Liebe Firewall-Freunde...

Rund um die Sicherheit des Systems und die Applikationen
User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Liebe Firewall-Freunde...

Post by daemotron » 2007-06-11 11:57

mich amüsiert es immer wieder, wie hier über den Sinn eines (iptables)-Paketdroppers philosophiert wird. Wer's immer noch nicht glaubt, dass es nicht nur nutzlos, sondern auch gefährlich sein kann, möge doch mal einen Blick in's aktuelle Kernel-Changelog werfen...

Mit freundlichem Grins
Jesco
- der sich immer noch weigert, eine Feuerwand auf seinem Rootserver zu haben

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Liebe Firewall-Freunde...

Post by captaincrunch » 2007-06-11 12:06

Auch wenn ich dir grundsätzlich zustimme würde ich behaupten, dass die allerwenigsten hier in diesem speziellen Fall überhaupt betroffen wären:
When creating a new connection by sending an unknown chunk type, we
don't transition to a valid state, causing a NULL pointer dereference in
sctp_packet when accessing sctp_timeouts[SCTP_CONNTRACK_NONE].
;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

r. u. serious
RSAC
Posts: 93
Joined: 2006-06-10 14:17

Re: Liebe Firewall-Freunde...

Post by r. u. serious » 2007-06-11 12:32

jfreund wrote:Wer's immer noch nicht glaubt, dass es nicht nur nutzlos, sondern auch gefährlich sein kann
Nutzlos. Ein Dreamcatcher über dem Server aufzuhängen ist nutzlos. Anti-Elektrosmok-Kristalle sind nutzlos.

Ein Paketfilter (auf dem System installiert das es schützen soll) hat lediglich eine schlechte Kosten-/Nutzenrelation.
[/pedantisch]

Matthias Diehl
Posts: 315
Joined: 2002-09-24 13:26

Re: Liebe Firewall-Freunde...

Post by Matthias Diehl » 2007-06-11 13:39

Eine Firewall ist genauso nutzlos wie ein Schloß für das Diskettenlaufwerk bei einem Server im Rechenzentrum. Ich kann mir mindestens genauso viele Fälle konstruieren in der mir das hilft wie eine Firewall.
Was hilft denn eine Firewall gegen Rechnerübernahmen durch Schwachstellen in FTP-Programmen oder Lücken in phpBB oder Joomla? Genau so viel wie der Dreamweaver oder der Elekrosmogkristall ;)
Ich finde es gefährlich zu behaupten eine Firewall würde die Sicherheit eines Rootservers erhöhen. Bestes Beispiel dafür sind doch immer wieder die Meldungen über Exploits in z.B. Joomla und dann Sätze wie: "Aber ein Experte hat mir doch die Suse Firewall perfekt eingestellt".
Und dann sollte man mal schauen durch welche Bugs die Server angegriffen werden und in wie vielen Fällen eine Firewall geholfen hätte. Das ist sehr ernüchternd.

codc
Posts: 97
Joined: 2004-01-08 02:55
Location: Tübingen

Re: Liebe Firewall-Freunde...

Post by codc » 2007-06-11 14:11

iptables kann durchaus nützlich sein auch auf einem DS. fail2ban bedient sich dessen und hält ziemlich zuverlässig die Logs sauber.

Ansonsten sehe ich aber auch kein Bedürfniss für eine Firewall auf einem Server.

sledge0303
RSAC
Posts: 767
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Liebe Firewall-Freunde...

Post by sledge0303 » 2007-06-11 14:16

Am schönsten ist es wenn man eine Firewall 'installiert', schnell irgendwelche Eintragungen vornimmt um anschließend ernüchternd festzustellen sich selbst ausgesperrt zu haben...

SCNR

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Liebe Firewall-Freunde...

Post by captaincrunch » 2007-06-11 14:17

Oh, wo wir gerade bei wirklich unnützen Dingen sind:
Gegen fail2ban, DenyHosts und Co. wettere ich ja seit längerem gerne, seit kurzem ist der Self-DOS allerdings amtlich. Empfehlenswerte Lektüre: http://www.ossec.net/en/attacking-loganalysis.html
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Liebe Firewall-Freunde...

Post by rootsvr » 2007-06-11 14:48

CaptainCrunch wrote:Oh, wo wir gerade bei wirklich unnützen Dingen sind:
Gegen fail2ban, DenyHosts und Co. wettere ich ja seit längerem gerne, seit kurzem ist der Self-DOS allerdings amtlich. Empfehlenswerte Lektüre: http://www.ossec.net/en/attacking-loganalysis.html
Genial..

vielleicht sollte man das mal ausprobieren.

elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: Liebe Firewall-Freunde...

Post by elch_mg » 2007-06-11 15:02

Code: Select all

nc 123.123.123.123 22 < /dev/urandom
oder so ähnlich? ;)

juergen
Posts: 133
Joined: 2004-03-30 14:44

Re: Liebe Firewall-Freunde...

Post by juergen » 2007-06-11 18:30

jfreund wrote:mich amüsiert es immer wieder, wie hier über den Sinn eines (iptables)-Paketdroppers philosophiert wird. Wer's immer noch nicht glaubt, dass es nicht nur nutzlos, sondern auch gefährlich sein kann, möge doch mal einen Blick in's aktuelle Kernel-Changelog werfen...

Mit freundlichem Grins
Jesco
- der sich immer noch weigert, eine Feuerwand auf seinem Rootserver zu haben
complexity breeds bug

r. u. serious
RSAC
Posts: 93
Joined: 2006-06-10 14:17

Re: Liebe Firewall-Freunde...

Post by r. u. serious » 2007-06-12 10:38

Matthias Diehl wrote:Eine Firewall ist genauso nutzlos wie ein Schloß für das Diskettenlaufwerk bei einem Server im Rechenzentrum. Ich kann mir mindestens genauso viele Fälle konstruieren in der mir das hilft wie eine Firewall.
Was hilft denn eine Firewall gegen Rechnerübernahmen durch Schwachstellen in FTP-Programmen oder Lücken in phpBB oder Joomla? Genau so viel wie der Dreamweaver oder der Elekrosmogkristall ;)
Gegen eine Firewall (als vorgeschaltetes Gerät) hat keiner argumentiert. Es geht um Paketfilter direkt auf dem Rootserver.
Dass Firewalls prinzipiell nutzlos sind, mit der Meinung dürfest du relativ allein sein. Und deine abstruse Logik ist auch - vorsichtig gesagt - exotisch. Ein Sicherheitsgurt im Auto hilft mir auch nicht gegen Car-Jackings, trotzdem ist es sinnvoll ihn anzulegen. Die Effektivität von Firewall/Paketfilter auf solche Angriffe die es gar nicht erst versuchen will aufzuhalten, ist völlig irrelevant für die Einschätzung des Kosten-/Nutzenverhätnisses.
Meldungen über Exploits in z.B. Joomla und dann Sätze wie: "Aber ein Experte hat mir doch die Suse Firewall perfekt eingestellt".
Leuten die ein so grundsätzlich falsches Verständnis von Zusammenhängen haben, wird man ohnehin nicht helfen können. Sie werden auch bei Verzicht auf einen Paketfilter auf dem Root oder einer externen Firewall, den Aufwand immer noch nicht auf andere sinnvollere Sicherheitsmaßnahmen verwenden. Insofern ist die Haltung solcher Leute vollkommen irrelevant für die Problematik, oder die Kosten-/Nutzenabwägung des Einsatzes der Maßnahmen.

In Bezug auf Paketfilter auf dem Root mögen wir ja dieselbe Meinung haben (siehe mein Beitrag oben), aber wenn man mit solchen Trugschlüssen argumentiert wird, stellen sich mir die Nackenhaare auf.

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Liebe Firewall-Freunde...

Post by rootsvr » 2007-06-12 14:56

Da muß ich Dir vollkommen zustimmen.

Auch wenn man sagen kann das bsp. Personal Firewalls für Windows nicht perfekt sind, da man sie einfach (von innen) umgehen kann, haben sie großen Nutzen.
Wer mal versucht nen XP mit ohne Servicepack zu updaten wird immernoch schneller von Sasser infiziert und gebootet, als er die Updates saugen kann. Und für solche Fälle sind personal Firewalls super. Das sie andere Schwachstellen haben ist klar, für den 0815 Nutzer bringen sie aber Mehr Vorteile, als Nachteile.
complexity breeds bugs
richtig.. deshalb benutzen wir alle ein völlig unkomplexen Linuxkernel den jeder von uns versteht. :roll:

Ich habe auf keine Firewall auf meiner Kiste (außer auf dem Linux DSL Router) aber Anwendungsbereiche kann man sich sicher überlegen.. z.B. traffic shaping

aldee
Posts: 93
Joined: 2002-10-03 16:45

Re: Liebe Firewall-Freunde...

Post by aldee » 2007-06-12 20:31

CaptainCrunch wrote:Gegen fail2ban, DenyHosts und Co. wettere ich ja seit längerem gerne, seit kurzem ist der Self-DOS allerdings amtlich.
Dass solche Spielereien zumindest "out of the box" untauglich sind, ist aber nicht wirklich neu: http://www.fail2ban.org/wiki/index.php/ ... ail2ban.3F

Edit: Der von dir zitierte Artikel ist dort mittlerweile auch verlinkt; über den /dev/log-"Angriffsvektor" steht da aber auch schon länger was.

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Liebe Firewall-Freunde...

Post by flo » 2007-06-12 21:26

rootsvr wrote:Wer mal versucht nen XP mit ohne Servicepack zu updaten wird immernoch schneller von Sasser infiziert und gebootet, als er die Updates saugen kann.
Und genau das ist dann wohl der Grund, warum es untaugliche Internetzugänge gibt, die bestimmte Ports sperren!?

dtdesign
RSAC
Posts: 395
Joined: 2006-09-05 21:12
Location: Berlin

Re: Liebe Firewall-Freunde...

Post by dtdesign » 2007-06-12 22:13

Der Vergleich mit Fail2Ban im Sinne der Nutzlosigkeit eines Paketfilters (hier: iptables), scheint mir doch ein wenig zu hinken.

Tatsächlich wird hierbei - mehr oder weniger - vom Paket Fail2Ban bzw. dessen Artgenossen abgeraten, weil diese Fehler enthalten. iptables an sich kann durchaus das eine oder andere bewirken, gerade weil es sich meist flexibler konfigurieren lässt als eine Hardware Firewall.

Zur Verdeutlichung folgendes Szenario, das bei uns statt gefunden hat: Server sitzt fröhlich hinter der Firewall von 1&1 (Cisco), die sehr große Adressranges per se blockt (Brasilien, China, etc brauchen wir nicht!). Dahinter hockt ein iptables, dass vorallem dann in Aktion tritt, wenn der Webserver bedrängt wird. Anhand der "bösen" Anfragen die sehr oft von identischen IP-Adressen kommt, blockt iptables (gefüttert durch ein Skript) einfach alles von der IP ab. Dies funktioniert in unserem Fall aber nur, da es sich zumeist um DoS statt DDoS-Angriffe handelt.

Die Problematik ist meiner Meinung nach, dass einige das Prinzip nicht ganz verstehen / umsetzen können. Sobald iptables anfängt rumzuwüten bekommen wir das mit. Entsprechend wir dann sofort die Hardware-Firewall konfiguriert, um den Angriff bereits vor dem Server abzufangen. iptables ist an unserer Stelle in so fern nützlich, dass der Server zwar trotzdem mit Anfragen überflutet wird, allerdings es ehrheblich länger bis zur vollständigen Auslastung dauert. Grund dafür ist schlicht und ergreifend, dass wir mehrstufige Filterungen einsetzen, bei denen jede Stufe detailierter und resourcenintensiver wird. Je früher ein "böses" Paket weggeschmissen wird, desto besser.

Zwar haben wir so keinen Schutz vor DDoS, aber gegen "normale" DoS-Angriffe oder sonstige niedliche Versuche haben wir einen gewissen Schutz, der uns einfach den Zeitrahmen verschafft, zu reagieren.

Just my 2 Cent =)

Gruß
dtdesign

Edit: Die gröbsten Tippfehler entfernt :P

User avatar
Joe User
Project Manager
Project Manager
Posts: 11602
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Liebe Firewall-Freunde...

Post by Joe User » 2007-06-12 22:20

Und wenn Euch mal ein AOL-Kunde DoSt, landen gleich alle AOL-Kunden auf Euer Blacklist. Bei solchen Strategien wird die Existenz legitimer Proxies regelmässig vergessen...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

dtdesign
RSAC
Posts: 395
Joined: 2006-09-05 21:12
Location: Berlin

Re: Liebe Firewall-Freunde...

Post by dtdesign » 2007-06-12 22:25

Eigentlich nicht. Sperren von iptables werden zeitlich begrenzt nur gegen IP-Adressen vergeben. IP Ranges oder längerfristige Sperren werden nur von Hand erledigt. Aber lieber einen User der fälschlicherweise gebannt wird, als das hundertfache, die vor einem unerreichbaren Server stehen.

[offtopic]Ich find AOL sowieso doof :P[/offtopic]

elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: Liebe Firewall-Freunde...

Post by elch_mg » 2007-06-12 22:29

wieviele IPs hat ein Proxy noch gleich, die in Logfiles auftaucht? So in der Regel, in "Standardkonfigurationen".. ;)

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Liebe Firewall-Freunde...

Post by flo » 2007-06-12 22:34

Der Unterschied zwischen einer Firewall und dem, was LieschenMüller unter "Firewall" versteht, ist wohl eher der Punkt - iptables an und für sich ist für manche Sachen ganz sinnvoll, aber eben nicht für:

1) Zugriffe, die nur falsch sein können - (was bringt es, 2MB-Pings aus dem Hindukusch zu droppen oder zu rejecten, Traffic fiel an)
2) Filtern auf Applikations-Ebene (SQL-Injection oder sonstwas)

Und da liegt wohl eher der Hase im Pfeffer - iptables kann keine Firewall ersetzen, und die 300 Ports, die auf dem Server eh nicht lauschen, muß man auch nicht droppen ...

flo.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11602
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Liebe Firewall-Freunde...

Post by Joe User » 2007-06-12 22:46

dtdesign wrote:Eigentlich nicht. Sperren von iptables werden zeitlich begrenzt nur gegen IP-Adressen vergeben. IP Ranges oder längerfristige Sperren werden nur von Hand erledigt.
Wie bereits von elch_mg angedeutet, hat ein Proxie nur eine IP-Adresse, aber durchaus tausende User hinter sich.
dtdesign wrote:Aber lieber einen User der fälschlicherweise gebannt wird, als das hundertfache, die vor einem unerreichbaren Server stehen.
Siehe oben, Ihr sperrt alle x-Tausend User hinter einem Proxie aus, statt nur den einzelnen Schuldigen.
BTW: AOL nannte ich diesbezüglich übrigens absichtlich direkt beim Namen...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Liebe Firewall-Freunde...

Post by flo » 2007-06-12 22:49

Joe User wrote:...hat ein Proxie nur eine IP-Adresse, aber durchaus tausende User hinter sich...
deswegen lässt man fail2ban usw. auch nur an bestimmte Ports oder schaut sich die IP vor dem blocken an - was z.B. auf Port 80 passiert, ist nicht mein Ding ...

Aber Port 3306 ist bei mir auch nur für einige IPs offen.

flo.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11602
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Liebe Firewall-Freunde...

Post by Joe User » 2007-06-12 23:04

Ein ernstes Problem entsteht spätestens dann, wenn fail2ban oder ein ähnliches Programm von einem $PROXIE_USER getriggert wird und sich SysAdmin dummerweise ausgerechnet über diesen $PROXIE mit seinem System verbinden muss.
Oder der Shop, der durch diese Fehlkonfiguration plötzlich nur noch den halben Umsatz macht.
Oder, oder, oder. Es gibt unzählige unschöne Situationen durch solche coolen Tools, da habe ich lieber ein paar MB Logs extra...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Liebe Firewall-Freunde...

Post by flo » 2007-06-12 23:09

Joe User wrote:Es gibt unzählige unschöne Situationen durch solche coolen Tools, da habe ich lieber ein paar MB Logs extra...
Schon klar :-)

Am schlimmsten ist aber, wenn man (=Hobbyadmin) nicht weiß, woher es kommt und erstmal den Server durchbootet.

Ich mag Automatismen auch nicht - gerade in Rootserver-Netzen sind diese aber manchmal ganz praktisch.

Matthias Diehl
Posts: 315
Joined: 2002-09-24 13:26

Re: Liebe Firewall-Freunde...

Post by Matthias Diehl » 2007-06-13 10:09

R. U. Serious wrote:Gegen eine Firewall (als vorgeschaltetes Gerät) hat keiner argumentiert. Es geht um Paketfilter direkt auf dem Rootserver.
Genau, es geht um "Firewalls" (besser Paketfilter) auf einem Rootserver
R. U. Serious wrote: Dass Firewalls prinzipiell nutzlos sind, mit der Meinung dürfest du relativ allein sein. Und deine abstruse Logik ist auch - vorsichtig gesagt - exotisch. Ein Sicherheitsgurt im Auto hilft mir auch nicht gegen Car-Jackings, trotzdem ist es sinnvoll ihn anzulegen. Die Effektivität von Firewall/Paketfilter auf solche Angriffe die es gar nicht erst versuchen will aufzuhalten, ist völlig irrelevant für die Einschätzung des Kosten-/Nutzenverhätnisses.
Ich habe niemals behauptet das Firewalls prinzipiell nutzlos sind, aber nicht bei Rootservern, sondern vor Netzen. Und was ist das denn für eine abstruse Logik in der Du den Sicherheitsgurt gegen Carjacking einsetzen willst? Ich glaube Deine Logik ist wesentlich abstruser als meine. Welchem Trugschluß soll ich denn aufgesessen sein?
Es ist viel eher gefährlich Anfängern zu erzählen eine Firewall sei hilfreich (bei einem Rootserver und darum geht es in diesem Forum ja nun mal). Denn gerade das führt zu den Aussagen wie: Ich habe doch eine Firewall da kann ja nichts passieren.
Es ist vollkommen okay wenn man dies fundiert diskutiert, aber das Problem entsteht eben durch Anfänger die eben nicht fundiertes Wissen haben und Leute die eine Firewall als Allheilmittel anpreisen.
Leuten die ein so grundsätzlich falsches Verständnis von Zusammenhängen haben, wird man ohnehin nicht helfen können. Sie werden auch bei Verzicht auf einen Paketfilter auf dem Root oder einer externen Firewall, den Aufwand immer noch nicht auf andere sinnvollere Sicherheitsmaßnahmen verwenden. Insofern ist die Haltung solcher Leute vollkommen irrelevant für die Problematik, oder die Kosten-/Nutzenabwägung des Einsatzes der Maßnahmen.
Sorry, aber das ist absoluter Unsinn!
Genau diese Leute sind es doch die sich in falscher Sicherheit wiegen weil das technische Verständnis fehlt und deren Server dann übernommen werden.

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Liebe Firewall-Freunde...

Post by flo » 2007-06-13 11:21

Matthias Diehl wrote:Genau diese Leute sind es doch die sich in falscher Sicherheit wiegen weil das technische Verständnis fehlt und deren Server dann übernommen werden.
Und woher kommt es? Das sind genau diejenigen, die daheim in ihrem maskierten Netz sitzen und glauben, daß Zonealarm und Konsorten sie vor Zugriffen aus dem Internet schützen und gleichzeitig ihren WLAN-Router mit den Default-Einstellungen betreiben.