Hallo Thomas, Thomas Antepoth, 25.03.2006 (d.m.y): > On Sat, 25 Mar 2006, Wolfgang Jeltsch wrote: > > > Damals erkundigte ich mich auf dieser Liste, was ich am besten machen sollte, > > und mir wurde gesagt, dass es unsinnig ist, Zugriffe auf Ports, die sowieso > > nicht offen sind, noch durch einen Filter zu verhindern. > > Und die offenen Ports will ich ja nicht blockieren. Mit anderen Worten: > > auf einem Server, der direkt mit dem Internet verbunden ist, braucht man > > keinen Paketfilter. (So habe ich das jedenfalls verstanden.) > > Es wird immer wieder vergessen, daß es auch sog. "Connectback"-Shells > gibt. D.h. ein von außen erlaubter Dienst wird dazu gebracht, daß er auf > einem beliebigen anderen Port mit einer connectback-shell > zurück-connected. Und die macht dann *wirkliche* Swinigeleien. > > Somit folgt, daß auch ausgehende Connections auf das unbedingt notwendige > Maß zurückgestutzt werden sollten, will man die Angriffsvektoren so klein > wie möglich halten. > > Was braucht man ausgehend? > > ftp Debian-Mirror > dns root/forwarder > smtp any > ident any > > Alles andere sollte gesperrt sein. > > Damit laufen dann auch die cback-Dinger ins Leere. Es sei denn, sie laufen ueber einen freigegebenen Port. ;-) Gruss, Christian Schmidt -- Was ich weiß, kann jeder wissen. Mein Herz habe ich allein. -- Johann Wolfgang von Goethe
Attachment:
signature.asc
Description: Digital signature