*Bsd Paranoia - was dran?

[soul_rebel]

hallo zusammen, ich dachte ich mach mal eine umfrage zu dem thema. soll keine "ist sicherheit nötig" diskussion werden einfach nur ein erfahrungsaustausch und geht auch nur um private erfahrung, nicht berufserfahrung.
also hat sich die ausgefeilte sicherheitspolitik, mit firewalls, port-knocking-diensten etc. bezahlt gemacht oder hat eigentlich auch immer die standard verteidigung genügt?

p.s.: mir ist klar dass gute sicherheit im ernstfal richtig und wichtig ist, es geht hier nur darum wer überhaupt shcon mal einen ernstfall hatte...

p.p.s: "erfolgreich angegriffen" kann ein unerlaubter zugriff, dos oder sonst was sein (virus?)

 

[kawana]

Hallo,

was soll denn bei der Umfrage rauskommen? Ich hatte die letzten 10 Jahre 3 DDoS-Angriffe, einmal gegen einen Irix-Host und zweimal gegen OpenBSD. Ja und?

Diese Angriffe standen in keinem Zusammenhang mit dem Betriebssystem.

Ciao

Der Kawana
--
Nur weil du dich verfolgt fühlst, heißt es nicht, dass sie nicht hinter dir her sind

 

[tib]

@soul_rebel

p.p.s: "erfolgreich angegriffen"

Aus Sicht des Angreifers war der Angriff dann erfolgreich, wenn Du es nicht gemerkt hast!

kann ein unerlaubter zugriff, dos oder sonst was sein (virus?)

Ich kümmere mich noch um paar Rechner die an verschiedenen Unis stehen, d.h. dort kontrolliert keine Firewall den Traffic, sondern die Büchsen stehen direkt im Netz!

Von wegen 0-day-attacks, alles Quatsch!!!
Ich habe mal an einem Donnerstag mittels snort massig SMNP-Traffic gesehen. Vorher war nichts und 2,5 Tage später war es wieder ruhig. Montags darauf (VIER Tage später) kam eine Mail von BSI, das der Linux Kernel 2.6.10 bzgl. gewisser SMNP-Requests anfällig sei.

PHP-Bugs? Soll ich Dir die access_log zeigen? Bevor es eine BUG-Meldung gibt habe ich die Angriffe mindestes eine halbe Woche mitgeloggt.

Gegenmaßnahmen:
Nur die Software installieren die gebraucht wird!
Dadurch habe ich nur halb so viele suid-Programme installiert, wie bei der jeweiligen Free/Net/Open BSD Minimal-Installation auf die Platte kommen.
Verbindungen prinzipiell nur verschlüsselt. Wobei ich anmerken muss, dass Qualität sogenannter Sicherheitssoftware wie OpenSSL, OpenSSH, Apache mit HTTPS, OpenVPN, ... doch zumindest zeitweise arg zu wüschen ließ/läßt, z.B. Anfang Juli 2002 - zwei OpenSSH Versionen (Bugfixe) in drei Tagen.
Naja, einem Netzwerk kann man prinzipiell nicht trauen. Außer NetBSD fällt mir kein gebräuchliches OS ein bei dem man nicht die MAC-Adresse die bei Verbindungen rausgeht mit Bordmitteln anpassen kann. Und wenn man der MAC-Adresse schon nicht trauen kann, aus welchem Grunde sollte man einer darüber liegenden Schicht Vertrauen schenken?
Das die installierten Firewalls am liebsten droppen sollte nun implizit sein.

port-knocking-diensten

Naja, in der Theorie schön, in der Praxis mangelt es an der "reliabilty".
Versuch mal einen port-knocking-daemon so zu konfigurieren, das er mit Requests klarkommt die nicht von einer IP-Adresse kommen, sondern aus einem Subnetz, was bei Verbindungen über transparente Proxies doch häufiger vorkommen dürfte. Das ist mir nur beim doormand gelungen. Allerdings hörte dort der Spass auf als ich versuchte den Client unter Windows laufen zu lassen.

Lange Rede, kurzer Sinn:
Einem System out of the Box würde ich nicht trauen!
Und einem das ich administriere ebenfalls nicht

 

[0815Chaot]

Naja, einem Netzwerk kann man prinzipiell nicht trauen. Außer NetBSD fällt mir kein gebräuchliches OS ein bei dem man nicht die MAC-Adresse die bei Verbindungen rausgeht mit Bordmitteln anpassen kann.

Hostnamen, MAC- und IP-Adressen sind wie Schall und Rauch. Wer sich auf so was verläßt, hat wohl ein paar ganz grundlegende Dinge nicht verstanden.

Und wenn man der MAC-Adresse schon nicht trauen kann, aus welchem Grunde sollte man einer darüber liegenden Schicht Vertrauen schenken?

So ein Käse, informiere dich über die Funktionsweise von SSH, SSL, VPN, SFS, CFS, authpf usw. usf. Du widersprichst dir im Übrigen:

Verbindungen prinzipiell nur verschlüsselt.

Und brauchst du dafür nicht die MAC-Adresse? Wenn du dem zufolge der verschlüsselten Verbindung auch nicht traust, brauchst du keine.

Wobei ich anmerken muss, dass Qualität sogenannter Sicherheitssoftware wie OpenSSL, OpenSSH, Apache mit HTTPS, OpenVPN, ... doch zumindest zeitweise arg zu wüschen ließ/läßt, z.B. Anfang Juli 2002 - zwei OpenSSH Versionen (Bugfixe) in drei Tagen.

Shit happens, kommt in jeder Software mal vor. Aber das alles kann dir doch nach deiner Aussage egal sein, da du ja der MAC-Adresse schon nicht vertraust, also ist diese ganze Sicherheitssoftware auch nicht vertrauenswürdig.

Alles in allem solltest du deine Argumentation mal überdenken.

 

[-Daemon-]

Daheim war AFAIK noch nichts.

In der Schule hat ein Freund von mir, trotz Absicherung durch Firewall, mal einen Trojaner auf seinem Laptop gefunden.

 

[0815Chaot]

In der Schule hat ein Freund von mir, trotz Absicherung durch Firewall, mal einen Trojaner auf seinem Laptop gefunden.

Ein Trojaner an sich ist ja noch nichts Gefährliches. Die sind ganz friedlich, aber leider doch etwas einfältig. Man muß halt aufpassen, daß der sich nicht von irgendeinem Griechen ein Pferd andrehen läßt. Insbesondere helfen Firewalls nicht gegen Trojaner, Trojanische Pferde oder Griechen. Aber zum Glück gibt es ja jetzt von MS den "Trojaner müssen draussen bleiben"-Aufkleber. Wenn dein Freund den auf seinen Rechner klebt, dann muß er nur noch drauf achten, selbst keine Trojanischen Pferde zu installieren.



PS: Ich warte noch auf den "Griechen müssen draussen bleiben"-Aufkleber.

PPS: Mein Lieblingsaufkleber ist immer noch: "This machine has no brain. Please use your own one."

 

[-Daemon-]

@0815chaot:
Das war mir schon klar so weit. Was nur das seltsame ist, ist, dass solche Sch***e trotz Filter und all so Gedöns trotzdem durchkam; das hätte laut unserem Admin nicht passieren dürfen. Schließlich läuft ja auf'm Server Linux und ne Firewall...

Der Server stellt den Clients beim booten über's Netz ein Win XP-Image für die Platte zur Verfügung, dass dann eingespielt wird. Frag mich bitte nicht wie das geht. Was allerdings geht: du kannst das Ding von _innen_ her kompromittieren... Aber das ist ein anderes Thema

Was der Fall allerdings schön gezeigt hat, ist die Mentalität beim Anwender: Ich hab doch ne Firewall auf'm Lappi drauf... Wieso passiert dann sowas!? Dumm nur, dass es passiert ist, als die Firewall gerade aktualisiert wurde (da war dann nämlich noch der alte Index drauf in welchem der $Schadprogramm nicht eingetragen war...). Ne Firewall hilft nichts gegen schädlichen Code in einem .zip-Archiv,...

Naja, lassen wir's; Trojaner, Würmer, Viren (vlt. auch Griechen und Spartaner ) auf anderer Leute Computer sind nicht mein Problem.

Und noch was zum Schluß: den Aufkleber hab ich auch daheim (den von M$)

Gruß,
Philipp

 

[dettus]

ja, ich hatte schonmal einen erfolgreichen angriff...
das war aber unter linux und von einem der phrack-mokelz. deswegen wars auch nicht schlimm und ich habe mich geehrt gefuehlt ;-)

geil finde ich aber immer wieder einige skriptkiddies, die bei skype, yahoo, oder irc auftauchen und solche lustigen fragen stellen wie "soll ich dich mal hacken?" *g*

 

[Athaba]

Also in meiner ehem. Schule, welches eine der bekanntesten technischen Schulen in ganz Wien ist, gibt es keinen Rechner auf dem nicht mindestens ein Trojaner ist. Ausserdem gab es da veraltetes squirrelmail und jeder hatte Zugriff auf die Mails des anderen.
Generell gelten ja Schulen als einfache Angriffsziele...

Auf meinem eigenen Rechner gibt es die gewöhnlichen ssh-bruteforces. Einmal gab es auch eine Attacke auf meinen gopherserver - alles wurde erfolgreich abgewehrt *g*

Ich hatte mal ne Mailwurmsammlung angefangen (immer brav alles disassem. und geguckt, was ich entziffern kann (eigentlich kann ich kein assembler, aber jetzt weiss ich, wie ich schadprogramme erkenne)), aber die hab ich nicht mehr.

 

[tib]

@0815Chaot

Hostnamen, MAC- und IP-Adressen sind wie Schall und Rauch.

Du weist wie Firewall-Regeln formuliert werden?

informiere dich über die Funktionsweise von SSH, SSL, VPN, ...

Die Protokolle sind innerhalb ihrer Layer sicher, na und, machen sie die Netzwerk-Layer sicher?

Und brauchst du dafür nicht die MAC-Adresse?

Das hast Du richtig erkannt!

Wenn du dem zufolge der verschlüsselten Verbindung auch nicht traust, brauchst du keine.

Du weist was eine MITM-Attack ist?

Shit happens, kommt in jeder Software mal vor.

Selbst OpenBSD-Programmieren!

da du ja der MAC-Adresse schon nicht vertraust,

Du vielleicht?

Wer sich auf so was verläßt, hat wohl ein paar ganz grundlegende Dinge nicht verstanden.

Alles in allem solltest du deine Argumentation mal überdenken.

Ich habe wenigstens argumentiert.
Du hast bis jetzt nur kritisiert.
Wie wäre es mit ein paar konstruktiven Vorschlägen?

 

[dettus]

jungs.
kommt wieder runter oder macht dafuer einen neuen thread auf.
bitte.

 

[soul_rebel]

hui hier sind ja schon gleich die großen diskussionen ausgebrochen...

Aus Sicht des Angreifers war der Angriff dann erfolgreich, wenn Du es nicht gemerkt hast!

ja wie z.b der DDoS angriff, der nichts tut, sehr erfolgreich...

Ich kümmere mich noch um paar Rechner die an verschiedenen Unis stehen, d.h. dort kontrolliert keine Firewall den Traffic, sondern die Büchsen stehen direkt im Netz!

ja und warum benutzt du da keine firewalls? ich hab doch extra gesagt, dass es um private erfahrungen geht.
ich wollte auch nciht auf "alles sinnlos" hinaus, ich würde bei allem was 24 stunden an ist auch für ordentliche sicherheit sorgen.

Und wenn man der MAC-Adresse schon nicht trauen kann, aus welchem Grunde sollte man einer darüber liegenden Schicht Vertrauen schenken?

du sollst niemanden vertrauen schenken, darum geht es doch garnicht... ich wollte nur herausfinden wie oft denn schon im pprivatem raum sicherheitsprobleme aufkommen: oder besser gesagt, würdet ihr auf einem arbeitslaptop, den ihr nciht selber benutzt, der am tag vielleicht 1-2 stunden online ist , mit dynamischer ip ein xyBSD mit firewall installieren oder ein klickibunti linux in der standardkonfiguration.
ich letzteres, ganz ehrlich.

 

[tib]

@soul_rebel

ja und warum benutzt du da keine firewalls?

Meine Aussage noch mal etwas expliziter:
"dort kontrolliert keine Firewall die vorne dransteht den Traffic, wie dies mittlerweile sonst üblich ist"
Natürlich verwende ich eine Firewall.
Aber wieviele % der Nutzer die einen Firewall verwenden sind sich darüber bewußt, dass jedes Kriterium das eine Firewall zum Filtern verwendet manipulierbar ist?

ich hab doch extra gesagt, dass es um private erfahrungen geht.

meine Aussagen erfüllten das Kriterium 100%ig

ich wollte auch nciht auf "alles sinnlos" hinaus,

Gegenfrage: "Ist alles wirklich so sinnvoll wie es dargestellt wird?"

Was taugen Airbag und ABS, wenn als Konsequenz daraus noch riskanter und verantwortungslos gerast wird?

ich würde bei allem was 24 stunden an ist auch für ordentliche sicherheit sorgen.

Schön, wie wäre es mit einer Begriffsdefinition für ordentliche sicherheit.

du sollst niemanden vertrauen schenken,

tue ich auch nicht,

darum geht es doch garnicht...

W A S ? ? ?
Wir sollten wirklich mal die Vokabeln festklopfen, bevor wir auch nur im entferntesten daran denken sollten daraus Sätze zu bilden!

mit dynamischer ip ein xyBSD mit firewall installieren oder ein klickibunti linux in der standardkonfiguration. ich letzteres, ganz ehrlich.

Bitte nicht so polemisch!
Bei welchem *BSD ist denn per default ein Firewall an?
Noch nicht mal bei OpenBSD!
Und die Krämpfe nehmen von FreeBSD über NetBSD noch zu.
Siehe diverse Posting mit Anfragen zu dem Thema von mir.

Ich verwende zwar seit Jahren kein SUSE mehr, aber habe dieses Jahr einem Kollegen geholfen in der Firewall die anscheinend dort per Default gestartet wird (Kollege: "Ich habe NIX gemacht!") einen Port freizuschalten!

 

[cheasy]

Ein distributed Syn-Flooding-Angriff hatte 1998 einen unserer Server aus dem Netz unerreichbar gemacht. Das System war zwar up, jedoch nur noch über die (serielle) Konsole erreichbar.

Nach Anpassen der Filterregeln hat's ipfw im Upstream-Router dann gerichtet

 

[teK]

Wir hatten 2004 einen "Einbruch" bei einem Rootserver. Wie der/die das genau geschafft haben, wissen wir nicht. Bemerkbar wurde das ganze dann nur dadurch, dass von dem Host eine Menge Portscans auf Hosts von *.3com.com gestartet wurden und die unseren Provider und der uns informiert hat/haben.

 

[quarzsnoopy]

Bei mir haben bis jetzt die Basis-Mittel von FreeBSD ausgereicht.
Und Windoofs gibt es ja bei mir in der gesammten Wohnung nicht mehr.... ;-)

 

[ssn]

wie könnt ihr alle mit einer solchen sicherheit sagen dass noch nix oder nur so wenig passiert ist?
es besteht doch die möglichkeit dass angriffe unbemerkt erfolgt sind

 

[marzl]

Bei welchem *BSD ist denn per default ein Firewall an?
Noch nicht mal bei OpenBSD!
Und die Krämpfe nehmen von FreeBSD über NetBSD noch zu.

offtopic:
warum auch? sicherheitstechnisch relevant sind eh nur die dienste die laufen (z.b. apache, proftpd oder oder oder). und wenn da die firewall auf ist, um diese dienste eben zu erreichen, dann gibt es nur ein probates mittel zum thema sicherheit im internet: AKTUALITÄT.. und eine korrekte Konfiguration der Dienste (z.b. ssh kein root erlauben oder ganz auf benutzer verzichten) 8-)
nach oben hin, besonders im prof. umfeld sind keine grenzen gesetzt. dann können wir uns auch über mehrstufige firewallsysteme unterhalten, in denen noch divere ids laufen bis hin zur application firewall.
firewall ist kein programm, sondern ein konzept.

ontopic: privat hier daheim hab ich bisher nix auffälliges feststellen können, von diversen fehlerhaften ssh logins ganz abgesehen. (an die hab ich mich aber schon gewöhnt ) hier ist immer alles ziemlich aktuell und an die echte letzt bsd sicherheitslücke kann ich mich nur vage erinnern

 

[Fusselbär]

Hallo,

ich stelle mal noch ein Gegenfrage in den Raum:
verwendet ihr privat auf FreeBSD so etwas wie z.B. rkhunter?
Oder einen Virenscanner wie z.B. AntiVir?

Also ich mache das.
Ab und zu, besonders zu Weihnachtszeit muß es wohl hin und wieder mal ein Email Anhang sein,
sehr gerne irgendwelche Power Point Spielereien.
Das sind dann gerne meine "Schreibtischtäterinnen",
welche mir gar nicht allzu lange zuvor erzählt hatten,
das Firmen-(Windows)-Netzwerk sei mal wieder verseucht.

Aber egal,
ich scanne die dann einfach mit dem für Privatanwender kostenlosen AntiVir
Ja, man könnte auch clamav verwenden, aber AntiVir ist einfach eine alte Angewohnheit von mir.
Gelegentlich überstehen die Power Punkte das dann nicht,
wenn die vom Virenscanner Tool für nicht einwandfrei erachtet werden.
("Rabiat" eingestellt, krank="ex & hopp")
Vermutlich wäre aber das, was dort die Windows Maschine befallen hat,
gar nicht auf FreeBSD ausführbar,
aber ich habe da volles Vertrauen in meine eigene Schusseligkeit,
das auf einer Fat Partition abzuspeichern,
und dann gelegentlcih mal mit meinem Windows
ganz tief in den Eimer zu greifen.

Genau deswegen habe ich mir dann mal AntiVir ins (KDE) Kontextmenue eingebunden.

Meistens überprüfe ich täglich auch mit rkhunter,
ob ein rootkit entdeckt wird.
Die ein bis zwei Minuten, die das dauert, gönne ich mir.
Remote root login ist abgeschaltet,
nur Only SSH2 ist erlaubt.
Es laufen keine unötigen Server.

Vor ungefähr einem halben Jahr hat wohl mal irgend jemand was versucht.
Ich bemerkte das mir große Mengen Daten zugesendet wurden,
die ich nicht angefordert hatte.
Ich habe dann einfach das DSL Modem kurz ausgeschaltet und wieder an,
weil es mir zu blöd war.
Auf der frischen IP war dann wieder Ruhe.
Klar, habe ich sofort rkhunter rübergejagt, der aber nix fand.
System verhielt sich auch normal, wie immer.
Keine Ahnung ob sich da jemand versuchte, über SSH einzuloggen
und rumprobiert hat,
oder mich irgend jemand wie ein Wahnsinniger angepingt hat,
irgend jemand nmap gerade neu entdeckt und damit mal rumgespielt hat,
oder weiß der Geier was....

Denke mal,
man ist mit einem FreeBSD schon weniger der Dumme,
als mit einem Windows.
Wobei ich jetzt doch mal "im Nebensatz" erwähnen muß,
das bei Suse Linux tatsächlich nach einer Installation
mit den vorgeschlagenen Einstellungen ein SSH root login erlaubt ist,
und ich bin mir noch nicht mal sicher,
ob dafür wenigstens SSH2 vorausgesetzt wurde.
(Das habe ich bei meinem Suse Linux natürlich nicht so gelassen!)

Glaube, FreeBSD ist kein all zu dankbares target.
Da buhlen eine Menge andere Opfer darum,
das leichteste target zu sein.
Ist natürlich trotzdem kein Grund, gar nix zu machen.
Zumindestens sollte man im Handbuch, im Wiki, in den Manuals
und in den example.conf Files mal immer munter weiter lesen.
cvsup und portupgrade brav benutzen und die installiere Software aktuell halten,
die FreeBSD Sicherheitshinweise beachten, und entsprechend handeln, wenn nötig.

Sollte ich jetzt
"nein, afaik hats noch niemand versucht oder standard sicherheit hats verhindert"
ankreuzen?


Gruß, Fusselbär

 

[marzl]

Glaube, FreeBSD ist kein all zu dankbares target.
Da buhlen eine Menge andere Opfer darum,
das leichteste target zu sein.

Amen!

 

[quarzsnoopy]

Sollte ich jetzt
"nein, afaik hats noch niemand versucht oder standard sicherheit hats verhindert"
ankreuzen?


Gruß, Fusselbär

Da Du nichts gegenteiligen Behaupten kannst, würde ich sagen:
"standard sicherheit hats verhindert"



Immerhin muss eine Entscheidung getroffen werden, da Du es nicht weisst und nicht lügen willst, kannst Du "nach bestem Wissen und Gewissen" meiner Meinung nach an dieser Stelle nur "standard sicherheit hats verhindert" ankreuzen...

 

[tib]

@ssn

wie könnt ihr alle mit einer solchen sicherheit sagen dass noch nix oder nur so wenig passiert ist?
es besteht doch die möglichkeit dass angriffe unbemerkt erfolgt sind

Meine Rede!

Leider kann ich mich nicht des Eindrucks erwähren, dass die Ignoranten wie immer die größte Lobby haben!

 

[marzl]

wie könnt ihr alle mit einer solchen sicherheit sagen dass noch nix oder nur so wenig passiert ist?
es besteht doch die möglichkeit dass angriffe unbemerkt erfolgt sind

[zyn]der eindruck besteht immer, deswegen sollte mind jede woche einmal system neu aufgsetzt werden! Trust nobody[/zyn]

Leider kann ich mich nicht des Eindrucks erwähren, dass die Ignoranten wie immer die größte Lobby haben!

zum glück sind paranoiker in der minderheit :P

humor ist wenn man trotzdem drüber lacht

 

[tib]

@marzl

warum auch? sicherheitstechnisch relevant sind eh nur die dienste die laufen (z.b. apache, proftpd oder oder oder). und wenn da die firewall auf ist, um diese dienste eben zu erreichen, dann gibt es nur ein probates mittel zum thema sicherheit im internet: AKTUALITÄT.. und eine korrekte Konfiguration der Dienste (z.b. ssh kein root erlauben oder ganz auf benutzer verzichten) 8-)

Was kann der Firewall bringen:
Er verwirft Pakete die ich nicht haben will.
Was zum einen verhinderen kann an einem gespooften (D)DOS zu partizipieren.
Zum anderen bleiben viele Scans erfolglos die sonst erfolgreich wären (OS-Scans mögen geschlossene Ports, ICMP-Scans, ...).

nach oben hin, besonders im prof. umfeld sind keine grenzen gesetzt. dann können wir uns auch über mehrstufige firewallsysteme unterhalten, in denen noch divere ids laufen bis hin zur application firewall.

Dafür ist dann auch meist das Geld da. Was ich allerdings dann teilweise in punkto Pflege und Logauswertung erlebt habe, .... Meist ist des den Herstellern der Software lieber, dass das Geld ins Produkt fließt als in ordentliche lokale Wartung.

firewall ist kein programm, sondern ein konzept.

wie schon Bruce Schneier sagte

 

[tib]

@marzl

[zyn]der eindruck besteht immer, deswegen sollte mind jede woche einmal system neu aufgsetzt werden! Trust nobody[/zyn]

Wie?
Du kompilierst nicht stündlich Dein OS?

zum glück sind paranoiker in der minderheit :P

Du wolltest doch nicht das einzige Einstellungskriterium für (IT-)Security-Fachkräfte verraten :-(

humor ist wenn man trotzdem drüber lacht