Am Dienstag, 17. Juni 2003 14:44 schrieb Andreas Winkelmann:
Martin Borchert wrote:
mein webserver ist direkt an das internet angeschlossen - also nicht hinter einer firewall. kann/Sollte/MÜSSTE eine firewall installiert werden oder bietet der apache genügend sicherheit?
Wenn auf dem Rechner nur der Apache und ein sshd laufen, ist ein Paketfilter (der ist wohl hier mit Firewall gemeint) reichlich sinnfrei. Überhaupt fällt mir kein vernünftiges Setup ein, bei dem es nötig wäre, einen _einzelnen_ Server mit einem Paketfilter zu versehen. Sorry, aber das ist quatsch. Meine Haustür hat von aussen auch keine Klinke, trotzdem schliesse ich sie ab!
Nicht alles was hinkt ist ein Vergleich. Sei's drum: Welchen Sicherheitsgewinn erreichst du durch Abschließen der Haustür gegenüber einfachem Zuziehen?
Und zum Thema. Ein gut konfigurierter Paketfilter verhindert auch noch viele andere Schweinereien z.B. gefakte Ip-Adressen,
Wie konfigurierst du deinen Paketfilter, damit er erkennt, dass die IP 217.229.180.224 gefälscht ist? Oder die 217.229.180.223?
Syn-Floods,
Wie unterscheidest du gewollten von ungewolltem Verkehr?
Ping-of-Death,
Gibt es tatsächlich noch Systeme, die dafür anfällig sind? http://www.pp.asu.edu/support/ping-o-death.html listet ein paar. Naja...
Port-Scans.
Was ist schlimm an einem Portscan?
Und was, wenn es einen Fehler im Apache,FtpD oder Kernel gibt, ein Benutzer bekommt ne Shell und verschickt mal eben ein paar hunderttausend Mails, oder Ping't andere Rechner zu Tode, mit DEINER Ip!
remote exploit im daemon -> ptrace-bug-exploit -> root-Zugriff, paketfilter abschalten. Und nu? Keine Firewall mehr da. Sicherheitsgewinn durch Paketfilter? Null.
Wenn man seinen Rechner ins Internet stellt, sollte man JEDE Möglichkeit zur Absicherung nutzen und eine Firewall ist erstens von Hause aus dabei und zum anderen auch nicht soo schwierig zu konfigurieren.
Und in vielen Fällen imo sinnlos. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0