Einbruch ins System verhindern

nero2004 · Beitrag von **nero2004** » 15.03.2005 05:57:56

Hey, nicht gleich schlagen

. Aber kann einem iptables-dummy Nutzer einmal gesagt werden, wie man verhindern kann, dass irgendjemand sich uebers Internet an meinem Rechner zu schaffen macht (z.B. sich Zugriff aufs FS verschaffen, loeschen oder kopieren). Ich benutze guarddog und habe alles, was ich abklemmen konnte auch geblockt

. Die Firewall-einfuehrungen sind zwar recht tiefgaenging. Jedoch geben sie m.E. kein Aufschluss darueber, die o.a. Frage zu beantworten .

N. aus dem sonnigen NZ

metacyborg · Beitrag von **metacyborg** » 15.03.2005 07:01:46

ob ports/dienste offen sind, lässt sich mit einem portscanner (nessus, nmap) feststellen. dazu scannst du den rechner mit diesem portscanner auf dem zu prüfenden interface (um sicher zu gehen sollte das jemand von aussen tun, falls du niemanden kennst nimm:http://scan.sygatetech.com/). zeigt er offene ports an und ein entsprechender dienst läuft auf deinem rechner (überprüfen z.B. mit "netstat -ea"), dann ist dieser von aussen erreichbar. das kann gewollt sein (mann will evtl. mal mit ssh auf den rechner schauen) oder nicht (netbios, wenn man shares ohne passwort freigegeben hat oder gar nicht will, das jemand weiss, das man freigaben hat). mit der firewall blockiert oder reglementiert man den zugriff auf solche services(ports) nacht interfaces und/oder ipbereichen. wenn du ins internet alles blockieren möchtest, sollte ein portscan bei allen ports "closed" anzeigen. stellst du dienste aber absichtlich zur verfügung, dann sollten diese über sinnvolle passwörter für den zugriff geschützt sein und die software immer auf dem aktuellen stand, damit auch kein eindringen über sicherheitslücken möglich ist.
umfangreiche informationen im netz findet man unter http://www.insecure.org oder man googled nach lutz donnerhacke.

ich hoffe, das war ein ansatz um die problematik besser zu verstehen. evtl. kannst du deine fragen dann noch etwas konkretisieren.

mfg

m

meandtheshell · Beitrag von **meandtheshell** » 15.03.2005 08:55:19

bei dem thema sicherheit kommt nicht nur ein paketfilter zum einsatz - nicht verwechseln paketfilter/firewall
http://de.wikipedia.org/wiki/Firewall

das thema security ist ein viel breiter gestreuter begriff
http://www.tldp.org/HOWTO/Security-HOWTO/index.html

Warlord · Beitrag von **Warlord** » 15.03.2005 09:17:01

Also ich benutze die einfachen iptables Regeln:

Code: Alles auswählen

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [1:262]
:OUTPUT ACCEPT [1:262]
-A POSTROUTING -o ppp0 -j MASQUERADE 
COMMIT
# Completed on Mon Feb 16 23:19:42 2004
# Generated by iptables-save v1.2.9 on Mon Feb 16 23:19:42 2004
*mangle
:PREROUTING ACCEPT [2:496]
:INPUT ACCEPT [2:496]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:496]
:POSTROUTING ACCEPT [4:992]
COMMIT
# Completed on Mon Feb 16 23:19:42 2004
# Generated by iptables-save v1.2.9 on Mon Feb 16 23:19:42 2004
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:496]
:block - [0:0]
-A INPUT -p tcp --dport 22 -j ACCEPT
#-A INPUT -p tcp --dport 80 -j ACCEPT
#-A INPUT -p tcp --dport 6346 -j ACCEPT
-A INPUT -j block 
-A FORWARD -j block 
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A block -i ! ppp0 -m state --state NEW -j ACCEPT 
#-A block -j LOG --log-prefix "Firewall BLOCKED " 
-A block -j DROP 
COMMIT
# Completed on Mon Feb 16 23:19:42 2004

In diesem Beispiel ist nur Port 22 für SSH offen.
Durch auskommentieren (Port 80 (WWW) und 6346 (gnutella)) oder hinzufügen ähnlicher Zeilen kannst Du Deine Konfiguration anpassen.

Wenn Du die LOG-Zeile auskommentierst, kannst Du protokollieren, was so alles abprallt. (ist aber ne ziemliche Menge, wenn Du DSL-mäßig permanent online bist)

Diese Firewall ist wie gesagt seeeehr einfach.

NAT für's Routing ist auch aktiv. (5.Zeile)

meandtheshell · Beitrag von **meandtheshell** » 15.03.2005 09:22:23

da hast du ein gutes iptables HOWTO
http://iptables-tutorial.frozentux.net/ ... IREWALLTXT

nero2004 · Beitrag von **nero2004** » 16.03.2005 00:21:11

Danke. Das ist doch mal detailiert.

Habe gestern meine Ports mal abscannen lassen. Zwei offene Ports wurden angemeckert, obwohl diese nicht in /etc/services enthalten sind. Wahrscheinlich muss ich die direkt ueber die Firewall blocken!?

N.

meandtheshell · Beitrag von **meandtheshell** » 16.03.2005 07:38:02

Wahrscheinlich muss ich die direkt ueber die Firewall blocken!?

die philosopie ist die das man alles blockt außer den dingen die man haben möchte - der umgekehte fall, alles blocken was man nicht haben möchte und das was man durchlassen möchte nicht wäre sisyphus arbeit - im grunde recht einfach - mengenlehre

in einfachen worten - für jede table eine standartregel die alles dropt was nicht explizit erlaubt ist - siehe howto oben

nero2004 · Beitrag von **nero2004** » 20.03.2005 08:59:44

Und das ist nun das (vorläufige) Ende meiner Bemühungen8O

:
Die Kommentare haben mich inspiriert, verstanden habe ich das ganze aber immer noch nicht (komplett). http://de.wikipedia.org/wiki/Firewall ist wirklich ein guter Einstieg.
Mit den grafischen Frontends Firestarter und guarddog bin ich nicht klargekommen, obwohl guarddog in der Bedienung ziemlich einfach ist (andere Thread). Leider ließ guarddog immer, egal wie, meine Ports 260 und 557 offen. Checken konnte ich das mit dem portscanner http://scan.sygatetech.com, auf den mich freundlicherweise metacyborg hingewiesen hat.
Recht transparent hat das Thema Arno (http://rocky.molphys.leidenuniv.nl) /url in seinen firewallscripts zusammengefasst, die nun auch meinen Rechner dicht bekommen haben.

N

konqueror 3.4 und die Markierungen der URLs in den Postings funktionieren nicht so..