casibu:
>
> ich will für das online-banking ein Rechner nutzen, der nichts
> reinlassen soll.
Ich will Dich in Deinem Eifer nicht bremsen, aber generell solltest Du
Dich fragen, wovor Du Dich eigentlich schützen willst. Mit Deinem
Skript schützt Du Deinen Rechner im Wesentlichen davor, dass seine über
das Internet angebotenen Dienst nicht erreichbar sind. Stattdessen
könntest Du auch einfach diese Dienste umkonfigurieren.
Ausgehend nur DNS, HTTP und HTTPS (bzw. die dafür üblicherweise
benutzten Ports) zu erlauben, bringt meines Erachtens nur minimalen
Sicherheitsgewinn. Die meisten Infektionen kommen heutzutage
wahrscheinlich über Mails (die auch über HTTP/s gelesen werden) oder
virenschleudernde Webseiten.
Sinnvoll sind die schon genannten Vorschläge, den Zertifikatsspeicher
durchzuforsten und den Browser möglichst sicher zu konfigurieren. Nur
bestimmte IP-Adressen als Ziel zu erlauben bzw. die Namensauflösung fest
in der /etc/hosts zu verdrahten, finde ich etwas überdreht. DNSSEC löst
das Problem ohne die Nachteile der anderen Lösung. Muss der
Webseitenbetreiber aber unterstützen.
> ich habe dazu ein FW script, und wollte mal Eure
> Meinung dazu hören, ob ich das so lassen kann. der Rechner erhält per
> dhcp seine IP,
Nicht, nachdem dieses Skript gelaufen ist. DHCP erlaubst Du nicht. Das
wird wahrscheinlich spätestens dann problematisch, wenn die Lease
erneuert werden muss.
> # Alle Regeln auf abweisen setzen
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
> iptables -P OUTPUT DROP
"DROP" würde ich nicht mit "abweisen" übersetzen. Abweisen wäre
"REJECT", was ich im Übrigen auch bevorzugen würde.
> # forwarding deaktivieren?
> echo 0 > /proc/sys/net/ipv4/ip_forward
>
> Beim Forwarding von Paketen bin ich mir allerdings noch unklar, ob es
> ein Vorteil hat es zu deaktivieren?
Äh, wenn Dein Rechner keine Pakete für andere Rechner forwarden soll
(also ein Gateway/Router ist), dann lass das mal aus.
Meine ganz persönliche Meinung: ich halte das alles für Quatsch.
Angriffe gegen Onlinebanking dürften aktuell hauptsächlich über Phishing
stattfinden, möglicherweise kombiniert mit einem Angriff auf das
Mobiltelefon um mTANs zu bekommen. Dagegen hilft schon ein Bookmark auf
die Bankseite (statt auf Links in Phishingmails zu klicken).
Gegen Man-in-the-middle kannst Du Dich mit iptables nicht schützen.
Dafür brauchst Du vertrauenswürdige Krypto (DNSSEC, SSL/TLS mit
bereinigtem Zertifikatsspeicher im Browser).
J.
--
If you do not move for long enough, you might see a rat.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature