thảo luận Thảo luận chia sẻ tất tần tật về Firewall

mấy thím cho tôi hỏi khi thằng client nó muốn connect đến 1 server bên ngoài

đầu tiên nó sẽ hỏi dns, sau đó nó gửi yêu cầu bắt tay, lúc này cái firewall của các thím đọc được header về ip,port ( sni thì chưa chắc đọc được vì nó hoàn toàn có thể dựng con server mã hóa sni ở packet hello), sau khi cho nó bắt tay rồi nó mã hóa dữ liệu hết lại rồi mấy thím lấy gì ra để giải mã?

chắc chỉ bắt đc thằng https thôi, trừ phi các thím chơi rắn, kiểu tao ko đọc được payload là tao ko cho chạy qua, còn lại thì lọc kiểu gì với các app nó tự xây dựng kiểu mã hóa riêng để truyền tin
 
alexTVr1 said:
mấy thím cho tôi hỏi khi thằng client nó muốn connect đến 1 server bên ngoài

đầu tiên nó sẽ hỏi dns, sau đó nó gửi yêu cầu bắt tay, lúc này cái firewall của các thím đọc được header về ip,port ( sni thì chưa chắc đọc được vì nó hoàn toàn có thể dựng con server mã hóa sni ở packet hello), sau khi cho nó bắt tay rồi nó mã hóa dữ liệu hết lại rồi mấy thím lấy gì ra để giải mã?

chắc chỉ bắt đc thằng https thôi, trừ phi các thím chơi rắn, kiểu tao ko đọc được payload là tao ko cho chạy qua, còn lại thì lọc kiểu gì với các app nó tự xây dựng kiểu mã hóa riêng để truyền tin
Click to expand...
Nghe nói có list ip với port của phần lớn ứng dụng. Bố cháu chặn theo ip. Cái đáng giá là db về ip kia.
 
alexTVr1 said:
mấy thím cho tôi hỏi khi thằng client nó muốn connect đến 1 server bên ngoài

đầu tiên nó sẽ hỏi dns, sau đó nó gửi yêu cầu bắt tay, lúc này cái firewall của các thím đọc được header về ip,port ( sni thì chưa chắc đọc được vì nó hoàn toàn có thể dựng con server mã hóa sni ở packet hello), sau khi cho nó bắt tay rồi nó mã hóa dữ liệu hết lại rồi mấy thím lấy gì ra để giải mã?

chắc chỉ bắt đc thằng https thôi, trừ phi các thím chơi rắn, kiểu tao ko đọc được payload là tao ko cho chạy qua, còn lại thì lọc kiểu gì với các app nó tự xây dựng kiểu mã hóa riêng để truyền tin
Click to expand...
Nó có db của các ip ứng dụng, db các ứng dụng Nên khi chạy qua firewall ngoài kết nối đến ip nào cổng nào thì nó sẽ hiện tên app lên. Lúc đó người quản trị có quyết định chặn hay không.
 
anhdao1522 said:
Nó có db của các ip ứng dụng, db các ứng dụng Nên khi chạy qua firewall ngoài kết nối đến ip nào cổng nào thì nó sẽ hiện tên app lên. Lúc đó người quản trị có quyết định chặn hay không.
Click to expand...
cách này hơi thủ công nhỉ, nếu nó sài 1 ứng dụng opensource ko có trong db là chịu à
 
alexTVr1 said:
cách này hơi thủ công nhỉ, nếu nó sài 1 ứng dụng opensource ko có trong db là chịu à
Click to expand...
Thì nó phải khai báo với người quản trị để cho nó vào DB, đã chơi FW thì ngay từ ban đầu phải hiểu là chặn tất tần tật rồi, muốn thông cái gì thì phải có lý do. Chuyên nghiệp hơn thì phải yêu cầu bằng ticket, ticket được các bên đánh giá, phê duyệt mới đẩy qua cho quản trị làm.

Nhiều khi bên trụ sở chính nó scan thấy mở port lung tung tìm không ra được port đấy mở bằng ticket nào nó yêu cầu chạn mẹ lại. Các bên ảnh hưởng lại loạn cào cào lên :haha:
 
alexTVr1 said:
cách này hơi thủ công nhỉ, nếu nó sài 1 ứng dụng opensource ko có trong db là chịu à
Click to expand...
Thường là có hết, cái này bọn firewall nó sẽ cập nhật, nếu nó k có nó sẽ lấy sign từ chỗ khác.
Còn rules doanh nghiệp dùng thì muốn dùng cái gì thì phải xin phép, mặc định nó sẽ chặn hết chỉ cho phép các ứng dụng nội bộ của doanh nghiệp.
Dùng firewall trả phí thì db ứng dụng, ips, ip bên cung cấp firewall nó sẽ chịu trách nhiệm update, ăn tiền nó ở chỗ đó.
 
Demo thử cho mn thấy cái traffic nó ntn

1636623216444.png
 
anhdao1522 said:
Thường là có hết, cái này bọn firewall nó sẽ cập nhật, nếu nó k có nó sẽ lấy sign từ chỗ khác.
Còn rules doanh nghiệp dùng thì muốn dùng cái gì thì phải xin phép, mặc định nó sẽ chặn hết chỉ cho phép các ứng dụng nội bộ của doanh nghiệp.
Dùng firewall trả phí thì db ứng dụng, ips, ip bên cung cấp firewall nó sẽ chịu trách nhiệm update, ăn tiền nó ở chỗ đó.
Click to expand...
Nếu làm kiểu này thì dễ quá. Allow port và ip của mình, rồi drop tất cả các thứ còn lại cái này fw nào chả làm được.
Cái ăn tiền của bọn kia là allow hết, chỉ chặn những thứ trong blacklist. Mà list này dạng app, ip và port có thể thay đổi, nên nó mới phải cập nhật liên tục.
 
dembuonmuoican said:
Nếu làm kiểu này thì dễ quá. Allow port và ip của mình, rồi drop tất cả các thứ còn lại cái này fw nào chả làm được.
Cái ăn tiền của bọn kia là allow hết, chỉ chặn những thứ trong blacklist. Mà list này dạng app, ip và port có thể thay đổi, nên nó mới phải cập nhật liên tục.
Click to expand...
Phần này k chuẩn, vì làm được nhưng firewall trả phí thường độ trễ của nó rất thấp tính bằng μs
ví dụ mình dùng fortigate chỉ tầm 1.5 μs.
Còn đám mik cũng có firewall đấy nhưng độ trễ cao và khi nhiều rules thì bị rớt gói.
Nên mà bảo add tay được bn % so với đám NGFW thì k so được. :ah:
Ví dụ DB của FG thì 1600 service, chưa kể mỗi một service nó có hàng chục ngàn IP đến hàng triệu IP thì add tay kiểu gì.
App của nó nhận diện được hơn 2K app.
 
alexTVr1 said:
mấy thím cho tôi hỏi khi thằng client nó muốn connect đến 1 server bên ngoài

đầu tiên nó sẽ hỏi dns, sau đó nó gửi yêu cầu bắt tay, lúc này cái firewall của các thím đọc được header về ip,port ( sni thì chưa chắc đọc được vì nó hoàn toàn có thể dựng con server mã hóa sni ở packet hello), sau khi cho nó bắt tay rồi nó mã hóa dữ liệu hết lại rồi mấy thím lấy gì ra để giải mã?

chắc chỉ bắt đc thằng https thôi, trừ phi các thím chơi rắn, kiểu tao ko đọc được payload là tao ko cho chạy qua, còn lại thì lọc kiểu gì với các app nó tự xây dựng kiểu mã hóa riêng để truyền tin
Click to expand...
Đọc được IP: port thì có thể kiểm tra trong db của hãng hoặc bên thứ 3 như maxmind, spamcop, spamhaus,... bằng API để xem có phải spam, app không mong muốn không? Phải thì chặn thôi.
Thường mình thấy ở cty, mấy ông ý cài quách root cert lên máy LAN rồi. Không chịu cho tao đọc payload chặn luôn :shame:
 
DHD said:
Gửi bạn

View attachment 886811
Click to expand...
Sai rồi, source là bạn muốn từ ip wan nào chứ k chọn all được. chọn all nó sẽ áp dụng cái rules đầu tiên như bạn thấy byte 69GB kìa.
Thứ hai là đây là rules từ lan ra internet, bạn muốn mở port thì phải là từ wan to lan nhé. :after_boom:
 
anhdao1522 said:
Sai rồi, source là bạn muốn từ ip wan nào chứ k chọn all được. chọn all nó sẽ áp dụng cái rules đầu tiên như bạn thấy byte 69GB kìa.
Thứ hai là đây là rules từ lan ra internet, bạn muốn mở port thì phải là từ wan to lan nhé. :after_boom:
Click to expand...

Mình làm cả 2 rule theo 2 chiều nhưng vẫn không được.
Còn có khả năng tắc ở đâu nữa không nhỉ?
 
Giả sử mình lắp firewall, và muốn decrypt https traffic. Vấn đề là mấy thiết bị như lg smart tv hay android tv k có cách nào để cài cert vào cả. Vậy là tụi nó mất net luôn hả các thím?
 
hx70f said:
Giả sử mình lắp firewall, và muốn decrypt https traffic. Vấn đề là mấy thiết bị như lg smart tv hay android tv k có cách nào để cài cert vào cả. Vậy là tụi nó mất net luôn hả các thím?
Click to expand...
chỉ những trang nào bị cấm thì nó hiện báo lỗi ssl thôi, trang cho phép thì vẫn vào bt.
 

Similar threads

Chuotdong2008
thảo luận Test thử ram trên Ryzen 5 7600X: Chia sẻ kinh nghiệm, thảo luận, chém gió...
2 3
Replies
49
Views
2K
Chuotdong2008
Chuotdong2008
InfoQ VN
kiến thức Khám phá tất tần tật về khảo sát online
Replies
0
Views
232
InfoQ VN
InfoQ VN
Build Back Better
Facebook IRL ra mắt tại TP.HCM, thu hút người dùng trẻ trên mạng xã hội
Replies
18
Views
2K
yeubon
yeubon
Build Back Better
  • Locked
Bỡn cợt cô giáo lớn tuổi trên TikTok, giới trẻ đang làm gì vậy?
6 7 8
Replies
154
Views
11K
Wind.G
Wind.G
K
tin tức POCO F6 Series chính thức ra mắt toàn cầu cùng chiếc máy tính bảng POCO đầu tiên
2
Replies
31
Views
2K
L.V.Gaal
L.V.Gaal

Share this page

Back
Top