Der Absatz ist nicht wirr. Es gab mal zum Beispiel den Ping of Death. Eine Zeit lang wurde von Verfechten der PF argumentiert, eine PF würde vor solchen und anderen gleichartigen Angriffen schützen, was aber schlciht weg falsch ist.
Personal Firewalls
Moderator & Supporter
Anmeldungsdatum: Beiträge: 21728 Wohnort: Lorchhausen im schönen Rheingau |
|
||
Anmeldungsdatum: Beiträge: 2145 Wohnort: wo der gute Riesling wächst |
Ich beschäftige mich gerade mit dem Thema Firewall. Da lese ich folgenden Satz im Abschnitt
Das trifft aber inzwischen vermehrt auf DSL-Kunden zu, die inzwischen dank Dual-Stack globale IPv6-Adressen vom Provider bekommen. Wer da dem Router-Hersteller nicht traut oder glaubt, dass aller IPv6-Verkehr von aussen geblockt wird? Oder noch schlimmer: wer auch VoIP über IPv6 bekommt (T-com) muß zwangsläufig offene Ports im Router haben! Anmerkung: ich denke an eine Lösung, bei der der Router mitsamt VoIP und einem NAS zur DMZ gemacht wird und sein WLAN nur für einen Gast-Zugang genutzt wird/werden kann. Dann fürs eigentliche private LAN eine gescheite Firewall dahinter. Hierfür eine ordentliche Lösung habe ich aber auch noch nicht, EDIT: Das soll kein Meckern sein, nur zur Diskussion anregen - "the times are changing". Privacy-Extensions helfen da auch nicht, das ist nur gefühlte "security by obscurity". |
||
Ehemaliger
Anmeldungsdatum: Beiträge: 29038 Wohnort: WW |
Hallo, Danke für die Anregung ☺ Der Artikel stammt ja noch aus den "Urzeiten" des Wiki und kann schon hier und da etwas angestaubt sein 😉 Wenn du bei Zeiten was ergänzen / editieren möchtest → einfacher hier melden. Gruß, noisefloor |
||
Moderator & Supporter
Anmeldungsdatum: Beiträge: 21728 Wohnort: Lorchhausen im schönen Rheingau |
Lässt sich aber ganz einfach prüfen, einfach mal die IP des rechners zB über die heise-netzwerk-Tools pingen 😉
Gerade im Falle von IPv6 betreffen offene Ports am Router auch nur den Router, da es zum weiterleiten von Traffic keines DNAT (Portfowarding) mehr bedarf.
Anregung ist immer gut, führe doch bitte nochmal die Risiken, die Du geändert siehst, näher aus. |
||
Anmeldungsdatum: Beiträge: 2145 Wohnort: wo der gute Riesling wächst |
Leider nicht, habe ich schon versucht. da kommt: "Sie benutzen IPv6. Der Netzwerkcheck unterstützt aber nur IPv4. Sie können hier den Netzwerkcheck via IPv4 ausführen." Und mein Router antwortet generell nicht auf Pings von aussen, weder bei IPv4 noch IPv6. Das macht auch einen nmap-Scan ungeheuer lahm. Bei IPv4 ist alles 100% ok und dicht.
Ist das nicht ein bischen kurz gedacht? Wer einmal Zugang auf den Router hat, dem stehen die Türen offen ...
Vielleicht liegt es auch an mangelnder Kenntnis meinerseits - für mich ist die IPv6-Geschichte noch Neuland. Aber auf jedem Desktop-System laufen zumindest cups und avahi und bei mir noch ntpd und ssh und ggf. auch nfs. Wenn ich mir dann so anschaue: netstat -tulpen eth0 | egrep "tcp6|udp6" tcp6 0 0 :::22 :::* LISTEN 0 9437 3065/sshd tcp6 0 0 :::631 :::* LISTEN 0 14943 3558/cupsd tcp6 0 0 ::1:25 :::* LISTEN 0 8513 3618/exim4 udp6 0 0 :::5353 :::* 106 6666 3308/avahi-daemon: udp6 0 0 :::34089 :::* 106 6668 3308/avahi-daemon: Außerdem frage ich mich, wie bei IPv6 die Konfiguration @LOCAL in z.B. cupsd.conf die umgesetzt wird: BrowseAddress @LOCAL Allow @LOCAL Begrenzt dieses den Zugriff auf die ULA's? Wie gesagt, mir fehlen noch viele Detail-Informationen um hier wirklich etwas sinnvolles zu schreiben. Beste Grüße, |
||
Moderator & Supporter
Anmeldungsdatum: Beiträge: 21728 Wohnort: Lorchhausen im schönen Rheingau |
Ich hab das immer von einer IPv& von extern geprüft, war mir nicht bewusst.
Nochmal: Wir diskutieren hier den sinn von Personal Firewalls, also Firewalls auf dem Client, hinter dem Router. Es ist also völlig egal, worauf dein Router antwortet und worauf nicht.
Du hast nicht wirklich ein /64 mit nmap gescannt?
Nein, ist es nicht. Die offenen Ports betreffen ja nur den Router. In der regel lässt sich die Administration auch nur von intern erreichbar. Ist sie von außen erreichbar ist wiederum das das problem und nicht der Port...
Da gibt es bis dahin immer noch keinen Unterschied zu IPv4. Auch da lauschen diese Dienste und der Knackpunkt ist die Erreichbarkeit des hosts
Wild geraten: link-local (fe80:: )
Versteh das jetzt bitte nicht falsch: Wir disktuieren einen Wikiartikel. in dem sind entweder veraltete Information (dann kannst Du einen neueren Stand nennen) oder es gibt ein Verständnisproblem, was dann aber zunächst ein fall für einen Supportthread wäre. Im Falle eines Verständnisproblems müsstest Du ja auch sagen können, an welcher Stelle dir das Verständnis fehlt. |
||
Anmeldungsdatum: Beiträge: 2145 Wohnort: wo der gute Riesling wächst |
Ich erwarte hier ja auch keine Hilfe. Wollte nur anmerken, daß der Satz
im Artikel bei IPv6 (öffentliche IP-Adressen) eine Firewall als essentiell bezeichnet, was ja auch richtig ist. Dann aber wird der User im Regen stehen gelassen und mit dem Fazit "Ubuntu braucht keine Firewall". Auch im IPv6-Artikel findet man dazu nichts. Wer nach den Hiobsbotschaften der letzten Wochen allein dem Routerhersteller die Verantwortung überläßt, mag wirklich auf eine Firewall verzichten. Vernünftig überprüfen läßt sich mE dies auch nicht. Ich finde nur, daß hier das Wiki noch Defizite hat, kann aber selbst nicht aktiv beitragen, da mir die Kenntnisse zu IPv6 fehlen. |
||
Anmeldungsdatum: Beiträge: 2145 Wohnort: wo der gute Riesling wächst |
So, noch ein Tipp ganz zum Schluß: Habe hier einen Portscanner für IPv6 gefunden - und zu meiner Beruhigung sind alle getesteten Ports "Stealth", dem Router (Speedport W724V, Typ A) kann ich also trauen! Dazu noch folgende Info: ich habe natürlich die Site mit aktivierten privacy extensions besucht und hoffe, es verhält sich bei allen Geräten im lokalen Netz (z.B. auch nit den ULA's) genau so. |
||
Moderator & Supporter
Anmeldungsdatum: Beiträge: 21728 Wohnort: Lorchhausen im schönen Rheingau |
Nein, der Schluss ist falsch. Damit haben wir aber den Thread auch wieder ontopic. Öffentliche IPs meint damit Öffentlich erreichbare IPs, was bei IPv4 gleichzusetzen ist, bei IPv6 durchaus nicht. Einigen wir uns also auf die Änderung Wichtig wird eine Firewall erst, wenn man entweder eigene Serverdienste aus einer DMZ heraus im Netz anbietet, oder wenn ein internes Netz gar öffentlich erreichbare IP-Adressen besitzt. |
||
Anmeldungsdatum: Beiträge: 2145 Wohnort: wo der gute Riesling wächst |
Ich würde bei dieser Umformulierung noch ergänzen: Um dies zu gewährleisten, muss man entweder darauf vertrauen, dass der Router-Hersteller eine korrekt arbeitende Firewall implementiert hat, oder man führt selbst Tests durch. Für IPv4 kann man den Netzwerk-Check bei Heise benutzen, für IPv6 gibt es einen entsprechenden Test hier. P.S.: der IPv6-Test ist Open Source und auf Github offen verfügbar - wäre das nicht ein Service-Angebot für UU? |
||
Moderator & Supporter
Anmeldungsdatum: Beiträge: 21728 Wohnort: Lorchhausen im schönen Rheingau |
Wie man was testet ist nicht Gegenstand dieses Artikels und würde ihn unnötig aufblähen. Das Thema ist groß und erweiterbar genug für einen eigene Artikel, der dann gern verlinkt werden kann. Ob und warum man prüft ("Vertrauen in den Routerhersteller") erscheint mir polemisch und würde ich rauslassen |
||
Anmeldungsdatum: Beiträge: 2145 Wohnort: wo der gute Riesling wächst |
Mir ging es eigentlich um etwas ganz anderes: Der Artikel weckt den Eindruck, dass Ubuntu oder ein anderes ordentlich konfiguriertes Linux keine Firewall nötig hat. Das trifft/traf bei IPv4 auch fast immer zu, da das System üblicherweise über PAT (auch NAT genannt) ins Internet gelangt - ein positiver Nebeneffekt des ungeliebten NAT. Mit aufkommenden IPv6 und global einziartigen Adressen finde ich es leichtsinnig, diese Aussage nicht entsprechend anzupassen. Ich werde *nie* einen meiner Rechner per IPv6 ohne Firewall mit dem Internet zu verbinden. Da ist es nicht mit einer tricky Umformulierung eines Satzes getan, nur damit der Satz nicht mehr "falsch" ist. Also werde ich da garnichts ändern - war halt ein Versuch. |
||
Moderator & Supporter
Anmeldungsdatum: Beiträge: 21728 Wohnort: Lorchhausen im schönen Rheingau |
Ok, nochmal zum Mitschreiben: ein Ubuntu in Standardeinstellungen hat auch in IPv&-Netzen keine Ports nach außen hin offen, die Daten empfangen. Die Dienste lauschen wie in IPv4 auch auf internen schnittstellen, an braodcast (bzw link-local multicast)-fähigen Adaptern. Auch wenn das hart klingt: Wenn Du bis jetzt immer noch nicht den Unterschied zwischen öffentlichen, ULA und link-local-Adressen kennst, solltest Du Dir die nötigen basics anlesen und mal in einem Netzwerk überprüfen, bevor Du derartige Diskussionen führst Das ändert sich nur, wenn du als Admin einen Dienst installierst, diesen auf allen Adressen zugänglich machst und die IP-Adresse von extern erreichbar ist. Also ist an mehreren Stellen ein Eingriff des Administrators nötig, um die Standardkonfiguration zu verändern. Insofern ist die Aussage, wie auch der bei Dir geweckte Eindruck, semantisch völlig korrekt.
Nochmals: Was Du in deinem netz zu tun gedenkst ist nicht Thema des Threads. Hier geht es um möglichst verständliche, einfache und technisch korrekte Formulierung des Artikels |
||
(Themenstarter)
Anmeldungsdatum: Beiträge: 8691 Wohnort: Hamburg-Altona |
Hiermit ist dann aber keine "Personal Firewall" gemeint, sondern eine zwischen dem internen Netz und außen, also bspw. auf dem Router. Auch das aber nur, wenn du intern Dienste laufen hast, bspw. Dateiserver.
Wenn du
solltest du überlegen, eine eigene Firewall zwischen Router und internes Netz zu stellen. Paketfilter auf deinen internen Rechnern helfen dir da nicht wirklich weiter, denn wenn du dort bspw. die NFS-/Samba-Ports sperrst, kannst du diese Dienste intern ja auch nicht mehr verwenden. Wenn du dagegen sowieso nur einen Rechner ohne Serverdienste stehen hast, der keine geöffneten Ports hat, brauchst du auch keine zu sperren.
Das ist halt out of scope für einen Artikel über Personal Firewalls. |
||
Anmeldungsdatum: Beiträge: 70 Wohnort: Berlin |
"Sicheres Design - keine offenen Ports" - kann diese Aussage noch jemand anderes für aktuelle Ubuntu-Versionen prüfen? Bei einer minimalen Desktop-Installation unter Ubuntu 18.04 erhalte ich folgende Ausgabe:
Verantwortlich für die offenen Ports sind avahi-daemon und cups-browsed. Ich würde daher diese Aussage im Artikel etwas vorsichtiger formulieren, und eine Empfehlung für eine lokale Firewall oder zumindest das Abschalten der Dienste hinzufügen. Viele Grüße, Roland |