View previous topic :: View next topic |
Author |
Message |
kosta n00b
Joined: 17 Dec 2002 Posts: 60 Location: Clausthal-Zellerfeld
|
Posted: Tue Sep 30, 2003 1:57 am Post subject: Sicherheit |
|
|
Hallo,
ich betreibe meinen Rechner als reinen Desktop-Rechner, d.h. ich starte keinerlei Server-Dienste. Ich habe nur mein Email-System gemäß der Gentoo-Desktop-Doku mit Postfix eingerichtet (mit fester IP). Meine Frage ist: Ist diese Konfiguration sicher? Ich möchte nur nicht wegen Unwissenheit irgendeine Sicherheitslücke oder sowas öffen.
Bevor ihr mich jetzt schlagt: Ich hab eben nicht viel Ahnung von Netzwerk-Sachen, ich benutze Postfix, weil ich mir so ein sehr schönes automatisiertes Fetchmail->Postfix->Procmail->Spamassassin->Kmail-System einrichten konnte. |
|
Back to top |
|
|
beejay Retired Dev
Joined: 03 Oct 2002 Posts: 924 Location: Flensungen (das liegt neben Merlau)
|
|
Back to top |
|
|
toskala Advocate
Joined: 14 Dec 2002 Posts: 2080 Location: hamburg, germany
|
Posted: Tue Sep 30, 2003 7:31 am Post subject: |
|
|
benutz mal nmap und scan deinen rechner, dann wirst schnell rausfinden was alles noch an ports offen ist und auf denen irgendwas horcht.
kannst mit netstat mal kucken was da alles noch rennt.
bau dir eine kleine firewall mit ipchains/iptables, da machst dann noch allen restlichen kram dicht.
ich für meinen teil bin da recht radikal:
ports < 1024 alle dicht, ausser, 21,22,25,80,110,113
ports > 1023 auf, ausser halt irgendwelchem kram der darauf hört, X, mysql, etc. alles so kandidaten.
die portauswahl kannst du wunderbar aus der /etc/services entnehmen.
das eigentlich schon genug für eine reine workstation an einer dialup verbindung. _________________ adopt an unanswered post
erst denken, dann posten |
|
Back to top |
|
|
ralph Advocate
Joined: 02 Mar 2003 Posts: 2001 Location: Hamburg
|
Posted: Tue Sep 30, 2003 8:14 am Post subject: |
|
|
Ich kann firestarter sehr empfehlen. Das ist ein Frontend für iptables, mit dem sich sehr leicht alles, was man will, zumachen lässt. (Hat sogar einen Wizzard). _________________ The computer can't tell you the emotional story. It can give you the exact mathematical design, but what's missing is the eyebrows.
- Frank Zappa |
|
Back to top |
|
|
ian! Bodhisattva
Joined: 25 Feb 2003 Posts: 3829 Location: Essen, Germany
|
Posted: Tue Sep 30, 2003 8:18 am Post subject: |
|
|
Und ich kann dafür kmyfirewall empfehlen; vorausgesetzt man mag grafische Oberflächen und hat KDE/Qt installiert.
Gruß,
ian! _________________ "To have a successful open source project, you need to be at least somewhat successful at getting along with people." -- Daniel Robbins |
|
Back to top |
|
|
beejay Retired Dev
Joined: 03 Oct 2002 Posts: 924 Location: Flensungen (das liegt neben Merlau)
|
Posted: Tue Sep 30, 2003 8:32 am Post subject: |
|
|
ralph wrote: | Ich kann firestarter sehr empfehlen. Das ist ein Frontend für iptables, mit dem sich sehr leicht alles, was man will, zumachen lässt. (Hat sogar einen Wizzard). |
Naja, auch wenn es viele von uns gerne machen (mich eingeschlossen ), aber eine Firewall auf dem Arbeits-PC ist - wie man hier in der Gegend so schön sagt - für die Füsse. Warum?
1.) Eine Firewall kann den PC sicherer machen - wenn richtig konfiguriert. Wenn falsch konfiguriert kann der PC danach unsicherer sein als vorher
2.) Eine Firewall belastet die CPU. Je mehr Arbeit sie hat ("Angriff"), desto mehr Arbeit hat also auch die CPU.
3.) Wer wertet schon die Logfiles der Firewalls aus? Es geht nicht nur darum zu blocken, sondern auch potentielle Schwachstellen oder Angriffe zu erkennen.
Die Sicherste Methode für einen Desktop PC ist schlicht und einfach alle Dienste, die man nicht ständig benötigt zu schliessen. Wenn hinter einem Port kein Dienst steht, ist ein Angriff schon wesentlich schwieriger. Im Klartext heisst das: Nur ssh automatisch starten und alles andere auf Bedarf. Dienstprogramme (Cups, Webmin) möglichst per konfiguration über lokale Sockets laufen lassen oder nur verbindungen von 127.0.0.1 zulassen. Dienste wenn möglich nicht als root laufen lassen, sondern als stark eingeschränkter, nur für diesen dienst vorgesehener Benutzer.
Es gibt viele Ansatzpunkte, wie man sein System sicher machen kann. Man muss sich aber auch darüber bewusst sein, daß mehr Sicherheit automatisch in weniger Bedienkomfort resultiert. _________________ Dort wo schwarzer Rauch aufsteigt, sich alsbald ein Fehler zeigt.
www.paludis-sucks.org | www.gentoo.de | www.gentoo-ev.org | www.gentoo.org |
|
Back to top |
|
|
toskala Advocate
Joined: 14 Dec 2002 Posts: 2080 Location: hamburg, germany
|
Posted: Tue Sep 30, 2003 10:52 am Post subject: |
|
|
beejay wrote: | ralph wrote: | Ich kann firestarter sehr empfehlen. Das ist ein Frontend für iptables, mit dem sich sehr leicht alles, was man will, zumachen lässt. (Hat sogar einen Wizzard). |
2.) Eine Firewall belastet die CPU. Je mehr Arbeit sie hat ("Angriff"), desto mehr Arbeit hat also auch die CPU.
3.) Wer wertet schon die Logfiles der Firewalls aus? Es geht nicht nur darum zu blocken, sondern auch potentielle Schwachstellen oder Angriffe zu erkennen.
|
gnarf, das doch unsinn. einen desktop pc an einer dsl leitung bringt kein angriff ausm tritt. wieviel informationen willst denn über 128kbit pumpen um nen p3/p4 ins schwitzen zu bringen?
es geht ja nicht nur ums auswerten. es geht darum, dass ich eine erhöhte sicherheit dadurch habe, dass ich schlichtweg alles was nicht rein/raus darf/soll sperre und zwar durch eine instanz die nicht davon abhängig ist dass ich mal ein zusätzliches paket installiere was wild anfängt zu plappern. _________________ adopt an unanswered post
erst denken, dann posten |
|
Back to top |
|
|
Genone Retired Dev
Joined: 14 Mar 2003 Posts: 9538 Location: beyond the rim
|
Posted: Tue Sep 30, 2003 4:41 pm Post subject: |
|
|
CPU Last wird vielleicht bei 10 MBit Leitungen interessant, aber iptables an ner DSL Leitung reizt nichtmal nen 486 aus. |
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Tue Sep 30, 2003 6:53 pm Post subject: |
|
|
Hi!
toskala wrote: |
es geht um ... erhöhte sicherheit ... durch eine instanz die nicht davon abhängig ist ... |
Und genau das ist der Punkt!
Eine Firewall auf dem Desktop ist immer in gewisser Weise von den anderen Diensten abhängig die so laufen.
Zugegeben, unter Linux ist es schwerer für ein Proggie eine Desktop-Firewall auszuhebeln als unter WinDoof.
Nur sind die 'non-technical dangers' unter allen BS die gleichen... Faulheit, Unwissenheit, Nachlässigkeit,...
Eine Firewall die den Namen verdient
- läuft auf einem dedizierten System
- läßt nur notwendige Dienste laufen (Paketfilter, ALG je nach System)
- SSH ist in letzter Konsequenz ein Sicherheitsloch das auf der FW läuft, aber i.d.R. akzeptabel (gebunden an das interne Interface!) für administrative Zugriffe
Das wir hier eigentlich nur über Packetfilter reden und nicht über Firewall im eigentlichen Sinn ist Nebensache.
Eine Firewall ist IMMER ein Konzept und kein Produkt.
passwort policy, acceptable use, desktop security, remote access etc. pp.......
nur die Meinung eines Packetfilter-Admins und Firewall-Konzept-Um/Durchsetzers.
HTH
T. _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
DerMaverick n00b
Joined: 02 Oct 2003 Posts: 2
|
Posted: Thu Oct 02, 2003 8:50 am Post subject: |
|
|
Ich für meinen Teil kann die Firewall "shorewall" wärmstens empfehlen.. Ist einfach zu konfigurieren (wohl per Kommandozeile, bzw. per vim) und dennoch sehr leistungsstark.. soweit ich das beurteilen kann...
Hab nachdem ich die Firewall installiert hatte (auf meinem Gentoo-Server) mal von einem anderen Rechner aus per Nessus meinen Rechner gescannt und es gab keine Möglichkeit auf den Rechner zu kommen, außer über Port 22 (wuqasi per SSH).. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|