IPTables

[vogelbecker]

Hallo

ich habe heute meinen Server neu aufgesetzt.
Vorher lief er unter Suse 9.3
Jetzt unter Debian 3.1.
Die Firewall unter Suse einzustellen ist ja relativ einfach, aber bei Debian komme ich da nicht so ganz mit klar.
Habe mir schon Shorewall und das Webmin modul dazugeholt, aber wirklich besser komme ich da aucht nicht mit zurecht.

Ich will erstmal alles blocken und nur bestimmte Ports öffnen. Wie mach ich das am besten?

Gruß

[Roger Wilco]

Lies dieses Thema, mach ein Upgrade auf Debian Etch und überleg dir danach, ob du wirklich einen Paketfilter benötigst.

[vogelbecker]

Hmm okay, vielen Dank schonmal für deine schnelle Antwort.

Also wenn das unsinn ist, wie soll ich sonst meinen Server weiter sichern?
Dienste bis auf wenige ausnahmen deaktiviert. SSH gibts nur public key und liegt auf einem anderen Port?

Fühle mich gerade etwas unwohl. Is mein Server nicht so offen wie ein Scheunentor?

MfG

[vogelbecker]

Also wäre bei mir jetzt eine gewisse Grundsicherheit gegeben?
Habe irgendwie nicht das Gefühl

MfG

[vogelbecker]

Okay, gut, dann schonmal vielen Dank!

Tut mir leid, dass auch ich vom Irrglaube Firewall besessen war.

Updates und co. werden immer aktuell eingespielt.
Gut, wenns sonst weiter nichts gibt, denn sollte soweit ja alles im gange sein!

[dante77]

Wenn hier schon so gegen Firewalls gehetzt wird, sag ich auch mal was dazu. Der Firewall kann verhindern, dass ein "interessierter User" den Login-Prompt von SSH überhaupt zu Gesicht bekommt. Wenn man über eine feste IP verfügt, würde ich den Port, nachdem von 22 woanders hin verlegt, auf jeden Fall auf Zugriffe von dieser einschränken. Hat man keine feste IP, kann man sich über einen dynamic dns Dienst helfen. Ausserdem kann ein Firewall im Angriffsfall auch verhindern, dass die eigentliche Schadsoftware aus dem Internet nachgeladen wird. Es gibt da sicher noch genügend weitere Beispiele.

Natürlich ist das auch kein Allheilmittel, aber es generell zu verteufeln halte ich wohl auch für überzogen. Richtig konfiguriert ist ein Firewall wenigstens genauso viel wert wie ein Gartenzaun, der dazu führt, dass nicht jeder Depp gleich direkt vor der Haustür steht.

[dtdesign]

Der Firewall kann verhindern, dass ein "interessierter User" den Login-Prompt von SSH überhaupt zu Gesicht bekommt.

Und selbst wenn. Glaubst du ernsthaft, das interessiert mich? Soll er doch seine Dictionary/Brute Force-Attack auf den SSH starten, der wird vor 2012 nicht mal annähernd den Server von innen sehen. Benutzernamen die ungewöhnlich sind erschweren das ganze bereits um ein vielfaches. Zusammen mit einem gutem Passwort (Hint: Eselsbrücken), kann der ausprobieren, bis der Angreifer schwarz wird.

..., würde ich den Port, nachdem von 22 woanders hin verlegt,...

Fragwürdiger Sinn. Bis auf ein paar weniger Logeinträge von fehlgeschlagenen Logins bietet es dir keine Sicherheit. Bots die generisch Port 22 abklappern kommen eh mit Dictionary-Angriffe, wenn jemand dich direkt angreift (etwas mit Brute Force) wird er die 2 Sekunden aufwenden, um den SSH-Port zu finden.

Wenn man über eine feste IP verfügt, ... ,auf jeden Fall auf Zugriffe von dieser einschränken.

Dann darfst du nie im Urlaub sein, von einem Kollegen dich mit deinem Server verbinden etc... du wirfst dir damit mehr Steine in den Weg, als dem Angreifer.

Hat man keine feste IP, kann man sich über einen dynamic dns Dienst helfen.

Und da iptables mit DNS nichts am Hut hat, musst du iptables auch entsprechend die derzeit aktuellen IPs mitteilen... zu viel overhead für so gut wie keinen Securitygewinn.

Ausserdem kann ein Firewall im Angriffsfall auch verhindern, dass die eigentliche Schadsoftware aus dem Internet nachgeladen wird.

lol. Wie denn? Ein Webserver darf also keine Ports öffnen, beziehungsweise über Port 80 plaudern? Abgesehen davon... eine Firewall auf der lokalen Maschine wird ein Angreifer, der sich intensiv mit deinem System beschäftigt (Interesse/Aufgewendete Zeit), in Null Komma Nichts deaktivieren oder sich einfach einnisten.

... wenigstens genauso viel wert wie ein Gartenzaun, der dazu führt, dass nicht jeder Depp gleich direkt vor der Haustür steht.

Stimmt, er muss da nur rüberspringen/klettern bzw. in deinem Falle einfach in 2 Sekunden alle Ports abklappern. Und dann?

Es gibt da sicher noch genügend weitere Beispiele.

Firewall (Marke iptables) sind in der Regel in folgenden Situation sinnvoll:

- Hardware-Basiert auf eine externen Maschine
- Zu Statistikzwecken, iptables kann schön Traffic protokollieren
- Als Router etwa zwecks NAT/Forwarding
- usw

Aber bestimmt nicht sinnvoll in deinem Fall. Du sprichst eher von Security by Obscurity, das bringt dir aber keine Sicherheit, sondern nur trügerische Sicherheit. Mit anständigen Log-Auswertern, bzw. Tools in Richtung "snort", filtern dir die Bot-Wörterbuch-Attacken auf Wunsch direkt raus. Was übrig bleibt, ist das wichtige.

Gruß
dtdesign

[franki]

Lässt sich auch nur ein Erreichbarer Service Missbrauchen, ist die firewall binnen weniger sekunden ohnehin ausgeschaltet.

Alles was dir die Firewall ala Paketfilter bringt, ist ein ggf. zeitlicher vorteil von wenigen Sekunden.

Also dazu müßte der Angreifer doch erstmal Rootrechte erlangen. Wenn er mit den Rechten des Apache-Benutzers auf die Maschine kommt, hat er die noch lange nicht - auf keinen Fall innerhalb von Sekunden. Ich sehe das ähnlich wie dante77.

Gruß von Franki.

[franki]

Solche Perlskripte hatten wir uns vor ca. 2 Jahren auch eingefangen. Meinen Beobachtungen nach laufen die aber lange (Tage und länger) und machen sich durch eine hohe Prozessorlast bemerkbar - daran sollte man merken, das was faul ist. Also zumindest der Aussage 'binnen weniger Sekunden' möchte ich widersprechen.

Gruß von Franki.

[franki]

Und was haben die Perlscripte genau gemacht?
Bitte keien spekulationen. Und nur weil Du es nicht kannst, solltest Du nicht glechsam andere als ebenfalls langsam und ungeschickt einstufen.
Ein "guter Hacker" (der also sein Handwerk versteht) wird nicht auffallen. alles andere sind eher Diletanten, die sich irgendwo mal was herunter geladen haben.

-> Sich Root Rechte zu verschaffen ist Sekundenarbeit.
Die Scripte, wenn Sie denn solche Last erzeugt haben sind sicherlich direkt zu Angriffen DOS Attacken auf andere Systeme verwendet worden.

Und sicher nicht um Rootrechte zu erlangen.


Gruss Matthias

Ich hatte damals gegoogelt nach den Namen der Skripte und da kam raus, das die dazu da waren, sich Rootrechte zu verschaffen. Wir waren natürlich nicht die einzigen Betroffenen.

-> Sich Root Rechte zu verschaffen ist Sekundenarbeit.

Das diese Aussage wahr ist, bei dem Paßwort, das ich verwende, will ich wirklich nicht hoffen, das würde mein Vertrauen in Linux nachhaltig erschüttern. Aber den Wahrheitsgehalt dieser Aussage beweisen oder das Gegenteil beweisen kann ich nicht, da hast Du Recht (wer kann das schon??).

Gruß von Franki.