staging.inyokaproject.org

also ... wenn ich über Firewall rede, dann meine ich i.d.R. Desktopfirewall (im Folgenden mit DFW abgekürzt).

Nun ist es so, dass ich unter Windows eine Menge DFW bekomme die mir u.a. eine "schöne" grafische Oberfläche bieten und einen Assistenten. Nehmen wir als Beispiel die Outpost Firewall (i.F. OFW). Nachdem ich diese installiert habe werden mir direkt für die "wichtigsten" Anwendungen (Browser, Email, P2P etc.) vorgefertigte Regeln angeboten. Die OFW hat einen "Lernmodus" - d.h. wenn ich diesen eingeschaltet habe, fragt sie mich bei jedem Datenfluss ob ich diesen zulassen möchte - dann kann ich via Assistenten für diese Datenflüsse wieder eigene Regeln erstellen. Ich kann auch direkt in der ini-Datei festlegen was ich rein- und/oder rauslassen möchte. Irgendwie ist mir das unter Windows auch relativ klar. Ich weiss ungefähr welche Ports von welchen Programmen benutzt werden - diese lasse ich dann zu (oder auch nicht).

Also - der Windows-DFW kann ich sagen, gebe diesen Port unter diesem Protokoll für dieses eine Programm frei.

Was ich jetzt wissen möchte und was ich nicht verstehe:

- Gibt es eine solche DFW auch für Linux?
- Wenn ich nun, sagen wir mal, Port 27960 für Quake3 freigebe, macht mich das dann angreifbar?

Guten Morgen, Frank,

auch wenn Du leider dem Übersetzerteam nicht beitreten möchtest-),
habe ich Dir erst einmal einen Link auf das Security-Forum von
ubuntuusers.com geschickt
http//www.ubuntuforums.org/showthread.php?t=3225

Ein netter und entspannter Text zum Thema.

Wegen der Gefährdung durch das Öffnen von Ports
hier gilt die Radio-Eriwan-Regel. Im Prinzip Ja.

Wenn Du willst, kannst Du Dir die Maschine als Shopping-Mall vorstellen.
Wenn die Läden vermietet sind, kannst Du dort zu Ladenöffnungszeiten hingehen und einkaufen (offene Ports). Alles ok.

Probleme gibt es, wenn nicht Du dort hingehst um einzukaufen, sondern böswillige Menschen,
die darauf aus sind, die Kasse auszuräubern bzw. den Laden oder gar die Mall von Grund auf zu zerstören.
(Angriff durch böswillige Schadprogramme).

Ob jemand mit bösartigen Absichten kommt, wann er kommt und was er genau will, weiß man i. d. R. nicht.
(Nur _daß_ mit großer Wahrscheinlichkeit viele Neugierige unterwegs sind, die sich für den Laden und seine
Sicherungsmechanismen interessieren, ist so gut wie sicher (Portscans) ).

Letztlich mußt Du - als Shopping-Mall-Betreiber-) - wissen, ob Du bereit bist,
in Läden und Sicherheitsmaßnahmen zu investieren - d. h. Ports zu öffnen - oder ob Du das lieber anderen überläßt (Ubuntu-Grundeinstellung).

Eine der Schutzmaßnahmen ist die Firewall - die Desktopfirewall, die je nach
Konstruktion versucht, den schädlichen Datenverkehr zu überwachen oder möglichst sogar zu sperren.

Laß mich zum Ende meiner Predigt kommen
alle technischen Maßnahmen nützen überhaupt nichts, wenn der Mensch sie kurzerhand aushebelt - der Mensch, nicht die Technik, zählt!-))

Hth,
Charlotte

nun heisst es ja so schön, Ubuntu benötigt keine Firewall weil keine Dienste laufen die das System nach innen hin öffnen - alles was passiert läuft über localhost und somit besteht keine Gefahr.

Hmmm ... versteh ich nicht. Wenn ich doch ins Internet "gehe", dann bin ich doch von aussen hin angreifbar, oder nicht? Irgendwie komme ich doch raus ... und irgendwie kommen die Informationen aus dem Internet doch auch rein. Und da ich nirgendwo sagen konnte welche Ports geöffnet sein sollen, gehe ich doch mal davon aus, dass alle Ports geöffnet sind, oder?

Tut mir leid, wenn ich so laienhaft vortrage ... aber mir fehlt das Verständnis. Und alles, was ich bisher über Firewall gelesen habe (in Bezug auf Linux), waren für mich böhmische Dörfer. Wie Du bereits in einem anderen Thread schriebst, Charlotte ... alles auf Chinesisch. Ich wüsste zu gern was geschieht während ich online bin (ich bin immer online ... sobald ich den Rechner einschalte verbindet er mit dem Internet) ... Ich habe ja bereits geschrieben, dass Normaluser m.E. keine Firewall benötigen ... aber ich fühle mich irgendwie unbehaglich, wenn ich nicht sehe und begreife was passiert ....

und Charlotte ... so wunderbar bildlich Deine Beschreibung auch war ☺ ... verstanden hab ich dennoch nicht, was Du mir damit sagen willst 🙄 😳

also ... meine Verständnisprobleme fangen bereits bei "daemons" an ...
Der von Dir gelinkte Artikel hat meinen Wissensstand auch nicht erheblich gehoben .... ☹

Ich bin zwar auch kein Fachmann, aber wenn ich nicht vollkommen falsch liege, dann ist ein offener Port alleine nicht ausreichend um einem Angreifer Zugang zu einem Rechner zu gewähren. Zusätzlich muss auf dem angegriffenen Rechner auch ein Programm oder Dienst laufen, welcher bereit ist über den offenen Port Anfragen entgegenzunehmen. Erst mit Hilfe eines solchen Dienstes kann der Angreifer Auf dem Rechner agieren.

Etwa so wie in dem Märchen von Rapunzel 😀 . Das offene Turmfenster nützt dem Prinzen auch nur was, weil oben Rapunzel steht und ihre Haare herunterhängen lässt

Ich bin auch nicht der Experte, aber meines Wissens nach ist ein offener Port nicht schlimm. Erst wenn ein Programm/Server von dir auf diesen Port "lauscht" also guckt ob jemand versucht Daten an dich zu senden wird es kritisch.

Denn wenn Daten ankommen und das Programm merkt das und dieser Datenstrom verursacht einen Fehler im Programm (oder Bugs werden ausgenutzt) kann es sein, dass der Angreifer plötzlich auf deinem Rechner aggieren kann.

Denn wenn auf deinem Netzwerkkabel was ankommt, der Computer aber nicht damit rechnet, kommt halt was, aber keiner weis was damit zu tun ist und es passiert schlichtweg nichts.

Zu der Sache wenn du ins Internet gehst, dann öffnest DU den Port nach außen (bei Ubuntu gibts halt keine Prgramme die "lauschen" s.o) aber du kannst natürlich rauskommunizieren.

Und da Der Browser ja normalerweise *.htm - Seiten oder Bilder abruft (die können ja neuerdings auch Vieren beinhalten in jpg - Format glaub ich!!) sollte vom Internet nichts unbemerkt auf deinen Rechner kommen. Außer, dass wieder Bugs im Browser ausgenutzt werden... Gabs glaub ich auch mal einen im Firefox?!

Um solche Bugs zu vermeiden gibts ja die Sicherheitsupdates in Ubuntu... 😉

@ culdusac

Toller Vergleich! Darf ich ihn noch etwas weiterführen?

Fatal ist ja nicht, um in Deinem Bilde zu bleiben, wenn unten der Prinz und oben Rapunzel stehen -
das ist ok, denen gönnen wir ihr Glück doch, oder?

Übersetzt in die Realität
mein Rechner bietet bestimmte "Dienste" an, z. B. eine Webseite als Webserver,
und irgendjemand möchte diese Webseite sehen.
Dann gibt es bei mir ein Programm, einen Webserver wie Apache oder IIS,
das dafür Sorge trägt, daß meine Besucher mit ihrem Browser die Webseite sehen können.

Fatal wird's, wenn unten nicht der Prinz,
sondern der böse Räuber steht und sein Komplize ist am Fenster oben.

Übersetzt in die Realität
auf meinem Rechner ist z. B. ein Schadprogramm unbemerkt tätig.
Oder mein Webserverprogramm ist in sich fehlerhaft (konfiguriert).

Technisch passiert eigentlich immer das Gleiche
ein Programm von außen verbindet sich mit einem Programm auf meinem Rechner und beide tauschen Daten aus.

Im Prinz-Rapunzel-Fall geschieht das mit voller Billigung aller Beteiligten,
anderenfalls werden Daten übermittelt, die unerwünscht sind und möglicherweise
auf dem empfangenden Rechner Schaden anrichten.

Einverstanden?

Das Ganze ist natürlich stark vereinfacht und keineswegs vollständig dargestellt,
aber vielleicht hilft es ja zu einem Grundverständnis.

Grüße
Charlotte

ok ... aber woher weiss ich, ob auf meinem Rechner Programme oder Dienste laufen, die bösen Räubern erlauben in meinen Turm zu kommen?

Ich meine ... welche Dienste sind böse - also ermöglichen Eindringlingen reinzukommen und welche nicht .... und, wie sichere ich die "bösen" Dienste so ab, dass sie noch ihren Dienst tun, aber dennoch alles draussen lassen was nicht reingehört?

Wenn du an Ubuntu defaultmäßig nichts installierst, was Internet benötigt, wirst du keine "bösen" Dienste haben... Jetzt musst du dir nur Gedanken machen, was du installiert hast und dich Informieren, ob diese Programme ins Netzwerklauschen und wenn ja, ob es Sicherheitslücken gibt.

Sicherlich gibt es auch nen Befehl, um alle aktiven Netzwerkverbindungen von Programmen aufzulisten, aber in den Linuxbefehlen stecke ich (noch) nicht so drinn 😳
Mit diesem könntest du dir dann geziehlt die Prgramme ansehen, die Verbindungen nach außen öffnen/oder anfragen entgegennehmen...

Hi,

ich habe ein bißchen Lesefutter zum Thema gesucht - vorweg, wirklich angenehm ist es nicht.
Eher etwas, wenn man sich ein bißchen mehr damit beschäftigen will-(

1. Ein Klassiker aus dem Usenet
Lutz Donnerhackes Firewall-FAQ
http//www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Mit ein bißchen Vorsicht und Abstand zu genießen-)

2. Netzwerk-Grundlagen - auch ein bißchen anspruchsvoll
http//www.suse.de/de/private/support/online_help/howto/network_howto/fire1.html
(außerdem von Suse, aber das ist dem Netzwerk im Prinzip egal -
bitte mehr auf die Grundlagen, nicht auf die Konfiguration (SuSE-spezifisch) achten)

3. Grundlagenstoff zur Computersicherheit - s. o.
http//www.selflinux.org/selflinux/html/grundlagen_sicherheit03.html#d38e415

... auch hier geht es nicht um Einzelheiten, sondern die große Linie beim Lesen.

4. Debian-Sicherheits-Handbuch
http//www.debian.org/doc/manuals/securing-debian-howto/ch2.de.html
vor allem Kapitel 2 und die darin aufgeführten Quellen
(gar nichts für einen entspannten Nachmittag, zumindest nicht für mich)

Dafür jetzt 'was ganz Praktisches (@Badcell-)

In Anwendungen - Systemwerkzeuge - Netzwerkprograme findet sich einiges von dem, was Du vielleicht gebrauchen könntest.
Dazu mußt Du noch nicht einmal auf die Kommandozeile!

Die berühmten offenen Ports findest Du unter Portscan (externe Adresse, nicht 127.0.0.1 bzw. loopback scannen),
was alles so lauscht, erfährst Du in Netzwerkstatus - aktive Netzwerkdienste. ^[1]

Und wenn man dem Braten nicht traut - dafür aber mir, sonst auf keinen Fall ! - ja, dann kann man auch einen externen Portscan vornehmen lassen.
Ich empfehle - und nutze selbst seit Jahren - dazu
Shields up!
https//grc.com/x/ne.dll?bh0bkyd2

Beste Grüße und viel Spaß beim Scannen
Charlotte

^[1] Wenn Du Deine externe Adresse nicht herausfinden kannst, nimm' die,
die Dir auf https//grc.com/x/ne.dll?bh0bkyd2 angezeigt wird - die sieht die restliche Welt.

PS. Meldet Euch 'mal, ob's geholfen hat.

Guden,

da ich mich in kürze genauer mit Firewalls und Proxies beschäftigen möchte, habe ich nochma kurz zwei Fragen:

1. Die Dienste, die auf dem localhost laufen bzw. lauschen sind nicht von "außen" ansprechbar, oder?

2. Eine Firewall wie IPTables ist doch ein reiner Packetfilter?! Der inspiziert ja "nur" auf OSI Layer 3, nicht aber auf Session bzw. Application Ebene. Wenn ich alles richtig verstanden habe, ist das der Grund warum man auch einen Proxy wie Squid laufen lassen sollte, um auch die Packete auf Layer 7 inspizieren zu können. Oder bin ich meiner Zeit hinterher?

Des weiteren würde mich mal interessieren, ob schon jemand Erfahrungen mit IDSs gesammelt hat...

Danke schonma!

daemon

@ aka_daemon

1) Die Dienste, die auf dem localhost laufen bzw. lauschen sind nicht von "außen" ansprechbar.

z.B. steht unter http://www.ubuntulinux.org/wiki/NFSServerHOWTOUbuntu

By default, the portmap service is only accessible on the local system. For NFS service to work, access must be allowed from NFS clients as well. Edit the file /etc/default/portmap and remove the "-i 127.0.0.1" option from ARGS

2) Hier würde ich mich auch über Expertenbeiträge freuen 😉

Du hast die Einschränkungen von iptables an sich erkannt
http://zentralschweiz.lugs.ch/treff-20040825/iptables-netfilter.pdf
(Hintergrundwissen:http://www.netplanet.org/aufbau/schichtenmodell.shtml)
Ich habe keine Erfahrungen mit IDS gemacht. Ein entsprechender Bericht würde mich auch interessieren.

sturmkind hat geschrieben:

und es gibt auch ein GTK-Programm zum Verwalten von Firewalls. Nennt sich Firestarter.

Homepage: http://www.fs-security.com
Screenshots: http://www.fs-security.com/screenshots.php

Sieht echt brauchbar aus!

@aka_daemon
richtig. Allerdings gibt es werden speziell in Squid immer wieder schlimme Löscher gefunden, weshalb man einen hohen administations Aufwand mit ihm hat. Diese müssen so schnell wie möglich gestopft werden, und das heisst oft das es noch keine Pakete dafür gibt, und daher selbst patchen angesagt ist.

Allerdings sollte eine Paketfilterung in verbindung mit dem sperren nahezu aller ausgehenden Port eine für private User ausreichende Lösung sein. In dem Zusammenhang ist es wie ich finde am besten man setzt sich mit iptable auseinander und schreibt die Regeln selbst. Danach kann man diese mit diversen Tools testen.

Prinzipiell kann man zwei Szenarien unterscheiden:

1.) Ich will keine Dienste zum Internet hin anbieten.
2.) Ich will Dienste zum Internet hin anbieten.

Im ersten Fall kann ich meinen Rechner via Packetfilter von außen dicht machen. Ich sage quasi: "Mit mir wird nur gesprochen wenn ich das auch will!". Bin ich fortgeschritten paranoid traue ich auch meinem Rechner und der installierten Software nicht. Dann erweitere ich meine Firewall und lege fest das http-Verbindungen nur zum Proxy meines Providers dürfen und smtp/pop3/imap-Verbindungen nur zum Mailserver meines Vertrauens. Alles andere wird geblockt. Wenn ich jetzt noch den Verdacht hege das Programme Verbindungen über diese Ports/Protokolle tunneln, dann benötige ich eine Application-Level-Firewall z.B. einen eigenen Proxy. Dieser analysiert auf einem hohen Niveau die ausgehenden Anfragen und entscheidet anhand eines Regelwerkes wie damit zu verfahren ist. Verbindungen die nicht das richtige Protokoll nutzen, sondern nur den passenden Port, werden komplett abgewiesen.

Im zweiten Fall ist ähnlich wie im ersten vorzugehen, nur das man noch mehr Aufwand betreibt, indem man die Dienste die man anbieten möchte, nach Möglichkeit in eine DMZ vorlagert, Eine DMZ stellt quasi ein eigenes Netzwerk da, was mit einer zweite Firewall gegenüber dem richtigen internen Netz nocheinmal abgeschirmt wird.

Für die nicht paranoiden, aber sicherheitsbewussten unter euch: Ein DSL-Router schützt alleine durch sein NAT schonmal vor vielen unannehmlichkeiten aus dem Netz. Wer Win32 verwendet sollte auf den IE verzichten und sich überlegen ob er Scripting bei Webseiten wirklich benötigt. Letzteres gilt auch unter Linux, wobei ein eingerichteter Privoxy hier auch deutlich helfen kann.

Gruß,
Ronnie

Ich hab Fli4l-Linux als Router... Dennoch möchte ich eine Firewall.. z.B. um VNC / SMB Verbindungen nur nach 192.168.x.x zu erlaube... Wohingegen Firefox / Thunderbird ins Internet dürfen 😉