Erweiterte Firewall-Techniken

[mod3]

Hallo zusammen!

Bisher betreibe ich auf meinen Servern immer ein möglichst restriktives iptables-Skript.
Egal, ob es sich um einen Fileserver oder einen Gatewayserver handelt.
Das bietet nun aber auch keinen wahnsinnigen Schutz vor ausgeklügelten Attacken.
Daher möchte ich gern Verbindungs- oder Applikationsfilter ausprobieren.
Könnt ihr mir dazu etwas empfehlen?

Grüße

[rendegast]

Unter debian privoxy oder dansguardian (alte Listen, porno geht aber gut).
Dabei funktionieren die aber nicht mehr für verschlüsselte Seiten.

Anderes Problem sind Sammeldomains mit durchwechselnden IP-Adressen, wie zBsp. google-Seiten.

Das bekommest Du eigentlich nur per dns resp. hosts "gesperrt", in der Art

Code: Alles auswählen

127.0.0.1       plus.google.com play.google.com
127.0.0.1       drive.google.com        accounts.google.com

127.0.0.1       mail.google.com gmail.com       gmail.de

127.0.0.1       s3.amazonaws.com

....

[peschmae]

Ich misstraue so Zeugs ja immer erstmal, bietet ja potentiell auch einfach nur zusätzliche Angriffsfläche und ermöglicht ganz neue Szenarien...

MfG Peschmä

[mod3]

Ja, das sehe ich ein und stimme auch zu
Was würdet ihr denn ansonsten als Firewall nehmen, um ein System oder Netzwerk vom Internet abzugrenzen?
Finde, iptables hat sich da bewährt.
Die Idee, Verbindungen aber noch weiter filtern zu können als "nur" nach IPs und Protokollen (mal vereinfacht gesprochen), finde ich schon sinnvoll.

[DeletedUserReAsG]

Einfach keine Dienste drauf laufen lassen? Wo nix an den Ports hängt, muss auch nix gefiltert werden.

[mod3]

Ist richtig, aber was machst du, wenn du hinter dem Server ein Netzwerk hast, für das er als Gateway fungiert?

[DeletedUserReAsG]

Dann ist es kein Server, sondern ein Router, und ich erstelle passende Regeln zum Routen (NAT), während alles andere unberücksichtigt bleibt. Wie schon geschrieben wurde: sobald z.B. eine Schadsoftware für Win für die Kommunikation mit den CC-Servern https/443 benutzt, gibt es eh keine reelle Chance mehr, da was zu machen. Sollen sich die Clients selbst um ihren Müll kümmern.

[mod3]

Ok und mit NAT-Regeln meinst du z.B. etwas in der Art:

Code: Alles auswählen

iptables -A FORWARD -i $lan -o $internet -s $client -p tcp -m multiport --destination-port 80,443 -m state --state NEW -j ACCEPT

?

Du hast ja nicht unrecht, aber einfach so aufzugeben ist mir doch zu platt
Das würde ja bedeuten, dass ich ein Netzwerk quasi garnicht gegen beispielsweise Trojaner absichern kann.

[DeletedUserReAsG]

Stimmt schon. Und ja, das Beispiel trifft es ganz gut. Aber: alles andere ginge in Richtung Deep Packet Inspection, und das ist für mich persönlich ein No-Go. Und sobald das Aufmachen von Verschlüsselung dafür ins Spiel kommt, ist’s ganz vorbei.

Damit verabschiede ich mich auch schon wieder aus dem Thread.

[mod3]

Hm, nunja, eine Verschlüsselung "aufmachen" ist sicher nichts, was man mal eben implementiert
Inwiefern ist das für dich ein No-go?

[DeletedUserReAsG]

Datenschutz, und so. Entweder, die Rechner auf der anderen Seite sind meine – dann kann ich mich auch direkt um sie kümmern, oder es sind nicht meine – dann habe in deren Traffic nix weiter zu suchen.

[mod3]

Na das versteht sich von selbst
Aber in beiden Fällen freut man sich doch, wenn man eine tiefergreifende Möglichkeit hat, den Internetzugriff etwas weiter abzusichern.
Oder genügt da iptables mit ner entsprechenden SNAT-Regel und dem oben aufgeführten Filtern von Ports, die nach "draußen" dürfen?

[dirk11]

Aber in beiden Fällen freut man sich doch, wenn man eine tiefergreifende Möglichkeit hat, den Internetzugriff etwas weiter abzusichern.

Na, dann fang schonmal an, die Zielrechner zu kapern. Es gibt keine 100% Sicherheit, wer das nicht begreift, sollte sich nen Strick nehmen. Was es aber sicher gibt, sind Grenzen, und Deep Packet Inspection gehört ganz sicher dazu.

[wanne]

sobald z.B. eine Schadsoftware für Win für die Kommunikation mit den CC-Servern https/443 benutzt, gibt es eh keine reelle Chance mehr, da was zu machen. Sollen sich die Clients selbst um ihren Müll kümmern.

Full ACK. Und weil das so ist, machen das heute alle so.

Oder genügt da iptables mit ner entsprechenden SNAT-Regel und dem oben aufgeführten Filtern von Ports, die nach "draußen" dürfen?

Nein, die Erklärung impliziert ziemlich deutlich, wie weiter abgesichert werden kann: Auf dem Client.
Auch wenn das keiner wahr haben will, aber die Idee mit der Externen Firewall ist eine Sackgasse. Das einzige wozu das führt ist, dass die ganzen legitimen Anwendungen sich mittlerweile selbst wie Schadsoftwre verhalten muss, um den immer kaputteren Fangmechanismen zu entkommen. Das fängt im übrigen bei den SNAT-Regeln an, die alles aufhalten (Zu aller erst sichere und private kommunikation) nur keine Schadsoftware. Weil die ist drauf ausgelegt sich zu tarnen.

[dirk11]

die Idee mit der Externen Firewall ist eine Sackgasse. Das einzige wozu das führt ist, dass die ganzen legitimen Anwendungen sich mittlerweile selbst wie Schadsoftwre verhalten muss, um den immer kaputteren Fangmechanismen zu entkommen. Das fängt im übrigen bei den SNAT-Regeln an, die alles aufhalten (Zu aller erst sichere und private kommunikation) nur keine Schadsoftware. Weil die ist drauf ausgelegt sich zu tarnen.

Gut gesagt!

[mod3]

Kann eure Bedenken verstehen und erkenne, dass es Szenarien gibt, bei denen mir eine Firewall wenig hilft.
Aber das Konstrukt deshalb zu verteufeln und ganz darauf verzichten? Kommt für mich nicht in Frage.

[dirk11]

Doch, weil es einen in falscher Sicherheit wiegt.

[mod3]

Nein, warum?
Wer sich der begrenzten Möglichkeiten dieses Systems bewusst ist, der wird ja nicht den Fehler machen, sich allein darauf zu verlassen.
Das ist so, als würde man sagen "ich schnall mich nicht an, denn das rettet mir unter Umständen auch nicht das Leben".

[wanne]

Der unterschied ist, dass anschnallen nciht kontraproduktiv ist. Wie soll man feststellen, ob jemand unerlaubt in der Mitte sitzt, wenn das mit der Firewall sowieso passiert. Fast alle modernen anwendungen haben sicherheitstechnisch grauenhafte entscheidungen getroffen um "Firewallkompatibel" zu bleiben.
Da ähnelt mehr dem Autofahren mit Ritterüstung. Kann in ganz seltenen Fällen vielleicht doch was nutzen. Aber extrem unbequem, macht einem die rektionsfähigkeit kaputt und einige wirklich wirksame Mechanismen wie Arbags unterbindet es ganz.

[mod3]

Na die Erklärung gefällt mir !

Ok, verstehe, worauf ihr hinaus wollt.
Aber bedeutet dass, dass ihr alle keine Firewalls oder NATs einsetzt?
Bzw. sie einfach so konfiguriert, dass sie rausgehenden Traffic komplett durchlassen und "nur" reinkommenden filtern?

[wanne]

Aber bedeutet dass, dass ihr alle keine Firewalls oder NATs einsetzt?

Solange ich das kontrollieren kann, ja. (Mein Provider ist so höflich für mich eine Firewall gegen das gefährliche Torrent und smb SMTP und. ähnliches einzurichten.)

NAT kommt da zum Einsatz, wo es gebraucht wird. (IP Mangel) Im übrigen ist eine reine Firewall wesentlich flexibler und braucht für das gleiche weniger weniger resourcen, als ein NAT. Genau deswegen ist es völliger Unsinn NAT mit IPv6 einzusetzen.

Und zuletzt: Auf dem Client kommen natürlich Filtertechniken zum Einsatz. Aber auch da sehe ich iptables und Co als letzten ausweg. (z.B habe ich vor Meinem boinc-client eine iptables damit man da nicht von außen drauf zugreifen darf, weil ich keine vernünftige Konfiguration dazu gefunden habe.) Aber ansonsten ist Anwendung selbst filtern zu lassen ist meist um Längen flexibler. Das fängt z.B. dait an, dass mein FTP Anfragen auf alles oberhalb von /home/ftp wegwirft. Das ist da eine selbstverständlichkeit. Sowas mit ner Firewall hinzubekommen ist wahnsinnig schwierig und würde garantiert massenhaft Nebeneffekte produzieren.
So das Sicherungskonzept:
Was für Programme laufen? => Sollen die das? – Alles andere abschalten. => Was dürfen die? => Sind die so konfiguriert dass sie nicht mehr machen (können) ?
Wenn die letzte frage mit Nein beantwortet wird versuche ich zuerst die Programme so umzukonfigurieren, dass sid das nicht mehr können und erst wenn das nicht geht setze ich ne Firewall davor. Aber eben direkt auf dem Client.

Eine andere Sache sind DDoS: Das sollte nochmal getrennt betrachtet werden. Aber auch hier ist meistens das konfigurieren der Anwendungen ein besserer ausweg. In vielen Fällen ist eine effiziente Anwendung um längen wiederstandsfähiger als eine Firewall. Einen guten DNS server bekommt man z.B. eigentlich nicht down. Der macht auf gleicher Hardware nicht nur ein vielfaches sondern um Größenordnungen mehr traffic mit als z.B. NAT. Da habe ich allerdings trotzdem nochmal eine externe Firewall davor weil das für Angriffe auf andere genutzt wird. (Siehe DNS amplification.) Und im übrigen nochmal eine danach für ausgehenden Traffic um auf nummer sicher zu gehen. (Die loggt dann nochmal gesondert und wenn da was ankommt dann sollten bei mir alle Alarmglocken schrillen. ) Das ist im übrigen einfeature von iptables, dass ich glaube ich noch mehr verwenden sollte.
Einfach mal loging betreiben wo was komisches unterwegs ist und dann gucken woher das kommt.
Was ich tatsächlich hin und wieder mache ist einfach mal

lsof -i oder auf dem Deskotop wireshark (auf dem Server ist da zu viel los, als dass ich da was finden würde) laufen lassen, um zu gucken ob da aller Internetverkehr seine RIchtikgeit hat. So z.B.: Oh da ist eine Verbindung vom tsserver obwohl wir 3:30Uhr haben und da keiner drauf ist. Woher kommt das?! Sowas kann einfach keine Firewall leisten.

[router]

Hallo mod3,

ich bin auch gerade dabei meine Rechner besser abzusichern und sehe neben iptables noch weitere Moeglichkeiten dies zu tun (z.B. mit Apparmor und Grsecurity+PaX). Ich habe aber noch nicht ganz verstanden, welche Rechner du weiter absichern moechtest (dein Gateway oder deine Desktoprechner), und wogegen. Koenntest du da ein bisschen ausfuehrlicher werden?

Ich frage mich auch, ob iptables einen zusaetzlichen Sicherheitsgewinn bietet, wenn man keine Dienste nach aussen anbietet. Vielleicht kann mir da jemand Aufschluss geben?

[wanne]

Ich frage mich auch, ob iptables einen zusaetzlichen Sicherheitsgewinn bietet, wenn man keine Dienste nach aussen anbietet.

Ne, aber iie Leute wollen ne Firewall das hat man ihnen eingebläut, dass man damit sicherer unterwegs ist.

[dirk11]

Ich schließe mich da Wanne an, aber es bietet in gewisser Weise zusätzliche Sicherheit, nämlich vor'm Benutzer, der z.B. "mal eben" oder "zum Ausprobieren" einen neuen Dienst installiert, welchen er vielleicht nur lokal benötigt, aber aus Versehen oder Unkenntnis falsch konfiguriert.
Das ist ein Gewinn, aber eben nur ein marginaler.

[router]

Fuer diesen speziellen Fall macht iptables wirklich Sinn. Danke fuer das Beispiel; ich hatte schon befuerchtet, dass es fuer iptables ueberhaupt keinen Anwendungsfall gibt.

Ich habe mir ein kleines Script geschrieben, welches mich sofort informiert, wenn ein unauthorisiertes Programm eine Netzwerkverbindung aufbaut. Gibt es unter Gnu/Linux ein Programm mit dem man den Zugriff auf die Netzwerkkarte whitelisten kann, also nur bestimmten Programmen Zugriff auf die Netzwerkkarte erteilen und allen anderen per default verweigern kann? Dann wuesste man genau, welches Programm nach draussen Daten sendet und koennte diese dann z.B. mit Apparmor weiter absichern.