UML - Mir fehlt der Ã?berblick

Rund um die Sicherheit des Systems und die Applikationen
moon
Posts: 10
Joined: 2003-05-31 10:55
Location: Sindelfingen

UML - Mir fehlt der Ã?berblick

Post by moon » 2004-06-02 11:38

Tachchen,

Meine Frage ist weder dringend noch kurz, noch konkret, nur als Vorwarnung für diejenigen, die unter den Typ des rastlosen Serveradmins fallen und deshalb lieber kurze Fragen beantworten. (Muss grad an Bofh denken ;)). Ich will ein bisschen von meinem "Sicherheitskonzept", wenn man es schon so nennen kann, erzählen, quasi um mal eine unabhängige Meinung dazu zu hören.

Meine Story
Ich bin seit knapp zwei Jahren Besitzer eines Rootservers. Davor hatte ich gut zwei Jahre einen Linuxserver zuhause. Ich hab während dieser Zeit immer wieder Momente gehabt, wo ich dachte "Oh Gott, das war leichtsinnig". Obwohl ich glaube, dass ich das Risiko langsam einigermaßen kalkulieren kann (der letzte solche Moment liegt mittlerweile ein halbes Jahr zurück), bin ich noch weit davon entfernt mit meinem Wissen zufrieden zu sein.

Mein Ziel
Jedes gute Sicherheitskonzept richtet sich gegen Szenarien. Das Szenario, welches ich verhindern möchte, ist folgendes:

Hacker richtet FTP-Server ein (als Root oder auch nicht) -> x GB Traffic in wenigen Stunden -> Entsprechende Rechnung.

Mein aktueller Provider bedauert allerdings, kein hardwareseitiges Trafficlimit einbauen zu können, jedenfalls nicht derzeit. Also muss ich dieses Ziel softwareseitig auf meinem Root umsetzen.

Aktuelles Setup
Momentan habe ich folgendes Setup (Distrib SUSE 7.3, aber mittlerweile habe ich alle Services außer ssh unabhängig von RPMs/SRPMs heruntergeladen und kompiliert):
Apache (PHP, mod_perl, mod_ssl), proftpd, Postfix(Courier-IMAP, Courier-Maildrop), BIND9, openssh-3.5p1-117, OpenVPN 2.0_beta2
Das sind die Services, die ich per iptables erlaubt habe. Die OpenVPN beta ist einigermaßen sicher und ich seh das jetzt auch nicht so als die kritische Schwachstelle, da ich in der Community von dieser Software recht aktiv und damit gut auf dem Laufenden bin.
iptables verwende ich deshalb, da ich ab und zu Services installiere, die nur per VPN erreichbar sein sollen und da sich nicht immer einstellen lässt, an welche interfaces die entsprechende Software lauscht...

Meine Idee
Ich spiele mit dem Gedanken meinen Server folgendermaßen umzustrukturieren:
Alle Services laufen in einer UML Umgebung. Ein Cronjob außerhalb überwacht den Traffic und wenn, sagen wir mehr als 30 GB an einem Tag übertragen werden, macht er alles dicht, bis auf ssh. (Ich habe kein Rescue-System, muss also was offen lassen) Erreichbarkeit usw. spielen praktisch keine Rolle, ich will nur o. g. Szenario verhindern.

Meine Frage
Da meine Idee extrem naheliegend klingt, ich aber hier noch nie etwas von einem solchen Setup gelesen habe, möchte ich lieber nochmal nachfragen, was echte Profis darüber denken:
- Lohnt sich der Aufwand?
- Wie sicher wäre das Ergebnis? (bezogen auf das eine Szenario)
- Gibt es einen anderen Haken, den ich übersehen habe?
- Oder würdet ihr zu einem Provider raten, der in der Lage ist, das Limit hardwareseitig zu setzen? (Klar, die bessere Lösung wäre das, aber da ich extrem gute Konditionen von meinem jetzigen Provider bekomme, würde ich nur ungern wechseln. Sicherheit hat natürlich trotzdem Vorrang)

Vielen, vielen Dank für eure Zeit und, falls ihr antwortet, eure Meinung.
Stefan

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: UML - Mir fehlt der Ã?berblick

Post by dodolin » 2004-06-02 14:09

Gibt es einen anderen Haken, den ich übersehen habe?
Traffic wird vermutlich nicht ab Netzwerkkarte, sondern ab Switch gemessen. Das bringt dir also gar nix.

moon
Posts: 10
Joined: 2003-05-31 10:55
Location: Sindelfingen

Re: UML - Mir fehlt der Ã?berblick

Post by moon » 2004-06-02 14:43

dodolin wrote:
Gibt es einen anderen Haken, den ich übersehen habe?
Traffic wird vermutlich nicht ab Netzwerkkarte, sondern ab Switch gemessen. Das bringt dir also gar nix.
Klar, DoS Traffic kann ich damit nicht verhindern, dass ist mir schon klar. Aber FTP Traffic (mal abgesehen von den Connection Requests, die ja von außen kommen) schon, oder seh ich das falsch?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: UML - Mir fehlt der Ã?berblick

Post by captaincrunch » 2004-06-02 16:28

Und wozu brauchst du da UML? ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

gamecrash
Posts: 339
Joined: 2002-05-27 10:52

Re: UML - Mir fehlt der Ã?berblick

Post by gamecrash » 2004-06-04 11:05

CaptainCrunch wrote:Und wozu brauchst du da UML? ;)
Ich gehe mal davon aus, die Idee ist, dass, sollte einer in das System eindringen (in der UML) der den Cronjob oder was auch immer nicht abschalten kann...

wirsing
Posts: 604
Joined: 2002-11-20 21:32
Location: Vaihingen und Karlsruhe

Re: UML - Mir fehlt der Ã?berblick

Post by wirsing » 2004-06-05 22:00

Also ich habe eine Umgebung mit mehreren UMLs für einzelne Dienste installiert und muss sagen: UML ist für den Dauerlauf zu instabil, darüberhinaus langsam. Alternativvorschlag: RSBAC mit JAIL oder vserver-Patch.