casibu: > > ich will für das online-banking ein Rechner nutzen, der nichts > reinlassen soll. Ich will Dich in Deinem Eifer nicht bremsen, aber generell solltest Du Dich fragen, wovor Du Dich eigentlich schützen willst. Mit Deinem Skript schützt Du Deinen Rechner im Wesentlichen davor, dass seine über das Internet angebotenen Dienst nicht erreichbar sind. Stattdessen könntest Du auch einfach diese Dienste umkonfigurieren. Ausgehend nur DNS, HTTP und HTTPS (bzw. die dafür üblicherweise benutzten Ports) zu erlauben, bringt meines Erachtens nur minimalen Sicherheitsgewinn. Die meisten Infektionen kommen heutzutage wahrscheinlich über Mails (die auch über HTTP/s gelesen werden) oder virenschleudernde Webseiten. Sinnvoll sind die schon genannten Vorschläge, den Zertifikatsspeicher durchzuforsten und den Browser möglichst sicher zu konfigurieren. Nur bestimmte IP-Adressen als Ziel zu erlauben bzw. die Namensauflösung fest in der /etc/hosts zu verdrahten, finde ich etwas überdreht. DNSSEC löst das Problem ohne die Nachteile der anderen Lösung. Muss der Webseitenbetreiber aber unterstützen. > ich habe dazu ein FW script, und wollte mal Eure > Meinung dazu hören, ob ich das so lassen kann. der Rechner erhält per > dhcp seine IP, Nicht, nachdem dieses Skript gelaufen ist. DHCP erlaubst Du nicht. Das wird wahrscheinlich spätestens dann problematisch, wenn die Lease erneuert werden muss. > # Alle Regeln auf abweisen setzen > iptables -P INPUT DROP > iptables -P FORWARD DROP > iptables -P OUTPUT DROP "DROP" würde ich nicht mit "abweisen" übersetzen. Abweisen wäre "REJECT", was ich im Übrigen auch bevorzugen würde. > # forwarding deaktivieren? > echo 0 > /proc/sys/net/ipv4/ip_forward > > Beim Forwarding von Paketen bin ich mir allerdings noch unklar, ob es > ein Vorteil hat es zu deaktivieren? Äh, wenn Dein Rechner keine Pakete für andere Rechner forwarden soll (also ein Gateway/Router ist), dann lass das mal aus. Meine ganz persönliche Meinung: ich halte das alles für Quatsch. Angriffe gegen Onlinebanking dürften aktuell hauptsächlich über Phishing stattfinden, möglicherweise kombiniert mit einem Angriff auf das Mobiltelefon um mTANs zu bekommen. Dagegen hilft schon ein Bookmark auf die Bankseite (statt auf Links in Phishingmails zu klicken). Gegen Man-in-the-middle kannst Du Dich mit iptables nicht schützen. Dafür brauchst Du vertrauenswürdige Krypto (DNSSEC, SSL/TLS mit bereinigtem Zertifikatsspeicher im Browser). J. -- If you do not move for long enough, you might see a rat. [Agree] [Disagree] <http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature