*Bsd Paranoia - was dran?

[marzl]

Was kann der Firewall bringen: Er verwirft Pakete die ich nicht haben will. Was zum einen verhinderen kann an einem gespooften (D)DOS zu partizipieren. Zum anderen bleiben viele Scans erfolglos die sonst erfolgreich wären (OS-Scans mögen geschlossene Ports, ICMP-Scans, ...).

ack! auf einem "echten" server ist eine firewall pflicht. da gibt es nichts dran zu rütteln.

 

[Daniel Seuffert]

ack! auf einem "echten" server ist eine firewall pflicht. da gibt es nichts dran zu rütteln.

Zumindest eine unpräzise und pauschalisierte Aussage, es kommt auf Art/Einsatzzweck des Servers an...

 

[tib]

@marz

ack! auf einem "echten" server ist eine firewall pflicht. da gibt es nichts dran zu rütteln.

Jeder Rechner ist echt!

Auch die unbedeutendste Kiste kann gehackt werden und dann benützt werden, um bspw. von dort aus ein lohnenderes Ziel anzugreifen.

 

[Daniel Seuffert]

aha, wir haben also ein (Sub-) Netz, davor ne Kiste mit firewall, dahinter 1+n webserver, 1+n Datenbankserver etc. pp und dann machen wir auf jeden dieser Server ne firewall drauf, gelle?

 

[maus]

aha, wir haben also ein (Sub-) Netz, davor ne Kiste mit firewall, dahinter 1+n webserver, 1+n Datenbankserver etc. pp und dann machen wir auf jeden dieser Server ne firewall drauf, gelle?

Hat Herr Seufffert zuviel Wein getrunken?

 

[maus]

@marz

Jeder Rechner ist echt!

Auch die unbedeutendste Kiste kann gehackt werden und dann benützt werden, um bspw. von dort aus ein lohnenderes Ziel anzugreifen.

Wir haben z.B. wegen eines neunmalklugen Azubis unsere wenigen Windows-Kisten mit nem ARP-Proxy davor dichtgemacht und und ihm vom Samba sogar das Hintergrundbild diktiert. Wie sagen die Amis? The enemy is inside.

 

[maus]

ja, wurde schon mal erfolgreich angegriffen
nein, meine non-plus-ultra verteidigung hat alles abgehalten
nein, afaik hats noch niemand versucht oder standard sicherheit hats verhindert

Da fehlt noch; ich habs noch nicht bemerkt, oder wer möchte seinen Kopf dafür verwetten, daß ....

 

[tib]

@Daniel Seuffert

aha, wir haben also ein (Sub-) Netz, davor ne Kiste mit firewall, dahinter 1+n webserver, 1+n Datenbankserver etc. pp und dann machen wir auf jeden dieser Server ne firewall drauf, gelle?

Es gibt genügend Umgebungen in denen das bereits Realität ist.

Wobei ich allerdings der Meinung bin, dass ein Firewall integraller Bestandteil eines TCP/IP-Stacks sein sollte!

 

[tib]

@maus

Da fehlt noch; ich habs noch nicht bemerkt, oder wer möchte seinen Kopf dafür verwetten, daß ....

ich nicht!

 

[ssn]

aha, wir haben also ein (Sub-) Netz, davor ne Kiste mit firewall, dahinter 1+n webserver, 1+n Datenbankserver etc. pp und dann machen wir auf jeden dieser Server ne firewall drauf, gelle?

ja ne das würd mich jetzt schon interessieren (bin ja kein profi in solchen dingen), neulich wurde ich im irc angemacht weil ich (noch) keine firewall auf meinem server hab der hier im keller steht und für so sachen wie nfs (netzintern) und apache (indanet) serviert (eigentlich nur rumspielserver für angehenden bsdler ).
wenn der jetzt hinter der routerfirewall ist, warum soll ich dann auf dem server nochmal ne firewall installieren?
*sorryfürdienaivität*
das macht es dem angreifer von aussen doch auch ned unbedingt schwerer (außer er kommt auf meine clients, aber das soll er mal versuchen )

 

[tib]

@ssn

wenn der jetzt hinter der routerfirewall ist, warum soll ich dann auf dem server nochmal ne firewall installieren?
*sorryfürdienaivität*
das macht es dem angreifer von aussen doch auch ned unbedingt schwerer (außer er kommt auf meine clients, aber das soll er mal versuchen )

gestaffelte Verteidigung!

stell' Dir eine Ritterburg vor:
- Wassergraben
- hohe Mauer
- Burgfried
mit anderen Worten, nur weil eine Verteidungsmaßnahme versagt hat, ist damit noch nicht alles verloren!

Nehmen wir ein technischeres Beispiel - kommerzielle Webanwendung:
1. WebServer (statischer Content)
2. ApplikationsServer (Funktionalität)
3. Datenbank (Daten)

Aus Performanz- und Sichergründen läuft jede der drei Komponenten auf einem eigenen Rechner.

Natürlich schützt sich der Anbieter der Webanwendung mit einem Firewall, aber auf der anderen Seite muss er Ports für http(/https) öffnen sonst kommen die Kunden nicht an den WebServer.
Kann der WebServer gehackt werden?
In Anbetracht der Apache- und IIS-Bugs die es bereits gab eine rheotorische Frage.
Natürlich kann ein Angreifer nach einem erfolgreichen Angriff auf den WebServer aufhören, aber warum sollte er?
Das nächste Glied in der Kette wäre der AppServer.
Und nun wird es interessant!
Betreibe ich Sicherheit nach dem Prinzip harte Schale weicher Kern, dann kann der Angreifer sich aussuchen, ob er die Applikationssicht des AppServers ODER dessen Betriebssystem angreift.
Befindet sich dagegen wiederum eine Sicherungssicht (wie ein Firewall) zwischen Web- und AppServer dann kann der Angreifer nur noch die Applikation, aber nicht das Betriebssystem attackieren.

Letztendlich geht es darum den Aufwand für einen potentiellen Angreifer zu erhöhen, aber das war ja bereits das Prinzip der Ritterburg.

 

[Athaba]

ich stelle mal noch ein Gegenfrage in den Raum:
verwendet ihr privat auf FreeBSD so etwas wie z.B. rkhunter?
Oder einen Virenscanner wie z.B. AntiVir?

Ich verwende für gewöhnlich Clamav (ich habe gehört, dass der mehr Unixungeziefer finden soll. Weiss allerdings nicht, ob das stimmt).

Aber egal,
ich scanne die dann einfach mit dem für Privatanwender kostenlosen AntiVir
Ja, man könnte auch clamav verwenden, aber AntiVir ist einfach eine alte Angewohnheit von mir.

Hab mich umgewohnt. Mein Vater verwendet auch Antivir.. vielleicht nehm ich den auch mal zusätzlich. Gibts bei F-Prot (oder wie der hieß) nicht auch mal eine Freewareversion? Mal gucken...

Meistens überprüfe ich täglich auch mit rkhunter,
ob ein rootkit entdeckt wird.
Die ein bis zwei Minuten, die das dauert, gönne ich mir.
Remote root login ist abgeschaltet,
nur Only SSH2 ist erlaubt.
Es laufen keine unötigen Server.

Bei mir ist z.Z. gar kein Server offen. Bald wird SSH wieder offen sein - auch ohne Rootzugriff und nicht auf dem Standardport (damit meine Log nicht immer so voll ist )

Vor ungefähr einem halben Jahr hat wohl mal irgend jemand was versucht.
Ich bemerkte das mir große Mengen Daten zugesendet wurden,
die ich nicht angefordert hatte.
Ich habe dann einfach das DSL Modem kurz ausgeschaltet und wieder an,
weil es mir zu blöd war.
Auf der frischen IP war dann wieder Ruhe.

Waren wohl nur große Pings, von einem Scriptkiddie, der sein Botnet ausprobieren wollte.

Keine Ahnung ob sich da jemand versuchte, über SSH einzuloggen
und rumprobiert hat,(...)

Stand nichts in der Log bzw. in der Securitymail, die immer kommt?

Wobei ich jetzt doch mal "im Nebensatz" erwähnen muß,
das bei Suse Linux tatsächlich nach einer Installation
mit den vorgeschlagenen Einstellungen ein SSH root login erlaubt ist,
und ich bin mir noch nicht mal sicher,
ob dafür wenigstens SSH2 vorausgesetzt wurde.
(Das habe ich bei meinem Suse Linux natürlich nicht so gelassen!)

Muss ich bei meinem Vater gleich mal ausschalten. Wusste ich gar nicht

Glaube, FreeBSD ist kein all zu dankbares target.
Da buhlen eine Menge andere Opfer darum,
das leichteste target zu sein.

Wenn man SSH auf dem Nichtstandardport hat, dann is es meistens ganz ruhig und man findet, sollte es sie geben, viel leichter die "echten" Bedrohungen.

Ist natürlich trotzdem kein Grund, gar nix zu machen.
Zumindestens sollte man im Handbuch, im Wiki, in den Manuals
und in den example.conf Files mal immer munter weiter lesen.

Ich machs auch so....

cvsup und portupgrade brav benutzen und die installiere Software aktuell halten,
die FreeBSD Sicherheitshinweise beachten, und entsprechend handeln, wenn nötig.

... das widerum mach ich nicht *schäm* Da verlass ich mich eher auf die Portmaintainer und OS-Programmierer. Ausserdem gibts das für DF nicht.