Paketfilter auf Vserver

[p17]

Hallo,
auf meinem Vserver habe ich einen iptables Paketfilter aufgesetzt. Man will ja schliesslich sicher sein. :?
Jetzt ist mir aufgefallen, dass, wenn ich Pakete zu einem bestimmten Port droppe, ein Scan mit nmap "filtered" ausgibt. Wenn ich den Zielport aber auf "ACCEPT" setze, gibt nmap "closed" aus. Wenn ich jetzt wie ein Cracker denke, würde mich eine "filtered" Ausgabe doch erst recht dazu veranlassen, den Host näher zu untersuchen, denn da hat bestimmt jemand was zu verbergen.
Frage:
In wie weit ist denn ein Paketfilter sinnvoll bzw. ist der Host evtl ohne sicherer? Ich bin kurz davor, das iptables-script umzuschreiben, und nur eine Blacklist gegen XSS und SQL-Injection Attacken aus China oder Russland auf Port 80 zu setzen, und ansonsten alles auf "ACCEPT" zu lassen.
Ich würde gerne eure Meinung hören.

Danke!

[daemotron]

Schau Dir mal im Sicherheits-Unterforum die Stickies an (insbesondere Nr. 1 und 3). Paketfilter und ihre Wirkung sind schon häufiger diskutiert worden, und immer sehr... kontrovers.

[p17]

Danke für den Link.
Ich habe jetzt erstmal alles auf ACCEPT gesetzt, eine Blacklist auf Port 80 (DROP und LOG), und der Rest wird einfach nur geloggt, damit ich weiss, was vor sich geht und ich dann entsprechend reagieren kann.

[gierig]

Kopfschüttel.

Man will ja schliesslich sicher sein...

Ich habe jetzt erstmal alles auf ACCEPT gesetzt...

von der (Un)Sinnhaftigkeit mal abgesehen (dazu gibt es hier schon mehr als genügend Beiträge)

Drop oder Reject

Wenn du nur Blocken willst kann das dein httpd mitsicherheu (und das auch Perfomanter, als auf einem Vserver noch mit Iptables
aufzurüsten)

[p17]

Versteh doch. Mein sshd läuft nicht auf dem Standardport, und ich möchte nicht, dass ein nmap Scan auf Port 22 "filtered" ausgibt, sondern "closed". Wozu soll ich Ports blocken bzw. rejecten, auf denen eh nichts lauscht?

[Roger Wilco]

Versteh doch. Mein sshd läuft nicht auf dem Standardport, und ich möchte nicht, dass ein nmap Scan auf Port 22 "filtered" ausgibt, sondern "closed".

Dazu musst du den Paketfilter einfach komplett abschalten.

Wozu soll ich Ports blocken bzw. rejecten, auf denen eh nichts lauscht?

Das fragen wir uns auch...

[p17]

Das fragen wir uns auch...

..werde aber genau deswegen jetzt schräg angemacht.

[Roger Wilco]

..werde aber genau deswegen jetzt schräg angemacht.

Ich zitiere mal aus deinem ersten Beitrag in diesem Thread:

Jetzt ist mir aufgefallen, dass, wenn ich Pakete zu einem bestimmten Port droppe, ein Scan mit nmap "filtered" ausgibt. Wenn ich den Zielport aber auf "ACCEPT" setze, gibt nmap "closed" aus.

Das haben alle angeprangert. Warum überhaupt einen Paketfilter einsetzen, wenn du eh alles auf ACCEPT setzt...

[p17]

Das haben alle angeprangert. Warum überhaupt einen Paketfilter einsetzen, wenn du eh alles auf ACCEPT setzt...

Gut.
Weil ich eine "Blacklist" führe, die komplette IP Ranges Dropt. (China, Russland,...), wobei die Default Policy ACCEPT ist.
Ausserdem habe ich eine Logging Regel, weil ich doch gerne wüsste, was so alles vor sich geht.

[gierig]

Ich wiederhole mich gerne.

Du Dropst. Das ist nicht die feine art und zeigt das da was hintersteckt. Den Normaerweise gibt ein ICMP3 oder einen TCP Rst
zurück (je nach Protokol). Sorge dafür dein geraffel sich anständig verhält uns alles ist gut (aus deiner Sicht).

Was war nochmal der Unterschied zwischen Reject und Drop ?

Das KernProblem "iptables" bleibt aber denoch bestehen. Du Benutzt für eine einfache Blockliste
eine mächtige und böse Waffe. ".htaccess" "deny" und "allow" sollten eigentlich von allen wichtigen httpd unterstützt werden.
und sorgen schön dafür das IP Adressen da nicht drauf dürfen und logs sind meist auch schon mitdabei.

[p17]

Ja, hast Recht.

Code: Select all

REJECT  --reject-with icmp-port-unreachable

scheint wirklich die bessere Wahl zu sein. Wobei die iptables nur eine Notlösung sein sollte, bis ich dem Apache das Blocken bestimmter HTTP Requests beigebracht habe. Aber dazu mehr im nächsten Thread. ;)

[rudelgurke]

Hmm - warum denn nicht die Zeit in mod_security investieren ? IP Blacklists bringen vielleicht in den Zeiten von Proxies, Privatrechnern oder kompromitierten Servern nicht viel.

[p17]

warum denn nicht die Zeit in mod_security investieren ?

Das habe ich mittlerweile auch. Bin damit auch sehr zufrieden. Die Iptables-Lösung war auch nur ein "workaround" bis ich die mod_security Rules verstanden hatte. ;)