linux-l: ssh & die Portnummern

Joachim von Thadden thadden at running-systems.de
Fr Okt 15 13:51:37 CEST 1999 

Hi Gerald,

mea culpa, ich wollte Dich nicht zum Trottel erklären, war nur über die
Frage etwas erstaunt. Also jetzt mal im Ernst und "hochqualifiziert":

1. Wenn Du einen Firewall installierst, dann hat der natürlich genau den
Zweck, nicht alles zu erlauben. Mit Abstrichen muß man zugunsten der
Sicherheit also gelegentlich leben. Du wirst sicherlich auch kein
aktives ftp zulassen, sondern nur den "passive mode", auch wenn Du
einigen Usern damit sicherlich Probleme machst. Im genannten Fall denke
ich allerdings, daß die "Einschränkungen" gerade so zu ertragen sind.
Ein "ssh -P <Rechnername>" benötigt gerade mal drei Tastendrücke mehr,
und wenn wir in Zukunft alle mit Compaqs Stromproduzierender Tastatur
arbeiten, dann tun wir damit auch noch was für die Umwelt.
Der Grund für ssh Source Ports unter 1024 zu verwenden liegt einzig und
allein darin, daß die (wenn man mal von M$ absieht) für zwei
Authentifizierungschemata benötigt werden. Und wenn man rhosts bzw.
rsarhosts Authentifizierung verwenden will, dann muß das halt so sein.
Die willst Du auf 'ner Firewall aber bestimt nicht haben, also schalt
sie am besten gleich ganz ab (in /etc/sshd_config).

2. Deine Paketfilter mußt Du so konfigurieren, daß nach Port 22 und von
Port >1023 der Traffic zugelassen wird. Die von Dir vorgeschlagene
Lösung müßte nach Port 22 und von Port <1024 zulassen,was auf Firewalls
prinzipiell nicht zu empfehlen ist. Wenn Du aber nur bestimmte Adressen
zulassen willst, empfiehlt es sich auch diese noch in die
Filterdefinition mit einfließen zu lassen.

3. Ja, ssh zählt die Ports von 1023 an abwärts. Genauer, er probiert sie
ab 1023 aus und nimt den ersten freien. Daß der Kernel die Ports noch
für eine Weile "hält", auch wenn die Anwendung schon längst verblichen
ist, soll Verwechslungen vermeiden. Wenn Du nur lange genug wartest,
dann hast Du auch wieder die 1023 dabei.

4. Das Firewallhandbuch auf "little-idiot"
(http://www.little-idiot.de/firewall/) kann ich auch nur wärmstens
empfehlen, es gab auch vor kurzen einen Artikel in der iX (oder war's
die c't?) über das neue Firewallkonzept (oder sollte ich lieber das alte
sagen, in 2.4 erwartet uns schon wieder ein neues).

Also Gerald, natürlich beantworte ich, was Du feststellen wirst, wenn Du
Dir die Liste mal anschaust, auch Fragen, die nicht ganz so "state of
the art" sind. Ich war über diese Frage nur etwas verwundert, weil sie
ein sehr spezielles und extrem fragiles Thema anspricht. Und natürlich
beantworte ich gerne auch weiterhin alle Fragen rund um das Thema
Firewall.

Nur eins möchte ich nicht unwiedersprochen stehen lassen: "F****
Manuals" sind das nun wirklich nicht, außer Du meinst mit "****",
"reie", was die Anzahl der Sternchen nahelegt. Ohne die Dinger läuft
schlicht und ergreifend gar nix. Ich gebe Dir allerdings recht, sie
könnten noch einen Abschnitt "Examples" enthalten. Die kommen leider bei
den technischen Beschreibungen oft viel zu kurz.

Mit freundlichen Grüßen/Sincerely
	Joachim von Thadden
    "Never run a touching system!"

-------------------------------------------------------------------
Running Systems					LINUX-Systempartner
Qualified Helpdesk   .   Netzwerkbetreuung  .   Sicherheitskonzepte
www.running-systems.de			        fax (030) 801 74 23
thadden at running-systems.de		     phone (0177) 717 08 96

Mehr Informationen über die Mailingliste linux-l