Allgemeine Firewall-Fragen
Allgemeine Firewall-Fragen
Guten Morgen,
ich benutze Debian schon sehr lange in Verbindung mit iptables.
Was ich mich aber schon länger frage: Sind Paketfilter-Firewalls in den letzten Jahren wirklich immer nutzloser geworden?
Jeder Trojaner kann einen beliebigen freigegebenen Port nutzen und kommt damit sowieso ins Internet.
Genauso kann jeder User einen VPN-Tunnel aufbauen und bleibt - zumindest für den Moment - erstmal unbemerkt.
Außerdem kann man in iptables-Regeln keine anderen Filter-Informationen nutzen als: Interface, MAC-Adresse und IP-Adresse.
Und zumindest die letzten beiden lassen sich ja problemlos fälschen.
Was ich mich also frage: Sind Paketfilter mittlerweile überholt?
Was meint ihr? Bzw. was nutzt ihr?
Denn selbst dedizierte Firewall-Distributionen wie pfSense nutzen ja "nur" Paketfilter-Firewalls.
Euch eine schöne Weihnachtszeit!
ich benutze Debian schon sehr lange in Verbindung mit iptables.
Was ich mich aber schon länger frage: Sind Paketfilter-Firewalls in den letzten Jahren wirklich immer nutzloser geworden?
Jeder Trojaner kann einen beliebigen freigegebenen Port nutzen und kommt damit sowieso ins Internet.
Genauso kann jeder User einen VPN-Tunnel aufbauen und bleibt - zumindest für den Moment - erstmal unbemerkt.
Außerdem kann man in iptables-Regeln keine anderen Filter-Informationen nutzen als: Interface, MAC-Adresse und IP-Adresse.
Und zumindest die letzten beiden lassen sich ja problemlos fälschen.
Was ich mich also frage: Sind Paketfilter mittlerweile überholt?
Was meint ihr? Bzw. was nutzt ihr?
Denn selbst dedizierte Firewall-Distributionen wie pfSense nutzen ja "nur" Paketfilter-Firewalls.
Euch eine schöne Weihnachtszeit!
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Allgemeine Firewall-Fragen
Ich glaube bei der letzten Diskussion sind mehrere einig geworden das es ganz nett ist Geraete vom internet zu blocken die man nicht Kontrollieren kann, z.B. Smart TV der private Daten ins netz laedt.
Mir ist da die Instandhaltung teilweise noch zu teuer in bestimmten Anwendungsfällen, ich sehe da aber einen guten Gedanken dahinter.
Mir ist da die Instandhaltung teilweise noch zu teuer in bestimmten Anwendungsfällen, ich sehe da aber einen guten Gedanken dahinter.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Allgemeine Firewall-Fragen
Witzigerweise habe ich den Fall mit dem smartTV auch im privaten Umfeld ^^
Genau dafür schien mir iptables auch sehr nützlich.
Was ich mich aber dennoch frage: Was bringt mir all das, wenn die sicherste Filtermöglichkeit das eintreffende Interface ist? (Denn ein Kabel werden die meisten Angreifer bei mir wohl nicht umgesteckt bekommen...)
Genau dafür schien mir iptables auch sehr nützlich.
Was ich mich aber dennoch frage: Was bringt mir all das, wenn die sicherste Filtermöglichkeit das eintreffende Interface ist? (Denn ein Kabel werden die meisten Angreifer bei mir wohl nicht umgesteckt bekommen...)
- whisper
- Beiträge: 3401
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Allgemeine Firewall-Fragen
Recht du hast.
Meine Meinung dazu: Ein aktiver Admin ist durch keine Firewall zu ersetzen
Man muss möglichst malware erst gar nicht auf seinen Server lassen, dann braucht man keine Ports filtern.
Meine Erfahrung mit meinem privaten rootserver lassen mich glauben, dass 90% der Schädlinge nur spam im Kopf haben, da ich auch einen Mailserver betreibe ists sowieso schlecht mit Filtern.
Fail2ban ist auch kein Allheilmittel, Ich hatte vor kurzem einen massiven Angriff, da wurde versucht meinen Server als Open Relays zu missbrauchen, das Angriffscript bediente sich einem rollierenden IP Pool, dadurch wurde der Schutz von fail2ban ausgehebelt, keine der Adressen wurde auch nur einmal gebannt.
Nun da habe ich als Notfallmassnahme den ganzen IP-Bereich gedropt.
Meine Meinung dazu: Ein aktiver Admin ist durch keine Firewall zu ersetzen

Man muss möglichst malware erst gar nicht auf seinen Server lassen, dann braucht man keine Ports filtern.
Meine Erfahrung mit meinem privaten rootserver lassen mich glauben, dass 90% der Schädlinge nur spam im Kopf haben, da ich auch einen Mailserver betreibe ists sowieso schlecht mit Filtern.
Fail2ban ist auch kein Allheilmittel, Ich hatte vor kurzem einen massiven Angriff, da wurde versucht meinen Server als Open Relays zu missbrauchen, das Angriffscript bediente sich einem rollierenden IP Pool, dadurch wurde der Schutz von fail2ban ausgehebelt, keine der Adressen wurde auch nur einmal gebannt.
Nun da habe ich als Notfallmassnahme den ganzen IP-Bereich gedropt.
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt. 
Re: Allgemeine Firewall-Fragen
Nunja, iptables ist schon (immer?) eine Stateful firewall, also gibt es es auch noch "state" dazu.mrserious hat geschrieben: Außerdem kann man in iptables-Regeln keine anderen Filter-Informationen nutzen als: Interface, MAC-Adresse und IP-Adresse.
"Deep Packet Inspection" (also Layer 7) könnte man auch via netfilter-Anbindung und opendpi.
Re: Allgemeine Firewall-Fragen
Nein, sie sind ganz bestimmt nicht nutzlos geworden. Nur, weil die Angriffsszenarien ausgeklügelter gewerorden sind, heißt das nicht, daß traditionelle Angriffe nicht auch noch stattfinden würde, gegen die Paketfilter nach wie vor helfen.mrserious hat geschrieben:Sind Paketfilter-Firewalls in den letzten Jahren wirklich immer nutzloser geworden?
Nur, wenn der Paketfilter zu lasch eingestellt ist, kommt der Trojaner ins Internet.Jeder Trojaner kann einen beliebigen freigegebenen Port nutzen und kommt damit sowieso ins Internet.
So so, wenn du glausbt, du könntest hinter meiner Firewall einfach mal so einen VPN-Tunnel aufmachen, dann täuschst du dich.Genauso kann jeder User einen VPN-Tunnel aufbauen und bleibt - zumindest für den Moment - erstmal unbemerkt.
Quell-IP, Ziel-IP, Portnummer, User-ID...Außerdem kann man in iptables-Regeln keine anderen Filter-Informationen nutzen als: Interface, MAC-Adresse und IP-Adresse.
Eine gefälschte IP-Adresse bringt dir aber nichts. Wohin sollen denn die Antwortpakete geroutet werden, wenn du die Anfragepakete mit falscher IP-Adresse verschickst. Ähnliches gilt in abgeschwächter From für die MAC-Adresse, für die es dann kein ARP-Lookup gibt.Und zumindest die letzten beiden lassen sich ja problemlos fälschen.
Man kann mit Paketfiltern schon ziemlich viel bewirken, es ist aber nicht das allein glücklich machende. Eine Firewall ist ein Konzept und kein Stück Software. Wenn ich z.B. eine Proxy auf dem Router laufen lasse, der Webseiten wegfiltert (bei mir hauptsächlich Werbung), dann ist das ein Konzept aus iptables und squid, die zusammen erst das erreichen, zu dem jede Software alleine nicht im Stande wäre.
Re: Allgemeine Firewall-Fragen
Naja, und was macht der aktive Admin? Er erstellt, pflegt und ändert iptables-Regeln und administriert die ACLs in squid.conf... etc.whisper hat geschrieben:Ein aktiver Admin ist durch keine Firewall zu ersetzen

Re: Allgemeine Firewall-Fragen
Ich bezog mich auf den Fall, in dem ich mich einfach als Client in das Netz hänge und MAC und IP (letztere bekäme ich dann ja vllt sogar per DHCP) spoofe.Eine gefälschte IP-Adresse bringt dir aber nichts. Wohin sollen denn die Antwortpakete geroutet werden, wenn du die Anfragepakete mit falscher IP-Adresse verschickst. Ähnliches gilt in abgeschwächter From für die MAC-Adresse, für die es dann kein ARP-Lookup gibt.
Dann könnte ich mich - rein von Seiten iptables - wie der jeweilige Client bewegen.
Ist das so? Ein einziger freier Port genügt doch...Nur, wenn der Paketfilter zu lasch eingestellt ist, kommt der Trojaner ins Internet.
- pangu
- Beiträge: 1400
- Registriert: 15.11.2011 20:50:52
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: /proc/1
Re: Allgemeine Firewall-Fragen
da kuckste in einem sauber administrierten und somit abgesichertem Netz mit VLANs + 802.1X aber blöd aus der Wäschemrserious hat geschrieben:Ich bezog mich auf den Fall, in dem ich mich einfach als Client in das Netz hänge und MAC und IP (letztere bekäme ich dann ja vllt sogar per DHCP) spoofe. Dann könnte ich mich - rein von Seiten iptables - wie der jeweilige Client bewegen.

Was macht denn der Trojaner überhaupt in deinem Netz und vor allem: wie ist der reingekommen? Du solltest dich eher mit DIESER Thematik befassen anstatt dich verrückt zu machen, wie du einen infizierten Rechner anschließend blockst. Um so weiter vorner du abgreifst, um so einfacher. Überlege dir also lieber was du tun kannst, um den Eindringling gar nicht erst reinzulassen anstatt dir Gedanken zu machen, ob du nach dem Einbruch eine Alarmglocke läuten möchtest und Türen und Fenster verriegelst, damit der Einbrecher nicht fliehen kann.Nur, wenn der Paketfilter zu lasch eingestellt ist, kommt der Trojaner ins Internet.
Grüße
Pangu
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.