Re: Firewall-Skript schreiben

To: debian-user-german@lists.debian.org
Subject: Re: Firewall-Skript schreiben
From: David Raab <debian@david-raab.de>
Date: Tue, 14 Dec 2010 12:16:37 +0100
Message-id: <[🔎] 4D075215.9050006@david-raab.de>
In-reply-to: <[🔎] 201012141122.29041@inter.netz>
References: <[🔎] 201012140859.18986@inter.netz> <[🔎] AANLkTi=A81FxdqwJDhFy7-GNvQTyBndr3fXUpEvqqvho@mail.gmail.com> <[🔎] 201012141122.29041@inter.netz>

On 12/14/2010 11:22 AM, Andre Tann wrote:
> Hmja, das würde ich im Prinzip sofort unterschreiben (und ja, ich
> schreibe mein html mit dem Vim...). Aber Selbermachen setzt voraus, daß
> ich die Tricks der bösen Buben ebenso gut beherrsche wie diese.
iptables beschränkt primär Ports, macht weiterleitungen oder sonstigen
kram. Primär halte ich das ganze nur dann für sinvoll wenn du ein
größeres Firmennetzwerk hast, und dort zum Beispiel eine DMZ einrichtest
und in vorhinein nur bestimmte Ports für rechner erlaubst. Für nen
normalen einzelnen Server halte ich iptables für absolut unnötig. Und
ja, habe mir das ganze Buch "Linux Firewalls"durchgelesen:

http://www.oreilly.de/german/freebooks/linuxfire2ger/toc.html

Sehr gutes Buch, aber genau da merkt man auch wofür soetwas sinvoll ist.
Bei einem einzelnen Server würde ich nicht hingehen und Ports sperren
sondern die Dienste entsprechend deaktivieren die du nicht benötigst.
Oder die dienste nur auf localhost laufen lassen etc.

Besonders Böse tricks gibt es da nicht wirklich. Sicherlich kann der
eine oder andere böse Bube "kaputte" TCP/UDP etc. Packete schicken. Wenn
dann sollten diese aber vom OS beseitigt werden. Wenn das irgendeine
auswirkung auf dein System hat und die Sicherheit gefärdet, dann ist es
eine Sicherheitslücke die gefixt werden muss und die man beseitigen
muss. Eine "Firewall" besser in diesem fall ist aber "Packetfilter"
hilft davor nicht wirklich.

> Und das tue ich nicht.
Dann sollte man davon die Finger lassen. Ja ehrlich. schaue lieber nach
welche Ports auf deinen Rechner offen sind. Dafür eicht ein "netstat
-tulpen" beende die Dienste die nicht laufen sollen. Oder lasse dienste
wie gesagt auf localhost laufen. Die Dienste die laufen sollen und
erreichbar sein sollen, zum Beispiel Webserver etc. sperrst du ja
ohnehin nicht. Daher ist hier iptables einfach sinnlos.

> Wie soll ich auf die Idee kommen, Pakete mit gesetztem
> SYN und ACK zurückzuweisen?
Am besten gar nicht. Das SYN Flag initiiert ein verbindungsaufbau. Das
erste antwortpacket darauf ist ein TCP Packet das SYN/ACK gesetzt hat.
Wenn du solche Packete nur auf den Flags basierend filterst sind keine
eingehende noch ausgehende verbindungen mehr möglich. Wie gesagt, wenn
du selber sagst das du keine Ahnung davon hast, dann lass die Finger weg.

Ansonsten sind solche packete nicht schlimm. Bekommst du ein SYN/ACK
Packet aber dein Rechner hat selber kein verbindungsaufbau initiiert
dann wird das packet einfach verworfen. Soetwas nochmal explizit durch
iptables zu filtern ist einfach sinnlos.

> Das ist jetzt ein Beispiel, das ich zufällig
> kenne. Aber die 1000 anderen Bösartigkeiten, die ich nicht kenne?
Siehe oben. Bei nem Packetfilter ist das Wayne. Du sperrst/erlaubst
Ports oder machst weiterleitungen etc. Ungültige packete werden vom
Kernel verworfen.

Möchtest du wirklich "Angriffe" erkennen hilft nur ein IDS System, wobei
man auch da etwas kritisch hinterfragen kann. Ansonsten für nen simplen
server benötigst kein Packetfilter.

Reply to:

Follow-Ups:
- Re: Firewall-Skript schreiben
  - From: Bjoern Meier <bjoern.meier@googlemail.com>

References:
- Firewall-Skript schreiben
  - From: Andre Tann <atann@alphasrv.net>
- Re: Firewall-Skript schreiben
  - From: Bjoern Meier <bjoern.meier@googlemail.com>
- Re: Firewall-Skript schreiben
  - From: Andre Tann <atann@alphasrv.net>

Prev by Date: Re: Firewall-Skript schreiben
Next by Date: Re: Firewall-Skript schreiben
Previous by thread: Re: Firewall-Skript schreiben
Next by thread: Re: Firewall-Skript schreiben
Index(es):
- Date
- Thread