[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sicherheitskonzept eines neuen Servers

On 22.11.05 12:21:39, Felix M. Palmen wrote:
> Hallo Andreas,
> 
> * Andreas Pakulat <apaku@gmx.de> [20051121 12:15]:
> > > Der SSH-Port soll zunächst als einziger Port nach außen hin offen sein,
> > > alles andere wird über die andere NIC nur nach innen freigegeben -
> > > alles per iptables; für die Konfiguration dessen werde ich bastille
> > > nehmen.
> > 
> > ?? Wieso iptables? Lass die Dienste nur auf der internen NIC lauschen,
> > das ist deutlich sicherer als irgendwelche iptables Basteleiein. 
> 
> Falsch.

IMHO nicht, aber s.u.

> Wo letztendlich das Paket aufgehalten wird ist egal, das heißt
> zunächst einmal sind beide Vorgehensweisen gleich "sicher".

Wenn der Dienst nicht angeboten wird, wird das Paket nicht aufgehalten,
es laeuft ins Leere. Bzw. wird wohl der Kernel ein entsprechendes
Antwortpaket generieren. Wenn du aber iptables verwendest um alle
Anfragen auf Port X abzublocken, musst du dir sicher sein dass 

1. iptables kein Sicherheitsloch haben
2. Deine Regeln alle korrekt sind

Und schliesslich auch das der Kernel IP-Kram kein relevantes
Sicherheitsloch hat, das aber gilt natuerlich auch fuer die Abschaltung
eines Dienstes.

> Wenn man sich allerdings nur auf die Kponfiguration der einzelnen
> Dienste verlässt ist das wesentlich fehleranfälliger,

?? Wieso ist das fehleranfaellig? Ich schalte den Dienst ab, bzw. lasse
ihn nur auf IP X Port Y lauschen. Verstehe ich nicht.

> jeder hat eine andere Syntax

Mit der Konfiguration der zu installierenden Dienste muss man sich eh
beschaeftigen, fuer einen oeffentlichen Server reicht ein apt-get sshd
oder apt-get apache einfach nicht. Da muss man schon etwas mehr Zeit
investieren.

> und es gibt sogar welche, die sich überhaupt nicht beschränken lassen.

Das ist etwas vollkommen anderes und das Beispiel ntp wurde ja schon
genannt. Hier ist es natuerlich sinnvoll die Kommunikation zu dem ntp
mittels iptables zu beschraenken.

> Man macht also am besten beides (richtige Konfiguration der einzelnen
> Dienste UND Paketfilter).

Wenn ein Paketfilter notwendig wird, klar. Aber wieso soll ich den
nutzen wenn ich ihn nicht brauche? Das Sicherheitskonzept sollte zwar
alle Risiken abdecken, aber nicht mehr damit es uebersichtlich bleibt...

> Die weit verbreiteten Vorbehalte gegen Paketfilter liegen eher in
> sogenannten "Firewalls" für Windows begründet,

Die Windows-Firewalls sind sowieso Humbug, aber das hat nichts mit der
Tatsache zu tun, dass es besser ist einen Dienst nicht anzubieten als zu
versuchen mittels Paketfilter den Zugriff darauf zu beschraenken.

Ich hab auf meinem Router auch keine Dienste aufs Externe Interface
gelegt, und iptables dient einzig und allein dazu aus dem LAN heraus die
Windows-Kommunikation ins Internet zu blocken, sowie das Masquerading
durchzufuehren.

> Linux Netfilter dagegen funktioniert genau wie beschrieben und
> verspricht nichts Unsinniges, den Einsatz kann man nur empfehlen.

Wie gesagt: Wer einen Paketfilter braucht, soll ihn nutzen. Aber wenn
man die Sicherheit des Servers ohne Paketfilter auf demselbigen
"sicherstellen" kann, dann besteht keinerlei Grund einen einzusetzen.

Andreas

-- 
You never know how many friends you have until you rent a house on the beach.
Reply to: