[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sicherheitskonzept eines neuen Servers

Gruesse!
* Ace Dahlmann <ace@hs-media.net> schrieb am [22.11.05 10:38]:
> Hi!
> 
> > Sinnvoll als Sicherheit auch, um z.B. _vom_ LAN nur bestimmte Dienste
> > z.B. zum Server bzw. ins Internet zuzulassen. Wichtig IMHO weil z.B.
> > vermehrt Trojaner über "legale" Dienste (mail) ins LAN geschleppt
> > werden. Und wenn jetzt die FW so konfiguriert ist: von Innen nach
> > außen alles erlauben, dann gute Nacht. Obwohl wir von außerhalb ja nie
> > angreifbar waren...
> 
> Hat da jemand ein paar Beispiel-Ports (oder eine HowTo), die man ruhig
> nach außen hin sperren sollte?

Die bessere Strategie wäre zu fragen, welche Ports man öffnen sollte.
Und generell erstmal alles andere zu verbieten. Und was _du_ öffnen
willst kannst eigentlich nur du wissen.

Du wirst sicher, wenn du das harden bzw. secure Manual durcharbeitest,
auf den Punkt stoßen nicht benötigte laufende Dienste abzuschalten oder
zumindest an ein bestimmtes Interface zu binden.

Das würde auf dem Server für oben gesagtes bedeuten, sowohl für Input
als auch für Output/Forward:

Rufe auf dem Server:
netstat -tulpen
auf. Das sind sowohl für udp als auch tcp laufende lauschende Dienste.
Wichtig sind jetzt diese Dienste, die an allen Interfaces lauschen, die
also bei Local Address 0.0.0.0 bzw. ::: haben. Diese gilt es jetzt bei
Nichtgebrauch abzuschalten oder wenn möglich per Konfig an das
gewünschte IF zu binden.

Für die Dienste, die danach noch übrigbleiben, also bei denen es nicht
möglich ist sie an ein bestimmtest IF zu binden, dafür wäre dann eine
Zugriffsregelung per iptables notwendig. NTP ist so ein Fall.

Zu oben: du könntest aus dem LAN z.B. nur smpt, imap(s),nfs, smb zum
Server hin zulassen, weil _du_ weißt: das sind die Dienste, die meine
Clients nutzen und die auf dem Server laufen. Alles andere verbieten.
Und zum/mit dem Router genauso verfahren (halt die Dienste, die du im
Internet nutzen willst). Das würde es einem Schadprogramm aus dem LAN
unmöglich machen, sich mit dem Server bzw. dem Badland zu verbinden.
Außer, es würde Protokolle nutzen die du freigegeben hast (z.B. http).
In diesen Fällen hilft sowieso nur ein IDS, was sich auch den Inhalt der
Pakete anschaut.

Alles andere, was dann jetzt oder in Zukunft nicht geht, und was dann
geloggt werden kann, das kannst du dann nach eigenem Ermessen öffnen.

Aber das ist wie gesagt, nur ein Teil eines mehrstufigen
Sicherheitskonzeptes. Man sollte da zum einen nicht zu paranoid sein und
dem Einfachen den Vorzug vor dem Komplizierten geben. Also lieber
abschalten statt regeln, lieber alles verbieten und nachträglich öffnen
als umgekehrt.

> Best regards...
> Ace Dahlmann

Gruß
	Gerhard

-- 
HAL is running Windows...
Reply to: