Am Dienstag, 17. Juni 2003 17:35 schrieb Andreas Winkelmann:
Martin Borchert wrote:
Sorry, aber das ist quatsch. Meine Haustür hat von aussen auch keine Klinke, trotzdem schliesse ich sie ab! Nicht alles was hinkt ist ein Vergleich. Sei's drum: Welchen Sicherheitsgewinn erreichst du durch Abschließen der Haustür gegenüber einfachem Zuziehen? Hmm, geh doch einfach mal zum Schlüsseldienst oder Polizeistation Deines Vertrauens und lass Dich aufklären. Ich glaube auch einige Versicherungen können Dir über diesen feinen Unterschied Auskunft geben.
Das Ding mit dem Haus haben wir gerade nebenan diskutiert.
Und zum Thema. Ein gut konfigurierter Paketfilter verhindert auch noch viele andere Schweinereien z.B. gefakte Ip-Adressen, Wie konfigurierst du deinen Paketfilter, damit er erkennt, dass die IP 217.229.180.224 gefälscht ist? Oder die 217.229.180.223? Ich weiss so gut wie hundert prozentig, dass eine Ip gefaket ist, wenn sie meine eigene ist oder aus einem privaten Bereich ist _und_ sie mir auf meinem aussendevice entgegenkommt! Sieht man gar nicht so selten.
Das halte ich für ein Gerücht. Was hast du denn für eine Anbindung, wenn da auf dem ext_iface Ip-Pakete mit einer privaten Quelle ankommen? Die werden üblicherweise vom Router deines Vertrauens schon verworfen.
Syn-Floods, Wie unterscheidest du gewollten von ungewolltem Verkehr? Wenn pro sekunde 1000 syn-pakete kommen, weisst Du es! Und wenn sie von einer Ip kommen, lässt sich diese in einem Paketfilter einfach sperren! Muss ja nur für ein paar Stunden sein.
SynFloods mit einer Quell-Adresse macht man nicht. SynFloods mit Millionen von gefakten Adressen sind effektiver. Die kannst du nicht mehr auseinanderhalten. Ok, du könntest mal eben den Adressraum von dip.t-dialin.net sperren. Und nu? Kein Verkehr mehr. DoS. Der Angreifer hat gewonnen und dein Paketfilter versagt.
Port-Scans. Was ist schlimm an einem Portscan? Was ist schlimm an einem fremden Typen, der alle paar Stunden an Deinem Haus vorbeistreift und kontrolliert ob alle Türen und Fenster richtig geschlossen sind... Nichts... Ist doch pure Freundlichkeit, Oder ?
Das mit dem hinken hatten wir schon. Wenn mein System korrekt konfiguriert ist, kann da einer noch so viel scannen. Das bringt ihn nicht weiter. Wenn ich es nicht hinbekommst, Dienste abzuschalten oder die Bindung an ext_iface abzuschalten, wie soll ich mir denn da bitte sicher sein, dass mein Paketfilter funktioniert? Weil nmap alles als closed meldet?
Ist in manchen Ländern IMHO sogar unter Strafe gestellt (portscans).
Quelle? Verfahren? Verurteilungen?
Und was, wenn es einen Fehler im Apache,FtpD oder Kernel gibt, ein Benutzer bekommt ne Shell und verschickt mal eben ein paar hunderttausend Mails, oder Ping't andere Rechner zu Tode, mit DEINER Ip! remote exploit im daemon -> ptrace-bug-exploit -> root-Zugriff, paketfilter abschalten. Und nu? Keine Firewall mehr da. Sicherheitsgewinn durch Paketfilter? Null. Das ist der schlimmste Fall, aber es gibt Gründe Server-Dienste unter Benutzeraccounts laufen zu lassen. Falls mal etwas passiert kann der Angreifer _nur_ im Sicherheitskontext des Benutzers unsinn machen.
Einen heilen Kernel vorausgesetzt. Ich möchte keine Schätzung abgeben, wieviele der öffentlich erreichbaren Linuxkisten noch anfällig für den ptrace-Exploit sind, aber wenige sind es mit Sicherheit nicht.
Ohne Firewall kommt man dann von dort aus aber auch nach draussen, mit Deiner Ip. Es gehört nur ein telnet dazu dem president@whitehouse.gov mal so richtig die Meinung zu sagen ;-)
Ich habe gerade auf der Maschine einen Service aufgemacht, richtig? Und was sollte mich jetzt daran hindern, von dem gerade übernommenen Port zu senden?
Das ist an und für sich noch harmlos, aber es ist mit einer Firewall sehr einfach zu sperren.
Nein, ist es nicht.
Wenn man seinen Rechner ins Internet stellt, sollte man JEDE Möglichkeit zur Absicherung nutzen und eine Firewall ist erstens von Hause aus dabei und zum anderen auch nicht soo schwierig zu konfigurieren. Und in vielen Fällen imo sinnlos. Und wenn es nur einen einzigen sinnvollen Fall gibt.......
Dann macht man es. Wenn es keinen Sinn macht, lässt man es. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0