Kann man denn einen T-DSL Gateway (fetchmail, pppoe, qpopper, iptables) auf einem Pentium I 233 Mhz, 2 GB aufsetzen, oder ist dass Teil dafür etwas zu schwach auf der Brust? Habe noch einen alten Rechner rumstehen und möchte ihn nicht verschrotten oder verschenken.
* On Sun, 03 Feb 2002 at 20:09 +0100, Jochen Kaechelin wrote:
Kann man denn einen T-DSL Gateway (fetchmail, pppoe, qpopper, iptables) auf einem Pentium I 233 Mhz, 2 GB aufsetzen, oder ist dass Teil dafür etwas zu schwach auf der Brust?
Habe noch einen alten Rechner rumstehen und möchte ihn nicht verschrotten oder verschenken.
Der fadisiert sich :-) Für solche Sachen ist sebst ein 486er noch stark genug, da kannst Du locker auch noch einen squid usw. laufen lassen. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
Hi, On 3 Feb 2002 at 20:57, Adalbert Michelic wrote:
* On Sun, 03 Feb 2002 at 20:09 +0100, Jochen Kaechelin wrote:
Kann man denn einen T-DSL Gateway (fetchmail, pppoe, qpopper, iptables) auf einem Pentium I 233 Mhz, 2 GB aufsetzen, oder ist dass Teil dafür etwas zu schwach auf der Brust?
Habe noch einen alten Rechner rumstehen und möchte ihn nicht verschrotten oder verschenken.
Der fadisiert sich :-)
Für solche Sachen ist sebst ein 486er noch stark genug, da kannst Du locker auch noch einen squid usw. laufen lassen.
sind das 2GB Ram? Squid würde ich aber nicht empfehlen (ausser es sind tatsächlich 2GB Ram). Aus Sicherheitsgründen wäre empfehlenswert, den Rechner mit einem absoluten Minimalsystem zu versehen, also ohne jegliche Programme. Ohne Ftp, Lynx etc. (wenn es sein muß ls etc auf Diskette, nicht eingeschoben!) kann ein potentieller Angreifer diesen Friewall fast nicht überwinden. Er bekommt keine Tools auf den Rechner, und kann daher nicht ins private Netz. Tom
* On Sun, 03 Feb 2002 at 21:21 +0100, Thomas Michael Wanka wrote:
On 3 Feb 2002 at 20:57, Adalbert Michelic wrote:
* On Sun, 03 Feb 2002 at 20:09 +0100, Jochen Kaechelin wrote:
Kann man denn einen T-DSL Gateway (fetchmail, pppoe, qpopper, iptables) auf einem Pentium I 233 Mhz, 2 GB aufsetzen, oder ist dass Teil dafür etwas zu schwach auf der Brust?
Habe noch einen alten Rechner rumstehen und möchte ihn nicht verschrotten oder verschenken.
Der fadisiert sich :-)
Für solche Sachen ist sebst ein 486er noch stark genug, da kannst Du locker auch noch einen squid usw. laufen lassen.
sind das 2GB Ram?
Platte.
Squid würde ich aber nicht empfehlen (ausser es sind tatsächlich 2GB Ram).
Ich nehme mal an, wenn jemand einen alten Rechner als Gateway recyclen möchte, dann ist das für zuhause oder ein kleines Büro in dem nicht mehr als 50 Clients laufen. Mit 2 GB RAM kannst Du relativ sorgenlos ein paar 100 Clients versorgen. Ein durchscnittliches Netzwerk von Otto-Normalverbraucher hat - sag ich mal - nicht mehr als 5 surfende Clients, die kann man von einem P90 mit 64 MB RAM noch bequem versorgen.
Aus Sicherheitsgründen wäre empfehlenswert, den Rechner mit einem absoluten Minimalsystem zu versehen, also ohne jegliche Programme. Ohne Ftp, Lynx etc. (wenn es sein muß ls etc auf Diskette, nicht eingeschoben!) kann ein potentieller Angreifer diesen Friewall fast nicht überwinden. Er bekommt keine Tools auf den Rechner, und kann daher nicht ins private Netz.
Wenn ich mal aus meiner Erfahrung sprechen darf: Der potentielle Angreifer nimmt sich seine Tools selber mit. Mit einem derart eingeschränkten System blockiert man sich nur selbst. Reinkommen tut einer sowieso wenn er will. Wenn Du derart hohe Sicherheitsanfor- derungen hast, solltest Du besser, bevor Du das Gateway so sauber machst, dafür sorgen, daß auch die Clients sauber sind, und Deine User auch in Sachen Sicherheit gut geschult sind. Vorsicht bei ankommenden Emails, am besten keine Attachments zulassen. Keine Downloads von "Bildschirmschonern" o.ä. Kein ICQ, AIM, usw. blablabla .... In Kürze: Das sicherste Gateway bringt nichts, wenn der Angreifer bequem über Trojaner o.ä. Sicherheitslücken der Clients ausnutzen kann. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
Hi, On 3 Feb 2002 at 21:57, Adalbert Michelic wrote:
Wenn ich mal aus meiner Erfahrung sprechen darf: Der potentielle Angreifer nimmt sich seine Tools selber mit. Mit einem derart
Wie?
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut einer sowieso wenn er will. Wenn Du derart hohe Sicherheitsanfor- derungen hast, solltest Du besser, bevor Du das Gateway so sauber machst, dafür sorgen, daß auch die Clients sauber sind, und Deine User auch in Sachen Sicherheit gut geschult sind. Vorsicht bei ankommenden Emails, am besten keine Attachments zulassen. Keine Downloads von "Bildschirmschonern" o.ä. Kein ICQ, AIM, usw.
Das sehe ich nicht ganz so! In meinen Augen ist eines der gefährlichsten Dinge ein "Gateway" mit komplettem IP Stack und allen nötigen Tools diesen zu unrechten Dingen einzusetzen (bzw. einem FTP Client, um sämtliche Bösartigkeiten die existieren auf den Rechner zu bringen) in Kontrolle eines bösen Buben. Nicht nur um das eigene Netz sondern auch um den Rest der Welt zu schützen! Tom
* On Sun, 03 Feb 2002 at 22:15 +0100, Thomas Michael Wanka wrote:
On 3 Feb 2002 at 21:57, Adalbert Michelic wrote:
Wenn ich mal aus meiner Erfahrung sprechen darf: Der potentielle Angreifer nimmt sich seine Tools selber mit. Mit einem derart
Wie?
Sobald er eine rootshell offen hat, kann ers zur Not auch abtippen. Außerdem: Not macht erfinderisch.
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut einer sowieso wenn er will. Wenn Du derart hohe Sicherheitsanfor- derungen hast, solltest Du besser, bevor Du das Gateway so sauber machst, dafür sorgen, daß auch die Clients sauber sind, und Deine User auch in Sachen Sicherheit gut geschult sind. Vorsicht bei ankommenden Emails, am besten keine Attachments zulassen. Keine Downloads von "Bildschirmschonern" o.ä. Kein ICQ, AIM, usw.
Das sehe ich nicht ganz so! In meinen Augen ist eines der gefährlichsten Dinge ein "Gateway" mit komplettem IP Stack und ^^^^^^^^^^^^^^^^^^^ Dann ist Linux aber fehl am Platz.
allen nötigen Tools diesen zu unrechten Dingen einzusetzen (bzw. einem FTP Client, um sämtliche Bösartigkeiten die existieren auf den Rechner zu bringen) in Kontrolle eines bösen Buben. Nicht nur um das eigene Netz sondern auch um den Rest der Welt zu schützen!
Vergiß die Clients nicht - von denen aus kann man genausoviel Blödsinn anstellen. Kennst Du die netten kleinen Flash-Animationen, die immer fleissig per Email herumgeschickt werden? Zum Beispiel den Mixer mit dem Frosch? Stell Dir mal vor, da ist in einem ein netter kleiner Trojaner drinnen, der sich unter einem möglichst unauffälligen Namen installiert. 1x täglich fragt er dann einen Server ab, ob es Instruktionen gibt. Wenn der Trojaner nun mal auf 1000 Rechnern gelandet ist, kann ein "böser Bube" mit einer Verzögerung von max. 24 Stunden ganz nett Dummfug machen. Und brauch sich nicht mal um das Gateway kümmern. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
Hi, On 3 Feb 2002 at 22:42, Adalbert Michelic wrote:
Sobald er eine rootshell offen hat, kann ers zur Not auch abtippen. Außerdem: Not macht erfinderisch.
mE. braucht er aber immer noch einen Compiler.
Vergiß die Clients nicht - von denen aus kann man genausoviel Blödsinn anstellen.
Fast. Das habe ich aber auch nicht bezweifelt. Einige Firewallregeln machen das aber recht schwer. Wer aber den Gateway unter Kontrolle hat, der hat es vergleichsweise leicht, die Clients (und eventuell vorhandene Server) zu infiltrieren. Tom
Hi Adalbert, On 3 Feb 2002 at 21:57, Adalbert Michelic wrote: [...].
Wenn ich mal aus meiner Erfahrung sprechen darf: Der potentielle Angreifer nimmt sich seine Tools selber mit. Mit einem derart
Trotzdem benötigt er einige Dinge auf Deinem System, Speicher kann er schlecht über das Internet übertragen. Und irgendwo muss er auch was hinschreiben. Ausserdem muss er ja erstmal auf das System drauf kommen, das kann schon sehr hart werden.
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut
Was soll's, dann lernst Du's eben mal anders rum. back to the root's. Ich bin immer wieder überrrascht wieviel Probleme man mit den einfachsten Befehlen lösen kann.
einer sowieso wenn er will. Wenn Du derart hohe Sicherheitsanfor- derungen hast, solltest Du besser, bevor Du das Gateway so sauber machst, dafür sorgen, daß auch die Clients sauber sind, und Deine User auch in Sachen Sicherheit gut geschult sind. Vorsicht bei
Die Kompetenz der user würde alles enorm vereinfachen, darauf kannst und solltest Du Dich aber nicht verlassen.
ankommenden Emails, am besten keine Attachments zulassen. Keine Downloads von "Bildschirmschonern" o.ä. Kein ICQ, AIM, usw. blablabla ....
In Kürze: Das sicherste Gateway bringt nichts, wenn der Angreifer bequem über Trojaner o.ä. Sicherheitslücken der Clients ausnutzen kann.
Ein Angreifer kann natürlich alles mögliche tunneln, aber dafür muss im internen Netz ein entsprechender Dienst laufen. Kurz, einen gut gesicherten Gateway auszutrixen macht nur Sinn wenn der Nutzen für den Angreifer hoch ist, oder ein er 'Sportler' ist. mit freundlichen Grüßen Jörg Zimmermann -- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072
Hallo, at Mon, 4 Feb 2002 18:03:08 +0100 Jörg Zimmermann wrote:
On 3 Feb 2002 at 21:57, Adalbert Michelic wrote: [...].
Wenn ich mal aus meiner Erfahrung sprechen darf: Der potentielle Angreifer nimmt sich seine Tools selber mit. Mit einem derart
Trotzdem benötigt er einige Dinge auf Deinem System, Speicher kann er schlecht über das Internet übertragen.
Wenn alle Ports dicht sind, wo man evtl. was auf dem Server übertragen kann (POP3, Telnet, SSH), dann dürfte eigentlich nix passieren. Zwar ist smtp offen, aber man bekommt nix drauf. Denn mein Mailserver macht smtp after pop. Und pop3 ist nach aussenhin zu.
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut
Was soll's, dann lernst Du's eben mal anders rum. back to the root's. Ich bin immer wieder überrrascht wieviel Probleme man mit den einfachsten Befehlen lösen kann.
Mit welchen z.B. ? Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU PGP-Key ID 22C51B8D0140F88B ++ Webdesign ++ PHP Development ++
Hi Michael, On 4 Feb 2002 at 18:56, Michael Raab wrote:
at Mon, 4 Feb 2002 18:03:08 +0100 Jörg Zimmermann wrote: [...]. Wenn alle Ports dicht sind, wo man evtl. was auf dem Server übertragen kann (POP3, Telnet, SSH), dann dürfte eigentlich nix passieren. Zwar ist smtp offen, aber man bekommt nix drauf. Denn mein Mailserver macht smtp after pop. Und pop3 ist nach aussenhin
Da bist Du aber etwas zu naiv. Was ist denn mit DNS oder http? Erkennt Dein Filter wirklich ALLE malformed packet's? Verwendest Du ipchains oder iptables. Filterst Du zustandsabhängig. Wie sieht's mit den neuesten Exploids aus. Was machen Deine user denn so alles? Sicherheit ist subjektiv, kriminelle Energie ist kreativ.
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut
Was soll's, dann lernst Du's eben mal anders rum. back to the root's. Ich bin immer wieder überrrascht wieviel Probleme man mit den einfachsten Befehlen lösen kann.
Mit welchen z.B. ?
z.B. zum listen von Dateien: echo * echo kann aber noch einiges mehr, denk nur mal an die Möglichkeit Sonderzeichen auszugeben, ist z.B. für Modems interessant. Oder .. sei kreativ, lerne von Hackern. Stichwort honeypot. Sieh Dir backdoors an .. mit freundlichen Grüßen Jörg Zimmermann -- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072
Hallo, at Mon, 4 Feb 2002 19:56:49 +0100 Jörg Zimmermann wrote:
On 4 Feb 2002 at 18:56, Michael Raab wrote:
at Mon, 4 Feb 2002 18:03:08 +0100 Jörg Zimmermann wrote: [...]. Wenn alle Ports dicht sind, wo man evtl. was auf dem Server übertragen kann (POP3, Telnet, SSH), dann dürfte eigentlich nix passieren. Zwar ist smtp offen, aber man bekommt nix drauf. Denn mein Mailserver macht smtp after pop. Und pop3 ist nach aussenhin
Da bist Du aber etwas zu naiv. Was ist denn mit DNS oder http?
1. DNS ist von aussen nicht erreichbar. 2. Ein DNS-Server läuft hier nicht. Wozu auch ? An http hängt ein Indianer dran.
Erkennt Dein Filter wirklich ALLE malformed packet's?
Davon gehe ich mal aus. Ich habe so einige Nächte mit google verbracht um die Rules zu erstellen.
Verwendest Du ipchains oder iptables.
iptables
Filterst Du zustandsabhängig.
Yepp
Wie sieht's mit den neuesten Exploids aus.
Hmmm?? Gute Frage. Gibt es dafür vielleicht so ne Testseite, wo man seinen Rechner so richtig durchchecken kann. Nicht ldf.niedersachsen.de. Die machen nur einen Portscan auf TCP. Ausserdem ist dort der Selbsttest offline.
Was machen Deine user denn so alles?
Noch bin ich hier alleine im Heimischen Netzwerk. Es kommt bald aber eine Win98/WinNT Workstation, meiner Freundin, ans heimische Netz.
Sicherheit ist subjektiv, kriminelle Energie ist kreativ.
Wo ein wille ist, da ist auch ein Gebü... äh ein Weg. ;-)
eingeschränkten System blockiert man sich nur selbst.
Von Aussen ist es nur stark eingeschränkt erreichbar. Telnet & Co. funktioniert nicht übers Internet. Und wenn ich mal von ausserhalb auf meinen Server muss, habe ich dafür eine eigene Einwahlleitung eingerichtet, die nur mein Handy akzeptiert. Dies identifiziere ich mittels der übertragenen Rufnummer des Anrufers via ISDN. Wenn die Nummer nicht stimmt wird der Anruf abgewiesen. Desweiteren muss man sich nach erfolgter Einwahl mit Usernamen und Passwort identifizieren. Vor allem muss der Angreifer erstmal die Rufnummer des Einwahlports wissen. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU PGP-Key ID 22C51B8D0140F88B ++ Webdesign ++ PHP Development ++
Michael Raab:
Wenn alle Ports dicht sind, wo man evtl. was auf dem Server übertragen kann (POP3, Telnet, SSH), dann dürfte eigentlich nix passieren. Zwar ist smtp offen, aber man bekommt nix drauf. Denn mein Mailserver macht smtp after pop. Und pop3 ist nach aussenhin zu.
Buffer overflow. Gruß, Ratti
Hallo, at 04 Feb 2002 21:02:27 +0100 Ratti wrote:
Michael Raab:
Wenn alle Ports dicht sind, wo man evtl. was auf dem Server übertragen kann (POP3, Telnet, SSH), dann dürfte eigentlich nix passieren. Zwar ist smtp offen, aber man bekommt nix drauf. Denn mein Mailserver macht smtp after pop. Und pop3 ist nach aussenhin zu.
Buffer overflow.
Das hat einer mit meinem Indianer versucht. Entweder hat er/sie sich zu blöd angestellt oder der Apache ist doch eine härtere Nuss als das Müllding von M$. ;-) Postfix wird hier auch öfters aufs Korn genommen. Aber der macht einfach dicht, wenn es ihm zu blöde wird. ;-) Desweiteren haben die versucht den Rechner totzupingen. Aber mein Rechner antwortet nicht auf Ping. Ist manchmal recht lustig, wenn man sich das log der Firewall anschaut. Ich denke mir mal, das es ratsamer ist eine Linuxmaschine als Server hinzustellen als M$ Fensters. Denn ein Windowsserver verplempert ja die meisten Resourcen mit dem heintelefonieren. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU PGP-Key ID 22C51B8D0140F88B ++ Webdesign ++ PHP Development ++
* On Mon, 04 Feb 2002 at 18:03 +0100, Jörg Zimmermann wrote:
On 3 Feb 2002 at 21:57, Adalbert Michelic wrote: [...].
Wenn ich mal aus meiner Erfahrung sprechen darf: Der potentielle Angreifer nimmt sich seine Tools selber mit. Mit einem derart
Trotzdem benötigt er einige Dinge auf Deinem System, Speicher kann er schlecht über das Internet übertragen.
echo -en '\104\141\163\040\147\145\150\164\040\141\165\143\150' && \ echo -e '\040\155\151\164\040\145\143\150\157\056'
Und irgendwo muss er auch was hinschreiben.
Da wird er, sobald er root ist, schon einen geeigneten Platz finden.
Ausserdem muss er ja erstmal auf das System drauf kommen, das kann schon sehr hart werden.
Das ist Grundvoraussetzung. Da werden ihn aber nicht vorhandene Tools auf dem System kaum dran hindern. Da ist es weit förderlicher Security-Updates und Konsorten nicht einzuspielen.
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut
Was soll's, dann lernst Du's eben mal anders rum. back to the root's. Ich bin immer wieder überrrascht wieviel Probleme man mit den einfachsten Befehlen lösen kann.
Warum sollte ich mir zuhause ein Gateway hinstellen, das derart verkrüppelt ist, daß ich selbst nicht mehr drauf arbeiten kann? Da schaue ich vielmehr drauf, daß ich Paketmäßig auf einem einigermaßen aktuellen Stand bin, und ich mit dem System arbeiten kann.
einer sowieso wenn er will. Wenn Du derart hohe Sicherheitsanfor- derungen hast, solltest Du besser, bevor Du das Gateway so sauber machst, dafür sorgen, daß auch die Clients sauber sind, und Deine User auch in Sachen Sicherheit gut geschult sind. Vorsicht bei
Die Kompetenz der user würde alles enorm vereinfachen, darauf kannst und solltest Du Dich aber nicht verlassen.
Wenn man derart hohe Sicherheitsanforderungen hat, dann müssen die User aber entweder kompetent sein, oder so massiv eingeschränkt sein, daß sie unter keinen Umständen Blödsinn machen können. Das wird aber zuhause kaum vorkommen.
ankommenden Emails, am besten keine Attachments zulassen. Keine Downloads von "Bildschirmschonern" o.ä. Kein ICQ, AIM, usw. blablabla ....
In Kürze: Das sicherste Gateway bringt nichts, wenn der Angreifer bequem über Trojaner o.ä. Sicherheitslücken der Clients ausnutzen kann.
Ein Angreifer kann natürlich alles mögliche tunneln, aber dafür muss im internen Netz ein entsprechender Dienst laufen.
Wieso? Da reicht doch ein User der sich gerne an bunten Bildchen erfreut und nach Möglichkeit an einem Windows-Rechner sitzt. Was will man mehr?
Kurz, einen gut gesicherten Gateway auszutrixen macht nur Sinn wenn der Nutzen für den Angreifer hoch ist, oder ein er 'Sportler' ist.
Klar, aber solange er nur Sklaven für DDos-Angriffe udgl. braucht, ist ein geknacktes Gateway zwar praktisch, aber nicht erforderlich. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
Hi Adalbert, On 4 Feb 2002 at 19:21, Adalbert Michelic wrote:
* On Mon, 04 Feb 2002 at 18:03 +0100, Jörg Zimmermann wrote:
On 3 Feb 2002 at 21:57, Adalbert Michelic wrote: [...].
Wenn ich mal aus meiner Erfahrung sprechen darf: Der potentielle Angreifer nimmt sich seine Tools selber mit. Mit einem derart
Trotzdem benötigt er einige Dinge auf Deinem System, Speicher kann er schlecht über das Internet übertragen.
echo -en '\104\141\163\040\147\145\150\164\040\141\165\143\150' && \ echo -e '\040\155\151\164\040\145\143\150\157\056'
Klar geht das auch mit echo. Oder so, Dank an David Haller für diese wunderschöne sig. set 124 26 1 12-123-3-4-5 115 16-5 62 15-13- 115-4 1-3- 143 10 dk[${1%-}]=0 cd= k=0 c=$k kn=1 ;for D in ${*//-/ -}; do \ [ $D = - ]&&D=-$c;dk[$((k=${k}+1))]=$((${c}+$D)) \ c=$((${D}>-1?${D}+$c:(${D#-}<$k?${dk[${D#-}]}+0:${c}+\ ${D}))) cd="${cd}\\$c";done;echo -e "$cd" # Charles Cooke, Sysadmin. Ich mag echo ;). Echo kommt auch ohne Bibliotheken aus, wenn du darauf anspielst, ja. Aber brauche ich das? Ich dachte da eher an Speicher. Sowas wie Festplatten, Ram etc. Darüber hinaus muss ein Angreifer ja erstmal root Rechte bekommen. Situation 1.) Der Angreifer nutzt einen Exploid, erlangt also root-Rechte durch fehlerhafte Programme oder, meines Erachtens nach wesentlich häufiger der Fall, über fehlerhafte Konfigurationen. Situation 2.) Der Angreifer erlangt die Kontrolle über einen minderpriviligierten account und hackt den root account von dort. Zu Fall 1.) Auf einer FW läuft nicht's ausser dem packetfilter, also dem puren Kernel und ein paar kleine unverzichtbare Kleinigkeiten. Da sollte sich ein Exploid nicht so schnell finden lassen. Keine weiteren Dienste. Also kein sendmail, kein squid, kein popper, kein finger, kein telnet, keine Hilfsprogramme, kein Perl. Keine nette bash, eher die csh. Wenn ssh, dann nur über serielle Verbindung oder internes device. Das heisst, es gibt fast nichts wo es einen Exploid für gibt. Es werden nur Packete von draussen nach drinnen weitergeleitet, nie auf den FW selber. Der Hacker der es jetzt schafft auf die FW draufzukommen, dem sind Deine kompetenten user, Deine gesicherten Client's hilflos ausgeliefert. Aber Hacker die das schaffen, naja, da wirds doch schon sehr übersichtlich. Voraussetzung ist natürlich immer ein aktuelles System, also Sicherheitspatches einspielen. Mach ich bei mir immer auf einem anderen System, und brenne mir dann alles auf CD, neu booten, ab dafür. Also ein System ohne HD, Floppy. Zu Fall 2.) Wofür brauche ich auf einer FW minderpriviligierte user? Ok, und wenn schon, dann d(arf)ürfen diese\r use\r dürfen nirgendwo was hinschreiben.
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut
Ich muss da nicht reinkommen, wofür, ich brauche lediglich Informationen, also log's. Konfiguriert wird das System woanders, da wo ich in Ruhe testen kann.
Wenn man derart hohe Sicherheitsanforderungen hat, dann müssen die User aber entweder kompetent sein, oder so massiv eingeschränkt sein, daß sie unter keinen Umständen Blödsinn machen können. Das wird aber zuhause kaum vorkommen.
LOL, ich hab ja schon Probleme wenn ich vor Mail Attachments warne, oder HTML oder... und Kompetenz bei user? Die sollen in der Regel Ihren Job machen, Rechnungen schreiben, layouten, designen, konstruieren, also was sollte normale user dazu bringen umfangreiche Schulungen auf sich zu nehmen. Und, darüber sind wir uns ja wohl klar, Sicherheitsschulungen wie Du Sie benötigen würdest, sind nicht an einem Wochenende zu schaffen. Da braucht es erheblich länger für.
ankommenden Emails, am besten keine Attachments zulassen. Keine Downloads von "Bildschirmschonern" o.ä. Kein ICQ, AIM, usw. blablabla ....
In Kürze: Das sicherste Gateway bringt nichts, wenn der Angreifer bequem über Trojaner o.ä. Sicherheitslücken der Clients ausnutzen kann.
ACK.
Ein Angreifer kann natürlich alles mögliche tunneln, aber dafür muss im internen Netz ein entsprechender Dienst laufen.
Wieso? Da reicht doch ein User der sich gerne an bunten Bildchen erfreut und nach Möglichkeit an einem Windows-Rechner sitzt. Was will man mehr?
Ich denk, die user sind kompetent und geschult?
Kurz, einen gut gesicherten Gateway auszutrixen macht nur Sinn wenn der Nutzen für den Angreifer hoch ist, oder ein er 'Sportler' ist.
Klar, aber solange er nur Sklaven für DDos-Angriffe udgl. braucht, ist ein geknacktes Gateway zwar praktisch, aber nicht erforderlich.
Für eine slave wird ein Hacker nicht so einen Aufwand betreiben. Dafür benutzt er diese TDSLichbinderschnellsteundladeammeistenrunterM$userRechner. PS: Ich würde mich niemals sicher fühlen. Ich würde auch niemals glauben das mein Ansatz vollkommen sicher ist. Ich denke, man kann hier nur sein bestes tun;) mit freundlichen Grüßen Jörg Zimmermann -- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072
Hi Jörg, * On Mon, 04 Feb 2002 at 21:37 +0100, Jörg Zimmermann wrote:
On 4 Feb 2002 at 19:21, Adalbert Michelic wrote:
* On Mon, 04 Feb 2002 at 18:03 +0100, Jörg Zimmermann wrote:
On 3 Feb 2002 at 21:57, Adalbert Michelic wrote: [...].
Wenn ich mal aus meiner Erfahrung sprechen darf: Der potentielle Angreifer nimmt sich seine Tools selber mit. Mit einem derart
Trotzdem benötigt er einige Dinge auf Deinem System, Speicher kann er schlecht über das Internet übertragen.
echo -en '\104\141\163\040\147\145\150\164\040\141\165\143\150' && \ echo -e '\040\155\151\164\040\145\143\150\157\056'
Klar geht das auch mit echo. Oder so, Dank an David Haller für diese wunderschöne sig.
set 124 26 1 12-123-3-4-5 115 16-5 62 15-13- 115-4 1-3- 143 10 dk[${1%-}]=0 cd= k=0 c=$k kn=1 ;for D in ${*//-/ -}; do \ [ $D = - ]&&D=-$c;dk[$((k=${k}+1))]=$((${c}+$D)) \ c=$((${D}>-1?${D}+$c:(${D#-}<$k?${dk[${D#-}]}+0:${c}+\ ${D}))) cd="${cd}\\$c";done;echo -e "$cd" # Charles Cooke, Sysadmin.
Ich mag echo ;). Echo kommt auch ohne Bibliotheken aus, wenn du darauf anspielst, ja. Aber brauche ich das? Ich dachte da eher an Speicher. Sowas wie Festplatten, Ram etc. Darüber hinaus muss ein Angreifer ja erstmal root Rechte bekommen.
Situation 1.) Der Angreifer nutzt einen Exploid, erlangt also root-Rechte durch fehlerhafte Programme oder, meines Erachtens nach wesentlich häufiger der Fall, über fehlerhafte Konfigurationen.
Das ist diejenige, die ich meine.
Situation 2.) Der Angreifer erlangt die Kontrolle über einen minderpriviligierten account und hackt den root account von dort.
Zu Fall 1.) Auf einer FW läuft nicht's ausser dem packetfilter, also dem puren Kernel und ein paar kleine unverzichtbare Kleinigkeiten. Da sollte sich ein Exploid nicht so schnell finden lassen. Keine weiteren Dienste. Also kein sendmail, kein squid, kein popper, kein finger, kein telnet, keine Hilfsprogramme, kein Perl. Keine nette bash, eher die csh. Wenn ssh, dann nur über serielle Verbindung oder internes device. Das heisst, es gibt fast nichts wo es einen Exploid für gibt. Es werden nur Packete von draussen nach drinnen weitergeleitet, nie auf den FW selber. Der Hacker der es jetzt schafft auf die FW draufzukommen, dem sind Deine kompetenten user, Deine gesicherten Client's hilflos ausgeliefert. Aber Hacker die das schaffen, naja, da wirds doch schon sehr übersichtlich.
Das ist mal die schöne Theorie. Sowas ähnliches würde ich auch implementieren, wenn ich für ein Unternehmen o.ä. eine Lösung zusammenstellen muß. Allerdings würde ich eher zu OpenBSD als Linux tendieren. Aber wir reden hier noch von Jochen's System, das vermutlich in seinem Abstellraum zuhause sein dasein fristen wird, oder? Klar, wenn keine Dienste laufen, wird es schwierig einen Exploit zu finden. Solange der Angreifer keinen Exploit hat, ist es allerdings auch egal, ob ls in einer Diskette auf dem Rechner oder auf der Platte im Rechner liegt. Wenn er dann einen hat[1], kann er sich sein $FOO mittels echo o.ä. auf den Rechner schaffen.
Voraussetzung ist natürlich immer ein aktuelles System, also Sicherheitspatches einspielen. Mach ich bei mir immer auf einem
Das ist sowieso Voraussetzung, egal ob nun $FOO auf dem System vorhanden ist, oder nicht.
anderen System, und brenne mir dann alles auf CD, neu booten, ab dafür. Also ein System ohne HD, Floppy.
Der Kernel ist - nehme ich mal an - ohne loadable module support und ohne ramdisk support? Fällt mir so mal aufs erste ein.
Zu Fall 2.) Wofür brauche ich auf einer FW minderpriviligierte user? Ok, und wenn schon, dann d(arf)ürfen diese\r use\r dürfen nirgendwo was hinschreiben.
Das ist IMO sowieso ein Fall von selber schuld, also ...
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut
Ich muss da nicht reinkommen, wofür, ich brauche lediglich Informationen, also log's. Konfiguriert wird das System woanders, da wo ich in Ruhe testen kann.
Steigert wieder den Aufwand und steht IMO bei einem Systemn, das zuhause im Abstellraum steht, nicht dafür.
Wenn man derart hohe Sicherheitsanforderungen hat, dann müssen die User aber entweder kompetent sein, oder so massiv eingeschränkt sein, daß sie unter keinen Umständen Blödsinn machen können. Das wird aber zuhause kaum vorkommen.
LOL, ich hab ja schon Probleme wenn ich vor Mail Attachments warne, oder HTML oder... und Kompetenz bei user? Die sollen in der Regel Ihren Job machen, Rechnungen schreiben, layouten, designen, konstruieren, also was sollte normale user dazu bringen
Eine Kette ist nur so stark, wie ihr schwächstes Glied - über dämliche User läßt sich ein Netzwerk weit einfacher infiltrieren, als über das Gateway. Entweder die User gescheit schulen / einschränken, oder beim Gateway ein wenig zurücksteigen. Was bringt Dir ein supertolles, sicheres Auto, wenns ein Cabrio ist, das keine Überollbügel hat und Du Dir 3 mal das Genick brichst, wenn Du einen Berg runterkugelst?
umfangreiche Schulungen auf sich zu nehmen. Und, darüber sind wir uns ja wohl klar, Sicherheitsschulungen wie Du Sie benötigen würdest, sind nicht an einem Wochenende zu schaffen. Da braucht es erheblich länger für.
ankommenden Emails, am besten keine Attachments zulassen. Keine Downloads von "Bildschirmschonern" o.ä. Kein ICQ, AIM, usw. blablabla ....
In Kürze: Das sicherste Gateway bringt nichts, wenn der Angreifer bequem über Trojaner o.ä. Sicherheitslücken der Clients ausnutzen kann.
ACK.
Ein Angreifer kann natürlich alles mögliche tunneln, aber dafür muss im internen Netz ein entsprechender Dienst laufen.
Wieso? Da reicht doch ein User der sich gerne an bunten Bildchen erfreut und nach Möglichkeit an einem Windows-Rechner sitzt. Was will man mehr?
Ich denk, die user sind kompetent und geschult?
Entweder ich habe geschulte User, dann treibe ich auch beim Gateway mehr Aufwand, oder ich habe Dummuser, dann reisse ich mir beim Gateway nicht unbedingt die Beine aus.
Kurz, einen gut gesicherten Gateway auszutrixen macht nur Sinn wenn der Nutzen für den Angreifer hoch ist, oder ein er 'Sportler' ist.
Klar, aber solange er nur Sklaven für DDos-Angriffe udgl. braucht, ist ein geknacktes Gateway zwar praktisch, aber nicht erforderlich.
Für eine slave wird ein Hacker nicht so einen Aufwand betreiben. Dafür benutzt er diese TDSLichbinderschnellsteundladeammeistenrunterM$userRechner.
ACK.
PS: Ich würde mich niemals sicher fühlen. Ich würde auch niemals glauben das mein Ansatz vollkommen sicher ist. Ich denke, man kann hier nur sein bestes tun;)
detto. Ich tue mein Bestes - solange der Aufwand dafür steht. 99% Verfügbarkeit sind "einfach". 99.9% Verfügbarkeit sind schon schwieriger/teurer 99,99% noch viel schwieriger 99,999% erst recht 99,9999% das wird schon massiv teuer 99,99999% Atomraketen-Steuerung IMO gilt das obige für Sicherheit sinngemäß. [1] Klar, je mehr Dienste[2] laufen, desto einfacher wird es einen Exploit zu finden. [2] Ich meine Dienste wie httpd, squid, ftpd, usw. - nicht Tools wie ls, ftp, wget, lynx usw. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
Hi, On 4 Feb 2002 at 21:37, Jörg Zimmermann wrote:
Ich mag echo ;). Echo kommt auch ohne Bibliotheken aus, wenn du darauf anspielst, ja. Aber brauche ich das? Ich dachte da eher an Speicher. Sowas wie Festplatten, Ram etc. Darüber hinaus muss ein Angreifer ja erstmal root Rechte bekommen.
dazu benötigt er aber eine shell! Ist die Platte schreibgeschützt, oder eine CD, ist der Schaden mit einem Reboot behoben. Richtig ist, daß die Clients auch ein hohes Schutzbedürfnis haben, aber der Gateway bzw. dessen Logs sind wichtig, um z.B. einen Exploit der Clients erkennen zu können. Sicherheit ist keine statische Struktur. Sie wird definiert und ist von den Umständen abhängig. Wer z.B. einen Börsenticker hat, dem ist hauptsächlich wichtig, daß der Dienst unter allen Umständen läuft, wer einen Firmenserver mit sensiblen Daten mit Internetzugang hat, dem ist wichtig, daß im Angriffsfall die Leitung gekappt wird, und sei es durch einen Shutdown des Gateways. Darüber hinaus sind im Angriffsfall wesentliche Dinge zu beachten: erstens muß der Angriff erkannt werden, dann muß natürlich alles unternommen werden, den Angriff abzuwehren, und ist ein Angriff einmal erfolgreich, muß die Wiederherstllung recht einfach sein. All diese Funktionen und Ansprüche an die Sicherheit kann ein einzelnes System nicht bieten. Man muß also Kompromisse eingehen. Für mich ist das Wichtigste, daß ich mich auf die Logfiles des Gateway verlassen kann. Ein Roottoolkit am Gateway bedeutet das Neuaufsetzen *sämtlicher* Workstations, Server und des Gateways. Vermutlich hat der Angreifer genaue Kenntnisse über die Interna meines Netzes, er kann sagen, wo welche Services laufen etc. Und ich kann dann immer noch nciht sagen, ob nicht der Angreifer wichtige Daten hat, seien dies Konto- und Kreditkarteninformationen oder anderes. Ich ann nichteinmal Nachvolziehen, wie der Angreifer das Netz penetrierte, ich kann also nichteinmal sicherstellen, daß sich der Angriff wiedeholt! Die Sicherheit des Gateways ist in meinen Augen das wichtigste. Tom
Hallo Jörg,
From the keyboard of Jörg,
Hi Adalbert, On 4 Feb 2002 at 19:21, Adalbert Michelic wrote:
* On Mon, 04 Feb 2002 at 18:03 +0100, Jörg Zimmermann wrote:
On 3 Feb 2002 at 21:57, Adalbert Michelic wrote: [...].
Wenn ich mal aus meiner Erfahrung sprechen darf: Der potentielle Angreifer nimmt sich seine Tools selber mit. Mit einem derart
Trotzdem benötigt er einige Dinge auf Deinem System, Speicher kann er schlecht über das Internet übertragen.
echo -en '\104\141\163\040\147\145\150\164\040\141\165\143\150' && \ echo -e '\040\155\151\164\040\145\143\150\157\056'
Klar geht das auch mit echo. Oder so, Dank an David Haller für diese wunderschöne sig.
set 124 26 1 12-123-3-4-5 115 16-5 62 15-13- 115-4 1-3- 143 10 dk[${1%-}]=0 cd= k=0 c=$k kn=1 ;for D in ${*//-/ -}; do \ [ $D = - ]&&D=-$c;dk[$((k=${k}+1))]=$((${c}+$D)) \ c=$((${D}>-1?${D}+$c:(${D#-}<$k?${dk[${D#-}]}+0:${c}+\ ${D}))) cd="${cd}\\$c";done;echo -e "$cd" # Charles Cooke, Sysadmin.
Ich mag echo ;).
Ich überhaupt nicht. Es ist so schrecklich unportabel :) Dann lieber printf. *g*
Echo kommt auch ohne Bibliotheken aus, wenn du darauf anspielst, ja. Aber brauche ich das? Ich dachte da eher an Speicher. Sowas wie Festplatten, Ram etc. Darüber hinaus muss ein Angreifer ja erstmal root Rechte bekommen.
Situation 1.) Der Angreifer nutzt einen Exploid, erlangt also root-Rechte durch fehlerhafte Programme oder, meines Erachtens nach wesentlich häufiger der Fall, über fehlerhafte Konfigurationen. Situation 2.) Der Angreifer erlangt die Kontrolle über einen minderpriviligierten account und hackt den root account von dort.
Zu Fall 1.) Auf einer FW läuft nicht's ausser dem packetfilter, also dem puren Kernel und ein paar kleine unverzichtbare Kleinigkeiten. Da sollte sich ein Exploid nicht so schnell finden lassen. Keine weiteren Dienste. Also kein sendmail, kein squid, kein popper, kein finger, kein telnet, keine Hilfsprogramme, kein Perl. Keine nette bash, eher die csh. Wenn ssh, dann nur über serielle Verbindung oder internes device. Das heisst, es gibt fast nichts wo es einen Exploid für gibt. Es werden nur Packete von draussen nach drinnen weitergeleitet, nie auf den FW selber. Der Hacker der es jetzt schafft auf die FW draufzukommen, dem sind Deine kompetenten user, Deine gesicherten Client's hilflos ausgeliefert. Aber Hacker die das schaffen, naja, da wirds doch schon sehr übersichtlich. Voraussetzung ist natürlich immer ein aktuelles System, also Sicherheitspatches einspielen. Mach ich bei mir immer auf einem anderen System, und brenne mir dann alles auf CD, neu booten, ab dafür. Also ein System ohne HD, Floppy.
Was ist wenn er seine Pakete durch die Firewall schleust? Letzlich sogar Shell über ICMP gesehn ;) Dein Paketfilter kann auch exploitet werden. Vor DoS bist du dann immer noch nicht geschützt. Wie bietest du Services nach außen an? Garnicht? Im Privatbereich akzeptabel, in einer Firma wohl nicht.
PS: Ich würde mich niemals sicher fühlen. Ich würde auch niemals glauben das mein Ansatz vollkommen sicher ist. Ich denke, man kann hier nur sein bestes tun;)
ACK. gruß Waldemar P.S. Exploit nicht Exploid. Paketfilter nicht Packetfilter. (außer du schreibst alles in englisch :) ) -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html
Hi Waldemar, On 6 Feb 2002 at 12:34, Waldemar Brodkorb wrote:
From the keyboard of Jörg, Was ist wenn er seine Pakete durch die Firewall schleust? Letzlich sogar Shell über ICMP gesehn ;)
Da würde nur ein filtern auf höheren Schichten, also des contents helfen.
Dein Paketfilter kann auch exploitet werden.
Naja, was könnte denn nicht exploitet werden. Also wenn mir der Himmel auf den Kopf fällt, sind die Tauben auch tot.
Vor DoS bist du dann immer noch nicht geschützt.
Da hast Du nicht ganz Recht. Mit den iptables kann man, zumindestens in gewissen Umfang, schon einen Schutz vor DoS- Angriffen aufbauen. Stichwort 'limit'. Damit kann der Paketfilter (man achte auf die Rächtschreibung;) erkennen, in welcher Zeit z.B. zu einer bestehenden Verbindung (state), wieviele Pakete eintreffen und in Abhängigkeit dazu weitere Pakete ablehnen. Also, da kann man schon Einiges machen.
Wie bietest du Services nach außen an? Garnicht? Im Privatbereich akzeptabel, in einer Firma wohl nicht.
yep, dafür gibt es das Konzept der DMZ.
P.S. Exploit nicht Exploid. Paketfilter nicht Packetfilter. (außer du schreibst alles in englisch :) )
Jau, danke, ich bin mir meist noch nicht mal sicher ob ich die englischen Bergriffe jetzt gross oder klein schreiben sollte;) mit freundlichen Grüßen Jörg Zimmermann -- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072
Hallo Jörg,
From the keyboard of Jörg,
Hi Waldemar, On 6 Feb 2002 at 12:34, Waldemar Brodkorb wrote:
From the keyboard of Jörg, Was ist wenn er seine Pakete durch die Firewall schleust? Letzlich sogar Shell über ICMP gesehn ;)
Da würde nur ein filtern auf höheren Schichten, also des contents helfen.
Zum Bleistift. Oder ausstöpseln des Netzwerkkabels ;)
Dein Paketfilter kann auch exploitet werden.
Naja, was könnte denn nicht exploitet werden. Also wenn mir der Himmel auf den Kopf fällt, sind die Tauben auch tot.
Vor DoS bist du dann immer noch nicht geschützt.
Da hast Du nicht ganz Recht. Mit den iptables kann man, zumindestens in gewissen Umfang, schon einen Schutz vor DoS- Angriffen aufbauen. Stichwort 'limit'. Damit kann der Paketfilter (man achte auf die Rächtschreibung;)
Hast du mir das Übel genommen ? *g*
erkennen, in welcher Zeit z.B. zu einer bestehenden Verbindung (state), wieviele Pakete eintreffen und in Abhängigkeit dazu weitere Pakete ablehnen. Also, da kann man schon Einiges machen.
Wie bietest du Services nach außen an? Garnicht? Im Privatbereich akzeptabel, in einer Firma wohl nicht.
yep, dafür gibt es das Konzept der DMZ.
Kenne ich. Bietet dann aber auch wiederrum Angriffsfläche für DoS oder Exploits.
P.S. Exploit nicht Exploid. Paketfilter nicht Packetfilter. (außer du schreibst alles in englisch :) )
Jau, danke, ich bin mir meist noch nicht mal sicher ob ich die englischen Bergriffe jetzt gross oder klein schreiben sollte;)
Ironie? Naja, wie auch immer _totale_ Sicherheit ist eh nur eine Illusion. gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html
Hi, On 4 Feb 2002 at 19:21, Adalbert Michelic wrote:
Das ist Grundvoraussetzung. Da werden ihn aber nicht vorhandene Tools auf dem System kaum dran hindern. Da ist es weit förderlicher Security-Updates und Konsorten nicht einzuspielen.
Ohne Updates geht es ohnehin nicht. Fehlende telnet und Datei systemtools etc. eventuell manipulierte shells etc. sind aber durchaus dazu geeignet den Angreifer zu blockieren. Wenn man dann noch Filesystemflags einsetzt und den erheblichen Teil der Dateien schützt, oder auch von CD bootet kann man eine gewisse Sichedrheit voraussetzen.
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut
Was soll's, dann lernst Du's eben mal anders rum. back to the root's. Ich bin immer wieder überrrascht wieviel Probleme man mit den einfachsten Befehlen lösen kann.
Warum sollte ich mir zuhause ein Gateway hinstellen, das derart verkrüppelt ist, daß ich selbst nicht mehr drauf arbeiten kann? Da schaue ich vielmehr drauf, daß ich Paketmäßig auf einem einigermaßen aktuellen Stand bin, und ich mit dem System arbeiten kann.
Was hast Du am Gateway zu arbeiten? Häng Dich per serieller in den Rechner, leg mounte eine CD die Du erst eienschieben mußt, und die Sache ist erledigt. Tom
* On Tue, 05 Feb 2002 at 12:12 +0100, Thomas Michael Wanka wrote:
On 4 Feb 2002 at 19:21, Adalbert Michelic wrote:
Das ist Grundvoraussetzung. Da werden ihn aber nicht vorhandene Tools auf dem System kaum dran hindern. Da ist es weit förderlicher Security-Updates und Konsorten nicht einzuspielen.
Ohne Updates geht es ohnehin nicht. Fehlende telnet und Datei systemtools etc. eventuell manipulierte shells etc. sind aber durchaus dazu geeignet den Angreifer zu blockieren. Wenn man
Das sind Steine, die im Weg liegen, aber einfach behoben werden können. man hexdump -b, man sed, man echo
dann noch Filesystemflags einsetzt und den erheblichen Teil
Damit hat er unter Linux aber kein Problem solange er root ist. mit OpenBSD siehts da latürnich wieder anders aus - siehe secure level.
der Dateien schützt, oder auch von CD bootet kann man eine gewisse Sichedrheit voraussetzen.
Spätestens wenn der Rechner nur mehr auf read-only Medien (inkl. Ramdisk, d.h. keine Möglichkeit für eine Ramdisk hat) zugreifen kann, braucht er einen seperaten Logserver.
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut
Was soll's, dann lernst Du's eben mal anders rum. back to the root's. Ich bin immer wieder überrrascht wieviel Probleme man mit den einfachsten Befehlen lösen kann.
Warum sollte ich mir zuhause ein Gateway hinstellen, das derart verkrüppelt ist, daß ich selbst nicht mehr drauf arbeiten kann? Da schaue ich vielmehr drauf, daß ich Paketmäßig auf einem einigermaßen aktuellen Stand bin, und ich mit dem System arbeiten kann.
Was hast Du am Gateway zu arbeiten? Häng Dich per serieller in den Rechner, leg mounte eine CD die Du erst eienschieben mußt, und die Sache ist erledigt.
Hat sich Dir noch nie das Problem gestellt, daß Du, wenn Du auswärts bist, Zugriff auf den Rechner zuhause brauchst? Dann bist Du aus dem Schneider. Ansonsten müsste in Deinem Abstellraum - wenn Du konsequent bist - eine kleine bis mittlere Serverfarm herumstehen. Die kostet nicht nur in der Anschaffung was, sondern auch im Betrieb - man Stromkosten. Irgendeinen Server brauchst Du dann, der Dich per ssh reinlässt. Der ssh-Daemon darf natürlich keine Sicherheitslücken aufweisen, was wiederum mit endlichem Zeitaufwand kaum realisierbar ist. Dann sitzt Dein Angreifer nun nicht mehr am Gateway sondern am ssh-Server. Gottseidank hat der ssh-Server keine read-write Medien, also kann der Angreifer nichts anstellen. Aber halt - Du hast ja noch einen Server, der für Deine Emails zuständig ist, und auf dem ein mutt läuft. Vom ssh-Server würdest Du - wenn Du eine alte Email nachsehen musst - dann auf den mutt-Server weiterspazieren. Der hat ja keine rw-Medien. F*ck, wie kommen da jetzt die neuen Mails drauf? Und warum regt sich Deine Frau/Freundin auf, daß sie im Abstellraum keinen Platz mehr für Lebensmittel hat? Da gehört eindeutig ein eigener Serverraum her. usw, usw, usw. Mir wäre das zuviel Aufwand. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
Hi, On 5 Feb 2002 at 17:58, Adalbert Michelic wrote:
Irgendeinen Server brauchst Du dann, der Dich per ssh reinlässt. Der ssh-Daemon darf natürlich keine Sicherheitslücken aufweisen, was wiederum mit endlichem Zeitaufwand kaum realisierbar ist. Dann sitzt Dein Angreifer nun nicht mehr am Gateway sondern am ssh-Server. Gottseidank hat der ssh-Server keine read-write Medien, also kann der Angreifer nichts anstellen.
zur sicheren remote Administration empfehle ich einen Einwahlechner. Wer z.B. von immer einer gleichen Nummer anruft, kann Callback verwenden. Sonst reicht eine Deaktivierung bei mehreren falschen Passworteingaben. Bedenke, der Rechner steht irgendwo, wo man auch oft (vermutlich täglich)an ihn rankommt. Der Gateway kann ja ohneweiteres routen, im Falle eines Einbruchs kannst Du durch Analyse der Logfiles feststellen, was passierte. Ich habe Filesystemflags bislang nur unter NetBSD eingesetzt, aber es sollte auch unter Linux möglich sein. Tom
Hi, der Absatz, den Du zitiert hast, sieht ohne den davorgehenden einigermaßen anders aus, ich hab ihn mal wieder dazugeschrieben. * On Tue, 05 Feb 2002 at 18:32 +0100, Thomas Michael Wanka wrote:
On 5 Feb 2002 at 17:58, Adalbert Michelic wrote:
Hat sich Dir noch nie das Problem gestellt, daß Du, wenn Du auswärts bist, Zugriff auf den Rechner zuhause brauchst? Dann bist Du aus dem Schneider. Ansonsten müsste in Deinem Abstellraum - wenn Du konsequent bist - eine kleine bis mittlere Serverfarm herumstehen. Die kostet nicht nur in der Anschaffung was, sondern auch im Betrieb - man Stromkosten.
Irgendeinen Server brauchst Du dann, der Dich per ssh reinlässt. Der ssh-Daemon darf natürlich keine Sicherheitslücken aufweisen, was wiederum mit endlichem Zeitaufwand kaum realisierbar ist. Dann sitzt Dein Angreifer nun nicht mehr am Gateway sondern am ssh-Server. Gottseidank hat der ssh-Server keine read-write Medien, also kann der Angreifer nichts anstellen.
zur sicheren remote Administration empfehle ich einen Einwahlechner. Wer z.B. von immer einer gleichen Nummer anruft, kann Callback verwenden. Sonst reicht eine Deaktivierung bei mehreren falschen Passworteingaben. Bedenke, der Rechner steht irgendwo, wo man auch oft (vermutlich
Der steht im Abstellraum, vergraben hinter Mineralwasser und kiloweise Obst und Gemüse. Und leeren Flaschen.
täglich)an ihn rankommt. Der Gateway kann ja ohneweiteres routen, im Falle eines Einbruchs kannst Du durch Analyse der Logfiles feststellen, was passierte. Ich habe Filesystemflags bislang nur unter NetBSD eingesetzt, aber es sollte auch unter Linux möglich sein.
Lies den ersten Absatz, den ich geschrieben habe, noch mal genau durch. Da steht z.B.: | Hat sich Dir noch nie das Problem gestellt, daß Du, wenn Du | auswärts bist, Zugriff auf den Rechner zuhause brauchst? Und ich meine hier _nicht_ Wartung! Deswegen habe ich weiter unten auch das Beispiel mit mutt konstruiert. Der fällt definitiv nicht unter Wartung. Ich weiß nicht wie es Dir geht, aber wenn ich irgendwo bin, dann habe ich dort a) wechselnde Telefonnummern b) nicht immer ISDN zur Verfügung c) nicht immer die Chance mich überhaupt irgendwie einzuwählen d) keine Lust lange ssh-Sitzungen über Handy zu zahlen Fall 1: Ich sitze im Büro und möchte dringend wissen, wann ich mir mit $FOO ausgemacht habe, daß wir ins Kino gehen. $FOO ist telefonisch nicht erreichbar. Über Rauchzeichen auch nicht. Lösung 1: Es findet sich bei mir zuhause jemand, der meinen Rechner einschaltet, dem ich mein Passwort anvertrauen kann, und der in meine privaten Emails eine raussucht. Nicht sehr verlockend. Zeitaufwand: ca. 10 min Lösung 2: Ich setze mich ins Auto, fahre nach Hause, sehe nach, stelle fest, daß es nicht heute, sondern morgen ist und fahre wieder ins Büro. Zeitaufwand: ca. 40 min Lösung 3: Ich starte mir meinen HTTP-Tunnel, der mir ermöglicht TCP-Verbindungen über HTTP zu tunnel und baue eine Verbindung zu meinem Knecht zu Hause auf, starte mutt, sehe nach und schließe die Verbindung. Zeitaufwand: ca. 2 min Mit ist Lösung 3 am liebsten. Was wählst Du - fährst Du oder telefonierst Du nach Hause? -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
Hi, On 5 Feb 2002 at 19:15, Adalbert Michelic wrote:
Der steht im Abstellraum, vergraben hinter Mineralwasser und kiloweise Obst und Gemüse. Und leeren Flaschen.
aber er verfügt über Netzwerkkabel, dann geht sich ein serielles auch aus.
Lösung 3: Ich starte mir meinen HTTP-Tunnel, der mir ermöglicht TCP-Verbindungen über HTTP zu tunnel und baue eine Verbindung zu meinem Knecht zu Hause auf, starte mutt, sehe nach und schließe die Verbindung. Zeitaufwand: ca. 2 min
Ich habe extra deshalb erwähnt, daß Du durch den Gateway routen kannst! Damit bekommst Du Port 80 (oder ssh oder was auch immer) durch den Gateway, ohne dessen Integrität zu verletzen.
Mit ist Lösung 3 am liebsten. Was wählst Du - fährst Du oder telefonierst Du nach Hause?
Das Problem stellt sich nicht für mich, auf meinen Rechnern befinden sich sensible Daten auf die niemand (inklusive mir) remote zugreifen darf. Du hast auch auf das Fax, das auf Deinem Schreibtisch liegt keinen Zugriff. Genauso könnte man argumentieren, man verwende Klartextpassworte, weil man sie vergessen könnte! Sicher könnte es hin und wieder angenehm sein, remote auf seien Daten zugreifen zu können, aber deshalb richte ich keinen Zugang ein! Und wenn Du einen SSH Zugang für nötig erachtest, dann kannst Du ihn immer noch durch den Gateway routen! Für mich mutet das eher wie die Lösung an, einen Zweitschlüssel für das Wochenendhaus unter dem Blumentopf aufzubewahren - nur weil man es einmal brauchen könnte einen Zugang offenzulassen. Tom
Hallo! Am Wed, 6 Feb 2002 06:15:21 +0100 schrieb "Thomas Michael Wanka":
Lösung 3: Ich starte mir meinen HTTP-Tunnel, der mir ermöglicht TCP-Verbindungen über HTTP zu tunnel und baue eine Verbindung zu meinem Knecht zu Hause auf, starte mutt, sehe nach und schließe die Verbindung. Zeitaufwand: ca. 2 min
Ich habe extra deshalb erwähnt, daß Du durch den Gateway routen kannst! Damit bekommst Du Port 80 (oder ssh oder was auch immer) durch den Gateway, ohne dessen Integrität zu verletzen.
Wobei mich daran ja wirklich interessieren würde, wie ein routing ins LAN von außen konfiguriert werden muß. Geht das nur über ipchains oder iptables? Da sitzt man dann zwei Wochen am ausfeilen und tut nichts anderes. rinetd und ftp-proxy reichen da ja nicht aus... Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage
Hi Andreas, On 6 Feb 2002 at 12:42, Andreas Meyer wrote:
Am Wed, 6 Feb 2002 06:15:21 +0100 schrieb "Thomas Michael Wanka":
Lösung 3: Ich starte mir meinen HTTP-Tunnel, der mir ermöglicht TCP-Verbindungen über HTTP zu tunnel und baue eine Verbindung zu meinem Knecht zu Hause auf, starte mutt, sehe nach und schließe die Verbindung. Zeitaufwand: ca. 2 min
Ich habe extra deshalb erwähnt, daß Du durch den Gateway routen kannst! Damit bekommst Du Port 80 (oder ssh oder was auch immer) durch den Gateway, ohne dessen Integrität zu verletzen.
Wobei mich daran ja wirklich interessieren würde, wie ein routing ins LAN von außen konfiguriert werden muß. Geht das nur über ipchains oder iptables? Da sitzt man dann zwei Wochen am ausfeilen und tut nichts anderes. rinetd und ftp-proxy reichen da ja nicht aus...
Was interessiert Dich denn da genau? Du benötigst eine öffentliche IP, einen funktionierenden DNS, und sei es der bei Deinem Provider. Dann kannst Du Pakete aus dem Internet über Portforewarding mit iptables oder mit ipchains/ipwadm auf andere hosts weiterreichen. Naja, und die Zeit hängt wohl eher von Deinen Zielen, Deinen Kenntnissen und Deiner Perfektion ab. mit freundlichen Grüßen Jörg Zimmermann -- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072
Hallo! Am Wed, 6 Feb 2002 15:46:31 +0100 schrieb "Jörg Zimmermann":
Ich habe extra deshalb erwähnt, daß Du durch den Gateway routen kannst! Damit bekommst Du Port 80 (oder ssh oder was auch immer) durch den Gateway, ohne dessen Integrität zu verletzen.
Wobei mich daran ja wirklich interessieren würde, wie ein routing ins LAN von außen konfiguriert werden muß. Geht das nur über ipchains oder iptables? Da sitzt man dann zwei Wochen am ausfeilen und tut nichts anderes. rinetd und ftp-proxy reichen da ja nicht aus...
Was interessiert Dich denn da genau? Du benötigst eine öffentliche IP, einen funktionierenden DNS, und sei es der bei Deinem Provider. Dann kannst Du Pakete aus dem Internet über Portforewarding mit iptables oder mit ipchains/ipwadm auf andere hosts weiterreichen. Naja, und die Zeit hängt wohl eher von Deinen Zielen, Deinen Kenntnissen und Deiner Perfektion ab.
Öffentliche IP ja. (schicke meinen Router bei Bedarf mit dem Handy online, der Gute (dank David Haller) übermittelt seine IP auf meine Homepage und ich kann mich dann mit dieser IP auf meinen hinter dem Router liegenden Webserver und FTPserver verbinden. Das gelingt mir aber nur mit rinetd und ftp-proxy. Mein DNS funktioniert tadellos. Eigentlich war ich der Meinung, daß eine einfache Regel wie: ipchains -P input DENY ipchains -A input -i lo -j ACCEPT ipchains -A input -s 0.0.0.0 -d 192.168.1.77 80 -p TCP -j ACCEPT ipchains -P forward DENY ipchains -A forward -s 192.168.1.77 80 -d 192.168.1.1 80 -p TCP -j ACCEPT dafür sorgen würde, daß auf dem Router auf Port 80 ankommende Pakete durchgereicht werden würden. Es geht aber nur in Verbindung mit rinetd. Warum? Da beginnen eben meine Schwierigkeiten. Ich war der Meinung, der kernel würde sowas handeln. Es geht auch nicht wenn ich 'ipchains -P input ACCEPT' setze. Daß andere Protokolle wie FTP schwieriger zu handlen sind, ist klar. Aber den DNS auf Port 53 UDP müßte ich auch durchbringen. Bei ssh war der Meinung, sie würde nur mit privileged ports (22) arbeiten; das ist aber anscheinend auch nicht so. Und alle ports 1024:65535 öffnen? Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage
Hi Andreas, On 6 Feb 2002 at 18:00, Andreas Meyer wrote:
Am Wed, 6 Feb 2002 15:46:31 +0100 schrieb "Jörg Zimmermann":
Wobei mich daran ja wirklich interessieren würde, wie ein routing ins LAN von außen konfiguriert werden muß. Geht das nur über ipchains oder iptables? Da sitzt man dann zwei Wochen am ausfeilen und tut nichts anderes. rinetd und ftp-proxy reichen da ja nicht aus... [...]. Eigentlich war ich der Meinung, daß eine einfache Regel wie:
ipchains -P input DENY ipchains -A input -i lo -j ACCEPT ipchains -A input -s 0.0.0.0 -d 192.168.1.77 80 -p TCP -j ACCEPT
ipchains -P forward DENY ipchains -A forward -s 192.168.1.77 80 -d 192.168.1.1 80 -p TCP -j ACCEPT
dafür sorgen würde, daß auf dem Router auf Port 80 ankommende Pakete durchgereicht werden würden. Es geht aber nur in Verbindung mit rinetd. Warum?
Ich schätze Du hast Recht, Du wirst wohl wirklich zwei Wochen dran sitzen;) es lohnt sich aber. Ich denke Erklärungen würden hier jetzt zu weit führen. Wenn Du die Möglichkeit hast, solltest Du mit iptables arbeiten. Da gibt es diverse gute HOWTO's zu. Was ich auch empfehlenswert finde ist folgender Link: http://www.fruehbrodt.org/artikel/index.html mit freundlichen Grüßen Jörg Zimmermann -- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072
Am Thu, 7 Feb 2002 12:12:28 +0100 schrieb "Jörg Zimmermann":
dafür sorgen würde, daß auf dem Router auf Port 80 ankommende Pakete durchgereicht werden würden. Es geht aber nur in Verbindung mit rinetd. Warum?
Ich schätze Du hast Recht, Du wirst wohl wirklich zwei Wochen dran
Es wundert Dich aber sicherlich nicht, wenn ein Anfänger sowas von Grund auf lernen will. Du schüttelst Dir fw-Zeilen vielleicht nur so aus dem Ärmel...
sitzen;) es lohnt sich aber. Ich denke Erklärungen würden hier jetzt zu weit führen. Wenn Du die Möglichkeit hast, solltest Du mit iptables arbeiten. Da gibt es diverse gute HOWTO's zu. Was ich auch empfehlenswert finde ist folgender Link:
Ein einfaches Stichwort wie "Portforwarding" wie von Thomas Wanka wirkt da Wunder. Danke!
Ich schau´ vorbei... Schönen Tag! -- Andreas Meyer http://home.wtal.de/MeineHomepage
Hi, On 6 Feb 2002 at 12:42, Andreas Meyer wrote:
Wobei mich daran ja wirklich interessieren würde, wie ein routing ins LAN von außen konfiguriert werden muß. Geht das nur über ipchains oder iptables? Da sitzt man dann zwei Wochen am ausfeilen und tut nichts anderes. rinetd und ftp-proxy reichen da ja nicht aus...
Portforwarding an interne IP. Tom
* On Wed, 06 Feb 2002 at 6:15 +0100, Thomas Michael Wanka wrote:
On 5 Feb 2002 at 19:15, Adalbert Michelic wrote:
Der steht im Abstellraum, vergraben hinter Mineralwasser und kiloweise Obst und Gemüse. Und leeren Flaschen.
aber er verfügt über Netzwerkkabel, dann geht sich ein serielles auch aus.
Lösung 3: Ich starte mir meinen HTTP-Tunnel, der mir ermöglicht TCP-Verbindungen über HTTP zu tunnel und baue eine Verbindung zu meinem Knecht zu Hause auf, starte mutt, sehe nach und schließe die Verbindung. Zeitaufwand: ca. 2 min
Ich habe extra deshalb erwähnt, daß Du durch den Gateway routen kannst! Damit bekommst Du Port 80 (oder ssh oder was auch immer) durch den Gateway, ohne dessen Integrität zu verletzen.
Ja und? Dann muss eben der nächste Rechner dran glauben. Ausserdem habe ich immer noch keine Lust, mir zuhause eine Rechnerfarm hinzustellen.
Mit ist Lösung 3 am liebsten. Was wählst Du - fährst Du oder telefonierst Du nach Hause?
Das Problem stellt sich nicht für mich, auf meinen Rechnern befinden sich sensible Daten auf die niemand (inklusive mir) remote zugreifen darf.
So sensibel sind meine Emails nicht, besonders, wenn sie kilometerlang unverschlüsselt durch die Weltgeschichte reisen.
Du hast auch auf das Fax, das auf Deinem Schreibtisch liegt keinen Zugriff.
Ich hab kein Fax.
Genauso könnte man argumentieren, man verwende Klartextpassworte, weil man sie vergessen könnte!
da hast Du jetzt aber weit in die Luft greifen müssen, um diesen Vergleich hervorzuzaubern. Wieviele neue Passwörter hast Du pro Tag?
Sicher könnte es hin und wieder angenehm sein, remote auf seien Daten zugreifen zu können, aber deshalb richte ich keinen Zugang ein!
Du.
Und wenn Du einen SSH Zugang für nötig erachtest, dann kannst Du ihn immer noch durch den Gateway routen!
Dann bleibt das Gateway intakt, und ich habe auf dem nächsten Server wen sitzen. Wo ist der Gewinn?
Für mich mutet das eher wie die Lösung an, einen Zweitschlüssel für das Wochenendhaus unter dem Blumentopf aufzubewahren -
Ehrlich gesagt, habe ich mehr den Eindruck, daß ich mich nur weiger, aus dem Wochenendhaus ein Hochsicherheitsgefängnis zu machen.
nur weil man es einmal brauchen könnte einen Zugang offenzulassen.
Was heißt könnte? Ich mache massiven Gebrauch von der Möglichkeit. EOT, das passt nicht mehr auf die Liste. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
Hallo Adalbart & Others,
From the keyboard of Adalbert,
* On Tue, 05 Feb 2002 at 12:12 +0100, Thomas Michael Wanka wrote:
On 4 Feb 2002 at 19:21, Adalbert Michelic wrote:
Das ist Grundvoraussetzung. Da werden ihn aber nicht vorhandene Tools auf dem System kaum dran hindern. Da ist es weit förderlicher Security-Updates und Konsorten nicht einzuspielen.
Ohne Updates geht es ohnehin nicht. Fehlende telnet und Datei systemtools etc. eventuell manipulierte shells etc. sind aber durchaus dazu geeignet den Angreifer zu blockieren. Wenn man
Das sind Steine, die im Weg liegen, aber einfach behoben werden können. man hexdump -b, man sed, man echo
dann noch Filesystemflags einsetzt und den erheblichen Teil
Damit hat er unter Linux aber kein Problem solange er root ist. mit OpenBSD siehts da latürnich wieder anders aus - siehe secure level.
Mit ext2/3 (chattr) und Linux Capabilities läßt sich dasselbe ereichen, wie unter OpenBSD mit seinen secure levels. gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html
Thomas Michael Wanka wrote:
Hi,
On 3 Feb 2002 at 20:57, Adalbert Michelic wrote:
* On Sun, 03 Feb 2002 at 20:09 +0100, Jochen Kaechelin wrote:
Kann man denn einen T-DSL Gateway (fetchmail, pppoe, qpopper, iptables) auf einem Pentium I 233 Mhz, 2 GB aufsetzen, oder ist dass Teil dafür etwas zu schwach auf der Brust?
Habe noch einen alten Rechner rumstehen und möchte ihn nicht verschrotten oder verschenken.
Der fadisiert sich :-)
Für solche Sachen ist sebst ein 486er noch stark genug, da kannst Du locker auch noch einen squid usw. laufen lassen.
sind das 2GB Ram? Squid würde ich aber nicht empfehlen (ausser es sind tatsächlich 2GB Ram).
Wieso, ich hab den hier laufen, mit 64 MB auf 'nem IBM P166 oder in der Klasse. Bei 2-3 Clients funzt der (incl. Samba, Mail, News, Squid, und was man ihm sonst so zumuten kann) wunderbar. Und langweilt sich immer noch, ausser ich uebertrage mal 'ne groessere Datei uebers 100MBit-Netz, dann bricht er ein. Aber wann macht ein Gateway auf ner 768kbit-Leitung sowas?
Aus Sicherheitsgründen wäre empfehlenswert, den Rechner mit einem absoluten Minimalsystem zu versehen, also ohne jegliche Programme. Ohne Ftp, Lynx etc. (wenn es sein muß ls etc auf Diskette, nicht eingeschoben!) kann ein potentieller Angreifer diesen Friewall fast nicht überwinden. Er bekommt keine Tools auf den Rechner, und kann daher nicht ins private Netz.
Minimalsystem stimmt, SuSE-Basis und das Netzwerkzeugs einzeln reingezogen und konfiguriert. Sonst schleppt er zuviel Muell und Risiko rum ... ;-) Rainer
Hallo, Jochen Kaechelin:
Kann man denn einen T-DSL Gateway (fetchmail, pppoe, qpopper, iptables) auf einem Pentium I 233 Mhz, 2 GB aufsetzen, oder ist dass Teil dafür etwas zu schwach auf der Brust?
Habe noch einen alten Rechner rumstehen und möchte ihn nicht verschrotten oder verschenken.
Du meine Güte...:-) Das beschriebene, und noch viel mehr, macht hier eine halb so schnelle Kiste und die _langweilt_ sich dabei. Allerdings ohne KDE&Co. Das hat aber auf'm Server eh nix zu suchen. Gruß, Ratti
Hoi ! Wieviele Rechner sollen denn da dran hängen ? Wenn`s nicht gerade das firmennetzwerk mit 500 Kisten ist (ahem :-) ) läuft der 233 im Leerlauf . cu Carsten Jochen Kaechelin wrote:
Kann man denn einen T-DSL Gateway (fetchmail, pppoe, qpopper, iptables) auf einem Pentium I 233 Mhz, 2 GB aufsetzen, oder ist dass Teil dafür etwas zu schwach auf der Brust?
Habe noch einen alten Rechner rumstehen und möchte ihn nicht verschrotten oder verschenken.
-- personal Mail bitte an : carsten-becher@cbecher.de
Hallo, at 03 Feb 2002 20:09:48 +0100 Jochen Kaechelin wrote:
Kann man denn einen T-DSL Gateway (fetchmail, pppoe, qpopper, iptables) auf einem Pentium I 233 Mhz, 2 GB aufsetzen, oder ist dass Teil dafür etwas zu schwach auf der Brust?
Der langt dicke. ;-)) Ich habe hier ein PII ( http://home.macbyte.info/sysinfo/ ) mit 233 Mhz und 64 MB als Gateway laufen. Sogar der Indianer mit PHP/MySQL läuft tadellos. Logischerweise habe ich auf das Bunte Kleid (XFree) verzichtet. Dieser Server steht jetzt im Abstellraum. Dort ist es schön Warm und Trocken. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU PGP-Key ID 22C51B8D0140F88B ++ Webdesign ++ PHP Development ++
participants (10)
-
Adalbert Michelic -
Andreas Meyer -
Carsten Becher -
Jochen Kaechelin -
Jörg Zimmermann -
Michael Raab -
Rainer Lischke -
Ratti -
Thomas Michael Wanka -
Waldemar Brodkorb