Re: Firewall-Skript schreiben

To: Debian german userlist <debian-user-german@lists.debian.org>
Subject: Re: Firewall-Skript schreiben
From: Bjoern Meier <bjoern.meier@googlemail.com>
Date: Tue, 14 Dec 2010 13:31:13 +0100
Message-id: <[🔎] AANLkTimbjK_w161XwVV8=jUSU8mpTdcobdZ7fKqWWqCW@mail.gmail.com>
In-reply-to: <[🔎] 4D075A93.9040205@david-raab.de>
References: <[🔎] 201012140859.18986@inter.netz> <[🔎] AANLkTi=A81FxdqwJDhFy7-GNvQTyBndr3fXUpEvqqvho@mail.gmail.com> <[🔎] 201012141122.29041@inter.netz> <[🔎] 4D075215.9050006@david-raab.de> <[🔎] AANLkTikHD1YED1BaHZaTytzXhEeb+BS9j_WwywJpyenz@mail.gmail.com> <[🔎] 4D075A93.9040205@david-raab.de>

hi,

Am 14. Dezember 2010 12:52 schrieb David Raab <debian@david-raab.de>:
>> Bei dir hört sich das aber an, als könne man bei dir einen Trojaner
>> installieren und dann schön nach außen hin lauschen.
> Schon falsches Sicherheitskonzept!
>
> Ein Trojaner darf gar nicht erst auf dein System kommen. Wenn das
> passiert hast du schon eine Sicherheitslücke. Ein Packetfilter
> einzurichten der nach einem Trojaner beffal irgendein ausgehenden Port
> begrenzt ist einfach nur sinnlos.

Entschuldige, hier muss von mir ein LOL kommen. Wir haben mehrere
Software die von anderen Firmen kommen, als MS, Adobe oder sonst wie.
Ja, ich bin mir 100% sicher wir haben Sicherheitslücken in der
FiBu-Software etc. Das ist etwas das kann man NIE verhindern. Es gibt
meiner Meinung nach kein System auf dem es keine Lücke gibt. Ob
bekannt oder nicht ist erstmal irrelevant. Frag mal den Iran zum Thema
Sicherheitslücken, die hatten bestimmt auch kein "falsches
Sicherheitskonzept". Zeig mir ein System wovon du glaubst es sei ohne
Sicherheitslücke und ich zeig dir einen der rein kommt.

> Ansonsten ist ausgehenden Traffic direkt auf dem Server zu begrenzen
> nahezu unmöglich. Es gibt genug umwege das zu umgehen die man mit nem
> Packetfilter nicht abdecken kann.

Kommt drauf an, was du mit ausgehend meinst. ICH meine damit
Internetzugriff zu haben, DAS haben einige Server nicht bei uns.

> Ansonsten hilft ein Packetfilter nicht davor von Trojanern befallen zu
> werden, noch diese zu beseitigen.

Habe ich auch nie behauptet.

>> Bei einer vernünftig aufgesetzten Firewall kann ein Trojaner horchen
>> wo er will, da kommt nichts an.
>
> Wie gesagt. Falsches Sicherheitskonzept. Solche fälle brauch man nicht
> zu behandeln. Hast ein Trojaner auf dem System musst das System vom Netz
> nehmen und es reinigen. Am besten komplett neu aufsetzen. Vorher aber
> sicherstellen wodurch er ins System kam. Solch einen fall brauch man
> nicht mehr "absichern" da nichts mehr abzusichern ist. Der Trojaner ist
> ja schon drauf.

Klar muss ich es vom Netz nehmen, nur die Zeit bis ich es merke, dass
dort ein Trojaner kann schon ausreichen. Ein Trojaner der nicht
kommunizieren kann, weil er nicht raus darf ist nutzlos. Kann
höchstens versuchen innerhalb des Netzes zu hoppen.

> Weiterhin wenn der Trojaner drauf ist kannst du davon ausgehen das er
> auch die Firewall regeln manipulieren kann.

Bitte? und wie? Ok, gehen wir mal praktisch vor: Server A hat einen
Trojaner der will raus. Port 80 ist dicht. Alle anderen Ports sowieso.
Port 3128 Antwortet und verlangt eine Authentifizierung. Gut, wäre
natürlich Pech wenn der Proxy die Schwachstelle hätte. Privilege
Escalation? Gern, Administrator hat keinen Account fürs Internet (da
es ein generischer Account ist und dieser eh nicht aktiv ist).
Und nu? Meine IDS nölt mich an, dass da jemand dauernd irgend - nehmen
wir was typisches - IRC anfragen sendet. Nölt meine IDS nicht, sehe
ich es als Auffälligkeit in den Logs.

Nichts ist 100% sicher, aber ich denke ich habe einen guten Stand.

> Weiterhin muss ein Trojaner nirgendswo lauchen. Er kann auch einfach
> seine Informationen holen und eine verbindung zu etwas aufbauen. Das
> wird auch wohl heutzutage von 100% aller Trojaner benutzt, da man auf
> HomePCs davon ausgehen muss das man eh NAT hat und ein horchen auf einen
> lokalen PCs sowieso nichts bringen würde.

Wie gesagt, ohne gültiges Ticket nicht zu holen.

>> Ich habe auch - da Trojaner-programmierer ja auch lernbar sind und
>> port 80 gern nutzen - auch Port 80 gesperrt.
> Erhöht deine Sicherheit genau um 0%. Auser das du sinnlose zeit in etwas
> steckst und meinst dich sicher zu fühlen. Ich würde soetwas auch nicht
> machen, da alle Debian Packete über HTTP geladen werden. Zumindest bei
> mir. Kannst aber auch FTP nutzen. Dann ist halt FTP der offene Port über
> den man kommunizieren kann. Sicherer machst du wie gesagt nichts. Nur
> unnötig komplexer. Und komplexität ist eher das wodurch du deine
> Sicherheit senkst.

Debian Pakete werden zwar über das Protokoll HTTP geholt, darüber
hinaus, sagt es aber nichts aus woher. Ich habe einen internen Mirror.
Dieser wird einmal am Tag aktualisiert. Dafür hat einen eigenen
Account und wird extrem überwacht, was wie viel und wie lange. Danach
ist auch dieser dicht. Dieser ganze dreck Automatismus den
kontrolliere ich. Updates werden zentral verwaltet. BTW: jedes update
ist eh ein Change und bedarf explizit eine Workorder

> Wenn du dich mit der Thematik auseinander setzen möchtest dann lese zum
> Beispiel das von mir verlinkte Buch. Das Buch ist ein OpenBook und
> kannst du da direkt herunterladen.

War das erste Buch, dass ich zu dem Thema las.

> Ich habe mich jedenfalls genug mit der Thematik beschäftigt und kenne
> mich aus und kann dir sagen das es nicht sinvoll ist. Wenn du, der
> selber sagt das du dich nicht auskennst, es immer noch für sinvoll hälst
> dann kannst du es weiterhin einrichten.

Sag mir was sinnvoller ist. Ein System komplett gegen Trojaner
abzusichern ist - allein durch menschliches Versagen - in meinen Augen
nicht möglich.

> Sicherer wird dein System dadurch aber nicht.

Ich habe beim Auditing einer Bundesweit beauftragten Firma eine sehr
gute Bewertung bekommen. Hat meinem Arbeitgeber gereicht und das soll
mir auch reichen.

> Die beste Möglichkeit dein System abzusichern ist das was ich schon
> sagte. Unnötige Dienste beenden und auf localhost laufen lassen. Und
> dein System immer schön updaten. Zum Beispiel "apticron" einrichten und
> per Mail benachrichtigt werden wenn updates anstehen. Das erhöht deine
> Sicherheit mehr als eine imaginäre Firewall die das blockt was eh nicht
> laufen sollte.
Also hat dein System nie einen Trojaner, weil die Möglichkeit gibt es
bei dir ja nie, da du ja Dienste beendet hast. Ich finde es übrigens
sehr gemein von dir, dass du Debian nicht früher auf die schwachen
Zertifikate aufmerksam gemacht hast.
Wie ich darauf komme? Ganz einfach: Du schreibst als würdest du ja
mehrere Server administrieren. Weiterhin gehe ich davon aus, dass du
nicht bei jedem an der Konsole stehst, sondern ssh benutzt. Du da dein
System ja sicher hast, wirst du auch auf Passwort-Eingabe verzichten
und lieber auf Zertifikate vertrauen. Da deine Systeme keine
Sicherheitslücken haben und damit diese Zertifikate ebenfalls nicht,
musst du ja bereits Informationen gehabt haben. Ich hätte die auch
gern gehabt :(

Ok, war natürlich nicht ernst gemeint, sondern bloß ein übertriebenes
Beispiel. So ein Fall: dagegen helfen weder Firewall, noch IDS .. und
schon mal gar nicht dieses - was man ja schon in der ComputerBILD
liest -  "Dienste abschalten".

Gruß,
Björn

Reply to:

Follow-Ups:
- Re: Firewall-Skript schreiben
  - From: David Raab <debian@david-raab.de>

References:
- Firewall-Skript schreiben
  - From: Andre Tann <atann@alphasrv.net>
- Re: Firewall-Skript schreiben
  - From: Bjoern Meier <bjoern.meier@googlemail.com>
- Re: Firewall-Skript schreiben
  - From: Andre Tann <atann@alphasrv.net>
- Re: Firewall-Skript schreiben
  - From: David Raab <debian@david-raab.de>
- Re: Firewall-Skript schreiben
  - From: Bjoern Meier <bjoern.meier@googlemail.com>
- Re: Firewall-Skript schreiben
  - From: David Raab <debian@david-raab.de>

Prev by Date: Re: Firewall-Skript schreiben
Next by Date: Re: Microlink 56k Modem Problem
Previous by thread: Re: Firewall-Skript schreiben
Next by thread: Re: Firewall-Skript schreiben
Index(es):
- Date
- Thread