Hallo, at Mon, 4 Feb 2002 19:56:49 +0100 Jörg Zimmermann wrote:
On 4 Feb 2002 at 18:56, Michael Raab wrote:
at Mon, 4 Feb 2002 18:03:08 +0100 Jörg Zimmermann wrote: [...]. Wenn alle Ports dicht sind, wo man evtl. was auf dem Server übertragen kann (POP3, Telnet, SSH), dann dürfte eigentlich nix passieren. Zwar ist smtp offen, aber man bekommt nix drauf. Denn mein Mailserver macht smtp after pop. Und pop3 ist nach aussenhin
Da bist Du aber etwas zu naiv. Was ist denn mit DNS oder http?
1. DNS ist von aussen nicht erreichbar. 2. Ein DNS-Server läuft hier nicht. Wozu auch ? An http hängt ein Indianer dran.
Erkennt Dein Filter wirklich ALLE malformed packet's?
Davon gehe ich mal aus. Ich habe so einige Nächte mit google verbracht um die Rules zu erstellen.
Verwendest Du ipchains oder iptables.
iptables
Filterst Du zustandsabhängig.
Yepp
Wie sieht's mit den neuesten Exploids aus.
Hmmm?? Gute Frage. Gibt es dafür vielleicht so ne Testseite, wo man seinen Rechner so richtig durchchecken kann. Nicht ldf.niedersachsen.de. Die machen nur einen Portscan auf TCP. Ausserdem ist dort der Selbsttest offline.
Was machen Deine user denn so alles?
Noch bin ich hier alleine im Heimischen Netzwerk. Es kommt bald aber eine Win98/WinNT Workstation, meiner Freundin, ans heimische Netz.
Sicherheit ist subjektiv, kriminelle Energie ist kreativ.
Wo ein wille ist, da ist auch ein Gebü... äh ein Weg. ;-)
eingeschränkten System blockiert man sich nur selbst.
Von Aussen ist es nur stark eingeschränkt erreichbar. Telnet & Co. funktioniert nicht übers Internet. Und wenn ich mal von ausserhalb auf meinen Server muss, habe ich dafür eine eigene Einwahlleitung eingerichtet, die nur mein Handy akzeptiert. Dies identifiziere ich mittels der übertragenen Rufnummer des Anrufers via ISDN. Wenn die Nummer nicht stimmt wird der Anruf abgewiesen. Desweiteren muss man sich nach erfolgter Einwahl mit Usernamen und Passwort identifizieren. Vor allem muss der Angreifer erstmal die Rufnummer des Einwahlports wissen. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU PGP-Key ID 22C51B8D0140F88B ++ Webdesign ++ PHP Development ++