Sicherheit beim Surfen

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
vajk
Beiträge: 164
Registriert: 29.01.2004 13:49:24
Wohnort: Steinhorst
Kontaktdaten:

Sicherheit beim Surfen

Beitrag von vajk » 03.04.2004 14:09:48

.. kleine Frage - große Wirkung ?

Wie sollte ein Linux-PC für den Heimgebrauch eingerichtet sein (via ISDN ohne sep. firewall), damit mit diesem "gefahrlos" gesurft und gemailt werden kann ?

Was sollte man ggf. zusätzlich installieren ?

Liebe Grüße,
Vajk
Die MIT-Lizenz, Erklärung in Englisch, also egal was es heißt: nimms MIT :-)

Benutzeravatar
Raoul
Beiträge: 1435
Registriert: 20.05.2003 00:16:35
Lizenz eigener Beiträge: neue BSD Lizenz
Kontaktdaten:

Re: Sicherheit beim Surfen

Beitrag von Raoul » 03.04.2004 17:01:05

Hallo!

Ohne Firewall würde ich sagen, ist der Rechner nicht sicher, bzw. es ist schwirieger, ihn sicher zu machen. Dann mußt Du nämlich allen Diensten explizit sagen, dass sie nur auf 127.0.0.1 (localhost) und der Netzwerkkarte (sofern Du ein LAN hast, z. B. 192.168.1.1) lauschen sollen. Zu diesem Zweck reicht eine ganz einfache Firewall, wie im 4. Beitrag dieses Threads.
vajk hat geschrieben:Was sollte man ggf. zusätzlich installieren ?
Eher umgekehrt: Nichts installieren, was Du nicht brauchst. :-)

Ansonsten kann man inetd durch xinetd ersetzen, denn der kann Dienste je nach Quelle zulassen oder verweigern. Aber solange Du nach aussen keine Dienste anbieten willst, sollte das nicht nötig sein.

Raoul

Code: Alles auswählen

grep -ir fuck /usr/src/linux

s4p
Beiträge: 320
Registriert: 28.12.2003 05:01:07

Beitrag von s4p » 03.04.2004 17:06:36

also um 'einigermassen' sicher zu sein, kommst du um eine firewall nicht drum herrum. Und eine 'sicherheit' beim surfen gibt es nicht, im Internet ist man nie vor attacken 'sicher' man kann nur versuchen, so viele luecken wie moeglich zu finden zu zu schliessen.

Unteranderem wie schon Raoul schrieb, nix installieren was du nicht brauchst, das gilt ganz besonders fuer Server applikationen.

Belgarad
Beiträge: 749
Registriert: 12.07.2002 02:00:44

Beitrag von Belgarad » 03.04.2004 17:15:09

ohne kenntnis ueber die funktionsweise einer firewall / proxy etc. ist es schwierig selbst eine "sichere" konfiguration zu planen, installieren und konfigurieren.

wenn du diesen weg denich gehen willst, schau dir ein paar firewall scripte an und versuche sie zu verstehen und dann sukessive zu aednern/anzupassen.

alternativ wuerde ich mir einfach einen router kaufen...
Debian SID

s4p
Beiträge: 320
Registriert: 28.12.2003 05:01:07

Beitrag von s4p » 03.04.2004 17:26:57

Belgarad hat geschrieben:alternativ wuerde ich mir einfach einen router kaufen...
wobei man die Firewall im 'kauf' router in die tonne tretten kann, diese dinger bieten sehr, sehr geringen schutz (das schreibe ich aus eigener erfahrung)

Ein Kumpel hatte sich auch auf sein Router verlassen, das es nicht so leicht waere darueber hinein zu kommen, hinterher waren alle Festplatten (4 PCs) komplett geloescht (nein, er hatte keine Trojaner oder Viren drauf und er kennt sich selber sehr gut mit Computern, Firewall und Internet allgemein aus)

Benutzeravatar
vajk
Beiträge: 164
Registriert: 29.01.2004 13:49:24
Wohnort: Steinhorst
Kontaktdaten:

Beitrag von vajk » 03.04.2004 17:28:42

kurz zur Info:
Vorhanden: kanotix - debian - Grundistallation - interne ISDN-Karte an ISDN-Teelebimbam
kein Netzwerk, kein Router und auch kein Geld für separaten PC beim Bekanten
Ziel: PC zum Surfen und eMailen nutzen, ohne sich was MS-(Wurm und Virus) mäiges einzufangen, Onlinebanking geplant

nach Installation egibt nmap
111/tcp open sunrpc ????
631/tcp open ipp ????
Frage genauer - reicht das o.g. script oder was muß da noch gemacht werden ?

Liebe Grüße,
Vajk
Die MIT-Lizenz, Erklärung in Englisch, also egal was es heißt: nimms MIT :-)

s4p
Beiträge: 320
Registriert: 28.12.2003 05:01:07

Beitrag von s4p » 03.04.2004 17:32:09

wenn du nicht permanent im Internet bist, keine Server installierst dann wird eigendlich keine firewall benoetigt auch wenn sicherer waere.

Benutzeravatar
eagle
Beiträge: 2282
Registriert: 05.11.2002 11:20:53
Wohnort: Berlin

Beitrag von eagle » 03.04.2004 20:00:38

vajk hat geschrieben:nach Installation egibt nmap
111/tcp open sunrpc ????
631/tcp open ipp ????
Den portmapper ( 111 ) braucht man nur wenn man bestimmte Dienste mit RPC wie zum Beispiel NFS benutzen will. Das solltest du auf jeden Fall entfernen wenn du ohne Firewall ins Internet gehst.

631 ist der CUPS Port (zum Drucken) . Den kann man aber so konfigurieren das er nur mit bestimmte IP Adressen benutzt werden kann.

eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams

Belgarad
Beiträge: 749
Registriert: 12.07.2002 02:00:44

Beitrag von Belgarad » 03.04.2004 22:04:45

s4p hat geschrieben:
Belgarad hat geschrieben:alternativ wuerde ich mir einfach einen router kaufen...
wobei man die Firewall im 'kauf' router in die tonne tretten kann, diese dinger bieten sehr, sehr geringen schutz (das schreibe ich aus eigener erfahrung)

Ein Kumpel hatte sich auch auf sein Router verlassen, das es nicht so leicht waere darueber hinein zu kommen, hinterher waren alle Festplatten (4 PCs) komplett geloescht (nein, er hatte keine Trojaner oder Viren drauf und er kennt sich selber sehr gut mit Computern, Firewall und Internet allgemein aus)
das kann ich nicht bestaetigen!
es ist richtig das wan->lan typischerweise eingestellt werden kann, aber nicht lan->wan (welches trojanern erlaubt eine verbindung trotz gesetzter lan->wan regel auzubauen und damit einen angriff zu ermoeglichen)

oft wird jedoch vergessen, die remote config des routers abzuschalten und das admin password fuer den router zu aendern. und dann kann ein angreifer den router nach belieben umkonfigurieren um z.b. auf die windows datei/druckfreigabe zuzugreifen.
und wenn die dann auf den einzelnen rechneren auch nicht password geschuetzt ist....
s4p hat geschrieben: wenn du nicht permanent im Internet bist, keine Server installierst dann wird eigendlich keine firewall benoetigt auch wenn sicherer waere.
das ist zwar grundsaetzlich richtig, aber was ist ein serverdienst in deinen augen?
die datei/druckfreigabe ist ein server dienst, rpc ist ein serverdienst....

schau dir mal rtm an - du wirst dich moeglicherweise wundern was du da mit einem ungeschuetzten "normalen" windowsrechner anstellen kannst ;-)
Debian SID

Benutzeravatar
vajk
Beiträge: 164
Registriert: 29.01.2004 13:49:24
Wohnort: Steinhorst
Kontaktdaten:

Beitrag von vajk » 04.04.2004 01:16:19

Hallo und Danke !
eagle hat geschrieben:
vajk hat geschrieben:nach Installation egibt nmap
111/tcp open sunrpc ????
631/tcp open ipp ????
Den portmapper ( 111 ) braucht man nur wenn man bestimmte Dienste mit RPC wie zum Beispiel NFS benutzen will. Das solltest du auf jeden Fall entfernen wenn du ohne Firewall ins Internet gehst.
631 ist der CUPS Port (zum Drucken) . Den kann man aber so konfigurieren das er nur mit bestimmte IP Adressen benutzt werden kann.
eagle
Kannst Du mir für beides auch einen Lösungsvorschlag machen, was muß ich wo deinstallieren und umstellen ?
Liebe Grüße,
Vajk
Die MIT-Lizenz, Erklärung in Englisch, also egal was es heißt: nimms MIT :-)

Olaf Dietsche
Beiträge: 520
Registriert: 12.06.2003 23:18:50
Wohnort: Siegburg

Beitrag von Olaf Dietsche » 04.04.2004 09:13:28

Für den portmapper mußt du das Paket portmap deinstallieren. Die Konfiguration von Cups (bzw. die Einschränkung auf localhost) kannst du hier http://www.cups.org/sam.html#Listen nachlesen.

Benutzeravatar
vajk
Beiträge: 164
Registriert: 29.01.2004 13:49:24
Wohnort: Steinhorst
Kontaktdaten:

Beitrag von vajk » 04.04.2004 13:46:45

eagle hat geschrieben:
vajk hat geschrieben:nach Installation egibt nmap
111/tcp open sunrpc ????
Den portmapper ( 111 ) braucht man nur wenn man bestimmte Dienste mit RPC wie zum Beispiel NFS benutzen will. Das solltest du auf jeden Fall entfernen wenn du ohne Firewall ins Internet gehst.
Oppps .. little trubble in konsoletown:

ein apt-get remove portmap will dann fai fam gnome gnome-* knoppix-terminsalserver nfs-common nfs-kernel-server nis und schlußendlich portmap deinstallieren ... das scheint mir ein wenig viel zu sein :-) .. gehts auch anders, den portmap zu deaktivieren ?

@Olaf - Danke für den cups-link, flutscht :-)

Liebe Grüße,
Vajk
Die MIT-Lizenz, Erklärung in Englisch, also egal was es heißt: nimms MIT :-)

s4p
Beiträge: 320
Registriert: 28.12.2003 05:01:07

Beitrag von s4p » 04.04.2004 13:53:51

vajk hat geschrieben:ein apt-get remove portmap will dann fai fam gnome gnome-* knoppix-terminsalserver nfs-common nfs-kernel-server nis und schlußendlich portmap deinstallieren ... das scheint mir ein wenig viel zu sein :-) .. gehts auch anders, den portmap zu deaktivieren ?

Code: Alles auswählen

dpkg --purge portmap

Benutzeravatar
eagle
Beiträge: 2282
Registriert: 05.11.2002 11:20:53
Wohnort: Berlin

Beitrag von eagle » 04.04.2004 13:59:03

Wie ich schon gesagt habe benötig man portmapper für die RPC Dienste wie NIS , NFS, etc. Ich hoffe nicht das du diese Dienste einsetzt und dann auch noch ohne Firewall in das Internet möchtest !!!

Ich denke du kannst apt-get ohne Bedenken zustimmen.

Ansonsten kannst du auch portmap wie folgt deaktivieren:

Code: Alles auswählen

update-rc.d -f portmap remove
eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams

Olaf Dietsche
Beiträge: 520
Registriert: 12.06.2003 23:18:50
Wohnort: Siegburg

Beitrag von Olaf Dietsche » 04.04.2004 14:08:44

Erst einmal mußt du dir klar werden, ob du diese Dienste überhaupt benötigst. Wenn du z.B. keinen NFS Server anbietest, kannst du ihn auch deinstallieren. Den portmap kannst du mit

Code: Alles auswählen

update-rc.d -f portmap remove
deaktivieren.
Wenn du ihn trotzdem benötigst, kannst du den portmap eventuell in Kombination mit xinetd nach außen abschotten.

Benutzeravatar
vajk
Beiträge: 164
Registriert: 29.01.2004 13:49:24
Wohnort: Steinhorst
Kontaktdaten:

Beitrag von vajk » 04.04.2004 14:48:28

Hey - ihr seid echt K :D L :D A :D S :D S :D E :D ! :D

Nun, ein NFS Server wird der PC wohl ehr nicht, aber deshalb Gnome deinstallieren find ich übertrieben - das deaktivieren gefällt mir da schon besser - DANKE !

Liebe Grüße,
Vajk
Die MIT-Lizenz, Erklärung in Englisch, also egal was es heißt: nimms MIT :-)

Benutzeravatar
eagle
Beiträge: 2282
Registriert: 05.11.2002 11:20:53
Wohnort: Berlin

Beitrag von eagle » 04.04.2004 14:56:07

Ups das er das gesamte gnome deinstallieren wollte habe ich gar nicht gesehen. Aber warum braucht gnome einen RPC Dienst :roll:. Ich denke da sollten die Paketbauer vielleicht nochmal nachbessern.

eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams

Benutzeravatar
vajk
Beiträge: 164
Registriert: 29.01.2004 13:49:24
Wohnort: Steinhorst
Kontaktdaten:

Beitrag von vajk » 04.04.2004 20:21:46

eagle hat geschrieben:Ups das er das gesamte gnome deinstallieren wollte habe ich gar nicht gesehen. Aber warum braucht gnome einen RPC Dienst :roll:. Ich denke da sollten die Paketbauer vielleicht nochmal nachbessern.
eagle
Schulterzuck ... kanotix bughunter 4 - distri ... die ist sonst super ... war echt erstaunt ...

Liebe Grüße,
Vajk
Die MIT-Lizenz, Erklärung in Englisch, also egal was es heißt: nimms MIT :-)

Benutzeravatar
Raoul
Beiträge: 1435
Registriert: 20.05.2003 00:16:35
Lizenz eigener Beiträge: neue BSD Lizenz
Kontaktdaten:

Beitrag von Raoul » 04.04.2004 20:45:43

Deaktivieren ist die eine Möglichkeit (sollte reichten), ansonsten könntest Du _versuchen_, nfs-common und nfs-kernel-server zu deinstallieren.

Was Cups anbelangt: In der /etc/cups/cupsd.conf etwas eintragen wie:
Listen 127.0.0.1
Listen localhost
Listen <Dein Hostname>
Weiter unten bei Security Options kann man auch noch jede Menge einstellen.

Dann kannst Du Dich mal scannen lassen: http://check.lfd.niedersachsen.de/start.php


Raoul

Code: Alles auswählen

grep -ir fuck /usr/src/linux

Benutzeravatar
walde
Beiträge: 162
Registriert: 24.12.2001 02:22:55
Wohnort: Münster
Kontaktdaten:

Beitrag von walde » 05.04.2004 00:33:06

s4p hat geschrieben:
Belgarad hat geschrieben:alternativ wuerde ich mir einfach einen router kaufen...
wobei man die Firewall im 'kauf' router in die tonne tretten kann, diese dinger bieten sehr, sehr geringen schutz (das schreibe ich aus eigener erfahrung)

Ein Kumpel hatte sich auch auf sein Router verlassen, das es nicht so leicht waere darueber hinein zu kommen, hinterher waren alle Festplatten (4 PCs) komplett geloescht (nein, er hatte keine Trojaner oder Viren drauf und er kennt sich selber sehr gut mit Computern, Firewall und Internet allgemein aus)
Hmm, das glaube ich so nicht. Es ist wohl moeglich, dass ein Router/Firewall gehackt wird (schliesslich liegt darunter auch ein OS und man sollte grundsaetzlich die newsreader seines routers bezueglich updates abonniert haben), habe aber eher selten von derartigen gehoert. Einfache TCP/IP-Protokolle (sofern kein VPN oder aehnliches genutzt wird) gelten auf Grund des Erfahrungsschatzes als einigermassen sicher. Schliesslich erfinden Firmen nicht alles zweimal, sondern verwenden existierende Implementierungen. Natuerlich, je exotischer die Anforderungen und Einstellungen, desto hoeher ist das Risiko.

Ausserdem woher weisst Du, dass die Rechner nicht direkt gehackt wurden wenn alle Platten geloescht wurden. Du hast keine Logs und kannst es gar nicht nachvollziehen. Es laufen ein Haufen Programme, die gehackt werden koennen. Ein besonderes Angriffsziel bieten Programme, die vorzugsweise einen Forward auf Ports benoetigen (Filesharing nur mal als Beispiel).

Wahrscheinlich hat sich jemand einen Spass erlaubt, und auf saemtlichen Rechnern manuell und vor Ort die Partitiontabelle geloescht. Remote eine komplette Festplatte beim laufenden Betriebssystem zu loeschen, ist vermutlich nicht sehr trivial.


ciao
Walde

s4p
Beiträge: 320
Registriert: 28.12.2003 05:01:07

Beitrag von s4p » 05.04.2004 01:49:18

walde hat geschrieben:[Ausserdem woher weisst Du, dass die Rechner nicht direkt gehackt wurden wenn alle Platten geloescht wurden. Du hast keine Logs und kannst es gar nicht nachvollziehen. Es laufen ein Haufen Programme, die gehackt werden koennen. Ein besonderes Angriffsziel bieten Programme, die vorzugsweise einen Forward auf Ports benoetigen (Filesharing nur mal als Beispiel).
Ich habe nirgends geschrieben, das ich weiss, das sie nicht direkt gehackt wurde, aber genau da liegt wieder so ein Punkt, eine Router-Firewall schuetzt nicht vor direkten angriffen, wenn im Router Selber nicht genau angegeben wird, wie er sich bei welchen Ports / zugriffen zu verhalten hat, dann ist es moeglich auf jeden dahinter befindlichen Rechner zu zugreiffen sobald ein Port bzw eine applikation laeuft.

Eine Software-Firewall muss zwar auch von hand richtig configuriert werden aber sind von sich aus schon etwas selbststaendiger.
walde hat geschrieben:Wahrscheinlich hat sich jemand einen Spass erlaubt, und auf saemtlichen Rechnern manuell und vor Ort die Partitiontabelle geloescht. Remote eine komplette Festplatte beim laufenden Betriebssystem zu loeschen, ist vermutlich nicht sehr trivial.
Aha, dann muesste mein Kumpel aber leichsinnig gewessen sein und seine Haustuer offen gelassen haben ;) Auserdem war bei dem einen Rechner der Monitor schwarz und dort Stand ein Text welchen der verantwortliche hinterlassen hat.

Benutzeravatar
walde
Beiträge: 162
Registriert: 24.12.2001 02:22:55
Wohnort: Münster
Kontaktdaten:

Beitrag von walde » 05.04.2004 12:47:39

s4p hat geschrieben:
walde hat geschrieben:[Ausserdem woher weisst Du, dass die Rechner nicht direkt gehackt wurden wenn alle Platten geloescht wurden. Du hast keine Logs und kannst es gar nicht nachvollziehen. Es laufen ein Haufen Programme, die gehackt werden koennen. Ein besonderes Angriffsziel bieten Programme, die vorzugsweise einen Forward auf Ports benoetigen (Filesharing nur mal als Beispiel).
Ich habe nirgends geschrieben, das ich weiss, das sie nicht direkt gehackt wurde,
Stimmt, habe ich implizit angenommen. sorry
aber genau da liegt wieder so ein Punkt, eine Router-Firewall schuetzt nicht vor direkten angriffen, wenn im Router Selber nicht genau angegeben wird, wie er sich bei welchen Ports / zugriffen zu verhalten hat, dann ist es moeglich auf jeden dahinter befindlichen Rechner zu zugreiffen sobald ein Port bzw eine applikation laeuft.
Ganz so einfach ist es nicht. Die meisten Router verwenden NAT, um es Home-Nutzern zu ermoeglichen, mehrere Rechner oder nur einen mit dem Internet zu verbinden. Und damit ist es alles andere als trivial am Router vorbei, direkt den Rechner anzusprechen (IP/Port guessing). Der Client sollte also idealerweise schon mal aktiv eine Verbindung aufbauen, ansonsten kann ich ihn nur schlecht von aussen erreichen. Die haeufigsten Attacken duerften IMHO Fehler wie diese http://www.heise.de/newsticker/meldung/46284 ausnutzen. Dagegen hilft aber i.d.R. auch eine Standardfirewall recht wenig (Unterprivilegierter User und chroot ist hier das Stichwort fuer den Homeuser).

Die meisten Hardwarerouter bieten die Option zur denyall-Strategie und erlauben meist eine flexible Freischaltung einzelner Dienste/Weiterleitungen. Natuerlich hast Du Recht, dass ich nicht genau wissen kann, wie diverse Schutzmechanismen implementiert wurden, sehe da persoenlich allerdings die geringere Gefahr.
Eine Software-Firewall muss zwar auch von hand richtig configuriert werden aber sind von sich aus schon etwas selbststaendiger.
Selbstaendiger? In welchem Sinne?
s4p hat geschrieben:
walde hat geschrieben:Wahrscheinlich hat sich jemand einen Spass erlaubt, und auf saemtlichen Rechnern manuell und vor Ort die Partitiontabelle geloescht. Remote eine komplette Festplatte beim laufenden Betriebssystem zu loeschen, ist vermutlich nicht sehr trivial.
Aha, dann muesste mein Kumpel aber leichsinnig gewessen sein und seine Haustuer offen gelassen haben ;) Auserdem war bei dem einen Rechner der Monitor schwarz und dort Stand ein Text welchen der verantwortliche hinterlassen hat.
However,

ciao
Walde

Antworten