Re: Firewall-Skript schreiben

To: Debian german userlist <debian-user-german@lists.debian.org>
Subject: Re: Firewall-Skript schreiben
From: Bjoern Meier <bjoern.meier@googlemail.com>
Date: Tue, 14 Dec 2010 12:07:21 +0100
Message-id: <[🔎] AANLkTinw_Sjqoz6+8j+aoFhihD6ntj3KMpkJE61v1Q5W@mail.gmail.com>
In-reply-to: <[🔎] 201012141122.29041@inter.netz>
References: <[🔎] 201012140859.18986@inter.netz> <[🔎] AANLkTi=A81FxdqwJDhFy7-GNvQTyBndr3fXUpEvqqvho@mail.gmail.com> <[🔎] 201012141122.29041@inter.netz>

hi,

Am 14. Dezember 2010 11:22 schrieb Andre Tann <atann@alphasrv.net>:
> Bjoern Meier, Dienstag 14 Dezember 2010:
>
>> 5.) Nichts davon taugt. Das ist wie diese WYSIWYG-Editoren für HTML.
>> Sieht zwar schick aus, aber bei dem Code wird dem Server so übel, dass
>> die Performance den Bach runter geht. Selber machen!
>
> Hmja, das würde ich im Prinzip sofort unterschreiben (und ja, ich
> schreibe mein html mit dem Vim...). Aber Selbermachen setzt voraus, daß
> ich die Tricks der bösen Buben ebenso gut beherrsche wie diese. Und das
> tue ich nicht. Wie soll ich auf die Idee kommen, Pakete mit gesetztem
> SYN und ACK zurückzuweisen? Das ist jetzt ein Beispiel, das ich zufällig
> kenne. Aber die 1000 anderen Bösartigkeiten, die ich nicht kenne?

Falscher Ansatz, würde ich meinen.
Eine Firewall ist für mich nicht dazu da, derartige Dinge zu blocken,
sondern lediglich durch Tabellen den generellen Verkehr zu regeln.
Ein Beispiel: Port 25 ist geblockt für alle externen Interface,
dennoch kann Wordpress intern den FTP nutzen.
Eine Firewall ist nicht dazu da um tatsächliche Angriffe abzuwehren.

Um es mal metaphorisch zu umschreiben: Eine Firewall ist wie eine
Mauer. Eine Mauer reagiert auch nicht aktiv, wenn jemand mit einem
Meißel sich durch meißelt, dafür gibt es Wachposten. Eine Mauer
schützt dich dafür, wenn jemand mit Steinen schmeißt oder versucht zu
erblicken was dahinter ist.
Halte deine Firewall so generisch wie es geht. Ich z.b. habe iptables
so gesetzt, dass die default policy drop ist (Nicht reject sondern
drop; bei unerfahren scriptkiddies erzeugt das erstmal nen timeout.
Ansonsten mit ICMP Code 0x13 rejecten) und nur freigegeben was ich
brauche. Spasses halber werden alle pakete die gedroppt werden noch
mit geloggt, logwatch gibt mir dann eine schöne Zusammenfassung.  Man
kann sich dann auch die Mühe machen, zu welchen Netz der Source-host
gehört und bei einer anständigen Domäne eine freundliche Abuse-Mail
schicken.

Nimm Snort oder sonst eine IDS für Schutz gegen Netzwerk-Angriffe. Da
gibt es genügend Regeln und der Schutz ist dann auch gar nicht mal so
schlecht.
Zusätzlich habe ich noch tiger und iWatch - für aktive
Veränderungsmeldungen im System. Für Anwendungen gibt es wiederum
spezielle Dinge wie z. B. Mod-Security für Apache  oder Suhosin für
php.

Ich regel das lieber Top-Down, es gibt nun mal Spezialisten für
verschiedene Anwendungen. Damit hast du auch die notwendige Ruhe dich
zu bilden. O' Reilly hat das sehr nette Sachen:
http://oreilly.com/catalog/9780596006433

Gruß,
Björn

Reply to:

References:
- Firewall-Skript schreiben
  - From: Andre Tann <atann@alphasrv.net>
- Re: Firewall-Skript schreiben
  - From: Bjoern Meier <bjoern.meier@googlemail.com>
- Re: Firewall-Skript schreiben
  - From: Andre Tann <atann@alphasrv.net>

Prev by Date: Re: Firewall-Skript schreiben
Next by Date: Re: Firewall-Skript schreiben
Previous by thread: Re: Firewall-Skript schreiben
Next by thread: Re: Firewall-Skript schreiben
Index(es):
- Date
- Thread