[linux-l] iptables (Eheamals: Fedora3 Firewall)

Mi Nov 16 09:49:07 CET 2005

On Wed, Nov 16, 2005 at 05:21:26PM +1100, Peter Ross wrote:
> Mike Dornberger wrote:
> > On Wed, Nov 16, 2005 at 10:32:21AM +1100, Peter Ross wrote:
> >> Was Du machst, ist das Erlauben aller ausgehenden Verbindungen. Das
> >> macht ein gehacktes System zu einem phantastischen Relay. Alkle
> >> ausgehende Ports sind offen.
> >
> > äh, ja und? Wenn ein Angreifer es geschafft hat, einen Prozeß zu kapern
> >  hat er sowieso mindestens einen ausgehenden Port zur Verfügung und kann
> > damit genug Unsinn anrichten.
> 
> Gehe mal davon aus, dass die meisten "Hijacker" keine Leute an der
> Tastatur sind, sondern Skripte, eingesetzt zum Beispiel zum Spammen.
> 
> Da sehr viele Firewalls recht offen sind, sind die meist nicht besonders
> intelligent geschrieben.

Und was bringt dort ein Wettrüsten? Tatsache ist, dass du den "Scripten"
und "Hijackern" letztlich genauso viele Rechte zugestehen musst wie den
Usern, weil die Scripte nach einem erfolgreichen Eindringen eben genau
dessen Rechte und Möglichkeiten haben.

Wie willst du den Scripten das "Surfen" verbieten? Wenn der User eine
beliebige Seite dort seine Kreditkartennummer eintippen darf, dann darf
es das Script doch auch!

Die Scripte haben im wahrsten Sinne des Wortes "Heimvorteil". Jede
Beschränkung der Scripte trifft auch die User.

> Es geht nicht zuallererst darum, den Nutzer zu beschraenken (das kann in
> bestimmten Faellen noetig sein), sondern darum, all dem Virenzeug,
> Spyware, Spamkram, das Leben schwer zu machen.

AFAIK sind die Scripte aber, was das Tunneln von Informationen angeht,
sehr viel intelligenter als jeder normale User.

> Du hast wohl recht, dass eine Linux-Buechse sicherer als das
> Windows-Gekroese ist, aber immun gegens Kapern sind sie auch nicht.
> Ich halte nicht viel davon, zu sagen "Ach was, mir passiert das doch
> nicht" und Sicherheit nur halbherzig zu machen.

Mag sein, aber man sollte auf *geeignete* Maßnahmen setzen. Möglichst
oft Security-Updates einspielen bringt viel mehr. Und natürlich muss
man die Courage haben, sein System platt zu machen, sobald es nach
Einbruch aussieht. Diese beiden Grundregeln sind einfacher und bringen
mehr, als dieser Wettlauf zwischen Tunnel-Techniken und Firewall, wo
es hohe Kollateralschäden gibt.

> > Alle Zuordnungen Ports-Dienste sind ja nicht wirklich "in Stein
> > gemeißelt ",
> > sondern das, was in /etc/services steht sind die defaults. Du machst es
> > Deinen Usern nur unnötig schwer, Dienste zu erreichen, die nicht auf
> > Standard-Ports laufen.
> 
> Im Firmenumfeld gibt es Proxies, die diese Aufgabe erledigen. Inklusive
> Logstatistik, um z.B. mitzubekommen, wenn eine Buechse 1000 e-Mails per
> Stunde versendet. So ist Port 25 nach aussen z.B. nur offen fuer ein
> Mailrelay, nicht fuer andere Rechner im LAN. Wenn da was ausser Kontrolle
> geraet, sehe ich es in den Logs auf Applikationslevel.
> 
> Das Gleiche, wenn der Webproxy von einem Client kontinuierlich 1000
> Requests bekommt.
> 
> Spaetestens, wenn Dein Netzwerk dicht ist, weil ein halbes Dutzend
> Windosen nach Indien telephonieren wollen, freust Du Dich, dass Du ein
> dichtes Netz und Logs hast.
> 
> Ich habe z.B. mal in ein Firmennetzwerk ein Dutzend Windows-2000-Rechner
> einer aufgekauften Firma integriert. Die klopften ungewoehnlich viel an,
> und ich konnte das ausfindig machen, dann mich an die Windows-Kisten
> setzen und fand ein paar Services, die sich keiner erklaeren konnte. Nach
> Abschaltung war ploetzlich Ruhe.

Full ACK.

Aber darum ging es hier nicht. Dieser Aufwandt ist in Home-Netzwerken
viel größer (weil der User mehr Freiheiten will/braucht), aber
andererseits hat der User zu Hause keinen ausgebildeten Administrator
zur Hand. Deshalb ist dort der Aufwandt einfach nicht angebracht, IMHO.
Lieber regelmäßige Updates bzw. unter Windows regelmäßige
Neuinstallationen.

> > Gib den Leuten eine halbwegs mächtige Scripting-Sprache oder nen
> > Compiler und die cleveren Fangen eh an, Protokoll-Tunneling zu
> > betreiben, zur Not über ICMP.
> 
> Sicher - wo ein Wille ist etc. Aber es geht nicht zuerst um
> Nutzerbeschraenkung.
> 
> Und auf Home-Rechnern ist man selbst Chef ueber die Kiste, kann also auch
> mal einen Port manuell aufmachen, wenn's denn klemmt.

... und reißt damit u.U. genau die Lücke auf, die die nächste Malware
missbraucht. Wo ist bei diesem Vorgehen die Sicherheit. Das klingt für
mich mehr nach "Zone-Alarm", der einen bei jedem Mist fragt.

Das ist einschränkend, sinnlos und nutzerunfreundlich. Höchstens für
jemanden, der sich gut im Netzwerk auskennt, ist das eine nette
Fingerübung.

> Ja, dafuer gibt es bei Linux's netfilter die Helferchen:-)
> 
> Und gegen komplizierte Regeln gibt es Subroutines.
> 
> tcp_out ()
> {
>    ip_tables .... -dport $1 SETUP # Sorry, Syntax nicht zur Hand
> }
> 
> Im Hauptprogramm sthet dann nur
> tcp_out ssh
> tcp_out ftp
> ...
> und unten dann die Regel, alle RELATED- und ESTABLISHED-OPakete
> durchzulassen.

Gute Sache. Genau sowas will ich in der Howto auch beschreiben.

Aber *die* OUTPUT-Regeln müsstest du mir mal nennen, die einen
Home-Rechner ordentlich abschirmen.

Viele Grüße,

	Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR