Allgemeine Firewall-Fragen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

Allgemeine Firewall-Fragen

Beitrag von mrserious » 23.12.2015 11:05:28

Guten Morgen,

ich benutze Debian schon sehr lange in Verbindung mit iptables.
Was ich mich aber schon länger frage: Sind Paketfilter-Firewalls in den letzten Jahren wirklich immer nutzloser geworden?
Jeder Trojaner kann einen beliebigen freigegebenen Port nutzen und kommt damit sowieso ins Internet.
Genauso kann jeder User einen VPN-Tunnel aufbauen und bleibt - zumindest für den Moment - erstmal unbemerkt.
Außerdem kann man in iptables-Regeln keine anderen Filter-Informationen nutzen als: Interface, MAC-Adresse und IP-Adresse.
Und zumindest die letzten beiden lassen sich ja problemlos fälschen.

Was ich mich also frage: Sind Paketfilter mittlerweile überholt?
Was meint ihr? Bzw. was nutzt ihr?
Denn selbst dedizierte Firewall-Distributionen wie pfSense nutzen ja "nur" Paketfilter-Firewalls.

Euch eine schöne Weihnachtszeit!

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Allgemeine Firewall-Fragen

Beitrag von Lord_Carlos » 23.12.2015 11:24:32

Ich glaube bei der letzten Diskussion sind mehrere einig geworden das es ganz nett ist Geraete vom internet zu blocken die man nicht Kontrollieren kann, z.B. Smart TV der private Daten ins netz laedt.

Mir ist da die Instandhaltung teilweise noch zu teuer in bestimmten Anwendungsfällen, ich sehe da aber einen guten Gedanken dahinter.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

Re: Allgemeine Firewall-Fragen

Beitrag von mrserious » 23.12.2015 11:29:24

Witzigerweise habe ich den Fall mit dem smartTV auch im privaten Umfeld ^^
Genau dafür schien mir iptables auch sehr nützlich.
Was ich mich aber dennoch frage: Was bringt mir all das, wenn die sicherste Filtermöglichkeit das eintreffende Interface ist? (Denn ein Kabel werden die meisten Angreifer bei mir wohl nicht umgesteckt bekommen...)

Benutzeravatar
whisper
Beiträge: 3401
Registriert: 23.09.2002 14:32:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Allgemeine Firewall-Fragen

Beitrag von whisper » 23.12.2015 11:31:51

Recht du hast.
Meine Meinung dazu: Ein aktiver Admin ist durch keine Firewall zu ersetzen :)

Man muss möglichst malware erst gar nicht auf seinen Server lassen, dann braucht man keine Ports filtern.
Meine Erfahrung mit meinem privaten rootserver lassen mich glauben, dass 90% der Schädlinge nur spam im Kopf haben, da ich auch einen Mailserver betreibe ists sowieso schlecht mit Filtern.
Fail2ban ist auch kein Allheilmittel, Ich hatte vor kurzem einen massiven Angriff, da wurde versucht meinen Server als Open Relays zu missbrauchen, das Angriffscript bediente sich einem rollierenden IP Pool, dadurch wurde der Schutz von fail2ban ausgehebelt, keine der Adressen wurde auch nur einmal gebannt.
Nun da habe ich als Notfallmassnahme den ganzen IP-Bereich gedropt.
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt. 😉

dufty2
Beiträge: 1714
Registriert: 22.12.2013 16:41:16

Re: Allgemeine Firewall-Fragen

Beitrag von dufty2 » 23.12.2015 11:52:05

mrserious hat geschrieben: Außerdem kann man in iptables-Regeln keine anderen Filter-Informationen nutzen als: Interface, MAC-Adresse und IP-Adresse.
Nunja, iptables ist schon (immer?) eine Stateful firewall, also gibt es es auch noch "state" dazu.
"Deep Packet Inspection" (also Layer 7) könnte man auch via netfilter-Anbindung und opendpi.

Benutzeravatar
MSfree
Beiträge: 11833
Registriert: 25.09.2007 19:59:30

Re: Allgemeine Firewall-Fragen

Beitrag von MSfree » 23.12.2015 12:00:58

mrserious hat geschrieben:Sind Paketfilter-Firewalls in den letzten Jahren wirklich immer nutzloser geworden?
Nein, sie sind ganz bestimmt nicht nutzlos geworden. Nur, weil die Angriffsszenarien ausgeklügelter gewerorden sind, heißt das nicht, daß traditionelle Angriffe nicht auch noch stattfinden würde, gegen die Paketfilter nach wie vor helfen.
Jeder Trojaner kann einen beliebigen freigegebenen Port nutzen und kommt damit sowieso ins Internet.
Nur, wenn der Paketfilter zu lasch eingestellt ist, kommt der Trojaner ins Internet.
Genauso kann jeder User einen VPN-Tunnel aufbauen und bleibt - zumindest für den Moment - erstmal unbemerkt.
So so, wenn du glausbt, du könntest hinter meiner Firewall einfach mal so einen VPN-Tunnel aufmachen, dann täuschst du dich.
Außerdem kann man in iptables-Regeln keine anderen Filter-Informationen nutzen als: Interface, MAC-Adresse und IP-Adresse.
Quell-IP, Ziel-IP, Portnummer, User-ID...
Und zumindest die letzten beiden lassen sich ja problemlos fälschen.
Eine gefälschte IP-Adresse bringt dir aber nichts. Wohin sollen denn die Antwortpakete geroutet werden, wenn du die Anfragepakete mit falscher IP-Adresse verschickst. Ähnliches gilt in abgeschwächter From für die MAC-Adresse, für die es dann kein ARP-Lookup gibt.

Man kann mit Paketfiltern schon ziemlich viel bewirken, es ist aber nicht das allein glücklich machende. Eine Firewall ist ein Konzept und kein Stück Software. Wenn ich z.B. eine Proxy auf dem Router laufen lasse, der Webseiten wegfiltert (bei mir hauptsächlich Werbung), dann ist das ein Konzept aus iptables und squid, die zusammen erst das erreichen, zu dem jede Software alleine nicht im Stande wäre.

Benutzeravatar
MSfree
Beiträge: 11833
Registriert: 25.09.2007 19:59:30

Re: Allgemeine Firewall-Fragen

Beitrag von MSfree » 23.12.2015 12:05:15

whisper hat geschrieben:Ein aktiver Admin ist durch keine Firewall zu ersetzen :)
Naja, und was macht der aktive Admin? Er erstellt, pflegt und ändert iptables-Regeln und administriert die ACLs in squid.conf... etc. :wink:

mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

Re: Allgemeine Firewall-Fragen

Beitrag von mrserious » 23.12.2015 14:07:46

Eine gefälschte IP-Adresse bringt dir aber nichts. Wohin sollen denn die Antwortpakete geroutet werden, wenn du die Anfragepakete mit falscher IP-Adresse verschickst. Ähnliches gilt in abgeschwächter From für die MAC-Adresse, für die es dann kein ARP-Lookup gibt.
Ich bezog mich auf den Fall, in dem ich mich einfach als Client in das Netz hänge und MAC und IP (letztere bekäme ich dann ja vllt sogar per DHCP) spoofe.
Dann könnte ich mich - rein von Seiten iptables - wie der jeweilige Client bewegen.
Nur, wenn der Paketfilter zu lasch eingestellt ist, kommt der Trojaner ins Internet.
Ist das so? Ein einziger freier Port genügt doch...

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Allgemeine Firewall-Fragen

Beitrag von pangu » 04.01.2016 20:31:21

mrserious hat geschrieben:Ich bezog mich auf den Fall, in dem ich mich einfach als Client in das Netz hänge und MAC und IP (letztere bekäme ich dann ja vllt sogar per DHCP) spoofe. Dann könnte ich mich - rein von Seiten iptables - wie der jeweilige Client bewegen.
da kuckste in einem sauber administrierten und somit abgesichertem Netz mit VLANs + 802.1X aber blöd aus der Wäsche 8) denn du hast gar keinen Zugang zum Netz.
Nur, wenn der Paketfilter zu lasch eingestellt ist, kommt der Trojaner ins Internet.
Was macht denn der Trojaner überhaupt in deinem Netz und vor allem: wie ist der reingekommen? Du solltest dich eher mit DIESER Thematik befassen anstatt dich verrückt zu machen, wie du einen infizierten Rechner anschließend blockst. Um so weiter vorner du abgreifst, um so einfacher. Überlege dir also lieber was du tun kannst, um den Eindringling gar nicht erst reinzulassen anstatt dir Gedanken zu machen, ob du nach dem Einbruch eine Alarmglocke läuten möchtest und Türen und Fenster verriegelst, damit der Einbrecher nicht fliehen kann.

Grüße
Pangu
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

Antworten