Ist eigentlich ein Azureus mit geöffnetem Port eine Gefahr?
Also was ich sagen will: Kann man das Ganze zum Reinhacken nutzen, was ja bei Webservern sehr einfach gelingt!?
Was sollte man tun? Man kann ja schlicht für jede Software die einen Port benötigt, einen eigenen Server hinstellen, jedenfalls nicht für normal sterbliche...
Ist Azureus eine Gefahr?
Re: Ist Azureus eine Gefahr?
Wie willst du Azureus mit geschlossenem port fahren? Sobald ein Dienst läuft, ist der entsprechende port auch offen.Django hat geschrieben:Ist eigentlich ein Azureus mit geöffnetem Port eine Gefahr?
Also was ich sagen will: Kann man das Ganze zum Reinhacken nutzen, was ja bei Webservern sehr einfach gelingt!?
Grundsätzlich ist jede Software, die sich mit dem Internet verbindet eine Gefahr. Zusätzlicher code == zusätzliche Gefahr.
Finger weg vom filesharing.Was sollte man tun?
Du kannst Azureus natürlich auch forwarden, oder tunneln. Oder nen proxy benutzen Inwieweit das aber sinnvoll ist, sei dahingestellt. Kommt drauf an, wieviel Zeit du hast.
GNU/Linux Debian lenny/sid
Re: Ist Azureus eine Gefahr?
Das geht ganz einfach, Stichwort NAT-Router, in meinem Fall IPCop.buli_75 hat geschrieben:Django hat geschrieben: Wie willst du Azureus mit geschlossenem port fahren? Sobald ein Dienst läuft, ist der entsprechende port auch offen.
Die Frage ist also was tun, mal abgesehn von Port offen....
Die JAVA-VM als anderer User laufen lassen? Ist das sicher, oder kann die Userverwaltung gleich mitgehackt werden? Relativ unwahrscheinlich oder..? Doch gleich chroot?
Ob Du vor dem Azureus-Server nen Router mit Firewall stehen hast, ist ziemlich irrevelant im Zusammenhang mit der ursprünglichen Frage. Den einzigen Vorteil den Du da hast, ist der Schutz vor Angriffen auf anderen Ports wenn Böse Buben nen Portscan auf Deine IP-Adresse, die Azureus ja fröhlich hinausposaunt, starten. Aber wenn jemand Azureus selbst erfolgreich angreift, dann bringt die Firewall garnichts, weil sie alle Pakete für Azureus einfach weiterleitet.
Jede zusätzliche Software, die Daten aus dem Internet annimmt, ist natürlich eine Gefahrenquelle. Da hilft nur, den Server zu "härten". Azureus unter nem eigen User laufen lassen ist natürlich ein Selbstgänger, dann ein chroot-jail, dann Selinux und dann nen eigen virtuellen Server für jeden Dienst.
P.S. In welchen Webserver kann man sich denn sehr einfach reinhacken?
Jede zusätzliche Software, die Daten aus dem Internet annimmt, ist natürlich eine Gefahrenquelle. Da hilft nur, den Server zu "härten". Azureus unter nem eigen User laufen lassen ist natürlich ein Selbstgänger, dann ein chroot-jail, dann Selinux und dann nen eigen virtuellen Server für jeden Dienst.
P.S. In welchen Webserver kann man sich denn sehr einfach reinhacken?
Gruß Martin
Running Debian Testing/Unstable
Running Debian Testing/Unstable
Naja so einfach gehts wohl bei keinem, aber ich lese "alle Tage wieder" das die und die Seite gehackt wurde...MartinL25 hat geschrieben: P.S. In welchen Webserver kann man sich denn sehr einfach reinhacken?
Apache hatte ja auch des öfteren Buffer-Oferflow Lücken...
Gibts irgendwo ne Anleitung für chroot/selinux unter Debian?
PS: Eigener virt. Server für jeden Dienst wird schwer - Duron 950
http://www.wikiservice.at/dse/wiki.cgi?chrootDjango hat geschrieben: Gibts irgendwo ne Anleitung für chroot/selinux unter Debian?
http://linuxwiki.de/chroot
GNU/Linux Debian lenny/sid
-
pluvo
Naja hauptsächlich sind das aber PHP-Lücken vom "Webdesginer"Django hat geschrieben:Naja so einfach gehts wohl bei keinem, aber ich lese "alle Tage wieder" das die und die Seite gehackt wurde...MartinL25 hat geschrieben: P.S. In welchen Webserver kann man sich denn sehr einfach reinhacken?
Wie viel Arbeitsspeicher hat denn deine Kiste? (Wenn der genug Arbeitsspeicher hat kannst du ja mal mit VMware anfangen und dich zu anderen Sachen vorarbeiten [Xen-Server
]) Du kannst auch mit dem Gedanken spielen dein Azureus Client-PC in eine DMZ zu packen. Sollte dann wirklich etwas schief gehen, ist zu mindestens nicht dein ganzes LAN gefährdet
http://de.wikipedia.org/wiki/Demilitarized_Zone
http://en.wikipedia.org/wiki/Demilitari ... mputing%29
Mit dem Gedanken habe ich auch schon gespielt.pluvo hat geschrieben:Django hat geschrieben: Du kannst auch mit dem Gedanken spielen dein Azureus Client-PC in eine DMZ zu packen. Sollte dann wirklich etwas schief gehen, ist zu mindestens nicht dein ganzes LAN gefährdet
http://de.wikipedia.org/wiki/Demilitarized_Zone
http://en.wikipedia.org/wiki/Demilitari ... mputing%29
Aber dann muss ich ja für NFS oder Samba sowieso wieder DMZ-Schlupflöcher anlegen, was das ganze dann wieder absurdum führt oder? Denn ich will nicht jeden 300MB HDTV-Trailer den ich sauge wieder per FTP auf den Client PC holen...
-
pluvo
Ist das bei NFS so, das die Ports nur in eine Richtung offen seien müssen?pluvo hat geschrieben:Nein, du kannst die DMZ so konfigurieren, dass du uneingeschränkt vom LAN auf die DMZ zugreifen kannst. (Zu mindestens bei ipcop ist das standardmäßig so)
Beim Windows SMB muss der Verkehr in BEIDE Richtungen funktionieren.
-
herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
natürlich müssen die pakete auch *immer* zurück ...Django hat geschrieben: Ist das bei NFS so, das die Ports nur in eine Richtung offen seien müssen?
Beim Windows SMB muss der Verkehr in BEIDE Richtungen funktionieren.
es soll nur so sein, dass eine verbindung nicht *aus* der DMZ initiiert werden kann.
herrchen
Ist nur nichtso einfach für nur EINEN Server.herrchen hat geschrieben:natürlich müssen die pakete auch *immer* zurück ...Django hat geschrieben: Ist das bei NFS so, das die Ports nur in eine Richtung offen seien müssen?
Beim Windows SMB muss der Verkehr in BEIDE Richtungen funktionieren.
es soll nur so sein, dass eine verbindung nicht *aus* der DMZ initiiert werden kann.
herrchen
Müsste man eine zweite Netzwerkkarte einbauen, die dann für die DMZ dient oder?
Man kann ja zumindst VMWare eine eigene Netzwerkkarte zuweisen. Geht das bei XEN und co. auch?
Aufbau:
Fileserver=Host / Virtual1: Azureus / Virtual2 : Apache
Hab halt keine Lust/Geld noch nen PC aufzustellen. Ein Server muss reichen.
-
pluvo
-
pluvo
Ach, ich hatte es oben überlesenDjango hat geschrieben:IPCop...pluvo hat geschrieben:Was hast du für einen Router? Ist eine DMZ-Unterstützung vorhanden?
(Ich würde den Server entweder komplett in die DMZ stellen oder garnicht. Also keine 2 Netzwerkkarten oder so.)
Vielleicht ist das auch alles ein wenig Overkill
Na ist doch klasse
Dann baust du dir eine zusätzliche Netzwerkkarte in dein IPCop ein (falls du noch keine für DMZ hast) und richtest dir eine DMZ ein. Anschliessend noch schnell das Netzwerkkabel von der Netzwerkkarte (die zu der DMZ zugeordnet ist) in den Server. (Crossover-Kabel
)Aber ist dann mein Fileserver wirklich geschützt? Dann wäre ja nur die Workstation sicher, denn dann lägen ja der Host/FIleserver sowie seine beiden virtuellen Maschinen innerhalb der DMZ und könnten sich dort frei bekriegen.pluvo hat geschrieben:Ach, ich hatte es oben überlesenDjango hat geschrieben:IPCop...pluvo hat geschrieben:Was hast du für einen Router? Ist eine DMZ-Unterstützung vorhanden?
(Ich würde den Server entweder komplett in die DMZ stellen oder garnicht. Also keine 2 Netzwerkkarten oder so.)
Vielleicht ist das auch alles ein wenig Overkill
Na ist doch klasse
Dann baust du dir eine zusätzliche Netzwerkkarte in dein IPCop ein (falls du noch keine für DMZ hast) und richtest dir eine DMZ ein. Anschliessend noch schnell das Netzwerkkabel von der Netzwerkkarte (die zu der DMZ zugeordnet ist) in den Server. (Crossover-Kabel
Oder denke ich falsch?
Aber wenn beide Richtungen offen sind, kann eine Verbindung auch aus der DMZ initiiert werdenherrchen hat geschrieben:natürlich müssen die pakete auch *immer* zurück ...Django hat geschrieben: Ist das bei NFS so, das die Ports nur in eine Richtung offen seien müssen?
Beim Windows SMB muss der Verkehr in BEIDE Richtungen funktionieren.
es soll nur so sein, dass eine verbindung nicht *aus* der DMZ initiiert werden kann.
herrchen
Habe das nämlich gradmal mit einem Testrechner probiert
Entweder geht garkein SMB, oder es geht von beiden Rechnern aus
