openbsd sicher ohne pf??

[shamanu]

hallo,

ist openbsd ohne firewall (pf erlaubt annähernd alles) noch sicher?

ich benutze momentan openbsd 3.5, vorallem als proxy (mit squid),
dns server, und speed management (ack in pf).
es giebt einen wheel benutzer, über welchen ich mich per netzwerk auf dem server einlogen kann. (mitellanges passwort mit nummern)
ich werde auf dem server jedoch (vermutlich) nicht alzu schnell pf konfigurieren, da mir dies momentan netzwerkmäßig zu komplex ist/zu lange dauert.

zwischen internet und openbsd server ist noch ein hardware router zwischengeschaltet.

mir geht es nun vorallem um den openbsd server selbst.
ist dieser mit der oben beschriebenen Konfiguration halbwegs hack sicher?

beim internen netzt hat jeder pc eine firewall und viren scanner, weshalb diese noch als mehr oder weniger sicher durchgehen.

 

[CW]

hallo,

ist openbsd ohne firewall (pf erlaubt annähernd alles) noch sicher?

ich benutze momentan openbsd 3.5, vorallem als proxy (mit squid),
dns server, und speed management (ack in pf).
es giebt einen wheel benutzer, über welchen ich mich per netzwerk auf dem server einlogen kann. (mitellanges passwort mit nummern)
ich werde auf dem server jedoch (vermutlich) nicht alzu schnell pf konfigurieren, da mir dies momentan netzwerkmäßig zu komplex ist/zu lange dauert.

zwischen internet und openbsd server ist noch ein hardware router zwischengeschaltet.

mir geht es nun vorallem um den openbsd server selbst.
ist dieser mit der oben beschriebenen Konfiguration halbwegs hack sicher?

beim internen netzt hat jeder pc eine firewall und viren scanner, weshalb diese noch als mehr oder weniger sicher durchgehen.

Das Wort "Sicherheit" ist an Relativität und Auslegungsmöglichkeiten sicherlich kaum zu überbieten.

Das "Sichere" an OpenBSD ist nicht der pf selbst.

Das ganze System ist so entworfen, dass es widerstandsfähig gegenüber verschiedenen "unerwünschten Aktivitäten" entgegen treten kann.

Dazu kann ich dir wärmstens die Suchfunktion dieses Boards empfehlen (da wir schon sehr viel dazu geschrieben haben) und natürlich die OpenBSD-FAQ.

Und die Manpages sind auch sehr gut.

Fang mit man afterboot an.

Grüße

 

[MrFixit]

"halbwegs hack sicher" ...
Weisst du denn ueberhaupt, was die Aufgabe einer Firewall oder eines Paketfilter ist?

 

[teK]

Man baut ein Haus.
Machst du viele Fenster rein, und verriegelst du sie, oder baust gleich nur die Fenster - immer mit den neuesten Schlössern - ein, die du brauchst?

 

[kith]

@shamanu
vermutlich macht das bei deinem kenntnisstand keinen grossen unterschied ob du nun pf aktiviert hast oder nicht (no offense meant - koennte mich auch taeuschen). ich halte es fuer sinnvoller, wenn du dich erst intensiv mit deinem betriebssystem befasst, bevor du irgendwie anfaengst zu versuchen es "sicherer" zu machen (s. CW).

 

[shamanu]

Das Wort "Sicherheit" ist an Relativität und Auslegungsmöglichkeiten sicherlich kaum zu überbieten.

Das "Sichere" an OpenBSD ist nicht der pf selbst.

Das ganze System ist so entworfen, dass es widerstandsfähig gegenüber verschiedenen "unerwünschten Aktivitäten" entgegen treten kann.

Dazu kann ich dir wärmstens die Suchfunktion dieses Boards empfehlen (da wir schon sehr viel dazu geschrieben haben) und natürlich die OpenBSD-FAQ.

Und die Manpages sind auch sehr gut.

Fang mit man afterboot an.

Grüße

Ok, hätte meine Frage villeicht anderst formulieren sollen.
Es ging mir hauptsächlich darum, ob mein Server (ohne pf) das Interne Netz sicherheitstechnisch verschlechter.
Ich gehe nun einmal davon aus, das dies eigentlich nicht der Fall ist.

"halbwegs hack sicher" ...
Weisst du denn ueberhaupt, was die Aufgabe einer Firewall oder eines Paketfilter ist?

Ich denke schon. Bestimmte Ports offen zu lassen oder zu schließen.
Wenn ich zb keinen Port offen habe, wird es schwieriger werden mich (nur von außen) zu hacken.

 

[shamanu]

Man baut ein Haus.
Machst du viele Fenster rein, und verriegelst du sie, oder baust gleich nur die Fenster - immer mit den neuesten Schlössern - ein, die du brauchst?

Mein Server ist villeicht mehr als "Vorhoff" anzu sehen.
Auf dem Server ist ja ansich "nichts zu holen".
Er sollte nur nicht gerade zur Zentralle für potentielle angreifer werden.

vermutlich macht das bei deinem kenntnisstand keinen grossen unterschied ob du nun pf aktiviert hast oder nicht (no offense meant - koennte mich auch taeuschen). ich halte es fuer sinnvoller, wenn du dich erst intensiv mit deinem betriebssystem befasst, bevor du irgendwie anfaengst zu versuchen es "sicherer" zu machen (s. CW).

Ich habe OpenBSD bereits zum 4ten mal installiert. Damals bei 3.3 angefangen...
Bis jetzt hatte ich auch jedes mal zeit für pf gespendet.
Aktuell würde sie jedoch vermutlich zuviel Umstände machen. (zumindest wenn ich per ports zu Filtern anfange)
Wenn ich z.B. längere zeit nicht zuhause bin, und meine Schwester muß mit einer neuen Software Online gehen, würde es wieder "Zoff" geben bei Blockierung von benötigten ports.

Wenn nun Jemand mit Windows 98 ohne Firewall (eventuell auch ohne Viren Scanner) Online geht, kann man dies wohl als Sicherheitsloch für das ganze Netzwerk ansehen. Obwohl OpenBSD natürlich nicht mit der M$ Welt zu vergleichen ist, ging meine Frage in diese Richtung. (ob es so "sicher" wie z.B. ein üblicher Hardware-Router ist, oder die Interne Sicherheit villeicht etwas verschlechtern könnte ohne pf.)

Ein Netz kann nur so sicher sein, wie sein schwächstes glied.
Und auch ein "Sicheres" system wie OpenBSD ist nur so sicher wie es konfiguriert ist.

 

[Flas]

ich meine:

natürlich wäre es wesentlich besser wenn dein router schon firewallen würde, dann könnteste alle ports dichtmachen, die du ohnehin nicht brauchst.
dein netz wird schon unsicherer, da z.b wenn du dich auf dem server mit deinem wheel user einloggst, dann kann man das auch von aussen, und so könnte ein angreifer das passwort belauschen, wenn du nicht grade ssh benutzt, und so mit ein bissel pech zugang zum client rechner erhalten (wenn das passwort das selbe war)....

(verbessert mich falls ich was falsches geschrieben habe)

Gruss Flas!!

 

[shamanu]

ich meine:

natürlich wäre es wesentlich besser wenn dein router schon firewallen würde, dann könnteste alle ports dichtmachen, die du ohnehin nicht brauchst.
dein netz wird schon unsicherer, da z.b wenn du dich auf dem server mit deinem wheel user einloggst, dann kann man das auch von aussen, und so könnte ein angreifer das passwort belauschen, wenn du nicht grade ssh benutzt, und so mit ein bissel pech zugang zum client rechner erhalten (wenn das passwort das selbe war)....

(verbessert mich falls ich was falsches geschrieben habe)

Gruss Flas!!

Das es ansich sicherer ist, wenn ich die Ports blockiere denke ich auch.
Die frage für mich ist jedoch, ob es auch praktisch genug "mehr" Sicherheit bringt um den Aufwand zu lohnen.
Damit jemand das passwort belauschen kann, muß er jedoch bereits im internen netzt sein oder? (Keylogger usw.)

 

[double-p]

Hm.

multiple lines of defense..

Soll heissen, abschalten, was man nicht braucht. "Laufendes" am besten mit tcpwrappers und/oder Applikationsinternen ACLs soweit wie moeglich zumachen.
Auf dem Router filtern, auf dem Host filtern.

Was heisst hier schwierig (pf)?

Typisches Setup: webserver und ssh zur administration von aussen (wenn ueberhaupt):

block in quick on $ext
pass in quick on $ext inet proto tcp from any to $webkiste port 80 keep state
pass in quick on $ext inet proto tcp from $knownkistendraussen to $ext port 22 keep state

Mit strangen MTUs (DSL und co) noch schauen, dass man ICMP types fuer PMTUD
incoming auch nicht zerschiesst und dann noch die sachen, die man von innen nach aussen
machen will, wo ein

pass out on $ext all keep state

eigentlich das allermeiste schon erschlaegt :-)

Applicationsecurity wird eh immer so vernachlaessigt.. dicker packetfilter und
dann depperte CGIs mit POST von ueberall und ueberhaupt. Bah.

Der Filter hilft aber immerhin bei zB upgrades oder spielereien, dass man nicht "zufaellig"
mal was von aussen erreichbar hat, was da nicht hingehoert, etc. Gilt ebenso fuer ruleset
changes..

HTH!

 

[shamanu]

Hm.

multiple lines of defense..

Soll heissen, abschalten, was man nicht braucht. "Laufendes" am besten mit tcpwrappers und/oder Applikationsinternen ACLs soweit wie moeglich zumachen.
Auf dem Router filtern, auf dem Host filtern.

Was heisst hier schwierig (pf)?

Der Filter hilft aber immerhin bei zB upgrades oder spielereien, dass man nicht "zufaellig"
mal was von aussen erreichbar hat, was da nicht hingehoert, etc. Gilt ebenso fuer ruleset
changes..

HTH!

Ich sagte nicht das pf schwierig sei, sondern stellte den Aufwand welcher für mich zusammenkäme in Frage. Jedes mal, wenn ich ein neues Spiel/Programm installiert habe, (welches auch in das Internet soll) müßte ich zuerst einmal alle Ports welche nötig sind herausfinden und pf anpassen (ich hatte pf bereits einmal über Monate mit strickten Regeln am laufen). Noch schlimmer wird es jedoch wenn meine Schwester ein neues Programm für ihr Studium benutzen will, und nicht kann, weil ich auf Reisen bin. (letztens z.B. mit Babilon passiert)

Bei Upgrades und Spielereien sollte ansich die lockale Firewall genug schützen, oder?
Wie gesagt geht es mir nicht darum (annähernd) "unhackbar" zu sein, sondern zwischen Sicherheit und Verwaltungseinfachheit ein gutes Mittelding zu finden.

 

[double-p]

Wer im Internet spielt, sollte da eh eine "wegwerf"-Kiste/Installation dafuer nehmen.

Ich will lieber nicht wissen, wieviel Bugs alleine *IN* den Spielen sind - von der
gaengigen Plattform dafuer mal abgesehen.

Und.. wenn die Dinger tatsaechlich 'LISTEN' sind, ist das eh der Horror. Wenn nicht, regelt keep state
eigetnlich alles "von selber".

 

[shamanu]

hmm, also zur zeit Spiele ich über das Internet Diablo 2 und Unreal Tournament 2004. Ich denke eher nicht das die Beiden Spiele extrem verbugt sind. (zumindest hört man nicht so viel in die richtung)
Da macht mir das Programm Babylon und der Internet Explorer bei weitem mehr Sorgen. (wobei ich selber Firefox vorziehe, jedoch will meine Schwester nicht ohne IE leben )

 

[crash-x]

ich meine:

natürlich wäre es wesentlich besser wenn dein router schon firewallen würde, dann könnteste alle ports dichtmachen, die du ohnehin nicht brauchst.

naja nicht umbedingt, einfach auf der firewall alle services ausmachen und gut is. wenn nix läuft kann auch nix gehackt werden )

dein netz wird schon unsicherer, da z.b wenn du dich auf dem server mit deinem wheel user einloggst, dann kann man das auch von aussen, und so könnte ein angreifer das passwort belauschen, wenn du nicht grade ssh benutzt, und so mit ein bissel pech zugang zum client rechner erhalten (wenn das passwort das selbe war)....

Also erstens kann man das passwort auch bei nicht verschlüsselten sitzungen von aussen nicht einfach so belauschen. Dafür müsste der angreifer entweder root auf dem system von dem du dich auf dein system oder auf deinem system sein. Ausserdem benutzt sowieso keiner mehr telnet sondern ssh. Ok man kann ssh sitzungen zwar auch belauschen aber das is einwenig komplizierter... Ausserdem warum soll ssh oder telnet auf dem firewall rechner von aussen erreichbar sein? Das hat doch eigentlich keinen grund, also kann man einfach in die sshd_conf

ListenAddress 192.168.0.1

oder so eintragen und schon is der sshd nur aus dem lokalen netz erreichbar.

der packetfilter wäre sinnvoll wenn du z.b. nur willst das man vom inneren netz z.b. nur http dienste nutzen kann..
Sinnvoll wäre es auch wenn man angst hat das der angreifer es schafft ins innere netz einzudringen und es von da schafft die eventuell auf dem server laufende dienste die nur ausm lokalen netz erreichbar sind auszunutzen und user rechte bekommen, damit er dann keine backdoor installieren kann. Also ich finde wennde keine lust hast dich mit pf richtig auseinander zu setzen kannste es auch lassen, musst aber darauf achten das du den rechner sonst gut absicherst.

 

[alpi]

Ich sagte nicht das pf schwierig sei, sondern stellte den Aufwand welcher für mich zusammenkäme in Frage. Jedes mal, wenn ich ein neues Spiel/Programm installiert habe, (welches auch in das Internet soll) müßte ich zuerst einmal alle Ports welche nötig sind herausfinden und pf anpassen (ich hatte pf bereits einmal über Monate mit strickten Regeln am laufen). Noch schlimmer wird es jedoch wenn meine Schwester ein neues Programm für ihr Studium benutzen will, und nicht kann, weil ich auf Reisen bin. (letztens z.B. mit Babilon passiert)

bevor du ohne pf deine Kiste startest würde doch eine minimale pf.conf schon reichen, und wie double-p schon meinte, mit pass out all keep state läuft auch jedes Multiplayer-spiel, wenn du nicht gerade als server fungierst, selbst dann ist es kein nennenswerter Aufwand, kurz in dein pflog reinzuschauen und ein port-forwarding in deine pf.conf einzutragen und den port zu öffnen

mfg

 

[fidor]

mit pass out all keep state läuft auch jedes Multiplayer-spiel, wenn du nicht gerade als server fungierst,

Nein das ist nicht richtig. Manche Spiele brauchen auch im "Client-Mode" nen offenen port.

selbst dann ist es kein nennenswerter Aufwand, kurz in dein pflog reinzuschauen und ein port-forwarding in deine pf.conf einzutragen und den port zu öffnen

Das stimmt allerdings.

Ach und shamanu: bau man ein eigenes "Schwester-Netz". Am Besten physikalisch. Und das Schwestern-Netz ganz klar von Deinem Netz trennen. Keine Daten vom einem ins anderen gehen lassen. Denn so wie das aussieht ist sie die berühmt berüchtigte "exe-Attachment-Clickerin".

fidor(..)