Firewall Grundsatzfragen

[_ash]

Ich verwende seit Jahren ein iptables Script; ist schon ein paar Jahre alt, und ich überlege, ob sich hier viel geändert hat, wie z.B. der ipv6 Verkehr, und ob es immer noch sinnvoll, iptables selbst zu konfigurieren, oder ob eine fertige Lösung wie Shorewall oder UFW mehr Sinn macht. Wie sehen denn hier die aktuellen Meinungen aus?

[heisenberg]

Die FW konfigurierst Du immer selbst. Nur wie, das entscheidet die eingesetzte Software.

Idr entwickelt man sich bzgl. der eigenen Erkenntnisse und Fähigkeiten weiter und kann als sich auch noch mal einlesen und das Setup prüfen. Auch evtl hinzugekommene Dienste hinsichtlich der Sicherheit und zusätzlichen Absicherung per FW-Regeln zu prüfen ist zu empfehlen.

[uname]

Geändert hat sich eigentlich nichts. Heutzutage musst du nur zusätzlich IPv6 deaktivieren. Aber das kannst du auch über entsprechende Kernel-Parameter außerhalb der Firewall machen.

[MSfree]

Fertige "Lösungen" sind keine Lösungen.

Woher soll der Hersteller auch wissen, was die Firewall blockieren soll und was nicht?

Eine Firewall, durch die man per Default skype, spielen, e-mulen, surfen, downloaden, facetimen, whats-appen etc kann, ist keine Firewall, das ist wie Sex mit einem ungeöffneten Kondom auf dem Nachttisch. Und eine Firewall, die erstmal dicht ist und die notwendigen Sachen irgendwie freigeschaltet werden müssen, ist nicht komfortabler als ein selbst gestricktes iptables-Skript.

Dazu kommt, daß eine Firewall nicht irgendein Stück Software ist, das man installiert und man dann sicher ist. Eine Firewall ist ein Abwehrkonzept, das immer mehrere Methoden kombiniert, so kann z.B. ein filternder Proxy wie squid ebenso Bestandteil einer Firewall sein, wie ein Virenscanner, ein Mail-Spamfilter ein Portblocker wie iptables und ein Portknocker.

[uname]

Insgesamt denke ich, dass Firewalls überbewertet werden.
Viel wichtiger auf Serversystemen ist, dass nur benötigte Dienste laufen und diese Dienste wiederum korrekt abgesichert werden. Die Firewall kann auch nur sowieso nicht erreichbare Ports sperren und benötigte Ports erlauben.
Bei Clientsystem halte ich Firewalls für fast noch sinnloser. Windows-Trojaner, einmal auf dem System installiert, kommunizieren über erlaubte HTTP/HTTPS-Verbindungen zu C&C-Servern und durch diese Verbindung findet dann die Fernsteuerung des gesamten Rechners statt. Das hilft dann auch kein DSL-Router, mehrstufige DMZ oder eine Personal Firewall. Denn surfen will jeder.
Theoretisch kann man durch jeden erlaubten Port alles tunneln. Wenn es sein muss gesamte VPNs.

[4A4B]

Heutzutage musst du nur zusätzlich IPv6 deaktivieren.

Gibt auch die Möglichkeit, IPv6 zu nutzen (wenn es bereits zur Verfügung steht). iptables kümmert sich allerdings nur um IPv4-Pakete, für das Filtern von IPv6 braucht es ip6tables

[MSfree]

Die Firewall kann auch nur sowieso nicht erreichbare Ports sperren und benötigte Ports erlauben.

Du hast anscheinend auch nicht nicht kappiert, daß ein Portblocker keine Firewall ist.

Eine Firewall ist ein Konzept zur Gefahrenabwehr, bei dem der Portblocker nur ein Rädchen im Getriebe ist.

Ein Virenscanner ist dabei genauso Bestandteil, wie ein Spamfilter, ein Proxy oder regelmässige Softwareupdates. Erst die Summe aller Maßnahmen ergeben die Firewall.

iptables ist also nur ein kleiner Bestandteil einer Firewall.

[uname]

Es gibt Sicherheitskonzepte. Firewalls und Virenscanner sind davon Teilkomponenten. Aber meiner Meinung nach ist ein Virenscanner keine Firewall und eine Firewall kein Sicherheitskonzept, sondern eher ein Teil eines Sicherheitskonzeptes. Mag aber Ansichtssache sein. Vor Jahren habe ich im Windows-Umfeld gelesen, dass an Security Suites, die unter anderem Virenscanner und Firewalls enthalten, eigentlich nur die Virenscanner sinnvoll sind. Mag sich aber geändert haben. Windows habe ich aufgegeben und von Sicherheit habe ich auch keine Ahnung. Mindestens der aktuelle Verschlüsselungstrojaner zeigt, dass das alles sowieso nichts hilft. Kein Wunder siehe meinen letzten Post.

[MSfree]

Es gibt Sicherheitskonzepte. Firewalls und Virenscanner sind davon Teilkomponenten.

Nunja, über Begriffe läßt sich trefflich streiten. Ich kenn das, was du als Sicherheitskonzept bezeichnest, als Firewall. Meines Wissens ist das auch die ursprüngliche Idee hinter dem Begriff "Firewall", bis einige Hersteller von sogenannten Windowsfirewalls angefangen haben den Begriff zu mißbrauchen. Scheinbar bekommt man das aber aus den Köpfen nicht mehr heraus.

Mindestens der aktuelle Verschlüsselungstrojaner zeigt, dass das alles sowieso nichts hilft. Kein Wunder siehe meinen letzten Post.

Gegen frisch bekannt gewordene Lücken ist man sowieso erstmal machtlos, wenn man nicht vorab mit so einem Szenario rechnet. Der Verschlüsselungstrojaner nutzt aber nur existierende Lücken und vor allem den Faktor Mensch aus, um sich zu aktivieren, degegen kann Software und vor allem Brain-1.0 schon einiges ausrichten. Ich weiß gar nicht, wie viele angebliche Rechnungen mit docx-Anhang ich in letzter Zeit erhalten habe, aber ich brauche dafür kein Sicherheitskonzept, um das als Spam zu erkennen und refelxartig die Löschtaste zu betätigen. Dabei interessiert mich nicht einmal, ob es wirklich nur Spam ist oder ob sich ein Makrovirus dahinter verbirgt.

Viel gruseliger finde ich das aktuelle glibc-Problem. Hier würde sogar iptables schützen. Glücklicherweise habe ich meine iptables-Regeln (und vormals ipchains-Regeln) schon vor 15 Jahren so aufgestellt, daß der Angriff vie DNS-Pakete bei mir ins Leere laufen würde.

[uname]

Viel gruseliger finde ich das aktuelle glibc-Problem. Hier würde sogar iptables schützen. Glücklicherweise habe ich meine iptables-Regeln (und vormals ipchains-Regeln) schon vor 15 Jahren so aufgestellt, daß der Angriff vie DNS-Pakete bei mir ins Leere laufen würde.

Ganz verstanden habe ich das Problem trotz https://sourceware.org/ml/libc-alpha/20 ... 00416.html nicht.

Insgesamt schätze ich die Wahrscheinlichkeit, dass jemand gezielt meine DNS-Anfragen zwischen meinem Client und dem Nameserver meines Providers manipuliert als ziemlich gering ein. Bei Servern im Internet mag das anders sein. In deinem Fall war die Firewall wahrscheinlich hilfreich, da du generell DNS-Anfragen mit fehlerhaften bzw. unspezifizierten Strukturen blockiert hast. Sehr löblich. Natürlich kannst du so auch versuchen z.B. dauerhafte SSL-Verbindungen zu blockieren in der Hoffnung, dass darin Fernwartungstrojaner ihr Unwesen treiben. Was in der Verbindung passiert wirst du aber mit deiner Firewall nicht ermitteln können.
Schlimmer finde ich immer millionenfach gemailte oder gedownloadete irgendwie ausführbare Dateien, die das System aktiv verseuchen. Wohl nicht ganz umsonst werden Windows-Virenscanner nicht nur empfohlen, sondern oft vorgeschrieben. Aber gerne lasse ich mich überzeugen, dass schon Tausende Opfer des glibc-Problems geworden sind. Also noch kenne ich niemanden. Und ja es wäre weit besser wenn DNS Ende-zu-Ende verschlüsselt wäre. Weit wichtiger wäre aber, dass jede Form von Windows-Software bzw. Dateianhang signiert würde und nur die Installation aufgrund von Whitelists ermöglicht würde. Also eine Art Debian-Paketsystem für Windows. Wobei es existieren einige Ansätze.

[MSfree]

Schlimmer finde ich immer millionenfach gemailte oder gedownloadete irgendwie ausführbare Dateien, die das System aktiv verseuchen. Wohl nicht ganz umsonst werden Windows-Virenscanner nicht nur empfohlen, sondern oft vorgeschrieben.

Es sitzen heutzutage leider zu viele unbedarfte Nutzer vorm Computer, die in dem Ding nicht viel mehr als eine Schreibmaschine mit Fernseher sehen, beides Geräte, die eine Fehlbedienung problemlos verzeihen. Rechner können da schon unverzeihlicher sein, wenn man die falsche Software startet oder den falschen Befehl eingibt. Ein Kollege von mir hat vor ca. 20 Jahren mal folgendes versehentlich auf einer Unixkiste als root eingegeben:

Code: Alles auswählen

rm -rf .*

Aber mal ehrlich, hast du nicht auch schonmal Software aussprobiert, die dir jemand empfohlen hat? Ob die Webseite, von der man diese Software bezieht, immer eine seriöse Quellen ist, weiß man im ersten Moment nunmal nicht. Umgekehrt können seriöse Quellen auch ziemlich unseriös aufgemacht sein, wie z.B. http://www.openvpn.net, die eher nach durchgestyltem BWL aussieht als nach guter Software.

Aber gerne lasse ich mich überzeugen, dass schon Tausende Opfer des glibc-Problems geworden sind. Also noch kenne ich niemanden.

Die Sicherheitsinformation wurde ja erst vor wenigen Tagen veröffentlicht, der Fehler existiert aber schon seit Jahren. Vermutlich hat ihn bisher nocht niemand ansgenutzt. Ein Proof-of-Princple-Exploit ist aber bereits öffentlich gemacht worden und es wird nicht lange dauern, bis es echte Angriffe gibt.

Und ja es wäre weit besser wenn DNS Ende-zu-Ende verschlüsselt wäre.

Dem Ruf nach Verschlüsselung kann ich nicht wirklich beipflichten. OK, es ist abhörsicherer und fast unmöglich, zu fälschen. Wenn wir aber nur noch verschlüsseln würden, hätte man z.B. gar keine Chance mehr, heraus zu bekommen, was diverse Smart-TV-Geräte nach Hause telefonieren. Meiner Meinung nach erhöht sich die Sicherheit durch Verschlüsselung nicht, denn man kann viel mehr unkontrollierbare Daten in dem verschlüsselten Strom verstecken und auch Schadsoftware viel leichter transportieren, weil damit die Virenscanner ausser Kraft gesetzt werden.

Verschlüsselung ist stellenweise unabdingbar, wenn es z.B. darum geht, persönliche Daten, Kontoüberweisungen, Kreditkartenbezahlungen zu schützen. Bei DNS-Abfragen, normalem Surfen im Netz oder dem Nach-Hause-Telefonieren hätte ich es dann doch lieber unverschlüsselt.

Weit wichtiger wäre aber, dass jede Form von Windows-Software bzw. Dateianhang signiert würde und nur die Installation aufgrund von Whitelists ermöglicht würde. Also eine Art Debian-Paketsystem für Windows. Wobei es existieren einige Ansätze.

Diese Signaturen sind nur bedingt hilfreich. Auch unter Windows gibt es signierte Software, ich bin aber ziemlich glücklich darüber, daß man durch das Wegklicken einer Warnung auch unsignierte Software installieren kann.

Das harte System bei den Debianpaketen finde ich hingegen ziemlich nervend. Wenn da mal ein Zertifikat abgelaufen ist, kann man Software überhaupt nicht mehr nachinstallieren.

[uname]

Wird zwar immer mehr Offtopic aber was solls.

Meiner Meinung nach erhöht sich die Sicherheit durch Verschlüsselung nicht, denn man kann viel mehr unkontrollierbare Daten in dem verschlüsselten Strom verstecken und auch Schadsoftware viel leichter transportieren, weil damit die Virenscanner ausser Kraft gesetzt werden.

Du glaubst doch wohl nicht, dass Malware heute noch auf Verschlüsselung verzichtet. Und natürlich kannst du bei unverschlüsselten HTTP den Payload z.B. synchron verschlüsseln. Nur für den Fall, dass der Anwender aus Sicherheitsgründen verschlüsselte Kommunikationen verbietet. Malware must du auf dem Client erkennen oder du hast verloren.

Verschlüsselung ist stellenweise unabdingbar, wenn es z.B. darum geht, persönliche Daten, Kontoüberweisungen, Kreditkartenbezahlungen zu schützen. Bei DNS-Abfragen, normalem Surfen im Netz oder dem Nach-Hause-Telefonieren hätte ich es dann doch lieber unverschlüsselt.

Die Forderung vom Anwender gerne nachvollziehbare Daten nicht zu verschlüsseln ist ein interessanter Ansatz. Mit der Realität hat das aber nichts zu tun. Da das Interesse aber meist sowieso auf den eigenen PC beschränkt ist, sollte die Verschlüsselung den Anwender nicht einschränken in seiner Analyse. Er muss einfach nur die Anwendungen debuggen vor der eigenlichen Verschlüsselung.

Ich habe mal vor einiger Zeit zwischen WLAN-AP (Debian) und Internet einen Überwachungsrechner (Debian) geschaltet. Verbindet man z.B. ein Android-Smartphone mit diesem WLAN-AP sieht man auf dem Überwachungsrechner nur verschlüsselte Verbindungen. Und das gilt nicht nur für Google wo wohl mittlerweile alles SSL-verschlüsselt ist, sondern auch für die anderen Apps. TLS/SSL-Zertifikate kosten fast nichts und Rechner sind heute so schnell, dass der Aufwand der Verschlüsselung nicht mehr relevant ist. Aber beim Test des Zugriffs eines Debian-Rechenrs konnte ich immerhin feststellen, dass er nicht nach hause telefoniert hat. Die Frage ist also nicht was kommuniziert wird, sondern eher ob überhaupt.

[_ash]

Wie sieht es denn an sich mit ipv6 aus, kann ich das auf einem Desktop/Laptop-Rechner nach wie vor einfach deaktivieren, oder braucht man das mittlerweile?

[uname]

oder braucht man das mittlerweile?

Ich habe es deaktiviert. Ich habe noch nichts vermisst. Vor allem kenne ich nur die Risiken aufgrund des Einbaus der meist weltweit eindeutigen MAC-Adresse, was man zwingend spätestens auf dem Zugangsrouter anonymisieren muss.

Aber ich habe auch Windows gelöscht und vermisse dort auch nichts. Was mir z.B. Linux im Vergleich zu Windows nicht bietet habe ich eben nicht. Gleiches gilt für IPv4 gegenüber IPv6. Sollten irgendwelche Dienste IPv6 voraussetzen werde ich darauf verzichten müssen. Aber früher ging es sogar ganz ohne Internet.

[catdog2]

Vor allem kenne ich nur die Risiken aufgrund des Einbaus der meist weltweit eindeutigen MAC-Adresse, was man zwingend spätestens auf dem Zugangsrouter anonymisieren muss.

Das ist natürlich quatsch. 1. Gibt es Privacy Extentions 2. Niemand zwingt dich SLAAC zu verwenden, es gibt auch noch DHCPv6 und statische Zuweisung geht natürlich auch.

[dufty2]

Ähm, was war nochmal die Frage?