|
101f84b9
Anmeldungsdatum:
13. August 2013
Beiträge: 59
|
Hallo, Mich interessiert es, ob die Firewall "IPtables/Netfilter" in Ubuntu standardmäßig aktiviert ist. Hier im Ubuntuuser-Wiki steht nichts darüber, ob IPtables aktiv ist oder nicht (vielleicht bin ich auch blind). Im Internet konnte ich leider auch keine Antwort dazu finden! Es heißt ja, dass Ubuntu keine offene Ports hat und deshalb muss man keine Firewall installieren. Aber ist wenigstens die interne Firewall "Iptables" aktiv? Kann man den Status abfragen? Wenn ich ins Terminal sudo iptables -L eingebe, erhalte ich folgendes als Ergebnis: "Chain INPUT (policy ACCEPT)
target prot opt source destination Chain FORWARD (policy ACCEPT)
target prot opt source destination Chain OUTPUT (policy ACCEPT)
target prot opt source destination " Was bedeutet das? Keine Regelns, also nichts aktiv? Kann mir jemand das Ganze erklären? Danke! Grüße
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14382
|
101f84b9 schrieb: Was bedeutet das? Keine Regelns, also nichts aktiv?
Ja, keine Regeln in diesen chains. Betr. aktiv, poste mal die Ausgaben von:
sudo ufw status verbose
|
|
101f84b9
(Themenstarter)
Anmeldungsdatum:
13. August 2013
Beiträge: 59
|
"Status: Inaktiv" ist die Ausgabe. Aber die Ufw ist doch die Benutzerschnittstelle zur Iptables, oder? Ich habe vorhin einen Port-Scan (Heise.de) durchgeführt und das Ergebnis ist absolut positiv. Alles im grünen Bereich. Bei dem Test stand zu den einzelnen Ports nicht "geschlossen", sondern "gefiltert". Das muss doch heißen, dass die Iptables aktiv ist? Grüße
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14382
|
101f84b9 schrieb: Ich habe vorhin einen Port-Scan (Heise.de) durchgeführt und das Ergebnis ist absolut positiv. Alles im grünen Bereich. Bei dem Test stand zu den einzelnen Ports nicht "geschlossen", sondern "gefiltert". Das muss doch heißen, dass die Iptables aktiv ist?
Benutzt Du einen Router, oder ist dein Linux-PC direkt mit dem Internet verbunden?
|
|
101f84b9
(Themenstarter)
Anmeldungsdatum:
13. August 2013
Beiträge: 59
|
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14382
|
101f84b9 schrieb: Router
Das wird dann der Grund sein, warum beim Test, auch ohne iptables-Regeln, die Ports als gefiltert und nicht als geschlossen angezeigt werden.
|
|
101f84b9
(Themenstarter)
Anmeldungsdatum:
13. August 2013
Beiträge: 59
|
Heißt das etwa, dass ich ohne diesen Router ein Kubuntu voller Löcher zum Internet hätte?
Linux wird ja sonst immer als total sicher gepriesen. Wenn standardmäßig keine Firewall aktiviert ist, dann ist das doch absolut unsicher. Ohne den Router hätte ich ein Linux voller offener Ports gehabt!!
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14382
|
101f84b9 schrieb: Ohne den Router hätte ich ein Linux voller offener Ports gehabt!!
Das glaube ich nicht, denn offene Ports sind i. d. R. lauschende Ports. Aber auch ein lauschender Port ist kein "Loch", wenn die Anwendung richtig konfiguriert ist. Poste mal die Ausgabe von:
sudo netstat -tulpen
|
|
mecks52
Anmeldungsdatum:
28. Dezember 2008
Beiträge: 227
Wohnort: Oberschwaben
|
Hallo,
Heißt das etwa, dass ich ohne diesen Router ein Kubuntu voller Löcher zum Internet hätte?
Nein, das bedeutet erst mal, das du nicht deinen Kubuntu-PC sondern deinen Router auf offene Ports getestet hast. Linux wird ja sonst immer als total sicher gepriesen. Wenn standardmäßig keine Firewall aktiviert ist, dann ist das doch absolut unsicher. Ohne den Router hätte ich ein Linux voller offener Ports gehabt!!
Nein wahrscheinlich nicht, denn wie bereits lubux schrieb, versteht man unter offenen Ports in der Regel, Ports auf denen Kommunikation möglich ist. Dies erfordert jedoch das ein Programm auf dem Rechner läuft (und installiert wurde), das die Kommunikation ermöglicht. Das ist ja auch durchaus gewollt, wenn man zum Beispiel über SSH auf den PC zugreifen möchte. Das Sicherheitsrisiko besteht dann, wenn der ansprechbare Dienst unzureichende Maßnahmen gegen unberechtigten Zugriff bietet, falsch konfiguriert ist oder es sich um Malware handelt. Und auch dann ist der betreffende Dienst meist nur im "eigenen" Netzwerk erreichbar und über die Filterregeln des Routers vom Internet aus nicht erreichbar. Im Wiki steht → hier auch noch etwas zu dem Thema. Ob iptables sinnvoll oder notwendig sind, hängt also auch davon ab, welche Anwendungen auf dem PC laufen (installiert sind), wer sich alles im selben Netzwerk tummelt und wie dein Router eingestellt ist. Für den "normalen" Hausgebrauch ist (K)Ubuntu in der Regel ausreichend sicher eingestellt. Zu deiner ursprünglichen Frage: Mich interessiert es, ob die Firewall "IPtables/Netfilter" in Ubuntu standardmäßig aktiviert ist.
kann ich leider im Moment nichts sagen.
|
|
encbladexp
Ehemaliger
Anmeldungsdatum:
16. Februar 2007
Beiträge: 17524
|
101f84b9 schrieb: Wenn standardmäßig keine Firewall aktiviert ist, dann ist das doch absolut unsicher.
Sagt wer? Auf ca. 80% der Systeme die ich betreue läuft keine Firewall. Es ist eben auch kein Dienst der da lauscht, also gibt es für diese Firewall (eigentlich Paketfilter) auch nichts zu arbeiten.
Ohne den Router hätte ich ein Linux voller offener Ports gehabt!!
Das zeigt uns die Ausgabe von `sudo netstat -tulpen, ich möchte aber anmerken das alle Dinge die extern laufen würden (z.B. Apache) auch von dir installiert wurden. Windows Anwendungen schalten sich nach der Installation übrigens auch gerne mal die Ports frei ;)
mfg Stefan Betz
|
|
101f84b9
(Themenstarter)
Anmeldungsdatum:
13. August 2013
Beiträge: 59
|
Ausgabe zu sudo netstat -tulpen: 1
2
3
4
5
6
7
8
9
10
11
12
13
14 | Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN 0 10900 1415/dnsmasq
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 0 11546 1058/cupsd
tcp6 0 0 ::1:631 :::* LISTEN 0 11545 1058/cupsd
udp 0 0 127.0.1.1:53 0.0.0.0:* 0 10899 1415/dnsmasq
udp 0 0 0.0.0.0:44091 0.0.0.0:* 108 10064 845/avahi-daemon: r
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 10771 1359/dhclient
udp 0 0 0.0.0.0:23636 0.0.0.0:* 0 11752 1359/dhclient
udp 0 0 0.0.0.0:631 0.0.0.0:* 0 11681 985/cups-browsed
udp 0 0 0.0.0.0:5353 0.0.0.0:* 108 10062 845/avahi-daemon: r
udp6 0 0 :::50346 :::* 0 11753 1359/dhclient
udp6 0 0 :::5353 :::* 108 10063 845/avahi-daemon: r
udp6 0 0 :::48415 :::* 108 10065 845/avahi-daemon: r
|
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14382
|
101f84b9 schrieb: Ausgabe zu sudo netstat -tulpen: Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
udp 0 0 0.0.0.0:44091 0.0.0.0:* 108 10064 845/avahi-daemon: r
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 10771 1359/dhclient
udp 0 0 0.0.0.0:23636 0.0.0.0:* 0 11752 1359/dhclient
udp 0 0 0.0.0.0:631 0.0.0.0:* 0 11681 985/cups-browsed
udp 0 0 0.0.0.0:5353 0.0.0.0:* 108 10062 845/avahi-daemon: r
udp6 0 0 :::50346 :::* 0 11753 1359/dhclient
udp6 0 0 :::5353 :::* 108 10063 845/avahi-daemon: r
udp6 0 0 :::48415 :::* 108 10065 845/avahi-daemon: r
Sieht gut aus. BTW: benutzt Du IPv6 bzw. auch avahi?
|
|
101f84b9
(Themenstarter)
Anmeldungsdatum:
13. August 2013
Beiträge: 59
|
IPv6 habe ich deaktiviert. Avahi benutze ich eigentlich nicht, aber ich nehme an, der Dienst ist nach jeder Ubuntu-Installation automatisch aktiviert. Kann man ihn deaktivieren?
|
|
encbladexp
Ehemaliger
Anmeldungsdatum:
16. Februar 2007
Beiträge: 17524
|
101f84b9 schrieb: IPv6 habe ich deaktiviert.
Warum?
Avahi benutze ich eigentlich nicht, aber ich nehme an, der Dienst ist nach jeder Ubuntu-Installation automatisch aktiviert. Kann man ihn deaktivieren?
Ja, Avahi kann man deaktivieren. Siehe Dienste (Abschnitt „Verknuepfungen-entschaerfen“). Angriffe auf Avahi sind aber relativ selten, und vom Internet aus werden diese erst recht nicht durchgeführt 😉 mfg Stefan Betz
|
|
101f84b9
(Themenstarter)
Anmeldungsdatum:
13. August 2013
Beiträge: 59
|
encbladexp Warum?
Weil ich kein IPv6 brauche. Was ich nicht brauche, deaktiviere bzw. lösche ich immer. Siehe Kde Telepathy-Chat komplett löschen! encbladexp Ja, Avahi kann man deaktivieren. Siehe Dienste (Abschnitt „Verknuepfungen-entschaerfen“). Angriffe auf Avahi sind aber relativ selten, und vom Internet aus werden diese erst recht nicht durchgeführt 😉
OK, gut zu wissen. 😉 Grüße
|