[linux-l] Ubuntu "abdichten"

Steffen Schulz pepe_ml at gmx.net
Mo Okt 23 01:48:16 CEST 2006 

On 061022 at 18:00, Norman Steinbach wrote:
> Volker Grabsch wrote:
> > Die Dienste, die auf "localhost" lauschen, sind nur von deinem eigenen
> > Rechner aus zugänglich. Sie werden nicht im Netzwerk "nach außen"
> > angeboten und stellen daher - zunächst - keine Gefahr dar.
> Was bedeutet dieses "zunächst"? Warum brauche ich überhaupt Dienste, die
> auf localhost lauschen? Und dann auch noch einer, der irgendwas mit
> microsoft lautet...

Mache Programme kommunizieren so miteinander. Was da so laufen kann,
wuesst ich jetzt nicht, bei mir gibts da nichts.

> >>> Weitere derartige Fragen stell bitte an die BeLUG-Liste. Vielleicht
> >>> kann dir dort jemand sogar gute Einführungen zu dem Thema nennen.
> >> Okay, hiermit getan!
> >> Habe das IPtables-Beispielscript einmal eingebunden, aber noch immer
> >> wird auf einigen Ports gelauscht.
> > Die Firewall verhindert das auch nicht. "netstat -l" wird von Iptables
> > nicht beeinflusst. Außerdem sind meine Beispiel-Firewall-Regeln auch
> > so gebaut, dass alles über "localhost" freigeschaltet ist.
> Hmm. Was sagt dann "netstat -l" aus über die Sicherheit des Systems?

Du sagtest sinngemaess, dein Rechner soll nicht ueber das Netzwerk
erreichbar sein. Nun muss man mal erreichbar definieren. Schliesslich
soll man dir vermutlich antworten koennen, wenn dein Browser eine
Website anfordert.

netstat -l listet alle...sockets(Steckdosen?) auf, die darauf warten,
dass ein anderer Prozess eine Anfrage an sie stellt. Das /kann/ uebers
Netzwerk sein. In der Ausgabe von netstat steht der Typ des Sockets.
tcp und udp sind hier als Typ interessant, die beiden sind fuer
Netzwerke ueblicherweise in benutzung.

Das ist ueblicherweise das, was man zu minimieren versucht. Denn man
kann Verbindungen zu diesen Prozessen aufbauen, ohne dass du es merkst.
Das ist an sich noch kein Problem, diese Prozesse sind genau dazu
entwickelt worden. Aber sie koennen falsch konfiguriert oder fehlerhaft
sein. Deswegen will man so wenig wie moeglich solcher Netzwerkdienste
laufen haben. Die, die laufen muessen, muessen sorgsam konfiguriert
werden, ausserdem sollte man darauf achten, dass sie keine Fehler
haben - also zumindest keine offiziell bekannten! Daher immer die
Sicherheitsupdates einspielen.

Als root sagt dir netstat -n -l -p noch den prozessnamen in der letzten
Spalte. Das hilft, das Programm zu finden und korrekt zu konfigurieren
oder abzuschalten. -n ist numerische Anzeige und macht die Ausgabe
meist etwas schneller und exakter.

Nach alldem ist die Moeglichkeit, dass ein Angreifer ueber das Netz
Verbindungen zu dir aufbaut und ausnutzen kann, minimiert.

Bleibt das Problem, dass du selbst auch Verbindungen nach draussen
aufbaust. Mit diesen Verbindungen kann man rumspielen, man kann dich
auf gefaelschte Websites umleiten oder das Passwort mithoeren, wenn du
per POP3 eMails abholst.

Fuer diese Variante muessen wieder die Programme, die benutzt werden,
"sicher" sein, dh. sie sollten keine (bekannten) Fehler aufweisen. Wie
auch im ersten Fall sorgt man dafuer am besten, indem man regelmaessig
die Sicherheitsaktualisierungen einspielt.

Nun kannst du diese Programme noch falsch benutzen. Dagegen kann das
Programm nicht viel tun, ausser moeglichst einfach richtig benutzbar zu
sein. Achte darauf, dass viele der Daten, die du im taeglichen Gebrauch
verschickst, unverschluesselt sind und moeglicherweise nicht den
erreichen, mit dem du glaubst zu sprechen.


> Gibt es irgendwo eine detaillierte Erklärung, wie die Ausgabe dieses
> Befehls zu deuten ist?

man netstat :)

> Im Grunde gibt es ja auch nix "geheimes" auf meinem PC

Heute reicht es den Leuten schon, Kontrolle ueber fremde PCs zu haben,
um ihre Spuren bei Angriffen zu verwischen, Spam zu verschicken usw.

Als Linux-Nutzer ist man da noch nicht so die Zielscheibe, wir sind
noch nicht IN genug..

> > Grundsätzlich ist eine Firewall ne gute Idee, aber ein einfaches System
> > sollte auch ohne Firewall "dicht" sein. Die Firewall ist nur eine
> Die Frage ist eben nur, *wie* dicht...?

Man kann nur Risiken minimieren, indem man zB alle *offentlich
bekannten* Fehler in der verwendeten Software ausschliesst. Aber dann
hat man vielleicht noch immer einen Fehler in der Konfiguration
uebersehen. Das ist sehr kompliziert. Man muss zwingend die Konzepte
verstehen, um beurteilen zu koennen, welche Massnahmen ueberhaupt
wichtig sind, wie effektiv sie sind und was noch fehlt.


mfg
pepe
-- 
Bildet Olsenbanden!

Mehr Informationen über die Mailingliste linux-l