Keiki schrieb:
Früher oder später werden potenzielle Angreifer diese Ports entdecken und evtl. versuchen, in mein System einzudringen.
Ports auf denen keine Dienste laufen muss iptables nicht filtern, und auf einem Server sollten am externen WAN Interface nur Dienste lauschen die dort auch erreichbar sein müssen. Ist dieses Ziel erreicht ist iptables (oder auch ein anderer einfacher Paketfilter) schon mal weitgehend Arbeitslos.
Dann kommen wir zu den Angriffen:
Brute Force ▶ Rate Limits in der Anwendung oder mit iptables für Pakete vom Typ NEW. Bei SSH z.B. konkret Public Key Auths verwenden und keine Passwörter zulassen, Thema erledigt.
Portscans ▶ Damit lege ich dir deine Leitung lahm wenn ich mehr Uplink als du Downlink habe, egal ob du iptables lokal verwendest oder nicht. Auch hier schützt iptables nicht vor dem Problem, gleichzeitig sind Portscans nicht immer automatisch ein Angriff sondern eben auch ein Diagnosetool.
Was schützt wirklich? Nun, genau 3 Dinge: Updates, Updates, Updates. Wenn du Sicherheitsupdates zeitnah einspielst und deine erreichbaren Dienste stets eine sichere Konfiguration haben ist ein Angriff zwecklos bis unwirtschaftlich.
Heutige Angriffe zielen darauf ab möglichst automatisiert eine große Anzahl an Systeme mit standardisierter Software und standardisierten Lücken zu attackieren. Genutzt werden dafür bekannte Lücken für die Exploits existieren, hast du den Patch schneller als der böse Hacker den Exploit ist dein System safe durch ein Update und das Thema ist erledigt.
Ein IDS kann übrigens ein Angriffsziel sein, den sind wir mal ehrlich: Apache spricht seit > 10 Jahren HTTP einigermaßen brauchbar ohne Security Technisch auf die Schnauze zu fliegen, also genau EIN Protokoll. Ein IDS spricht deutlich mehr als 100 Protokolle und soll diese bei Line Speed fehlerfrei sprechen und nicht selbst angreifbar sein? 😉
Sicherheit ist ein Konzept, und nicht einfach das erschlagen eines Problems welches man nicht verstanden hat mit Software von der man nicht weiß was diese tut. Übrigens, früher hat man bei Windows Server Side Exploits verwendet, das war zu Zeiten von MS Blaster. Durch die aktive Windows Firewall musste die Hackerindustrie auf Client Side Exploits umstellen, der große Vorteil: Das geht vorbei an sämtlichen Firewalls, Virenscannern und IDS Systemen. Und trotzdem hoffen 2014 noch zu viele Menschen darauf das ein IDS, iptables oder Vodoo Sicherheitsprobleme vollautomatisch und zuverlässig lösen könnte.
Just my 2 cents…
mfg Stefan Betz