Matthias Houdek wrote:
[Michael Meyer]:
Matthias Houdek wrote:
[Dominik Thüriedl]:
mein webserver ist direkt an das internet angeschlossen - also nicht hinter einer firewall.
Läuft auf dem Webserver nur apache? Keine weitere Software? Alle Partitionen ro gemountet? Und wie pflegst _du_ die Daten auf dem Teil?
ok, gutes argument. scp?
Dafür muss ssh laufen. Bist du sicher, dass das immer nur auf die angegebenen Hostadressen reagiert? Eigentlich schon, aber was heißt "eigentlich", wenn es mir auf Sicherheit ankommt.
bist du sicher das dein paketfilter immer richtig reagiert? eigentlich schon ...
Ein Paketfilter muss auch diese Ports offen halten, sonst kommt ja nix beim apache an.
was?
Na nix, wenn der Paketfilter Port 80 blockt.
so wie du es geschrieben hattest, liest es sich für mich, als ob ich den paketfilter brauche, damit mein apache anfragen auf port 80 entgegenehmen kann. da musste ich einfach mit einem 'was?' nachfragen.
Aber allein ein Paketfilter kann schon mehr (Stichwort: DoS-Attacken).
irgendwer macht ein DoS auf deinen webserver. der paketfilter nutzt jetzt noch was?
Zumindest kann ich die Angreifer relativ leicht lokalisieren und für die Zukunft sperren
komm ... wer greift schon mit seiner adresse an? im zweifel kommt jedes paket von einer anderen IP. viel spass beim filtern.
(ggf. könnte man das in beschränktem Umfang vielleicht sogar (teil)automatisieren).
na klar ... portsentry z.b. kann das von hause aus.
Vielleicht sollen das auch noch andere können.
scp?
FTP?
dazu fällt mir dann nur ein: selber schuld! so was krankes wie ftp würde ich nicht mehr einsetzen.
Da ergeben sich neue Gefahren (Stichwort: AntiVirenFilter).
für was?
Das, was reinkommt, wird erst mal gefiltert, bevor es wirklich das System erreicht.
sind wir noch bei http und ssh?
Eine Firewall (selbst nur ein einfacher Paketfilter) direkt auf dem Webserver ist viel besser als keine.
warum?
Es beruhigt (wenn der Webserver und vor allem die Daten da drauf einem wichtig sind).
wenn aber doch nur der webserver erreichbar ist und keine weiteren dienste laufen, bleibt der webserver als erstes potentielles angriffsziel. da hilft dann auch kein paketfilter, ausser du blockst alle anfragen an den webserver. nur, warum hast du dann einen? micha