Hallo Michael, At 29.01.2002, Michael Pahle wrote: > Am Dienstag, 29. Januar 2002 19:09 schrieb Guido Hennecke: [...] > > Dann reicht es eigentlich, wenn Du einkommende TCP Pakete und ohne ACK > > und FIN Bit rejectest. Oder bietest Du auch UDP Dienste an? > So ähnlich steht das auch in den Dokus, die ich mir bis jetzt reingezogen > habe. Nur kann ich mit '...wenn Du einkommende TCP Pakete und ohne ACK > und FIN Bit rejectest' rein garnix anfangen. Ich habe mich auch verschrieben. Bei TCP hast Du ein verbindungsorientiertes Protokoll. Jede Verbindung wird mit einem Handshake initialisiert. Einen TCP Dienst auf deinem Rechner kann jemand nur nutzen, wenn er ein TCP Paket mit gesetztem Syn Bit _und_ one Fin oder Ack Bit gesetzt hat. Wenn Du also Pakete verbietest, die das Syn Bit, nicht aber ein Ack oder Fin Bit gesetzt haben und welche ueber dein externes Interface herreinkommen, dann kann keine Verbindung zu einem TCP Dienst (wie FTP, Telnet, SSH, HTTP etc.) ausgebaut werden. Bleiben noch die anderen Protokolle auf der selben Schicht wie TCP. Zum Beispiel UDP. Allerdings geht man nicht so an die Sache ran, dass man einen schlecht konfigurierten Rechner im Internet stehen laesst und meint, ein Paketfilter koenne das Problem loesen. Zu allererst muss man den Rechner und die dort laufenden Dienste richtig konfigurieren. Also, wenn Du keinen Webserver anbieten willst, dann deinstalliere ihn. Willst Du ihn nur im internen Netz anbieten, dann installiere ihn auf einem internen Rechner oder konfiguriere ihn so, dass er nur auf dem internen und nicht auf dem externen Interface horcht. Erst wenn Du das mit _jedem_ bei dir installierten Dienst gemacht hast, kann man darueber nachdenken, was man noch alles tun kann. Nicht umgekehrt. > > Vor einem Paketfilter sollte die korrekte und sichere Ko0nfiguration > > deiner Rechner kommen. > Auf den Clients ist zwei mal WinME mit FreeAntivir und Netscape/Opera und ein > mal Debian Sid mit Mozilla/Opera. Sei mir nicht boese, aber das ist nicht sehr aussagekraeftig. Ein Paketfilter kann nicht vor trojanischen Pfernden und Viren, Wuermern und sonstigem Getier schuetzen. Wichtig ist auch die Konfiguration der eingesetzten Software. Sachen wie JavaScript, Java, ActiveX, gehoeren auf jeden Fall abgeschaltet. Ebenso Flashplugins, der WindowsScripting Host und viele viele andere Sauerein, die man so defaultmaessig auf einer Windowsschleuder vorfindet. Ein Paketfilter ist aber auch nur _Teil_ einer Firewall. Ein komplettes Sicherheitskonzept, welches auch die Clients umfasst, gehoert genauso dazu, wie Backups. Windows ist per se nicht als sicher zu betrachten (das ist kein Bashing). Es ist nichtmal ueberpruefbar, was Windows genau macht. Und genau das ist auch das Problem mit Closed Source. In der Konsequenz wuerde dass heissen, dass Rechner in deinem Netzt, auf denen Closed Source Software installiert ist, ebenso als unsicher zu betrachten sind, wie Rechner, die bekanntermassen unsicher sind (zum Beispiel, weil das Toechterlein auf ihrem Rechner machen darf was sie will und so natuerlich auch schnell Viren etc. versehentlich einschlaeusen kann. Btw.: Virenscanner sind kein effektiver Schutz gegen Computerviren. Wenn Du Glueck hast, wirst Du erst mit einem Virus Bekanntschaft machen, wenn dein Virenscanner den schon kennt. Wenn Du Pech hast, kennt er ihn nicht und Du hast eben Pech gehabt. Das hat nichts mit Sicherheit zu tun, sondern mit Gluecksspiel. > > Wenn Du nicht willst, dass $DIENST von aussen genutzt wird, so bietet > > man diesen Dienst eben nicht aussen an. Dazu braucht man keinen > > Paketfilter. > Alles, was ich weiß, ist, daß bei mir eigentlich alles offen ist :( Dann fange erstmal damit an, alle Dienste zu deaktivieren, die Du nicht kennst. Kennst Du einen Dienst, der bei deinem Rechner angeboten wird nicht, ist die Wahrscheinlichkeit recht gross, dass Du den Dienst nicht brauchst. Wenn Du ihn wirklich nicht brauchst, deinstalliere gleich das ganze Paket. Bei den Diensten, die Du benoetigst, kommst Du nicht drumrum, anhand der Doku herrauszufinden, wie man die richtig und fuer deine Zwecke sicher konfiguriert. > > > Für's Homebanking muß irgenwie der Port 3000 bei Bedarf offen sein. > > TCP? UDP? > Wenn ich das wüßte... Ich habe ein TCP-Netzwerk und gehe mit der T-Online 4.0 > über DSL raus. Du hast ein IP Netzwerk. Auf IP wird TCP, UDP und noch andere Protokolle gefahren. > > Ist die ueberhaupt sicher? > Lt. T-Online, ja. Ich kann das nicht überprüfen. Also musst Du es (vom Sicherheitsstandpunkt her) entweder glauben (vertrauen!) oder als unsicher ansehen. Wie Du dich da entscheidest, ist deine Sache. Ich persoenlich benutze fuer Onlinebanking nur bekannte und offene Standards. Meine Bank (Postbank) bietet dazu ein sehr gutes Webinterface ueber https (128 Bit Verschluesselung) an, welches ohne JavaScript, Java, Cookies oder gar externer Software funktioniert. Dem kann ich persoenlich vertrauen. Einer propritaeren Software wuerde ich nicht trauen. > > Da fehlen die Grundlagen. Besorg dir ein gutest Buch zum Thema TCP/IP > > und ich empfehle noch: > Danke, guck ich mir mal beim nächsten Stadtbesuch an! http://www.lob.de/ (Du badest gerade deine Haende darin ;-) ) > > > Gut, es gibt auch einige vorgefertigte Scripts, die man seinen > > > Bedürfnissen anpassen kann (wenn man kann!) > > Ja, die gibt es. Sogar von SuSE. Aber das bringt dich nicht weiter. > Sag ich doch. Ja, sie bringen dir alleine deshalb schon nichts, weil Du damit genauso da stehst, wie mit einem selbstgebastelten Script, welches Du nicht richtig verstehst. > > ist auch nichts fuer Anfaenger (nein, ich bin nicht arrogang - das ist > > nunmal so). > Was hat den das mit 'arrogant' zu tun? Nicht selten bekommt man auf solche oder aehnliche Aussagen Dinge wie "Du arrogantes Arschloch meinst wohl, Du waerst ein Held, ich kann aber auch voll konkret krass sichere Firewalls bauen!" an den Kopf geworfen. > >> Das liegt wahrscheinlich an mir, da überall immer wieder behauptet wird, > >> wie einfach das denn sei. > > Wer behauptet sowas? > Ich erhielt diverse Ratschläge und auch im Internet stulperte ich immer > wieder über diese Aussage Wenn Du sagst, Du moechtest Masquerading machen und hast Linux 2.4.x und ein internes Netz "192.168.0.0/24" und dies und das Netzwerkinterface, dann ist es fuer jemanden, der weiss, wie es geht, leicht dir zu sagen, wie man das Masquerading einrichtet. Wenn Du frast, wie filtert man mit ipchains alle eingehenden TCP Pakete mit gesetztem Syn Bit aber ohne Ack oder Fin Bit aus, so ist das auch leicht (ipchains -A input -i <externes Interface> -p 6 -y -j REJECT). Aber wenn es darum geht, ein komplettes Konzept zu erarbeiten und das technisch auch umzusetzen, so ist das alles Andere als leicht. Auch fuer einen Profi immer wieder eine Herrausforderung. Und damit haben wir auch gleich beschrieben, was eine Firewall ist. Eben nicht einfach, wenn man ein paar iptables Regeln in die Tastatur hackt. > > Die manpage dazu und die mitgelieferte Doku ist zu einem grossen Teil > > recht einfach. > In englisch, gelle? Meist ja. Wenn Du nicht bereit dazu bist (aus Faulheit, Zeitmangel, Dummheit, fehlendem Interesse, was weiss ich), dann ist mein Rat: Lass es. Lass es jemanden machen, der sich damit auskennt. Ansonsten finde dich bitte mit dem Gedanken ab, dass Du mit der englischen Doku leben musst. Auch hier geht kein Weg daran vorbei. > Jou! Ich kann zwar englisch, aber Dokus lesen... Also > wenn ich die deutschen nicht mal kapiere, wie soll ich dann die enlischen > übersetzen und kapeiren können. Kann es sein, dass Du nur solche Probleme hast, weil Du von der falsachen Seite anfaengst? Erst die Firewall und dann die Grundlagen? > Ich lese ewig an englischen Dokus und dann > verläßt mich der Ehrgeiz :( Fang mal mit einem Buch ueber TCP/IP an. Dass hier bitterste Grundlagen fehlen, konnte ich aus einigen deiner Aeusserungen schon erkennen. Wenn Du die nicht drauf hast, ist es voellig sinnlos, sich mit Paketfiltern und Netzwerken zu beschaeftigen (IP Netzwerken). > Danke, für deine ausfühliche Mail :) Gern geschehen. Wir sind hier nicht mehr OnTopic. Was tun? Ins Usenet (de.comp.security.firewall) oder private Email oder hier weiter machen? Gruss, Guido -- Irgendjemand von SuSE schrieb: "We will not offer a fully installable evaluation version of SuSE Linux, as too many people damaged their MS-windows partition with it." Quelle: http://www.linuxiso.org/news.html
Attachment:
pgpHkchq84Asl.pgp
Description: PGP signature