Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 3 subscribers
  • Views 977 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Security considerations in enabling ports

Justin Wheatley
Would anyone like to comment on the security issues involved in going beyond proxies and adding filter rules for ports such as those used by ICQ, Hotmail Messenger, Napster etc.?
In the general case, I have found most services can run happily without a single rule in the filters by using the proxies provided.  However, I think a post or two discussing which ports are used for which of these other services, which are wise and unwise to permit, and what security issues may arise from them, would be most useful to many of us newer users.

Justin.
xxxxxx


This thread was automatically locked due to age.
Parents
  • 0
    A firewall can be used for two purposes:

    1. keep bad guys out
    2. impose rules on internet usage for internal clients

    Part 1 is rather simple, and no problem for any of todays firewalls.

    Part 2 is tricky: you want maximum workflow with a maximum of security.
    However, when you close holes and impose rules, you are crippling services.
    Proxies are the most secure way of allowing services to work. SOCKS is very nice, since it also allows listening. Howevey, client applications have to support it properly.
    NAT comes next, but it has so many disadvantages that it should not be used, if possible.
    Packet Filtering is good for keeping baddies out, but internal clients can tunnel the whole firewall if you allow a single open TCP port.

    Bottom line:

    The more security you have, the bigger the tradeoff in terms of useability.
    Do not apply security for the sake of itself. Always ask "What do i have to protect ?". If it is only your private MP3 collection, I wouldn't bother with a firewall at all. If you are the admin of a bank, things look very different  

    In a high risk environment, services like ICQ mean suicide. For the home user, they are "mostly harmless".

    So, if you open ICQ, you can also open the rest, like Napster or IRC (we talk about outgoing services here).


    /tom
Reply
  • 0
    A firewall can be used for two purposes:

    1. keep bad guys out
    2. impose rules on internet usage for internal clients

    Part 1 is rather simple, and no problem for any of todays firewalls.

    Part 2 is tricky: you want maximum workflow with a maximum of security.
    However, when you close holes and impose rules, you are crippling services.
    Proxies are the most secure way of allowing services to work. SOCKS is very nice, since it also allows listening. Howevey, client applications have to support it properly.
    NAT comes next, but it has so many disadvantages that it should not be used, if possible.
    Packet Filtering is good for keeping baddies out, but internal clients can tunnel the whole firewall if you allow a single open TCP port.

    Bottom line:

    The more security you have, the bigger the tradeoff in terms of useability.
    Do not apply security for the sake of itself. Always ask "What do i have to protect ?". If it is only your private MP3 collection, I wouldn't bother with a firewall at all. If you are the admin of a bank, things look very different  

    In a high risk environment, services like ICQ mean suicide. For the home user, they are "mostly harmless".

    So, if you open ICQ, you can also open the rest, like Napster or IRC (we talk about outgoing services here).


    /tom
Children
No Data
Unfiltered HTML