Personal Firewall für ein Notebook. Nötig? Wenn ja, wie?

[Rosendoktor]

Ich habe ein Notebook, das häufig an fremden LAN und WLAN Netzen und auch am Mobilfunknetz hängt. An Serverdiensten habe ich nur ssh laufen, und was halt sonst noch bei einer Standardinstallation so läuft.

Frage, empfiehlt es sich eine iptables basierte Firewall einzurichten?

Falls ja, wie bewerkstellige ich das am besten, so dass auch fliegende Wechsel von LAN zu WLAN zu Mobilfunk und zurück von der Firewall mitgemacht werden? Eventuell auch VPN Verbindungen geschützt werden? Die gängigen Tools für iptables wollen immer wissen welche Schnittstelle geschützt werden soll, nur ist die WLAN- oder Mobilfunkschnittstelle oder gar VPN ja gar nicht da wenn keine Verbindung besteht.

Oder besser einfach alle nicht benötigten Dienste abschalten? Wenn ja, welche?

Gruss, Robert

[The Hit-Man]

also, wenn du eh weißt, welche dienste du an DEINEM rechner offen hast, wozu ne firewall? unter windows, würde ich es ja fast noch verstehen, weil da weiß ich nie welcher dienst, irgendwas abhört oder macht. aber unter einem debian sollte man das doch wissen, denke ich?

[Rosendoktor]

also, wenn du eh weißt, welche dienste du an DEINEM rechner offen hast, wozu ne firewall? unter windows, würde ich es ja fast noch verstehen, weil da weiß ich nie welcher dienst, irgendwas abhört oder macht. aber unter einem debian sollte man das doch wissen, denke ich?

Na ja, ich weiss dass ich nur ssh bewusst laufen habe. Ein netstat -l gibt mir aber eine ellenlange Liste von cups über seahorse, orbit (?), X11, dbus, acpid, avahi, gdm etc. aus. Ich kann diese Ausgabe nicht wirklich deuten...

Ich komme halt aus der Windows Welt.

[coresploit]

Diese Dienste lauschen (hoffentlich) nur auf dem Loopback-Device, also lokal. Da hat das Internet nix mit zu tun. Beim CUPS bin ich mir nicht sicher, ob der ins lokale Netzwerk lauscht, oder nicht.

[Rosendoktor]

Okay, danke erstmal.

Ein portscan liefert dies:

Code: Alles auswählen

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-27 01:06 CET
Interesting ports on 192.168.0.17:
Not shown: 65532 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
3389/tcp  open  ms-term-serv
33532/tcp open  unknown

und netstat:

Code: Alles auswählen

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 localhost:sunrpc        *:*                     LISTEN     
tcp        0      0 *:ssh                   *:*                     LISTEN     
tcp        0      0 localhost:3350          *:*                     LISTEN     
tcp        0      0 localhost:ipp           *:*                     LISTEN     
tcp        0      0 *:33532                 *:*                     LISTEN     
tcp        0      0 *:3389                  *:*                     LISTEN     
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN     
tcp6       0      0 localhost:ipp           [::]:*                  LISTEN     
udp        0      0 *:bootpc                *:*                                
udp        0      0 *:bootpc                *:*                                
udp        0      0 *:afs3-callback         *:*                                
udp        0      0 *:877                   *:*                                
udp        0      0 localhost:sunrpc        *:*                                
udp        0      0 *:ipp                   *:*                                
udp        0      0 *:57601                 *:*                                

Nun sind ssh (22) und xrdp (3389) sowieso die Services die ich haben will, aber was ist dieser Port 33532? Das liegt nach jedem Reboot auf einem anderen Port, 37xxx, 41xxx, 51xxx und jetzt eben 33532. Kann ich das irgendwie herausfinden? Der fast identisch installierte PC hat das nicht.

[The Hit-Man]

kommt ja nur auf den portscan an, aber warum haste den ts service an? den sollte es ja nur unter windws geben??? den port kenne ich, weil hatte mal nen hack gemacht, unter XP nen ts zu aktvieren.
port 22 OK
port 3398 dürfte nicht sein, kann ja nicht sein
port 33532 keine ahnung ( vielleicht nen p2p port???? )

[nepos]

Wenn du als root mal netstat -tulpen ausführst, dann siehst du normal auch, welches Programm da seinen Listening Socket hat.

[uname]

Auch sehr nett ist

Code: Alles auswählen

lsof

denn unter UNIX ist ja irgendwie alles eine Datei.

[Rosendoktor]

Wenn du als root mal netstat -tulpen ausführst, dann siehst du normal auch, welches Programm da seinen Listening Socket hat.

Danke, das war rpc.statd, habe daraufhin nfs-common und portmap (brauche kein NFS, schon gar nicht auf dem Notebook) runtergeschmissen und jetzt ist Ruhe.

Fazit: Den Firewallkrempel kann ich mir getrost sparen.

Danke!

[Rosendoktor]

port 3398 dürfte nicht sein, kann ja nicht sein

Das ist xrdp, also ein Microsoft Terminal Server kompatibler RDP Server, sehr praktisch um mit GUI auf einem entfernten Rechner zu arbeiten. Den schalte ich auf dem Notebook aber noch ab, vielleicht auch noch ssh. Dann ist dicht.

[cosmac]

hi,

Fazit: Den Firewallkrempel kann ich mir getrost sparen.

Danke!

gms hat mal eine sehr schöne Erklärung, warum eine Firewall sinnvoll sein kann, geschrieben.
Nur, damit es nicht ganz so einfach bleibt

[Rosendoktor]

gms hat mal eine sehr schöne Erklärung, warum eine Firewall sinnvoll sein kann, geschrieben.
Nur, damit es nicht ganz so einfach bleibt

Danke fuer den Link, das mit den Rootkits war mir so nicht bewusst. Der Rest ist klar, deswegen haben meine ortsfesten Rechner auch eine entsprechende Regeltabelle.

Was das Notebook angeht, man kann die Paranoia auch uebertreiben. Zumal ich immer noch nicht weiss wie das dann mit den wechselnden Netzwerkinterfaces gehen soll.

[striker2150]

Eine interessante personal Firewall Lösung für Linux ist Anoubis:
http://www.anoubis.org

Einfach mal die Live CD downloaden und ausprobieren.

Man kann damit auch die Rechte von einzelnen Anwendungen einschränken.
So, dass z.B. der Webbrowser nur in $HOME/Downloads schreiben darf aber nirgends sonst im System.
Aber auch Netzwerkverbindungen können für einzelne Anwendungen erlaubt/verboten werden.

[nepos]

Also, sowas aehnliches mache ich mittels iptables, wobei ich den NetworkManager benutze. Hier kann man ueber /etc/NetworkManager/dispatcher.d/ eigene Skripten ausfuehren, wenn eine Netzwerkverbindung gestartet wird.
Mein Skript entscheidet anhand der UUID der Verbindung, die der NetworkManager mit uebergibt, wie die Firewall-Regeln konfiguriert werden. Bin ich z.B. im Netz zu Hause, dann ist SSH und FTP von aussen auf mein Laptop moeglich.
Bin ich in einem unbekannten Netz, ist beides geblockt. Ich setze dazu die Default-Policy fuer die INPUT-Chain auf DROP und schalte anschliessend das frei, was ich haben will. Verbindungen nach draussen sind im Prinzip alle erlaubt.

Wenn du nicht den NetworkManager benutzt, das ganze laesst sich auch ueber /etc/network/if-up.d/ und Co realisieren.
Wenns dich interessiert, kann ich dir das Skript mal per PN geben.

[TRex]

Eine interessante personal Firewall Lösung für Linux ist Anoubis:
http://www.anoubis.org

Einfach mal die Live CD downloaden und ausprobieren.

Man kann damit auch die Rechte von einzelnen Anwendungen einschränken.
So, dass z.B. der Webbrowser nur in $HOME/Downloads schreiben darf aber nirgends sonst im System.
Aber auch Netzwerkverbindungen können für einzelne Anwendungen erlaubt/verboten werden.

Striker, auch wenn es ein Open-Source-Produkt ist....der Thread ist von 2009. Hör mit der Werbung auf, ein eigener Thread dazu reicht.

[mindX]

Auch wenns mir langsam peinlich wird, ständig zum Ubuntu-Wiki zu verlinken, aber die Artikel sind m.E. oft wirklich hilfreich:
http://wiki.ubuntuusers.de/Personal_Firewalls und
http://wiki.ubuntuusers.de/Offene_Ports

Ansonsten hilft auch (als root)

Code: Alles auswählen

# netstat -tulpen

[FANA]

Auch wenns mir langsam peinlich wird, ständig zum Ubuntu-Wiki zu verlinken, aber die Artikel sind m.E. oft wirklich hilfreich:

Ja, das stimmt. Das deutsche Ubuntu Wiki kann sich wirklich sehen lassen.
Ich lese da auch viel nach, da es fast immer auch auf Debian anwendbar ist.

[Fjunchclick]

Ich denke aber mal, dass der Threadersteller sein Problem wohl mittlerweile sowieso gelöst hat. Ist ja immerhin fast zwei Jahre her.

[ralfi]

Bei mir bekommen alle Rechner eine SNORT Instanz, damit der Netzwerkverkehr analysiert wird. Ab Version 2.9 funktioniert das Programm auch als Application Level Gateway, d.h. bei verdächtigem TCP Datenverkehr kann es den Datenstrom mit RST Paketen unterbrechen. Ansonsten ist die Strategie, für möglichst wenige Dienste initialen eingehenden Datenverkehr zuzulassen natürlich absolut richtig und i.d.R. - wenn aktuelle Patches auch installiert werden - auch völlig ausreichend.