Beforge
Ehemalige
Anmeldungsdatum: 29. März 2018
Beiträge: 2007
|
BillMaier schrieb:[...] Vielleicht ist das Problem die Lösung → Sprich: Der Artikel behandelt die verschiedenen Seiten und erklärt außerdem, was die PersonalFirewall nicht abdeckt. Nur mal so als Idee.
+1 Finde ich sinnvoll, ein Wiki sollt -soweit möglich- halbwegs neutral über Vor und Nachteile informieren. (Natürlich gibt es auch Fälle, in denen es Sinn macht, eine Seite hervorzuheben.) noisefloor schrieb:[...] Und, wie oben schon sagt, ist ein Beispiel für eine FW-Konfig für ein öffentliches WLAN (Flughafen, Hotel, was auch immer) sicherlich auch gut. Ob im Artikel selbst oder als eigener Artikel hinge vom Umfang ab.
+1
|
BillMaier
Supporter
Anmeldungsdatum: 4. Dezember 2008
Beiträge: 6494
|
Hallo rolands11, kurze Zwischenfrage (kein Stress): Bist du hier noch dran? Danke für eine kurze Rückmeldung. Viele Grüße BillMaier
|
Beforge
Ehemalige
Anmeldungsdatum: 29. März 2018
Beiträge: 2007
|
|
noisefloor
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29567
|
Hallo, hier passiert ja leider auch nichts... IMHO kann der Artikel in der aktuellen Version wieder ins Wiki. Es sind ja ein paar Kleinigkeit korrigiert worden, die Sinn machen. Gruß, noisefloor
|
BillMaier
Supporter
Anmeldungsdatum: 4. Dezember 2008
Beiträge: 6494
|
hiermit erledigt. Gruß BillMaier
|
Excelsio
Anmeldungsdatum: 19. April 2009
Beiträge: 37
Wohnort: Niedersachsen/Delmenhorst
|
Der Link zum CCC Ulm ist veraltet und nicht mehr verfügbar (Fehler 404).
Es gibt aber eine Archiv-Version https://web.archive.org/web/20190430181728/https://www.ulm.ccc.de/PersonalFirewalls. Ich wollte die Info überarbeiten, wusste jetzt aber auf die Schnelle nicht wie ich das machen soll, ein Beispiel habe ich auch noch nicht gefunden. Muss mich im Wiki sonst noch genauer umschauen. Ich hoffe jemand weiss wie der Link gestaltet werden muss und übernimmt die Änderung ebend für mich.
|
mubuntuHH
Projektleitung
Anmeldungsdatum: 28. November 2010
Beiträge: 871
Wohnort: Hamburg, Germany
|
Hallo Excelsio, danke für den Hinweis. Es gibt tatsächlich eine sog. InterWiki-Link-Vorlage. Für web.archive.org so:
[iawm:Seitenname:] Bevor wir das machen, frage ich mich aber, ob es nicht einen neueren, vergleichbaren Link zu diesem Thema gibt. Schließlich ist das ja ein sicherheitskritisches Thema, bei dem wir auf den neusten Stand sein sollten. Hat jemand einen Linkvorschlag?
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 18192
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Hier sollte ggf. ergänzt werden, dass in den Desktop-Versionen von Ubuntu ein mDNS-Server (Avahi) läuft. Seht ihr das auch so?
|
noisefloor
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29567
|
Hallo, in wie fern? Also hol' mal bitte ein bisschen weiter aus, wie wann wo was ergänzt werden sollte. Gruß, noisefloor
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 18192
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Eine normale Ubuntu-Desktop-Installation öffnet deswegen keinen einzigen Port nach außen und ist deswegen unangreifbar für alle Angriffsszenarien, vor denen ein Paketfilter Schutz bieten könnte.
So steht es im Artikel. mDNS nutzt aber den Port 5353 über die entsprechende IPv6-link-local-Mutlicast-Adresse. Auf dem Link ist damit eine Kommunikation möglich.
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21822
Wohnort: Lorchhausen im schönen Rheingau
|
Point taken. Gibts dafür ein Angriffszenario? Und was wäre dein Einsteigergeeigneter Änderungsvorshclag?
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9579
Wohnort: Münster
|
DJKUhpisse schrieb: Eine normale Ubuntu-Desktop-Installation öffnet deswegen keinen einzigen Port nach außen und ist deswegen unangreifbar für alle Angriffsszenarien, vor denen ein Paketfilter Schutz bieten könnte.
So steht es im Artikel.
Der Satz im Artikel ist richtig auf Einsteiger-Niveau und wenn man die Begriffe „Port öffnen“ und „nach außen“ richtig interpretiert, bei genauerem Hinsehen allerdings falsch. Auch bei einem Standard-Ubuntu-System laufen immer einige Programme als Server (=„Port Öffnen“), jedoch ist über diese kein Angriff möglich, weil andere Mechanismen davor schützen: Standard-Server bei Ubuntu sind:
Ein DHCP-Client (z.B. der interne des NetworkManagers) auf udp/ip4 Port 68 mit lokaler Adresse der jeweiligen Schnittstelle: DHCP(v4) wird als Layer-2.5-Protokoll vom Router blockiert. Der Avahi-DAEMON auf udp/ip4 Port 5353 und einem weiteren hohen Port mit der universellen IPv4-Adresse 0.0.0.0 : Dies ist Multicast und wird vom Router blockiert. Der Browser-Dienst von CUPS auf udp/ip4 Port 631 mit der universellen IPv4-Adresse 0.0.0.0 : Dies ist Multicast und wird vom Router blockiert. Der DNS-Cache systemd-resolved auf udp/ip4 Port 53 mit der Host-Adresse 127.0.0.53 . Dies ist nur vom Rechner selbst zu erreichen.
Der Druckserver CUPS auf tcp/ip4 Port 631 mit der Host-Adresse 127.0.0.1 . Dies ist nur vom Rechner selbst zu erreichen. (Dies ist allerdings leicht änderbar.) Der DNS-Cache systemd-resolved auf tdp/ip4 Port 53 mit der Host-Adresse 127.0.0.53 . Dies ist nur vom Rechner selbst zu erreichen.
Ein DHCPv6-Client auf udp/ip6 Port 546 mit der Local-Link-Adresse der jeweiligen Schnittstelle. Dies wird vom Router blockiert. Der Avahi-DAEMON auf udp/ip6 Port 5353 und einem weiteren hohen Port mit der universellen IPv4-Adresse :: : Dies ist Multicast und wird vom Router blockiert.
Einige Standard-Server-Dienste von Ubuntu sind also theoretisch durchaus aus dem lokalen Netzwerk (LAN) angreifbar, jedoch nicht von jenseits des nächstgelegenen Routers. Man muss also im Satz des Artikels „von außen“ interpretieren als „von jenseits des nächstgelegenen Routers“. Man sollte sich allerdings klar sein, dass man mit einem Standard-Ubuntu-Desktop durchaus wegen standardmäßig laufender Server angreifbar ist, wenn man
seinen Rechner in ein fremdes Netzwerk bringt (z.B. UNI), oder sein Netzwerk leichtfertig für andere per WLAN öffnet.
Dagegen hilft aber keine "Personal Firewall", denn man möchte diese grundlegenden Netzwerkdienste ja benutzen. Paranoide könnten allerdings die Angriffsfläche verringern, indem sie noch CUPS-Browser und Avahi abschalten, d.h. die jeweiligen Serverdienste nicht starten, und DHCPv6 nicht benutzen. Die Formulierung dieser Sachverhalte auf Einsteiger-Niveau überlasse ich dem Leser als Übungsaufgabe.
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5149
|
kB schrieb: DJKUhpisse schrieb: Eine normale Ubuntu-Desktop-Installation öffnet deswegen keinen einzigen Port nach außen und ist deswegen unangreifbar für alle Angriffsszenarien, vor denen ein Paketfilter Schutz bieten könnte.
So steht es im Artikel.
Der Satz im Artikel ist richtig auf Einsteiger-Niveau und wenn man die Begriffe „Port öffnen“ und „nach außen“ richtig interpretiert,
In diesem einen Punkt stimme ich Dir nicht zu! Denn gerade in einem sicherheitsrelevanten Artikel sollte es eben gerade keine Interpretationsspielräume geben oder sagen wir besser, diese sollten so klein wie nur irgendwie möglich gehalten werden. Das hat auch mit Einsteiger-Niveau nichts zu tun. ABER: Ansonsten würde ich es im Artikel mehr oder weniger genau so darstellen, wie Du dann weiter schreibst:
Standard-Server bei Ubuntu sind:
Ein DHCP-Client (z.B. der interne des NetworkManagers) auf udp/ip4 Port 68 mit lokaler Adresse der jeweiligen Schnittstelle: DHCP(v4) wird als Layer-2.5-Protokoll vom Router blockiert. Der Avahi-DAEMON auf udp/ip4 Port 5353 und einem weiteren hohen Port mit der universellen IPv4-Adresse 0.0.0.0 : Dies ist Multicast und wird vom Router blockiert. Der Browser-Dienst von CUPS auf udp/ip4 Port 631 mit der universellen IPv4-Adresse 0.0.0.0 : Dies ist Multicast und wird vom Router blockiert. Der DNS-Cache systemd-resolved auf udp/ip4 Port 53 mit der Host-Adresse 127.0.0.53 . Dies ist nur vom Rechner selbst zu erreichen.
Der Druckserver CUPS auf tcp/ip4 Port 631 mit der Host-Adresse 127.0.0.1 . Dies ist nur vom Rechner selbst zu erreichen. (Dies ist allerdings leicht änderbar.) Der DNS-Cache systemd-resolved auf tdp/ip4 Port 53 mit der Host-Adresse 127.0.0.53 . Dies ist nur vom Rechner selbst zu erreichen.
Ein DHCPv6-Client auf udp/ip6 Port 546 mit der Local-Link-Adresse der jeweiligen Schnittstelle. Dies wird vom Router blockiert. Der Avahi-DAEMON auf udp/ip6 Port 5353 und einem weiteren hohen Port mit der universellen IPv4-Adresse :: : Dies ist Multicast und wird vom Router blockiert.
Einige Standard-Server-Dienste von Ubuntu sind also theoretisch durchaus aus dem lokalen Netzwerk (LAN) angreifbar, jedoch nicht von jenseits des nächstgelegenen Routers. Man muss also im Satz des Artikels „von außen“ interpretieren als „von jenseits des nächstgelegenen Routers“. Man sollte sich allerdings klar sein, dass man mit einem Standard-Ubuntu-Desktop durchaus wegen standardmäßig laufender Server angreifbar ist, wenn man
seinen Rechner in ein fremdes Netzwerk bringt (z.B. UNI), oder sein Netzwerk leichtfertig für andere per WLAN öffnet.
Das ist eine differenzierte, sachliche Darstellung, die ein "Einsteiger" vielleicht nicht in allen Einzelheiten mag verstehen können, aber er hat dann immerhin einen sachlich richtigen Ausgangspunkt. Man muss und sollte an dieser Stelle natürlich auch nichts dramatisieren, aber die jetzige Formulierung
Eine normale Ubuntu-Desktop-Installation öffnet deswegen keinen einzigen Port nach außen und ist deswegen unangreifbar für alle Angriffsszenarien, vor denen ein Paketfilter Schutz bieten könnte.
sollte man IMO so nicht stehen lassen. Kann man z.B. im eigenen Heimnetz IoT-Geräte nicht in eigenes Subnetz packen, dann macht es IMO schon Sinn, diesen Geräte gar nicht erst die Zugriffsmöglichkeit auf die Linklokal-Ports zu gewähren. Das würde ich auch nicht als Paranoid abtun wollen sondern eher als vorausschauende Vorsichtsmaßnahme, weil IoT-Geräte in vielerlei Hinsicht ja sehr häufig "black Boxen" sind. Wichtig wäre dann aber auch immer noch darauf hinzuweisen, dass ein erreichbarer Port auch noch nicht sofortigen Zugriff auf den Rechner bedeuten muss, sondern je nach dort lauschendem Dienst, dann auch noch eine Sicherheitslücke benötigt, die einen tatsächlichen Einfall über den Port eröffnet. LG,
Newubunti
|
noisefloor
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29567
|
Hallo, der Kern des Artikels ist halt: alt. Der stammt aus den Anfängen des Wikis und einer Zeit, wo man unter Windows tunlichst eine Firewall installieren wollte (oder besser: musste), weil Windows selber keine hatte und auch sonstigen Schutzmaßnahmen ootb eher nicht vorhanden waren. Der Artikel kann gerne auch einen aktuellen, zeitgemäßen Stand gebraucht werden, ohne dabei latent auf Windows zu schielen. Ob man das ganze noch "Personal Firewalls" nennen sollte / muss weiß ich noch nicht. Abgesehen davon hat Ubuntu ja inzwischen ootb ein Firewall an Bord, ufw. Gruß, noisefloor
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 18192
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Unter Personal Firewall wird eine FW bezeichnet, die auf dem eigenen Rechner läuft. Das passt also.
Unter Windows muss man auch nur deswegen eine FW betreiben, weil da Serverdienste laufen, die für Angriffe genutzt werden können. Schaltet man diese ab braucht es auch keine Fw mehr. ufw ist zwar bei Ubuntu dabei, aber ist da SPI-Firewalling nach außen standardmäßig aktiv oder lässt das Teil standardmäßig alles durch?
|