Re: fremder auf meinem rechner

To: debian-user-german@lists.debian.org
Subject: Re: fremder auf meinem rechner
From: Roland Kruggel <rkruggel@gmx.de>
Date: Tue, 3 Dec 2002 11:27:51 +0100
Message-id: <[🔎] 200212031127.51313.rkruggel@gmx.de>
Reply-to: rkruggel@gmx.de
In-reply-to: <[🔎] 87y9786oxb.fsf@msgid.hades.mathematik.uni-ulm.de>
References: <200211201618.22037.rkruggel@gmx.de> <[🔎] 200212020801.04697.rkruggel@gmx.de> <[🔎] 87y9786oxb.fsf@msgid.hades.mathematik.uni-ulm.de>

Hallo gerhard,

habe deine mail mit sehr viel interesse gelesen und gebe dir in einigen 
punkten auch recht, aber einiges sehe ich etwas anders.

> > ein firewall benötigt. du glaubst gar nicht was der 'einbrecher'
> > bei mir für einen schaden angerichtet hat.  ich kann nur empfehlen,
> > rechner IMMER mit firewall. es gibt einfach zu viele böse buben.
>
> Wie ist der Eindringling in deinen Rechner gekommen?

Er ist warscheinlich über den port 137 gekommen. der Samba Server war da 
das schlupfloch.

> Was hattest du alles an Diensten am laufen? Wieso hattest du diese am
> laufen, hast gewußt das sie laufen?

Es laufen so einige dienste. Samba, nfs, apache, dhcp, dns... Ich kann 
die diesnste aber auch nicht abschalten. ist halt ein server.

> Versuche diese Fragen zu beantworten, und du wirst der Ursache für
> dein Problem nahe kommen. Es läßt sich vermutlich auf mangelnde
> Sorgfalt bei der Konfiguration der Dienste zurückführen.

Sorgfältig konfiguriert sind alle dienste. Jedoch hatte/habe ich 
schlupflöcher in meiner konfiguration. Nicht aus 'böswilliger absicht', 
ehr aus unwissenheit. Bspl. Samba läuft nur auf meinem internen Netz 
(interface = 192.168.1.1/255.255.255.0), hatte es jedoch nicht 
aktiviert (bind interface only = yes). ich wusste es einfach nicht.

> Jetzt verwendest du eine Firewall (eigentlich ist es ein Paketfilter)
> um dieses Problem zu lösen. Du übersiehst aber das ein Paketfilter
> nicht dazu da ist, schlecht konfigurierte Systeme zu kaschieren.

das ist wohl richtig.

> Um diesem Problem beizukommen sollte man zuerst nachdenken, welche
> Dienste man im anbieten will. Dann denkt man darüber nach, ob diese
> Dienste nur im lokalen Netz angeboten werden sollen, oder auch im
> Internet.

meine dienste werden alle nur lokal angeboten. deshalb kann ich die 
firewall ja auch sehr dicht machen.

> Wenn man diese Fragen beantwortet hat, schaltet man alle nicht
> benötigten Dienste ab (indem man zB die dazugehörigen Programme
> deinstalliert). Die anderen werden gemäß der Vorgaben konfiguriert,
> also man sorgt zB dafür das Dienste die nicht im Internet angeboten
> werden sollen, nicht am entsprechenden Interface lauschen. Zusätzlich
> konfiguriert man die Zugangsberechtigung zu diesem Dienst möglichst
> restriktiv. Letzteres gilt selbstverständlich für Dienste die im
> Internet angeboten werden sollen.

da gebe ich dir auch recht. ist bei mir auch so geschehen. alles (fast 
alles) was nicht benötigt wird ist überhaupt nicht auf meinem server 
vorhanden. Das gleiche gilt auch für die workstation.

> Wenn eine Software die Beschränkung auf einzelne Interfaces nicht
> anbietet, sollte man sich zuerst nach Alternativen umsehen, die
> dieses Feature anbieten. Sollte man keine finden könnte ein
> Paketfilter zum Einsatz kommen. Allerdings sollte man den Dienst so
> konfigurieren, daß er auch ohne Paketfilter kein Scheunentor
> darstellt.

auch richtig. ein scheunentor habe und hatte ich auch nicht. den 
'einbrechter' hat auch ein schlupfloch genügt.

> Wenn man Dienste im Internet anbietet empfiehlt es sich
> *dringendstens* eine der einschlägigen Security Mailinglisten zu
> abonnieren. Im Fall von Debian sollte es mindestens debian-security
> sein.

ok. aber ich biete nix im internet an.

> Wie du siehst, wenn jemand keinerlei Dienste anbieten will, und dies
> auch nicht tut, braucht er eine Firewall genau so nötig wie ein
> Hühnerauge am Fuß (der X-Server kann auch mit dem Parameter -nolisten
> tcp aufgerufen werden, damit er nicht am Netz lauscht).

da muß ich dir auf das schärfst widersprechen. wenn dienste laufen, und 
ich rede hier nicht von stand allone workstations sonder von servern, 
sind immer löcher möglich. wenn meine firewall/paketfilter alle 
unnötigen ports sperrt und das system noch vernünfig konfiguriert ist 
ist die sicherheit einfach größer. es schadet ja nicht. warum wird 
sonst soviel entwicklungsenergie in iptables gesetzt?

> Wenn jemand Dienste im Internet anbieten will, hat er bestimmt kein
> Interesse diese via Firewall zu sperren.

das ist schon klar.

> Im wesentlichen kann man sagen, daß auf einer Workstation keine
> Firewall (oder Paketfilter) benötigt werden.

solange diese nicht im internet ist - ja.

> Denn merke: Eine Firewall ist ein Konzept zur Trennung von Netzwerken
> und eine Workstation ist kein Netz.

jaja. s.o.

> bye Gerhard

cu

-- 
Roland Kruggel		mailto: rkruggel@gmx.de
System: AMD 1200Mhz, Debian 3.0 testing, 2.4.19, KDE 3.0.4

Reply to:

Follow-Ups:
- Re: fremder auf meinem rechner
  - From: Peter Blancke <blancke@gmx.de>

References:
- Re: fremder auf meinem rechner
  - From: Roland Kruggel <rkruggel@gmx.de>
- Re: fremder auf meinem rechner
  - From: Gerhard Schromm <gerhard.schromm@student.uni-ulm.de>

Prev by Date: Re: SuperTrak100 und normale IDE
Next by Date: Re: Programmausführung via ssh
Previous by thread: Re: fremder auf meinem rechner
Next by thread: Re: fremder auf meinem rechner
Index(es):
- Date
- Thread