Firewall sinnvoll?

[Mungo]

Hallo Leute,

okay, sinnvoll scheint eine Firewall immer zu sein, die Frage ist nur, ob sie bei mir auch notwendig ist. Ich habe einen Laptop, der oft auch an öffentlichen Netzwerken angeschlossen wird. Mit 'netstat -tlnp' hab ich nun geschaut, was denn alles so aktiv ist:

Code: Alles auswählen

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:38406           0.0.0.0:*               LISTEN      2014/rpc.statd  
tcp        0      0 0.0.0.0:8010            0.0.0.0:*               LISTEN      3964/psi        
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      2448/mysqld     
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      2003/portmap    
tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN      2882/inetd      
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      2580/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      2858/exim4      
tcp6       0      0 :::80                   :::*                    LISTEN      3195/apache2    
tcp6       0      0 ::1:631                 :::*                    LISTEN      2580/cupsd      

Welche von den Diensten sollte ich denn nun am schlausten dicht machen? apache und mysqld ist klar, das ist nur als Testbereich gedacht und soll keinem anderen dienen. Aber was ist zum Beispiel mit psi oder cupsd? Die sollen ja eigentlich schon auch in den Netzwerken funktionieren, da ich teilweise auch fremde Drucker konfiguriert habe und ich auch an fremden Orten jabbere. Außerdem hab ich gelesen, dass man am besten apache und mysqld am besten manuell starten sollte, wenn man es braucht. Wie mach ich das denn?

Sorry für die vielen Fragen, die brennen gerade unter den Fingernägeln.



Gruß,
mungo

[mragucci]

Welche Dienste gestartet sind ist eigentlich unrelevant. Wichtig ist, an welchem Netzwerkdevice sie den Dienst anbieten.
Alle Dienste, die nur auf localhost (also 127.0.0.1) laufen sind absolut unkritisch, da man auf sie von aussen nicht zugreifen kann.

Wenn Du nichts mit nfs machst würde ich auch den rpc Dienst beenden.

Code: Alles auswählen

su -c "/etc/init.d/nfs-common stop"
sudo -c "update-rc.d -f nfs-common remove"

Ausserdem alle Dienste in inetd beenden. Meist ist das nur der ident Dienst:

Code: Alles auswählen

su -c "update-inetd --disable ident"

Alle anderen Dienste (Apache, portmap, Cups) würde ich auf localhost binden. Portmap hat unter /etc/default/portmap eine Option zum Binden an localhost, die muss auskommentiert werden
Wenn niemand auf Drucker zugreifen soll, die an deinem Lap angeschlossen sind reicht es auch Cups an localhost zu binden. Drucken auf Netzwerkdruckern funktioniert dann trotzdem.

Firewalls sind eine interessante und wichtige Sache, wenn man weiß wie man sie einrichtet
Ob man sie auf einem System braucht welches keine Services nach aussen hin anbietet muss man selbst wissen.

Meine Meinung: Vorerst Deine Dienste an Localhost binden bzw. deaktivieren, dann bist Du schon auf einer relativ sicheren Seite

[Duff]

Zusätzlich könntest du auch noch alle eingehenden Packete verwerfen, die nicht zu einer Verbindung gehören, die von Innen aufgebaut wurde (iptables).

[uname]

Ich würde auch sagen wichtig ist es Dienste korrekt zu konfigurieren. Alles was man nicht braucht sollte man deaktivieren und was man braucht sollte man nach Möglichkeit an Localhost binden.
Eine Firewall ist dann ein nettes Zusatzfeature. Man kann wie geschrieben alles verwerfen, was eigentlich gar nicht erwartet wird und man kann nebenbei z.B. in den Logs sehen, was so von außen versucht wurde. Natürlich kann man auch die Kommunikation von innen nach außen einschränken. Wäre z.B. ganz nett wenn man eigentlich nur per VPN kommunizieren will.
Aufgrund von möglichen Konfigurationsfehlern der Firewall würde ich mich alleine auf eine Firewall nicht verlassen. Man sollte schon jeden einzelnen Dienst des Systems verstehen und entsprechend auf Localhost binden, sofern man keine Serverdienste anbieten will bzw. muss.

[Mungo]

Hallo nochmal und vielen Dank für die vielen Antworten!

Wenn niemand auf Drucker zugreifen soll, die an deinem Lap angeschlossen sind reicht es auch Cups an localhost zu binden. Drucken auf Netzwerkdruckern funktioniert dann trotzdem.

Ähm, ich habe gar keine Drucker angeschlossen, sondern greife nur auf einen Netzwerkdrucker des Protokolls App Socket/HP Jetdirect zu. Ist der cupsd daher unnötig?

nfs habe ich nun gestoppt, außerdem auch ident. In der portmap-Datei habe ich die Option auskommentiert, so dass nun alles an localhost gebunden sein müsste. Komisch kommt mir nur der apache2 und der cupsd vor, wobei ich ja meine, dass der cupsd bei mir unnötig ist, da bei mir ja keine Drucker direkt angeschlossen sind?!

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:8010 0.0.0.0:* LISTEN 3590/psi
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 2463/mysqld
tcp 0 0 127.0.0.1:111 0.0.0.0:* LISTEN 3818/portmap
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 2635/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2916/exim4
tcp6 0 0 :::80 :::* LISTEN 3210/apache2
tcp6 0 0 ::1:631 :::* LISTEN 2635/cupsd

Gruß,
Mungo

[mragucci]

Doch, den Cups brauchst Du schon, um überhaupt drucken zu können
Cups und Apache lauschen noch auf IPv6 Adressen. Das könntest/solltest Du auch noch deaktivieren...

[Mungo]

Hi!

Doch, den Cups brauchst Du schon, um überhaupt drucken zu können

Aha, okay, dann hab ich das falsch verstanden.

Cups und Apache lauschen noch auf IPv6 Adressen. Das könntest/solltest Du auch noch deaktivieren...

Da ich nur IPv4 nutze ist das kein Problem. Sorry wenn ich so doof frage, aber wie geht das?

Gruß,
Mungo

[neuss]

Hallo,

http://wiki.debianforum.de/IPv6Deaktivieren

gruss neuss

[Mungo]

Hallo,

http://wiki.debianforum.de/IPv6Deaktivieren

gruss neuss

Merci an alle, funktioniert.