Re: Welche Firewall bzw. Paketfilter verwenden

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Tue, 30 Jan 2007 14:55:22 +0100 (CET)

Michaela Susan Buesing wrote:
> Bernd Schwendele wrote:
> > Die anderen Dienste [...] muss ich noch ausschalten, z.B. sendmail,
> > syslogd usw.
>
> Wieso denn syslogd? Dann steht man im Fehlerfall doch ohne Logs da...

Vermutlich meint er nur, ihn nach aussen abzuschalten (per
Optionen -s, -b oder -a, je nachdem, was man braucht).
Ganz ausschalten würde ich den syslogd keinesfalls.

Ebenso sendmail: Zumindest den submission-Daemon sollte
man laufen lassen (der lauscht dann nur auf localhost),
damit zumindest lokale Mails von Cronjobs u.ä. funktio-
nieren.

> > Nur dachte ich, ich könnte mal noch was dazu lernen und eine einfache FW
> > aufsetzen, es sei denn es stellt sich als Nachteil heraus.
>
> Ein weiterer Nachteil einer FW ist halt dass fuer jede neue Anwendung
> die von aussen zugaenglich sein sollte (und da gibt es auch fuer die
> 'Nur-Anwender' so einiges, z.B. Jabber-Filetransfers, P2P-Clients, etc.)
> von Hand ein neues Loch in die Regeln bohren muss.

Also, bei meinem Privatnetz daheim sind nur ganz wenige
Sachen von aussen freigegeben (im wesentlichen ssh, ping,
traceroute, dns, ntp -- die letzten zwei nicht stateful,
daher lasse ich sie von aussen ausdrücklich zu). Und
daran hat sich seit Ewigkeiten nichts geändert. Es ist
nicht so, dass man jede Woche eine neue Regel hinzufügen
muss. (Und selbst wenn man das müsste, wäre das kein
Beinbruch.)

> > Allerdings lassen sich DOS-Attaken ohne FW afaik nicht ganz abfangen.
>
> Das stimmt schon. Und auch eine FW macht es nur schwerer. ;)

Das kommt ganz auf die Art der Attacke an. Manche kann
man ganz gut abblocken oder gar abschwächen. Andererseits
kann ein Paketfilter gewisse Arten von Angriffen sogar
erleichtern, wenn man nicht aufpasst. Und wenn jemand
Deinen Downstream dichtmacht, hast Du in jedem Fall
schlechte Karten, Paketfilter hin oder her.

> Aber diese Ueberlegung ist bei einem Desktop-PC wohl auch nicht so
> wichtig. - Ebenso wenig wie bei einem politisch und kommerziell unver-
> daechtigen Webserver. :)

Naja, so einfach ist das nicht, da gibt es viele Aspekte
zu berücksichtigen. Angreifer können viele Unterschied-
liche Beweggründe haben. Einige wollen sich einfach nur
austoben und/oder möglichst viel Schaden anrichten, und
denen ist es relativ egal, was da auf dem Webserver ist.
Es gibt (illegale) Veranstaltungen, wo derjenige einen
Preis gewinnt, der in eienr bestimmten Zeit die meisten
Server hackt -- da ist man sicher nicht wählerisch.

Wiederum andere "Cracker" suchen nach Plattformen, von
denen aus sie weitere, interessantere Rechner angreifen
können, um ihre Spuren zu verwischen. Was ursprünglich
auf dieser Plattform läuft, ist denen vollkommen egal,
sie sind nur Mittel zum Zweck. Ein Spezialfall davon
sind Crawler, die nach verwundbaren Systemen suchen, um
sie in Botnets zu integrieren, um Spam zu versenden oder
DDoS-Angriffe zu organisieren.

Typische Exploit-Skripte u.ä., die von Skript-Kiddies
hergenommen werden, scannen einfach blind und ungezielt
irgendwelche Netze (bevorzugt Provider, Uni-Pools, Hoster,
Rootserver-Vermieter usw.) nach bestimmten Ports. Für
einen Web-Exploit halt Port 80, für einen ssh-Exploit
Port 22, usw. Finden sie einen offenen Port, lassen sie
ihren Exploit darauf los. Die gucken nicht, was auf dem
Webserevr drauf ist. Die gucken meistens nichtmal auf
den Versions-String des Servers, selbst nachweislich
unverwundbare Serverversionen bekommen den Mist ab.
Ich sehe z.B. täglich die phpbb-Exploit-Versuche in den
Logs, obwohl PHP gar nicht installiert ist.

Also, langer Rede kurzer Sinn: Die Sicherheitsbedürftig-
keit eines Webservers sollte man nicht am Content fest-
machen.

Das Argument, das jemand anderer (ich glaube Bernd) in
diesem Thread brachte, halte ich auch für sinnvoll: Wenn
man einen Paketfilter installiert hat, kann man nötigen-
falls mal schnell eine IP-Adresse sperren, falls da jemand
Blödsinn treibt. Und früher, als der Opera noch Zwangs-
Werbung eingebaut hatte, habe ich per IPFW die Adresse
gesperrt, von der er seine Werbebanner geladen hat. ;-)
Schnell und effektiv.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606, USt-Id: DE204219783
Any opinions expressed in this message are personal to the author and may
not necessarily reflect the opinions of secnetix GmbH & Co KG in any way.
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"Python is an experiment in how much freedom programmers need.
Too much freedom and nobody can read another's code; too little
and expressiveness is endangered."
        -- Guido van Rossum
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 30 Jan 2007 - 14:57:22 CET

search this site