Wozu einen Paketfilter?

[Maledictus]

Hi Leute,
dies hier war im anderen Thread zu Off-Topic.
Also, was meint ihr, braucht der durchschnittliche ADSLer mit NAT einen Paketfilter?
Lange war ich dieser Meinung, aber mittlerweile bin ich davon abgekommen.

ungeschützte und ungepatchte Rechner sind ideale Grundlagen für Spam-Relays oder DDoS-Plattformen...

ich hoffe Deshalb, dass die WinXP SP2 Firewall endlich mal irgendwas kann (wie MS ja verspricht)...

Das schrieb ouTi im anderen Thread.
http://www.bsdforen.de/forums/showthread.php?s=&threadid=2865
Zum ersten gebe ich ihm Recht, aber das hat nicht direkt was mit einem Paketfilter zu tun.
Ich spreche hier auch ganz bewusst von Paketfiltern, der Begriff Firewall ist zu schwammig.
Zum zweiten, Windows interessiert mich hier nicht

Also Leute, was sagt ihr dazu?

gruss
Male

 

[Miggo]

Hmm, also ich hab hier IPFW laufen, obwohl das auch nur ein ganz normaler ADSL-Desktop Rechner ist. Wenn man alle unnötigen Dienste abschaltet und die verbleibenden richtig konfiguriert, kann man vielleicht auf einen Paketfilter verzichten. Dann müsste man aber auch stets über die neuesten Security-Advisories informiert sein, falls mal eine Sicherheitslücke auftaucht. Mit Paketfilter steht dann halt noch was dazwischen.
Naja, lange Rede kurzer Sinn: man kann vielleicht drauf verzichten, sehe aber auch keinen Grund, der gegen einen Paketfilter sprechen würde.

 

[MrFixit]

Definiere den "durchschnittlichen" DSL-User. Je nach verwendetem OS kann es da sinnvoll sein, einen Paketfilter einzusetzen, weil einem das OS entsprechende Schutzmechanismen nicht zur Verfuegung stellt.

Da wird aber dann wieder an den Symptomen herumgedoktort. Eigentlich sollte ja man die Ursachen bekaempfen, nicht die Symptome......

 

[Miggo]

Also ich hab das jetzt so verstanden, dass es hier um BSD geht.

 

[Maledictus]

Es geht um BSD

Wirklich dagegen spricht nur die zusätzliche Arbeit, die so ein Paketfilter macht: Regeln zusammenstellen, testen, Regeln ändern wenn man was neues braucht, usw.

Über Security-Advisories was die Dienste angeht, die man für alle Welt offen zugänglich macht sollte man sowieso informiert sein... mit oder ohne Filter.

 

[Miggo]

Also wirklich Arbeit macht so ein Regelwerk für einen Desktop-Rechner auch nicht.
Und mit den Grundlagen von Paketfiltern sollte man sich sowieso mal auseinandersetzen und da ist das sogar eine recht gute Übung.

 

[I.MC]

Ein Paketfilter gibt dir einfach zusätzliche Sicheit. Sicherlich geht alles auch ohne, aber du musst immer aufpassen wie blöde, dass die auf deinem öffenlichen Rechner laufenden Dienste und die dahinterliegenden entsprechend konfiguriert sind, dass nichts passieren kann.

Stell dir vor du pennst einmal oder noch besser, du testest einen neues Programm und hast keinen Paketfilter der erst mal generell alles dicht macht, was du nicht erlaubt hast.
Genau in den Momenten könnte einer nach Herzenslust bei dir rumprobieren und deine eventuellen Konfigurationsprobleme ausnutzen.

Ein anderes Beispiel sind Attacken mit kaputten Paketen etc. Wenn du einen Dienst nutzt der evtl. nicht so super ausgereift ist, dass der das alles korrekt hanhaben kann, dann... schwup haben sie dich wieder am Ar... . Dazu gehört auch NAT. Das ist zwar auch eine Art Schutz, aber für manipulierte Pakete nicht so die richtige Antwort. Der Sinn davon ist einfach über eine IP mehrere andere zu leiten, was ja auch wohl bekannt ist.
Ein bekannter ausgereifter Paketfilter ist exakt für so etwas ausgelegt und du musst dich nicht in allen Bereichen immer um die Stabilität deiner Dienste sorgen.

Ein Allheilmittel ist das sicher NICHT. Aber es nimmt einem viele Sorgen ab und spart Zeit. Sicher, die Regelsyntax muss man draufhaben. Aber das macht man einmal und gut ist. Wenn ich überlege wie oft ich an meinen Regeln fummel, das ist echt nicht oft.
Man ändert schließlich nicht alle Tage seine Dienste :-)

Gruß, incmc

 

[Stevil]

ich bin fies und sage, das der durchschnittliche DSL user gar nicht weiss was ne "NAT", "Firewall" "IPtables" "portforwaring" usw ist.

wenn man mal durch pseudo foren gurkt, ist es manchmal beängstigend, wie die fähigkeiten der geräte vor die säue geworfen wird.

beispiel:
ein 16jähriges kiddie hat von papa zu weihnachten einen hardware router geschenkt bekommen, neupreis 200¤, weil die computerbild gesagt hat, man braucht das für sicheres surfen. das kiddie will jetzt counterstrike zocken. kommt natürlich nich raus, weil die NAT die beiden bösen ports blockiert. nun postet das kiddie in irgendeinem forum, schreit um hilfe, anstatt mal die 20 seitige und bebilderte anleitung zu lesen, aber neeee, die is ja in englisch, zumindest teilweise.

im forum natürlich --> less handbuch, nutz doch mal google, etc.
allein das einloggen mit browser auf dem router ist ein akt der unmöglichkeit, man muss ja eine IP (Eipih) eingeben. dann is man drauf, kriegt schöne optionen um die ohren geknallt und was macht das kiddie letztendlich? genau! macht die NAT aus, is zu kompliziert.

letztendlich steht da jetzt ein 200¤ gerät doof rum, weil es nix zu tun hat. schutz? pustekuchen, aber die bösenbösen packete werden sicher durch die pure präsenz des routers außen vor bleiben.


warum ich das jetzt schreibe keine ahnung, nur finde ich sicherheit ist erst ein thema, wenn man sich auch damit beschäftigen möchte...

 

[olf]

hehe

So fies find ich's nicht.
/me laesst ja auch nicht bei seinem Auto mit Zentralverriegelung/Alarmanlage den Zuendschluessel stecken, die Tuer offen und geht dann zu VW und beschwert sich wenn das Auto weg ist.

 

[sticky bit]

Hmm, ich brauche ein "Trafficveränderdings" (bewusst weder Firewall noch Packetfilter geschrieben ) um mein LAN ins Internet zu bekommen, alleine wegen der NAT-Geschichte. Aber bin ich Durchschnitt?
Der Rest ist vielleicht Gymmick (für meinen persönlichen Bedarf?) aber lässt ruhiger schlafen (zumindest wenn ich alles richtig gemacht habe *ugrs* )...

 

[I.MC]

warum ich das jetzt schreibe keine ahnung, nur finde ich sicherheit ist erst ein thema, wenn man sich auch damit beschäftigen möchte...

Um es noch einmal klar zu machen.
Es spielt keine Rolle ob ich mich mit Sicherheit beschäftigen will oder nicht in meinen Augen. Der Rest der Welt macht nun einfach mal keine Pause, nur weil jemand gerade keine Lust hat sich mit der Materie auseinander zu setzen. Das ist Fakt und man muß sich keine Illusionen machen :-(
Wenn jemand natürlich keinen Bock hat, muss im schlimmsten Fall mit Konsequenzen rechnen, ganz einfach.

@sticky bit

Der Rest ist vielleicht Gymmick (für meinen persönlichen Bedarf?) aber lässt ruhiger schlafen (zumindest wenn ich alles richtig gemacht habe *ugrs* )...

Ein Paketfilter ist für gewisse Probleme da, die sich schlecht anders lösen lassen. Den Rest muss jeder selber entscheiden, zwingen kann man keinen :-) Wie oben erwähnt, selbst wenn die Dienste alle korrekt konfiguriert sind, sie sind nicht in der Lage gewisse Attacken abzuwehren und auch nicht dafür designt.
ABS im Auto braucht man auch nicht unbedingt, aber wenn es auf nasser Strasse eng wird und man eine Vollbremsung hinlegen muss, dann kannste ja mal tippen wer eher heile davon kommt: der mit, oder der ohne ABS.... :-)

Gruß, incmc

 

[Elessar]

Paketfilter sind sinnvoll um zB:

• ICMP Redirect etc. Muell abzufangen
• RFC 1918 IP Adressen zu blocken
• Kaputte Pakete zu verwerfen
• die IP ID aller durchgehenden Pakete zufaellig neu zu generieren

Zu dem WinXP da oben. Man kann Windows viel vorwerfen, aber mit nem offenen Mailserver kommt es default nicht an.

Zu incmc wuerd ich gern noch was anmerken.... Aehem, *hust* wenn ich was ausprobiere und teste, dann sicher nicht auf dem oeffentlichen Device. Fuer sowas kann man interne Karten, Aliase oder 127.0.0.1 herhalten lassen. Genauso warum Dienste per Firewall nach aussen blocken anstatt sie nicht einfach erst gar nicht oeffentlich zugaenglich laufen lassen?

 

[I.MC]

@Elessar

Mit den Diensten stimme ich dir natürlich zu, habe es zu Anschauungszwecken so formliert, obwohl das sicherlich trotzdem oft genug so gemacht wird. Es ist es einfach sicherer diese Instanz davor zu haben. Man muss sich einfach weniger Gedanken machen beim testen. Ich würde das sicherlich auch nicht anders machen, aber wer kann schon Konfigfehler zu 100% ausschließen bei neuen Programmen, man ist auch nur Mensch.

Gruß, incmc

 

[Maledictus]

Original geschrieben von Elessar
Paketfilter sind sinnvoll um zB:

• ICMP Redirect etc. Muell abzufangen

• 
  dafür gibt es zumindest unter FreeBSD die sysctl net.inet.icmp.drop_redirect
  

  [*]RFC 1918 IP Adressen zu blocken

  stimmt, da wüsste ich auch keine andere Möglichkeit.
  Aber über den normalen ADSL Zugang kommen keine Pakete dieser Art, die müsste wenn dann jemand schicken, der genau am anderen Ende der PPP Verbindung sitzt. Gut, OK das wäre theo. mögl. aber sehr unwahrscheinlich.
  

  [*]Kaputte Pakete zu verwerfen

  das kommt drauf an, wie kaputt die sind, aber zum beispiel wenn die Header in Ordnung sind, und nur der Inhalt Müll ist, macht ein Paketfilter auch nichts.
  Andersrum, wenn die Header kaputt sind, kommt das Paket meistens garnicht erst zu einem Service.
  

  [*]die IP ID aller durchgehenden Pakete zufaellig neu zu generieren

das macht unter FreeBSD zumindest die Kernel Option
RANDOM_IP_ID
und das geht dann auch ohne Paketfilter.

man sieht, ich bin noch nicht überzeugt, dass ein Paketfilter mir etwas bringt.
Und ehrlich gesagt sind die meisten Regelwerke die ich bis jetzt von Leuten gesehen habe, die das weder Beruflich machen noch sich wirklich lange mit dem Thema auseinandergesetzt haben totel schlecht.

gruss
Male

 

[I.MC]

Ich will dich nicht überzeugen, nur meine Sicht darstellen :-)

Zudem meine ich, dass die IP ID Funktion des Kernels nicht in der Lage ist mit NAT zu arbeiten. Das klappt nur super wenn man nur Pakete auf dem Rechner selbst generiert, sprich nicht, wenn da nen Netz hinter hängt. Das kann glaube ich nur pf von openbsd bis jetzt.
Lasse mich aber gerne korrigieren.

Zu den kaputten Paketheadern: da wirst du dem Paketfilter seine Funktion kaum wegreden können, egal wie unwahrscheinlich das alles ist :-)

Gruß, incmc

 

[Maledictus]

ich will mich ja überzeugen lassen
also zumindest mal pro und kontra hier diskutieren.

ich habe RANDOM_IP_ID im Kernel und Userland ppp mit internem NAT, ich werde das nochmal genauer testen, aber ich meine das geht gut.

wenn die header kaputt sind, wird das paket verworfen, und kommt bei TCP nochmal (wenn es denn unbeabsichtigt kaputt war).
was sollte der Filter auch lesen können, aus kaputten daten?

 

[I.MC]

Ich weiss es jetzt auch nicht mehr aus dem Kopf und habe im Moment null Zeit das jetzt rauszusuchen. Ich meine aber, es gibt diverse Attacken, die du mit einem Paketfilter am besten oder überhaupt nur einbremsen kannst. Ich habe hier ein nettes Buch dazu. Ist nicht teuer. habe es aus USA für 8 Dollar + 10 Dollar Porto gekauft vor ner Weile.
"Building Internet Firewalls" von O'Reilly. Kann ich nur empfehlen.

Gruß, incmc

 

[Elessar]

Die ID aller IPs die durchkommen zu aendern kann nur openBSD pf.
Is kein Thema so lange nur freeBSD Maschinen mit RANDOM_IP_ID im privaten Netz sind, aber wenn nicht dann halt nicht.

 

[sticky bit]

Original geschrieben von incmc
@sticky bit


Ein Paketfilter ist für gewisse Probleme da, die sich schlecht anders lösen lassen. Den Rest muss jeder selber entscheiden, zwingen kann man keinen :-) Wie oben erwähnt, selbst wenn die Dienste alle korrekt konfiguriert sind, sie sind nicht in der Lage gewisse Attacken abzuwehren und auch nicht dafür designt.
ABS im Auto braucht man auch nicht unbedingt, aber wenn es auf nasser Strasse eng wird und man eine Vollbremsung hinlegen muss, dann kannste ja mal tippen wer eher heile davon kommt: der mit, oder der ohne ABS.... :-)

ACK.
Drum schreib ich ja "Für meinen Bedarf?", weil es IMHO eben auch immer auf da Risiko ankommt. Ich meine OK man ist immer irgendwie gefährded aber das grösste Ririko dass ich Netzwerkangriffs technisch für mich sehe ist das jmd. meine Boxen übernehmen will um von dort aus weitere Angriffe zu starten, allerdings halte ich dieses Risiko für relativ gering, da würde ich mir als Trojaner anfälliger Windowsuser eher Sorgen machen. Als OpenBSD User ist man zwar auch nicht vor allem gefeit und aufpassen muss / sollte man eh immer, aber es gibt deutlich weniger Leute die die Skills haben da irgendwas drehen zu können. Insofern hab ich meine PF halt mehr aus Spass an der Freude laufen weils mich interessiert und es mir vielleicht das IMHO geringe Risiko noch geringer macht. Aber trotzdem ist alles halt ne Frage der verhältnismässigkeit, muss jeder selber wissen wie paranoid er ist und wie schon erwähnt ggf. die Konsequenzen für evtl. Nachlässigkeit tragen. Ich denke der Mittelweg ist für die meissten das Beste, ich mein ich lauf ja auch nicht den ganzen Tag mit ner kugelsicheren Weste rum, aber anschnallen im Auto tu ich mich natürlich schon...

 

[I.MC]

Ich bin halt paranoid und steh auch noch auf Sicherheitskram :-)

Gruß, incmc

 

[Maledictus]

das ist ein Argument

 

[asg]

Da meine Büchse 24/7 am Netz hängt, hmm, ok, kein wwirklich normaler DLS User, ich eine statische IP habe, sollte man schon an security denken.
Viele haben auch dyndns am rennen und sind 24/7 online, da würde ich auch etwas Zeit in security investieren.