Hallo Wolfgang, Wolfgang Jeltsch, 11.12.2004 (d.m.y): > ich bin immer davon ausgegangen, dass ich alle Ports, über die ich keine > Dienste nach außen anbieten will, mittels iptables dicht machen sollte, Nein: DU solltest zunaechst mal sicherstellen, dass Du ueber diese Ports auch keine Dienste nach aussen hin anbietest. Dann sind sie schonmal automatisch "zu". > und > zwar, indem ich mittels Connection-Tracking alle eingehenden Pakete mit > Status NEW ausfindig mache und diese zurückweise. > > Wenn ich jetzt von den Paketen, die Services anbieten, nur die installiere, > deren Dienste ich nach außen bereit stellen will, (z.B. ssh und apache) und > außerdem > update-inetd -remove discard > update-inetd -remove daytime > update-inetd -remove time > ausführe, komme ich ja nur über die Ports an den Server ran, von denen i > ich das auch will (in meinem Beispiel 22 und 80). U.U. kannst Du den inetd ganz abschalten. > Bringt es in diesem Fall > zusätzliche Sicherheit, die anderen Ports mittels iptables gemäß oben > beschriebener Methode abzuriegeln? Wenn auf den "zu schuetzenden" Ports kein Dienst lauscht, dann kannst Du die iptables-Regeln IMO auch etwas einfacher gestalten und pauschal alle zu "schuetzenden" privilegierten Ports (<=1024) sperren - ohne Auswertung des Connection Tracking. Die Ports >1024 kannst Du dann ja nur fuer einer von Deiner Maschine ausgehenden Verbindung (ESTABLISHED, RELATED) angehoerige Pakete oeffnen. > Wenn ja, als wie schlimm ist es einzustufen, wenn ich das nicht mache? Ich halte es fuer tragbar: Wo nichts ist, kann man auch nichts exploiten. Deshalb stellt der Paketfilter generell nur eine Art "zweite Sicherungsschicht" dar... Gruss, Christian Schmidt -- Wie man sein Kind nicht nennen sollte: Theo Dorant
Attachment:
signature.asc
Description: Digital signature