Re: Sicherheitskonzept eines neuen Servers
Gruesse!
* Ace Dahlmann <ace@hs-media.net> schrieb am [21.11.05 11:38]:
> Hallo zusammen,
>
> die Mail von Harald Tobias brachte mich auf die Idee, meine Ideen für
> einen neuen Server hier mal zu posten...
>
> - Von außen möchte ich per DynDNS auf den Server kommen.
>
> Für die internen Dienste ist das obige ja zunächst alles kein Problem.
> Ich würde allerdings sehr gerne von außen auf den Rechner (am Liebsten
> per SSH) zugreifen können, um z.B. via Shell und Mutt meine Mails zu
> lesen (Ich halte das für sicherer als den IMAP-Server auch nach außen
> hin freizugeben. Oder?)
Würde ich auch so sehen. Wenn dir die Möglichkeiten per Shell in deinem
chroot`den Zugang ausreichen ist das sicher besser und einfacher, als
von einem (fremden?) Rechner per MUA, der ja erst konfiguriert werden
muß, zuzugreifen.
> Zunächst mal werde ich zwei NICs einbauen, um die Ports schön nach
> Interfacce zu trennen.
Hält die externe NIC die Verbindung zum Provider-Gateway oder ist noch
ein Router zwischengeschaltet? Ich gehe aber von ersterem aus. Auf
jedenfall vernünftig.
> Den SSH würde ich zum einen
> - über sshdfilter (http://www.csc.liv.ac.uk/~greg/sshdfilter/)
> absichern,
> - zum anderen nur für meinen Benutzer erlauben,
Und überlegen AUTH nur per Key zuzulassen und Passwort-Auth zu disablen.
> - einen anderen Port als 22 nehmen und
Hält nur die Logs kleiner und die Kids fern, Profis nicht. Und die sind
am gefährlichsten.
> - außerdem in einem Changeroot (in meinem Home) laufen lassen.
So erhälst du halt lediglich die Möglichkeit, Daten und Dienste in
diesem jail zu nutzen. Wenn dir das langt, ok. Aber jeder Versuch
deinerseits dir "irgendwie" ein Türchen aufzumachen kann auch von
anderen genutzt werden.
> (Alternativ würde mich interessieren, ob jemand eine Möglichkeit (außer
> Portknocking) kennt, um den Port auf Demand freizugeben - z.B. über
> ISDN-Einwahl).
Mit xringd ist da sehr gut etwas zu machen. Hat die gleichen
umfangreichen Möglichkeiten wie portknocking (halt "Tonsequenzen" statt
knock key), dafür brauchst du halt nur ein Telefon/Modem/... als Client.
> Der SSH-Port soll zunächst als einziger Port nach außen hin offen sein,
> alles andere wird über die andere NIC nur nach innen freigegeben -
> alles per iptables; für die Konfiguration dessen werde ich bastille
> nehmen.
Wie du es ansprichst und auch weißt: der "internen" Absicherung (auch
der angeschlossenen Clients) ist mindest genausoviel Aufmerksaamkeit zu
schenken wie du es nach außen ins Badland betreiben willst - eher mehr.
> (Wäre es ggf. auch sinnvoll, zwei sshds laufen zu lassen - einen intern,
> einen extern - oder eher lieber nicht?)
Ich würde v.a. darauf achten, nicht den Überblick zu verlieren - nichts
ist schlimmer als ein Sicherheitskonzept (verzahnt über meherer Ebenen),
bei denen du in einem halben Jahr nicht mehr weißt, was wann wo
passiert.
Der beste Schutz ist immer noch Abschalten statt Absichern. Kein Port =
kein Angriff.
> Außerdem wird man per SSH nur AUF den Server kommen, aber nicht davon
> weg, kein interner Rechner wird einen SSH-Port offen haben.
Trügerisch. Es gibt sicher "bessere" Möglichkeiten Rechner _im_ LAN zu
capturen als ein sshd.
> Den potentiellen Apache würde ich ebenfalls in einem Changeroot laufen
> lassen. Falls Ihr aber der Meinung seid, dass ein Apache - trotz
> Changeroot - für den Server viel zu unsicher wäre, werde ich von der
> Idee ablassen; so wichtig ist er mir dann auch nicht.
Dann laß ihn weg, wenn du ihn nicht _brauchst_. S.o.: kein Dienst = kein
Angriff.
> Außerdem werde ich mir zu Überwachung der Logs irgendein IDS-Tool
> heraussuchen. Irgendwelche Empfehlungen?
Hm, nur Vorsicht bei diversen IDS, daß die NICs nicht in den promiscuous
mode geschaltet werden. AFAIK würdest du damit deine physikalische
Trennung der Netze angreifbar machen.
> So...
>
> Was haltet Ihr davon? Was habe ich vergessen? Was sollte ich lieber
> nicht oder lieber anders machen?
Deine Überlegungen sind IMHO ganz ausgereift. Ich würde lediglich, wie
oben angesprochen, darauf achten daß _du_ (jetzt und später) jederzeit
verstehst Was Wie und Warum passiert. Vor allem wenn du verschiedene
externe Konzepte einsetzt. Also lieber _ein_ gutes Schloß an der Tür als
15 verschiedene. Während du da nämlich noch am dicken Schlüsselbund
kramst hat schon längst jemand die Klinke gedrückt.
Wenn nach außen nur ein (chroot) sshd lauscht, mit starker Passphrase
oder Schlüssel, dann kann dein Rechner nicht gehackt werden. Punkt.
Und fange jetzt schon an, die Möglichkeiten/Umgebungen zu schaffen, dein
Sicherheitskonzept auch auf jeder Ebene zu testen. Hack yourself ;-)
> Bis dann erstmal,
> --
> Best regards...
> Ace Dahlmann
Gruß
Gerhard
--
Don't drink and root!
Reply to: