Welche Ports offenlassen?

Rund um die Sicherheit des Systems und die Applikationen
botkilla
Posts: 6
Joined: 2003-06-22 00:20

Welche Ports offenlassen?

Post by botkilla » 2003-06-22 17:58

Hi!
Habe einen Rootie bei Schlund und nun möchte ich ihn möglichst sicher machen. Als Firewall habe ich mich für Shorewall auf IPTables-Basis entschieden.
Nun zu meiner Frage: Kann ich alle Ports (außer die beiden benötigten 22/tcp und 80/tcp) dichtmachen oder sollte ich noch irgendwelche anderen Ports offenlassen, damit das System problemlos funktioniert?


Noch eine kurze 2te Frage: hat jemand Erfahrungen mit den server4free-RootServer?

Bye
BotKilla

dea
Posts: 532
Joined: 2002-08-13 12:05

Re: Welche Ports offenlassen?

Post by dea » 2003-06-22 18:02

zu den IPTables-Geschichten sag' ich jetzt mal nichts, Deine Frage wurde bereits in -zig Threads beantwortet und und diskutiert (wenn Du es unbedingt brauchst kannst Du natürlich gerne alle Ports bis auf 80 und 22 auf DROP setzen *veg* - ich gehe davon aus, dass Du weisst was dann passiert)

Zum zweiten Teil Deiner Frage: Falsches Forum - geh' bitte zur WHL. Oben ist ein Link zu den Boardregeln wo iirc u.a. steht, dass solche Fragen hier fehl am Platze sind ;)

botkilla
Posts: 6
Joined: 2003-06-22 00:20

Re: Welche Ports offenlassen?

Post by botkilla » 2003-06-22 18:16

Dea, vielen Dank für Deine wunderbare Unterstützung. Ich habe die Threads bezgl. Sinn/Unsinn einer Firewall auf IPTables-Basis gelesen und denke, daß es Sinn macht. Aber ich will hier das Fass nicht wieder aufmachen. Du verweisst ja zurecht auf die vergangenen Threads.
Aber manchmal läuft halt ein Dienst, der nicht direkt von außen erreichbar sein soll (bsp. ntop über Apaches-mod_proxy etc.).

Aber jetzt muss ich Dich doch direkt - Shame on me - fragen, was alles passieren kann, wenn ich nur 22 und 80 (und natürlich 25) auflasse und alles andere abriegel?

Freue mich schon auf Deinen konstruktive Beitrag.

BotKilla

jtb
Posts: 599
Joined: 2002-08-18 16:41
Location: Darmstadt

Re: Welche Ports offenlassen?

Post by jtb » 2003-06-22 18:19

BotKilla wrote:Aber manchmal läuft halt ein Dienst, der nicht direkt von außen erreichbar sein soll (bsp. ntop über Apaches-mod_proxy etc.).
dafür kann man diese Programme doch auf localhost binden...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Welche Ports offenlassen?

Post by captaincrunch » 2003-06-22 18:38

Aber jetzt muss ich Dich doch direkt - Shame on me - fragen, was alles passieren kann, wenn ich nur 22 und 80 (und natürlich 25) auflasse und alles andere abriegel?
In dem Fall sind nur die Dienste, die auf diesen Ports lauschen erreichbar. Ich geb dir nur noch das Stichwort "related" ... Noch viel einfacher ist es aber, Dienste entweder nicht aufen zu lassen, oder nur auf localhost horchen zu lassen ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

botkilla
Posts: 6
Joined: 2003-06-22 00:20

Re: Welche Ports offenlassen?

Post by botkilla » 2003-06-22 18:50

Danke für den Tip. Meinst Du mit RELATED folgendes Problem
http://www.sfu.ca/~siegert/linux-security/msg00048.html oder gibts noch mehr davon?

Jetzt muss ich doch mal fragen: Wie kann ich einen Dienst nur an localhost binden? MIr fällt da konkret nur hosts.deny/allow ein. Oder :idea: sollte ich doch noch ein paar HowTos mehr lesen?
BotKilla

[ djthesound ]
Posts: 300
Joined: 2003-04-21 01:15

Re: Welche Ports offenlassen?

Post by [ djthesound ] » 2003-06-22 18:57

Aber jetzt muss ich Dich doch direkt - Shame on me - fragen, was alles passieren kann, wenn ich nur 22 und 80 (und natürlich 25) auflasse und alles andere abriegel?
Denk bitte mal an SSH :roll: (Hättest du selbst auch drauf kommen können!)

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Welche Ports offenlassen?

Post by captaincrunch » 2003-06-22 18:58

Mit "related" meinte ich http://iptables-tutorial.frozentux.net/ ... CITMATCHES , hier besonders den Abschnitt "6.4.3.6. State match"

Wie du einen Dienst an localhost binden kannst unterscheidet sich von Dienst zu Dienst. Was willst du denn einsetzen ?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

botkilla
Posts: 6
Joined: 2003-06-22 00:20

Re: Welche Ports offenlassen?

Post by botkilla » 2003-06-22 19:15

DJtheSOUND, jetzt hast Du mich vollends verwirrt. SSH läuft doch auf dem gennanten Port 22. Oder steh ich jetzt - mal wieder - voll auf dem Schlauch?

Hauptsächlich soll eine größere Java-Anwendung (Tomcat mittels mod_proxy über Apache) laufen. Aber für das Monitoring des Traffics läuft unter anderem auch ntop. Hier habe ich keine Möglichkeit gesehen, das Ding nur an localhost zu binden. Gibts da noch andere Möglichkeiten?
Wie wirksam ist ein ALL:ALL in der hosts.deny und explizites erlauben eines Dienstes (für localhost, spezielle IP-Range oder im schlimmsten Fall alle) in der hosts.allow?

Unnötige Dienste hab ich jetzt soweit alle deinstalliert bzw. ausgeschaltet.

Als nächstes dann noch chkrootkit installieren.

BotKilla

dea
Posts: 532
Joined: 2002-08-13 12:05

Re: Welche Ports offenlassen?

Post by dea » 2003-06-22 19:36

Also auf die hosts.allow alleine würde ich mich nicht verlassen, da sollte zumindest noch eine weitere Hürde dazukommen,

Ansonsten würdest Du Dich äußerst effizient von Deinem System aussperren, wenn Du lediglich 22, meinetwegen 25 und 80 auflässt - Stichwort "Related". Denk nur mal an die vielen, vielen DNS-lookups die etliche Dienste (inkl. SSH) ausführen (bei SSH dient's der Verifizierung Deiner IP-Adresse, s.a. hosts.allow -> ALL:PARANOID)

ntop ist ja nun kein "anbietender" Dienst (den Du auf die zu überwachenden Interfaces bindest), leiglich dieser "kranke" (nein, ich mag ihn nicht besonders *g*) eingebaute Webserver gehört abgeschaltet. Bei ntop wäre es besser, einen "XML"-Schalter zu haben der einem die Daten in XML in ein wählbares Verzeichnis exportiert ...

Tomcat/Java - je nun, das ist nun wirklich nicht einfach *eg*, denn damit hast Du es nicht nur mit der "allgemeinen" Indianer-Problematik sondern zusätzlich auch noch mit der Java-"Problematik" (Wie bekomme ich Java sicher?) zu tun ... Wenn ich daran denke, wie lange meine Kollegen teilweise an vergleichbaren Aufgaben sitzen beneide ich Dich nicht ;)

Wenn Du hauptsächlich den Webserver/Tomcat laufen lassen willst (ntop lasse ich mal außen vor), dann sollte es für's erste genügen, sich mit einer zuverlässigen und sicheren (nicht wundern, auch httpd-Logs lassen sich leicht manipulieren) Logfile-Analyse sowie einer anständigen Absicherung des httpd/Java-Geraffels zu beschäftigen.

In pkto. IPTables würde ich der Einfachkeit halber sagen: Alles < 1024 offen lassen (und alle unnötigen Dienste deinstallieren) und alles >= 1024 schließen bzw. nur für vom Server initiierte Verbindungen (also "related") öffnen, das sollte reichen - für's erste ;)

[ djthesound ]
Posts: 300
Joined: 2003-04-21 01:15

Re: Welche Ports offenlassen?

Post by [ djthesound ] » 2003-06-22 19:46

Sorry, habe SSH und FTP verwechselt. Port 22 ist sicherlich SSH, aber ich war der Meinung du willst FTP auch offen lassen...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Welche Ports offenlassen?

Post by captaincrunch » 2003-06-22 22:05

In pkto. IPTables würde ich der Einfachkeit halber sagen: Alles < 1024 offen lassen (und alle unnötigen Dienste deinstallieren) und alles >= 1024 schließen bzw. nur für vom Server initiierte Verbindungen (also "related") öffnen, das sollte reichen - für's erste
Wenn du alles <1024 offen lassen willst, kannst du's auch gleich sein lassen. Entweder macht man bei einer Paketfilterkonfiguration gleich Nägel mit Köpfen, oder man lässt es ...
Genau zu diesem Zweck gibt's schließlich die State-Tables.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
Posts: 532
Joined: 2002-08-13 12:05

Re: Welche Ports offenlassen?

Post by dea » 2003-06-22 23:58

Ich hab' ja geschrieben "der Einfachheit halber". Und wenn Du wirklich nur die notwendigsten Dienste installiert hast, sollte es (zunächst, bis man sich in die Materie eingearbeitet hat) ausreichen, alles über 1024 zu sperren bzw. auf "related" zu setzen. So erreichst Du immerhin, dass Dein System "wie gehabt" agieren kann, ohne allzu verwundbar zu sein.

Gewissermaßen "Luft schaffen", um sich sorgfältig Gedanken machen zu können. Und mit 'nem Tomcat ist das imho auch dringend notwendig - zu komplex sind die Anforderungen.

Dazu noch das übliche Geraffels (PAM, hosts.*, usw. usf.) und Du hast die benötigte "Luft" ...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Welche Ports offenlassen?

Post by captaincrunch » 2003-06-23 08:07

Gewissermaßen "Luft schaffen", um sich sorgfältig Gedanken machen zu können. Und mit 'nem Tomcat ist das imho auch dringend notwendig - zu komplex sind die Anforderungen.
Sorry, aber was "Security" angeht, ist das IMHO die verkehrte Vorgehensweise ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
Posts: 532
Joined: 2002-08-13 12:05

Re: Welche Ports offenlassen?

Post by dea » 2003-06-23 13:47

Aber anfangen muss man ja ...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Welche Ports offenlassen?

Post by captaincrunch » 2003-06-23 17:11

Das schon, nur ist es äußerst hilfreich, am "richtigen" Ende anzufangen, denn was nutzt es dir, wenn du dir die tollsten IPTables-Regeln aus den Fingern gesogen hast, und das nächste Scriptkid einfach durch die Vordertür (angebotener Dienst) reinspaziert ?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc