DNS läuft, aber nur lokal?

[duergner]

Ja habe ich. Und abgesicher sind die durch eine saubere Konfiguration der entsprechenden Dienste. Ich biete nur das an Diensten nach außen hin an, was ich haben will und auch brauche, der Rest wird entweder entfernt oder nur lokal gebunden und das System wird halt immer auf dem aktuellen Stand gehalten, was Security-Updates und ähnliches angeht

[andrem]

@duergner:

Wie betreibst Du dann ein IDS ohne Firewall?

@jlinker:

Aber warum blockst Du z. B. einen PORT 53? Den musst du öffnen, weil Du ja BIND am Laufen hast.

In dem Fall habe ich den Port offen...

MfG
André

[duergner]

Als IDS reicht es mir wenn ich mir die entsprechenden Logs durchsehe. Wenn die Maschine sauber konfiguriert ist und sicherheitstechnisch immer aktuell ist, dann halte ich persönlich das Risiko eines Eindringens ins System für sehr gering. Wenn bei der von mir verwendeten Software Sicherheitslücken auftauchen, dann wird das System halt genau unter die Lupe genommen. Bin damit bisher eigentlich sehr gut gefahren.

Komplexe IDS System machen IMHO auch nur wieder bei Gateway-Rechnern Sinn.

[jlinker]

@AndreM
Und genau deshalb nutzt Dir ja die Firewall nix mehr. Weil Du musst den Port ja öffnen, weil ein Dienst dahinter läuft 8)

[andrem]

@duergner:

Ist es nicht so, das Dienste, die auf localhost connecten, die Ports öffnen und zwar "weltweit"? Und des weiteren kannst du keine IDS betreiben ohne Firewall, und per Hand die einzelnen Logs zu lesen ist ne Arbeit für jemanden, der Vater und Mutter erschlagen hat, oder wie siehst Du das?

MfG
André

[captaincrunch]

Ist es nicht so, das Dienste, die auf localhost connecten, die Ports öffnen und zwar "weltweit"? Und des weiteren kannst du keine IDS betreiben ohne Firewall, und per Hand die einzelnen Logs zu lesen ist ne Arbeit für jemanden, der Vater und Mutter erschlagen hat, oder wie siehst Du das?

Vielleicht solltest du dich erstmal etwas näher mir der Materie befassen.

[andrem]

@jlinker:

Die Firewall ist ja nicht nur für den DNS da, sondern blockt alle Ports mit den Ausnahmen, die ich Ihm gebe.

MfG
André

[duergner]

Ist es nicht so, das Dienste, die auf localhost connecten, die Ports öffnen und zwar "weltweit"?

Nein. Wenn ich einen Dienst auf das lokale Interface, sprich loopback binde, dann öffnet der auch nur auf dem loopback Interface den entsprechenden Port und nicht auf dem eth0 Interface. Das is ja gerade der Sinn davon.

Und des weiteren kannst du keine IDS betreiben ohne Firewall, und per Hand die einzelnen Logs zu lesen ist ne Arbeit für jemanden, der Vater und Mutter erschlagen hat, oder wie siehst Du das?

Im Normalbetrieb des Servers halte ich es für überflüssig die Logs so genau zu kontrollieren. Du weißt ja in etwa wieviel Traffic du hast, wenn der mal sprunghaft ansteigt, könnte das z.B. ein Hinweis sein, die Logs mal zu kontrollieren, oder eben wie schon gesagt, wenn Sicherheitslücken auftreten. Was versprichst du dir denn von einen IDS auf einem Root-Server? Ich halte das eigentlich für relativ sinnfrei.

[duergner]

Die Firewall ist ja nicht nur für den DNS da, sondern blockt alle Ports mit den Ausnahmen, die ich Ihm gebe.

Wieso willst du Ports blocken, auf denen kein Dienst lauscht? Dann ist der Port ja eh geschlossen.

Ich denk mal du solltest dich erst mal noch ein wenig mit Server-Adminisration befassen, bevor du so etwas machst. Ich glaub dir fehlen da noch entscheidende Grundlagen.

[andrem]

Vielleicht solltest du dich erstmal etwas näher mir der Materie befassen.

Ich gebe zu, das ich mit Firewalls nicht so ganz so vertraut bin, allerdings stehe ich zusätzlich mit Administratoren in Kontakt, die sich mit dieser Materie auskennen. Und ich beziehe mein Wissen von diesen. Und ich habe diese Diskussion an sie weitergegeben, die lachen sich schief über die hier gegebenen Kommentaren. Ich bin gerne bereit mich näher mit der Materie zu beschäftigen, allerdings denke ich, das auch hier einige das nötig hätten.

MfG
André

[andrem]

Was betreibt Ihr auf Euren Servern?
Das würde mich interessieren, einfach aus dem Grund um zu ersehen, wieviel Zeit man in die Konfiguration der einzelnen Dienste investieren muss.

MfG
André

[duergner]

Ich gebe zu, das ich mit Firewalls nicht so ganz so vertraut bin, allerdings stehe ich zusätzlich mit Administratoren in Kontakt, die sich mit dieser Materie auskennen. Und ich beziehe mein Wissen von diesen. Und ich habe diese Diskussion an sie weitergegeben, die lachen sich schief über die hier gegebenen Kommentaren. Ich bin gerne bereit mich näher mit der Materie zu beschäftigen, allerdings denke ich, das auch hier einige das nötig hätten.

Hmm mich würde schon mal interessieren, was das denn für Admin sind. Ich behaupte mal, dass ich mich auf diesem Gebiet mittlerweile schon etwas auskenne und die Quellen die ich habe, vertreten v.A. in Bezug auf Firewall oder besser Packetfilter auf Standalone-Rechnern eigentlich die gleiche Meinung wie ich.

Nur mal so am Rande: Sind die Leute die du da an der Hand hast, Linux oder Windows Admins?

[captaincrunch]

Und ich beziehe mein Wissen von diesen. Und ich habe diese Diskussion an sie weitergegeben, die lachen sich schief über die hier gegebenen Kommentaren.

Warum hatten deine "Administratoren" denn keine Lösung für dein Problem ?

Ich bin gerne bereit mich näher mit der Materie zu beschäftigen, allerdings denke ich, das auch hier einige das nötig hätten.

Dann tue das bitte, bevor du hier solche Sprüche ablässt.

[duergner]

Was betreibt Ihr auf Euren Servern?
Das würde mich interessieren, einfach aus dem Grund um zu ersehen, wieviel Zeit man in die Konfiguration der einzelnen Dienste investieren muss.

HTTP/HTTPS, POP3/IMAP/IMAPS, SMTP, MySQL vor allem auf den Servern die an Internet angeschlossen sind. Auf internen Maschinen dann noch zusätzlich LDAP, NFS

[captaincrunch]

Nur mal so als kleiner Tip für dich zum nachlesen :
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Den Punkt http://www.iks-jena.de/mitarb/lutz/usen ... ll.html#PF , denn nichts anderes machst du mit deinem Rootie.

[duergner]

Nur mal so als kleiner Tip für dich zum nachlesen :
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Den Punkt http://www.iks-jena.de/mitarb/lutz/usen ... ll.html#PF , denn nichts anderes machst du mit deinem Rootie.

:P Auf Lutz wollte ich jetzt dann auch noch verweisen. Bist mir zuvor gekommen.

[andrem]

Warum hatten deine "Administratoren" denn keine Lösung für dein Problem ?

Weil auch sie arbeiten müssen und nicht soviel Zeit erübrigen können.

Im übrigen verläuft sich diese Diskussion allmählich in ein Thema, das mit meinem Problem nichts mehr zu tun hat. Ich denke, das jeder selbst wissen muss wie sicher sein System ist ob mit oder ohne Firewall. Ich jedenfalls werde nicht ohne arbeiten. Das ist und bleibt Fakt. Und da ich hier nur auf Personen treffe, die ohne Firewall arbeiten, scheine ich auch keine Lösung zu bekommen. Darum werde ich woanders fragen.

MfG
André

[captaincrunch]

Weil auch sie arbeiten müssen und nicht soviel Zeit erübrigen können.

Siehst du : "echte" Admins haben dagegen ein ziemlich laues Leben und können hier mitdiskutieren :lol:

Ich jedenfalls werde nicht ohne arbeiten. Das ist und bleibt Fakt.

Ist dein gutes Recht, die mehr Arbeit aufzuhalsen als nötig. Anscheinend hast du darum auch so wenig Zeit ... ;)

Und da ich hier nur auf Personen treffe, die ohne Firewall arbeiten, scheine ich auch keine Lösung zu bekommen. Darum werde ich woanders fragen.

Mannomann, sind wir aber leicht beleidigt ...

[andrem]

Mannomann, sind wir aber leicht beleidigt ...

Ich bin nicht beleidigt sondern unter Zeitdruck. Ich arbeite an einer Lösung, nicht an einer Studie was besser ist.

MfG
André - überzeugter Firewallnutzer (ironisch)

[duergner]

Kannst du vielleicht mal dir Ausgabe von iptable -L hier posten? Dann kann man dir vielleicht weiterhelfen, wo da das Problem in deiner Firewall liegt.

[Matthias Diehl]

Du siehst ja gerade selbst wie Firewalls zu viel blocken können. Ich selbst habe keine laufen und überwache mit chkrootkit und automatsichen Mails mit dem Traffic die Funktion des Servers.
Eine Firewall habe ich hzuhause laufen, da dort ein Netzwerk am Internet hängt. Bei einem einzelnen PC ist das wirklich sinnfrei.
Aber das ist Deine Entscheidung.
Du siehst aber, das man bei Problemen in 80% der Fälle die Firewall ausschaltet und das Problem ist weg :)
Und die Firewall hilft Dir auch nicht, wenn ein neuer Bug im Apache etc. bekannt wird.

Viel Glück bei der Fehlersuche.... iptables -L zeigt Dir die aktuellen Settings

[andrem]

Hallo!

Ok, ich hab vorhin wohl meine Klappe doch zu weit aufgerissen, darum entschuldige ich mich bei allen.
Ihr hattet Recht, wenn ich die Firewall abschalte ist der Server von aussen nicht anders als vorher. Auch die echten Securityspezialisten haben mir bestätigt, das meine Firewall keinen Nutzen hat. Ich bin also nun eines besseren belehrt worden und habe daraus meinen Nutzen gezogen.
Und ich spar mir auch das studieren der HowTo's zu IPTables vorerst, da ich es (noch) nicht benötige.
Dadurch hat sich nun auch mein Problem mit Bind gelöst (wir haben die Regeln untersucht und alles Mögliche in den Einstellungen untersucht, aber immer die UDP Pakete auf Port 53 wurden gedroppt).

Ok, ich hoffe ich bin bei Euch nicht allzusehr in Ungnade gefallen, so das ich in Zukunft doch noch die eine oder andere Frage stellen darf.

Danke an alle die sich an mir die Finger wundgetippt haben!

MfG
André - der seine Firewallüberzeugung verloren hat und sich nun schämt

[Matthias Diehl]

Schämen musst Du Dich bestimmt nicht, denn dazulernen tun wir alle jeden Tag,
Und wenn Du aufgrund neuer Informationen Deine Meinung zu Firewalls änderst heisst das nur, dass Du lernfähig bist :)
Wenn Du Dich irgendwann mit iptables beschäftigst, wirst Du feststellen, dass man Port 53 für UDP und für TCP freigeben muss, also 2 Einträge machen muss. Ich habe keine Ahnung von der Susefirewall, daher kann ich Dir nicht sagen wie man das dort einstellen müsste.
Aber wenn Du Dich mal mit iptables beschäftigt hatss wirst Du wohl eher eigene Filterregeln bevorzugen als Dich auf Suse zu verlassen. Das ist wirklich ein interessantes Thema, ob man es nun auf dem Rootserver braucht oder nicht.....

Bis später
Matthias

[thorsten]

Ich weiß nicht, ob das in diesem Monsterthread schon gesagt wurde.

53/UDP benötigst du nur für normale DNS Abfragen
also: dig http://www.domain.tld @nameserver
53/TCP benötigst du für zonentransfers. D.h. sinnigerweise öffnest du den 53/TCP nur zu den beteiligten DNS-Servern (auch wenn man das schon in der named.conf festlegen kann)
also: dig http://www.domain.tld @nameserver axfr