Inbound og Outbound Services

Det er næsten de outbound services der er vigtigst og det må jeg hellere forklare.

De fleste hacks foregåe ikke ved at man hacker ind, men ved at man med lovlig trafik får dine maskiner til at hacke ud. Et tpisk gammlt hack foregår med IPP (Internet Printing servics) der tilslutter sig til en web server på port 80 og giver den en crafted f orespørgsel med et buffer overflow der får web serveren til at forbinde ud.

Hvis du i dine firewall regler har sat at din web server ikke selv skal kunne forbinde sig ud, men kun svare på forespørgsler der kommer udefra, så vil et sådant hack ikke lykkedes. IPP hacker er kun et blandt mange.

Det du bl.a. skal stoppe outbound er ting som

Skal din web server kunne browse, hente mail, overføre filer via ftp? Nej selvfølgelig ikke og heller ikke dine andre servere, alt dette foregår kun fra klienterne, der så tilgengæld ikke skal kunne svare på forespørgsler udefra.

Hvad med port 56? her skal serveren kunne gå ud og lave dns opslag, men der bør kun kunne gå id til de to servere vi har som dns servere, ikke f.-eks. til min server eller en andens

mange tak kim