Re: Verständnisfrage: Ports und Angriffe
On Mon, 19. March 2007 18:15:05 Matthias Ochs wrote:
> Hallo,
>
> ich bin gerade dabei zu Studienzwecken einen kleinen Server mit Etch
> einzurichten. U.a. liest man ja immer, dass man sinnvollerweise alle
> nicht benötigten Ports schließt, als z.B. kein ntp oder telnet
> installiert hat.
> Wenn man nun also alle Ports schließen würde, d.h. keine Prozesse auf
> irgendwelchen Ports "lauschen" lässt wäre das System doch von außen (via
> Ethernet) absolut sicher (und natürlich auch zu nichts zu gebrauchen),
> oder verstehe ich da etwas falsch? Anders gefragt: gibt es (Netzwerk-)
> Angriffe die auch ein System betreffen können auf dem alle Ports
> geschlossen sind?
Kurze Antwort, ja.
Es gibt dutzende von Wegen wie ein System unter Sicherheitsaspekten verwundet
werden kann / verwundbar ist, damit kann man locker ein Traktat im Ausmaß von
Tolstois Krieg und Frieden füllen. Eine lange Antwort wirst du daher auch
hier kaum bekommen. Aber vielleicht hilft dir folgendes als erster Schubs in
die richtige Richtung weiter.
Den inetd rausschmeissen und durch xinetd ersetzen, dann die Ports der
benötigten Dienste an die entsprechenden IP's binden. Man kann mit xinetd die
Dienste an IPs binden, damit kann man für eine interne Netzwerkkarte alle
nötigen Dienste an die interne IP binden, so werden sie nach außen hin gar
nicht erst angeboten.
Ich hab auf den Maschinen noch portsentry installiert, damit kann ich bei
Anfragen auf bestimmte Ports geeignete Maßnahmen wie das droppen von IPs per
iptables realisieren.
Zusätzlich noch einen iptables Paketfilter.
Und Maßnahmen zur Überwachung des Systemes wie aide, dient zur Überwachung ob
bestimmte Dateien verändert wurden.
Dann snort und acidbase als Intruder Detection System.
Einige Online Dokumentationen wie die von Squid und Dansguard sind nicht
schlecht, was meiner unmaßgeblichen Meinung nach leider lange nicht für alle
solche Dokumentationen gilt.
Und nicht zu vergessen noch einige Pfund Lesefutter, für "Studienzwecke" der
Beginn aller Erkenntnis.
Linux Sicherheit, Security mit Open Source Software, Grundlagen und Praxis von
Tobias Klein, erschienen als iX Edition im dPunkt Verlag, ca 50,-€
Damit wird vieles von dem erschlagen was ich bisher angeführt habe.
Zu Snort und Acidbase gibt es das Buch "Intrusion Detection with SNORT:
Advanced IDS Techniques Using SNORT, Apache, MySQL, PHP, and ACID" von Rafeeq
Rehman, ist allerdings auf Englisch.
Von Oreilly ist das Buch "Security Warrior" nicht schlecht um etwas über die
Methoden eines Angreifers zu lernen.
Die Liste lässt sich wie du dir sicherlich vorstellen kannst noch stark
vergrößern darum habe ich nur die Bücher erwähnt von denen ich denke das sie
besonders für das Selbststudium geeignet sind oder die didaktisch gut
aufgebaut sind. (Wie bei vielem was thematisch etwas tiefer in die Materie
geht sind offensichtlich viele Autoren versucht durch möglichst große
Unverständlichkeit ihrer Traktate Kompetenz zu beweisen.)
Praxisbezogene Kurse und Lehrgänge zum Thema sind entweder horrend Teuer bzw.
sind Angebote ohne nennenswerten Erkenntisgewinn zu bringen oder aber in der
Summe der Angebote sehr, sehr übersichtlich, will sagen nahe gegen Null.
Angeblich mangels Nachfrage bietet so gut wie keine Institution so etwas an.
<sakasm>
Das wird sich wahrscheinlich erst ändern wenn im Standard Kontenrahmen nach
IKR ein haben-Konto für IT-Sicherheit vorgegeben ist damit auch der letzte
Unternehmenslenker begreift das dies eine sinnvolle Investition ist.
Entweder ist Sicherheit und Linux, so die häufigste Aussage, ein Thema das eh
niemanden der Zielklientel interessiert oder aber es ist nicht nötig da man
ja eh überwiegend Windows einsetzt und spätestens mit Vista alle bisherigen
Probleme vom Tisch sind. (Ein uraltes Argument das auch schon zu hören war
als NT3.0 auf den Markt kam.)
</sakasm>
Tschüss,
Wolfgang
Reply to: