dit toelaten ondanks een beleefde uitgebreide toelichting bij de abuse melding dit soort onnodig geklier niet te tolereren / toe te staan.

Ik laat hierbij het topic voor wat het is
Met 'dank' aan

" Vandaag, 11:53 door Anoniem "
" Redactie / Moderator "


Anonieme groet van
de èchte topic starter


P.s. : Was er wel terecht opgetreden tegen dit soort onnodig getroll, dan had ik de volgende tip voor jullie gehad:

Bewaar als anonieme poster van een betreffend forum topic wat data rondom je anonieme posting.
Bijvoorbeeld de captcha code die je invulde voor het posten/het ip-adres vanwaar je postte/ de browsersoort/ .. opdat de redactie/moderator data heeft om te beoordelen dat jij daadwerkelijk de poster bent/was.
Andere mogelijke klieren hebben die data immers niet.

Helaas maakt het niets uit want er wordt niets mee gedaan door moderatie waardoor kliertjes dus op deze wijze een aanmoedigingsprijs krijgen om lekker door te gaan en serieuzere posters meer en meer deze site gaan verlaten.

Einde off & on-topic.
.
10-06-2016, 08:44 door Anoniem
Kies voor een ISP die wel VPN (IPSEC) en FON op hun router leveren en jou daarbij kunnen helpen om er gebruik van te maken.
Heb ik ook overwogen. Ik weet, dat XS4ALL die service levert. Denk alleen, dat daar nu te weinig tijd voor is, om van provider te wisselen. En XS4ALL is een stuk duurder dan mijn huidige abbo en heeft niet het door mij gewenste pakket. Ik doe aan risicospreiding en neem bij diverse instanties maar 1 dienst af.
Ik weet ook, dat een lidmaatschap van de HCC eenzelfde optie biedt. Dan kan ik tunnelen via hun routers. Maar ik vind het leuk, om juist zelf zoiets op te zetten.
En ga genieten van je vakantie!
Dank U, ga ik zeker doen. En als ik straks op een terras een biertje pak, zal ik zeker aan jullie denken en op jullie gezondheid proosten!

Groet,
Port Zero
10-06-2016, 17:24 door Anoniem
Abuse #2
(omdat de abuse button gebruiken kennelijk geen zin heeft)

Wederom een troll reactie
Vandaag, 08:44 door Anoniem : Kies voor een ISP die wel VPN (IPSEC) en FON op hun router leveren en jou daarbij kunnen helpen om er gebruik van te maken.
Heb ik ook overwogen. Ik weet, dat XS4ALL die service levert. Denk alleen, dat daar nu te weinig tijd voor is, om van provider te wisselen. En XS4ALL is een stuk duurder dan mijn huidige abbo en heeft niet het door mij gewenste pakket. Ik doe aan risicospreiding en neem bij diverse instanties maar 1 dienst af.
Ik weet ook, dat een lidmaatschap van de HCC eenzelfde optie biedt. Dan kan ik tunnelen via hun routers. Maar ik vind het leuk, om juist zelf zoiets op te zetten.
En ga genieten van je vakantie!
Dank U, ga ik zeker doen. En als ik straks op een terras een biertje pak, zal ik zeker aan jullie denken en op jullie gezondheid proosten!

Groet,
Port Zero

1) Dit is wederom niet een reactie van de topic starter, dat ben ik namelijk.
2) Betreffende tekst is niet alleen voor een ander topic bedoeld, de tekst is op delen letterlijk overgenomen van een reactie van Woopie.

https://www.security.nl/posting/473501#posting473573
Anoniem 07-06-2016 14:16
Kies voor een ISP die wel VPN (IPSEC) en FON op hun router leveren en jou daarbij kunnen helpen om er gebruik van te maken.
Heb ik ook overwogen. Ik weet, dat XS4ALL die service levert. Denk alleen, dat daar nu te weinig tijd voor is, om van provider te wisselen. En XS4ALL is een stuk duurder dan mijn huidige abbo en heeft niet het door mij gewenste pakket. Ik doe aan risicospreiding en neem bij diverse instanties maar 1 dienst af.
Ik weet ook, dat een lidmaatschap van de HCC eenzelfde optie biedt. Dan kan ik tunnelen via hun routers. Maar ik vind het leuk, om juist zelf zoiets op te zetten.
En ga genieten van je vakantie!
Dank U, ga ik zeker doen. En als ik straks op een terras een biertje pak, zal ik zeker aan jullie denken en op jullie gezondheid proosten!

3) Dit is sinds kort elders ook al aan de gang.
Zie deze gelockte posting vermoedelijk omwille van hetzelfde geklier.

https://www.security.nl/posting/472323#posting472643
Jammer, ik ben het daar in niet met je eens.

Goeroehoedjes

Trollig hoor, om valsheid in geschrifte te plegen (wie het ook zij)
Redactie en anderen: TROLALERT!!!

De enige echte Goeroehoedjes

Waarom is dit geklier jammer?
Het is jammer omdat hiermee het enigszins opgebouwde vertrouwens model rondom anoniem reageren onderuit gehaald wordt en de etiquette die daarbij een beetje was opgebouwd (namelijk dat het prettig is wanneer in een forum discussie de topic starter en andere meermaals reagerende anoniemen mee discussieren dat kenbaar maken in zijn/haar reacties zodat voor anderen duidelijk is welke zijn/haar reacties betreffen) effectief wordt getorpedeerd.

Met het niet optreden naar aanleiding van gemotiveerde klachten daaromtrent is het feitelijke failliet van dit anonieme reactie model bekrachtigd.
In ieder geval geweldige credits voor de enkele troll die niets beters te doen heeft dan te lopen stoorzenderen en wordt beloond.


Principiële groet,
van de enige èchte topic starter van dit topic
10-06-2016, 22:50 door [Account Verwijderd]
[Verwijderd]
12-06-2016, 22:05 door Anoniem
De enige poorten die open moeten zijn 80 en 442.
21 etc. zijn levengevaarlijk vandaag de dag :/

Groet,
Port Zero
14-06-2016, 18:03 door Anoniem
Tsja de vraag "welke uitgaande poorten open staan" is denk ik een verkeerde. Als je wilt dat internet bereikbaar is dan zal je op een of andere manier IP verkeer moeten toestaan naar internet. Aangezien TCP 25, UDP 53, TCP 80 en TCP 443 het meest gebruikt worden lijkt het mij logisch om die toe te staan. Dus antwoord 2 heeft de voorkeur, maarrrrrrrrr Malware virussen en ander ongewenst spul maakt juist gebruik van die poorten.
Dus zal je een of systeem willen hebben dat het verkeer op die poorten scant op ongeregeldheden.
Toevallig hebben wij goede ervaringen met een aantal Enterprise oplossingen, maar ja om die thuis te willen toepassen moet diep in de buidel tasten. Een aardige oplossing biedt Sophos UTM software deze is voor thuis gebruik gratis beschikbaar.

Succes met het dilemma "to internet or not to internet".
15-06-2016, 08:20 door Fwiffo
@Anoniem 18:03: Bij XS4All kan je de 'poortbeveiliging' aanzetten. Op niveau 3 worden alle SMTP servers (poort 25) geblokkeerd, behalve die van XS4All en op niveau 4 ook alle DNS servers (poort 53). Het mooie is dat dit plaatsvindt op de servers van XS4All, dus zonder hoofdaccount is dit (door malware) niet uit te schakelen.

Verder heb ik op het modem alles inkomend uitgeschakeld en UPnP op het modem ook. Daar komt malware ook niet op zonder het wachtwoord op het modem (20+ tekens Alphanummeriek). Dus stiekem met een trojan luisteren naar instructies vanaf het internet gaat niet gebeuren :-)

Niet dat er zo niets mis kan gaan, maar alle beetjes helpen. En door de poortbeveiliging is de impact van malware minder mocht het toch mis gaan. Ook is mijn internet aansluiting zo minder interessant voor internet criminelen. Laaghangend fruit enzo..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.