Allgemeine Firewall-Fragen

[mrserious]

Guten Morgen,

ich benutze Debian schon sehr lange in Verbindung mit iptables.
Was ich mich aber schon länger frage: Sind Paketfilter-Firewalls in den letzten Jahren wirklich immer nutzloser geworden?
Jeder Trojaner kann einen beliebigen freigegebenen Port nutzen und kommt damit sowieso ins Internet.
Genauso kann jeder User einen VPN-Tunnel aufbauen und bleibt - zumindest für den Moment - erstmal unbemerkt.
Außerdem kann man in iptables-Regeln keine anderen Filter-Informationen nutzen als: Interface, MAC-Adresse und IP-Adresse.
Und zumindest die letzten beiden lassen sich ja problemlos fälschen.

Was ich mich also frage: Sind Paketfilter mittlerweile überholt?
Was meint ihr? Bzw. was nutzt ihr?
Denn selbst dedizierte Firewall-Distributionen wie pfSense nutzen ja "nur" Paketfilter-Firewalls.

Euch eine schöne Weihnachtszeit!

[Lord_Carlos]

Ich glaube bei der letzten Diskussion sind mehrere einig geworden das es ganz nett ist Geraete vom internet zu blocken die man nicht Kontrollieren kann, z.B. Smart TV der private Daten ins netz laedt.

Mir ist da die Instandhaltung teilweise noch zu teuer in bestimmten Anwendungsfällen, ich sehe da aber einen guten Gedanken dahinter.

[mrserious]

Witzigerweise habe ich den Fall mit dem smartTV auch im privaten Umfeld ^^
Genau dafür schien mir iptables auch sehr nützlich.
Was ich mich aber dennoch frage: Was bringt mir all das, wenn die sicherste Filtermöglichkeit das eintreffende Interface ist? (Denn ein Kabel werden die meisten Angreifer bei mir wohl nicht umgesteckt bekommen...)

[whisper]

Recht du hast.
Meine Meinung dazu: Ein aktiver Admin ist durch keine Firewall zu ersetzen

Man muss möglichst malware erst gar nicht auf seinen Server lassen, dann braucht man keine Ports filtern.
Meine Erfahrung mit meinem privaten rootserver lassen mich glauben, dass 90% der Schädlinge nur spam im Kopf haben, da ich auch einen Mailserver betreibe ists sowieso schlecht mit Filtern.
Fail2ban ist auch kein Allheilmittel, Ich hatte vor kurzem einen massiven Angriff, da wurde versucht meinen Server als Open Relays zu missbrauchen, das Angriffscript bediente sich einem rollierenden IP Pool, dadurch wurde der Schutz von fail2ban ausgehebelt, keine der Adressen wurde auch nur einmal gebannt.
Nun da habe ich als Notfallmassnahme den ganzen IP-Bereich gedropt.

[dufty2]

Außerdem kann man in iptables-Regeln keine anderen Filter-Informationen nutzen als: Interface, MAC-Adresse und IP-Adresse.

Nunja, iptables ist schon (immer?) eine Stateful firewall, also gibt es es auch noch "state" dazu.
"Deep Packet Inspection" (also Layer 7) könnte man auch via netfilter-Anbindung und opendpi.

[MSfree]

Sind Paketfilter-Firewalls in den letzten Jahren wirklich immer nutzloser geworden?

Nein, sie sind ganz bestimmt nicht nutzlos geworden. Nur, weil die Angriffsszenarien ausgeklügelter gewerorden sind, heißt das nicht, daß traditionelle Angriffe nicht auch noch stattfinden würde, gegen die Paketfilter nach wie vor helfen.

Jeder Trojaner kann einen beliebigen freigegebenen Port nutzen und kommt damit sowieso ins Internet.

Nur, wenn der Paketfilter zu lasch eingestellt ist, kommt der Trojaner ins Internet.

Genauso kann jeder User einen VPN-Tunnel aufbauen und bleibt - zumindest für den Moment - erstmal unbemerkt.

So so, wenn du glausbt, du könntest hinter meiner Firewall einfach mal so einen VPN-Tunnel aufmachen, dann täuschst du dich.

Außerdem kann man in iptables-Regeln keine anderen Filter-Informationen nutzen als: Interface, MAC-Adresse und IP-Adresse.

Quell-IP, Ziel-IP, Portnummer, User-ID...

Und zumindest die letzten beiden lassen sich ja problemlos fälschen.

Eine gefälschte IP-Adresse bringt dir aber nichts. Wohin sollen denn die Antwortpakete geroutet werden, wenn du die Anfragepakete mit falscher IP-Adresse verschickst. Ähnliches gilt in abgeschwächter From für die MAC-Adresse, für die es dann kein ARP-Lookup gibt.

Man kann mit Paketfiltern schon ziemlich viel bewirken, es ist aber nicht das allein glücklich machende. Eine Firewall ist ein Konzept und kein Stück Software. Wenn ich z.B. eine Proxy auf dem Router laufen lasse, der Webseiten wegfiltert (bei mir hauptsächlich Werbung), dann ist das ein Konzept aus iptables und squid, die zusammen erst das erreichen, zu dem jede Software alleine nicht im Stande wäre.

[MSfree]

Ein aktiver Admin ist durch keine Firewall zu ersetzen

Naja, und was macht der aktive Admin? Er erstellt, pflegt und ändert iptables-Regeln und administriert die ACLs in squid.conf... etc.

[mrserious]

Eine gefälschte IP-Adresse bringt dir aber nichts. Wohin sollen denn die Antwortpakete geroutet werden, wenn du die Anfragepakete mit falscher IP-Adresse verschickst. Ähnliches gilt in abgeschwächter From für die MAC-Adresse, für die es dann kein ARP-Lookup gibt.

Ich bezog mich auf den Fall, in dem ich mich einfach als Client in das Netz hänge und MAC und IP (letztere bekäme ich dann ja vllt sogar per DHCP) spoofe.
Dann könnte ich mich - rein von Seiten iptables - wie der jeweilige Client bewegen.

Nur, wenn der Paketfilter zu lasch eingestellt ist, kommt der Trojaner ins Internet.

Ist das so? Ein einziger freier Port genügt doch...

[pangu]

Ich bezog mich auf den Fall, in dem ich mich einfach als Client in das Netz hänge und MAC und IP (letztere bekäme ich dann ja vllt sogar per DHCP) spoofe. Dann könnte ich mich - rein von Seiten iptables - wie der jeweilige Client bewegen.

da kuckste in einem sauber administrierten und somit abgesichertem Netz mit VLANs + 802.1X aber blöd aus der Wäsche denn du hast gar keinen Zugang zum Netz.

Nur, wenn der Paketfilter zu lasch eingestellt ist, kommt der Trojaner ins Internet.

Was macht denn der Trojaner überhaupt in deinem Netz und vor allem: wie ist der reingekommen? Du solltest dich eher mit DIESER Thematik befassen anstatt dich verrückt zu machen, wie du einen infizierten Rechner anschließend blockst. Um so weiter vorner du abgreifst, um so einfacher. Überlege dir also lieber was du tun kannst, um den Eindringling gar nicht erst reinzulassen anstatt dir Gedanken zu machen, ob du nach dem Einbruch eine Alarmglocke läuten möchtest und Türen und Fenster verriegelst, damit der Einbrecher nicht fliehen kann.

Grüße
Pangu