ubuntuusers.de

Hi xecto.

Es ist unter Linux ohne weiteres möglich das System so sauber zu konfigurieren daß es schlichtweg zu ist. Keine Ports die nach außen offen sind, was auf loopback lauscht (z.B. postfix auf Port 25 😉) ist für andere Rechner bemerkenswert uninteressant 😉

Außerdem:
Firewall per iptables heißt default policy für alle verwendeten Chains DROP. Nun muß ich also alle Ports die ich offen haben will dezidiert aufdrehen. Zum Beispiel Port 80 nach außen. Ahja, und loopback wird normalerweise komplett freigegeben. Klingelt's? 😉

Ich muß in den Rulesets explizit Ports freigeben, die darauf lauschenden Server kümmern sich um sie. Wo ist da die Firewall? Unbenötigte Ports sind unter Linux nicht offen.

Interessante und teils auch amüsante Diskussionen gibt's dazu übrigens auch hier.

Cheers

tcs

Hallöchen!

droebbel hat geschrieben:

Die Installation einer Firewall auf einem normalen Ubuntu-System ist in etwa so, als würde man in eine massive Felswand einen Tunnel mit einer stabilen Tür mit Sicherheitsschluß bauen, damit man auch etwas zum Abschließen hat.

hmm, soll ich das so verstehen, daß ubuntu selbst eine Firefall ist? Dann frage ich mich doch, warum es mir ohne weiteres gelingt ins Internet zu kommen, warum ich E-Mails abrufen kann. Sorry, aber wenn ich hinaus kann, dann kann auch wer anderer hinein kommen.

Die Frage ist nur, ob es da nicht sinn macht, einen Türsteher hinzustellen, der darauf achtet, wer da hinein kommt und wer nicht, oder?
Also ich halte es schon für ein wenig blauäugig zu behaupten Ubuntu braucht keine Firewall.

Ich bin auch kein Spezi, im Gegenteil, ich bin da noch ein Anfänger, doch soviel weiß ich: Wenn da wer auf meinen Rechner will, dann schafft er es auch. Die Frage ist hier nur, wie leicht mache ich es ihm?

Gruß,

Cmdr. Vitok

es gibt einen unterschied zwischen ankommende und weggeschickte anfragen...

lg xecto

Cmdr. Vitok hat geschrieben:

Hallöchen!

droebbel hat geschrieben:

Die Installation einer Firewall auf einem normalen Ubuntu-System ist in etwa so, als würde man in eine massive Felswand einen Tunnel mit einer stabilen Tür mit Sicherheitsschluß bauen, damit man auch etwas zum Abschließen hat.

hmm, soll ich das so verstehen, daß ubuntu selbst eine Firefall ist? Dann frage ich mich doch, warum es mir ohne weiteres gelingt ins Internet zu kommen, warum ich E-Mails abrufen kann. Sorry, aber wenn ich hinaus kann, dann kann auch wer anderer hinein kommen.

Nein. Das ist ein fundamentales Mißverständnis. Wenn Du hinaus gehst, forderst Du Daten an, die Du dann entgegennimmst. Die würden auch von einer Firewall durchgelassen. Wie Dir aber vielleicht schon aufgefallen ist, nimmt Dein Browser nicht wahllos Daten von irgendwoher entgegen. Er holt das, was du (die von dir angeforderte Webseite) haben willst. Das ist eine ausgehende Verbindung, über die natürlich auch Daten hereinkommen - aber eben nicht von beliebiger Stelle.

Wer Dich angreifen will, muß eine Verbindung zu Deinem Rechner aufbauen. Das geht nicht.

Ich bin etwas erstaunt, daß Du Deine Kritik am Konzept äußerst, ohne Dich vorher über die technischen Grundlagen informiert zu haben. In dieser Form ist Kritik leider ziemlich nutzlos.

Vielleicht hat Dich aber auch nur mein Felswand-Bild verwirrt, das (zugegeben) ungeeignet wird, sobald man es auf mehr als nur die Installation einer Firewall anwendet: Man muß sich die Felswand sozusagen halbtransparent vorstellen. Von innen nach außen ist sie kein Hindernis. Das ist natürlich nicht ganz naheliegend.

also folgendes szenario:

ubuntu nach der installation. der anwender hat keine zusätzlichen server-dienste laufen, von aussen lässt sich der rechner nicht "angreifen" - er wird angerufen und keiner hebt ab.

ein benutzer installiert sich nun aber server-dienste. wenn er angerufen wird hebt er immer ab, egal wer dran ist. bei ner firewall wird quasi per rufnummeranzeige geschaut, wer dran ist, und erst dann entschieden ob abgehoben wird.

stimmt die analogie soweit? was ist mit samba? ist das per default außerhalb des lokalen netzwerks unerreichbar? wie ist das mit amule? zählt das bereits als serverdienst und rechtfertigt eine firewall? oder icq?

bei Samba weiß ich's nicht. Aber AMule und ICQ willst Du doch sicher im Internet benutzen, oder? Ist doch normalerweise der Sinn der Sache.

Ok, zunächst einmal etwas Grundsätzliches: Ich bin auf Linux umgestiegen, weil es als Sicherer in bezug auf Viren, Würmer und auch Angriffe gilt, als Windows. Hinzu kommt, das ich von Windows echt enttäuscht bin. Soviel dazu.

Ich vertrete hier auch keinen festen Standpunkt, das kann ich auch gar nicht, da mir einfach die Notwendigen Kenntnisse fehlen. Wichtig für mich sind in der Hauptsache klare unwiederlegbare Fakten, an denen ich mich orientiere. Ich lasse mich also auch gerne eines besseren belehren.
droebbel hat geschrieben:

Nein. Das ist ein fundamentales Mißverständnis. Wenn Du hinaus gehst, forderst Du Daten an, die Du dann entgegennimmst. Die würden auch von einer Firewall durchgelassen. Wie Dir aber vielleicht schon aufgefallen ist, nimmt Dein Browser nicht wahllos Daten von irgendwoher entgegen. Er holt das, was du (die von dir angeforderte Webseite) haben willst. Das ist eine ausgehende Verbindung, über die natürlich auch Daten hereinkommen - aber eben nicht von beliebiger Stelle.

Ok. Was den Browser angeht, so gibt Firefox wenigstens die Möglichkeit, verschieden Dinge zu unterbinden, bzw. zu blockieren. Bei dem Internet Explorer unter Windows war das ja selbst für IT-Spezialisten kaum möglich.

droebbel hat geschrieben:

Wer Dich angreifen will, muß eine Verbindung zu Deinem Rechner aufbauen. Das geht nicht.

Hmm, das will ich Dir gerne glauben. Doch nun wüßte ich gerne, warum das nicht geht und vor allen Dingen, wo kann ich das sehen, das es nicht geht?

droebbel hat geschrieben:

Ich bin etwas erstaunt, daß Du Deine Kritik am Konzept äußerst, ohne Dich vorher über die technischen Grundlagen informiert zu haben. In dieser Form ist Kritik leider ziemlich nutzlos.

Nun, Deine kritik hinsichtlich meiner Kritik ist sicher richtig. - Für mich gilt aber immer der Grundsatz, was von Menschenhand geschaffen, kann auch von Menschenhand manipuliert werden. Klar, mir fehlen die Nötigen Kenntnisse um hier wirklich auf Fachliches Wissen basierende Kritik zu äußern. Aber das tue ich ja auch nicht wirklich. Ich stelle lediglich Aussagen in frage, weil - zumindest mir - nicht bewiesen ist das sie auch 100%ig korrekt sind.

Sicher, diese Skepsis rührt noch aus meiner Windows-Zeit her, mit der ich leider immer wieder konfrontiert werde (nicht jeder hat die Musse, sich mit Linux zu beschäftigen) und ich bin jedes mal entsetzt darüber, welchen Gefahren sich verschieden Freunde, Verwandte aussetzen.

Ich will niemanden unterstellen, er würde die Unwahrheit sagen, ich bin sicher, jeder äußert sich hier nach besten Wissen und Gewissen, denn och scheint es da ja defizite zu geben, sonst gäbe es diese Diskusion nicht. Und als nichts anderes sehe ich das hier: Als eine Konstruktive Diskusion, in der jeder für sich neue Infos erlangen kann.

Wie gesagt, wenn man mir erklärt, wo ich überprüfen kann, was genau auf meinem Ubuntu passiert, insbesondere der Netzwerkverkehr (einschließlich Internet) und ich dann die Ausführungen, Ubuntu bräuchte keine Firewall, nachvollziehen kann und als ein Fakt ansehen kann, dann werde ich das auch sicher tun.

Ach ja, bevor da noch ein Falscher Eindruck entsteht: Mir ist durchaus klar, das es keinen 100%igen Schutz gibt, sowie man den PC ans Internet anschließt. (es sei denn er ist gerade herunter gefahren, nur dann nutzt der Anschluß auch nichts)

droebbel hat geschrieben:

Vielleicht hat Dich aber auch nur mein Felswand-Bild verwirrt, das (zugegeben) ungeeignet wird, sobald man es auf mehr als nur die Installation einer Firewall anwendet: Man muß sich die Felswand sozusagen halbtransparent vorstellen. Von innen nach außen ist sie kein Hindernis. Das ist natürlich nicht ganz naheliegend.

Ich denke, die Beschreibung hat schon recht gut Deine Meinug verdeutlicht. Aber eine Firewall macht ja nichts anderes: Sie verbirgt den Eigenen rechner vor dem Internet. Das heißt, alle (bis auf jene, die evtl. freigegeben sind) Ports werden verborgen, so das es bei einem Portscan keine Antwot gibt. Und ich denke, Du wolltest damit sagen, das alle Ports von Ubuntu zu, also verborgen sind, es sei denn man gäbe sie (z.B. durch Installation einer Anwendung) frei.

Ok, ich hoffe ich habe mich verständlich ausgedrückt und bin niemanden zu nahe getreten, denn das ist das letzte, was ich möchte.

Gruß,

Cmdr. Vitok

flashbeast hat geschrieben:

also folgendes szenario:

ubuntu nach der installation. der anwender hat keine zusätzlichen server-dienste laufen, von aussen lässt sich der rechner nicht "angreifen" - er wird angerufen und keiner hebt ab.

ein benutzer installiert sich nun aber server-dienste. wenn er angerufen wird hebt er immer ab, egal wer dran ist. bei ner firewall wird quasi per rufnummeranzeige geschaut, wer dran ist, und erst dann entschieden ob abgehoben wird.

stimmt die analogie soweit? was ist mit samba? ist das per default außerhalb des lokalen netzwerks unerreichbar? wie ist das mit amule? zählt das bereits als serverdienst und rechtfertigt eine firewall? oder icq?

Genau das ist der Fahl den ich meine... Nemmen wir mal an Samba (was wahrscheilnich fast jeder installiert hat) hat eine schwere Sicherheitslücke. In diesem Fall würde firestarter in den ersten Stunden schützen (in manchen Wlans (flughaben zb) gar nicht so unwichtig). Ich versuche viel auf meinem Laptop (habe webmin rennen usw..) und dann will ich nicht das ein 3 mein Laptop berührt 😉
Firestarter erlaubt es auch einen http Server laufen zu haben, ohne das jemand zugreifen darf (nur localhost!).
Also ich wäre stark für eine Standardfirewall, dann fühle ich mich einfach sicherer.
lg xecto

Hallo Vitok,

Wie gesagt, wenn man mir erklärt, wo ich überprüfen kann, was genau auf meinem Ubuntu passiert, insbesondere der Netzwerkverkehr (einschließlich Internet) und ich dann die Ausführungen, Ubuntu bräuchte keine Firewall, nachvollziehen kann und als ein Fakt ansehen kann, dann werde ich das auch sicher tun.

Um das herauszufinden, kannst du meines Erachtens nach Ethereal benutzen (Universe Repository). Damit bekommt man alles mit, was sich auf einer bestimmten Netzwerkschnittstelle (z.B. eth0) abspielt.

Alex

Hallo Alex!

AMDUser hat geschrieben:

Um das herauszufinden, kannst du meines Erachtens nach Ethereal benutzen (Universe Repository). Damit bekommt man alles mit, was sich auf einer bestimmten Netzwerkschnittstelle (z.B. eth0) abspielt.

Interessanter Hinweis, werd ich gleich mal ausprobieren.

xecto hat geschrieben:

Genau das ist der Fahl den ich meine... Nemmen wir mal an Samba (was wahrscheilnich fast jeder installiert hat) hat eine schwere Sicherheitslücke. In diesem Fall würde firestarter in den ersten Stunden schützen (in manchen Wlans (flughaben zb) gar nicht so unwichtig). Ich versuche viel auf meinem Laptop (habe webmin rennen usw..) und dann will ich nicht das ein 3 mein Laptop berührt Winken
Firestarter erlaubt es auch einen http Server laufen zu haben, ohne das jemand zugreifen darf (nur localhost!).
Also ich wäre stark für eine Standardfirewall, dann fühle ich mich einfach sicherer.

Genau das ist auch meine Meinung. ich will gerne glauben, daß Ubuntu in der Standard/minimal-Installation absolut dicht ist, (Wobei der Begriff 'absolut' doch eher relativ anzusehen ist) doch sowie verschieden Programme installiert sind, die über das Internet mit irgendwelchen Servern/rechner komunizieren, ist eine Undichte Stelle da, das denke ich zumindest. Immerhin habe ich den Messenger gaim zu laufen und zu zwei Website-Servern neheme ich auch regelmäßig Kontakt auf.
Aber gut, ich werde mal schauen, wie Ethereal so ausschaut, was man damit machen kann und vor allen dingen, wie verständlich sind die Ausgaben des Programms?

Gruß,

Cmdr. Vitok

doch sowie verschieden Programme installiert sind, die über das Internet mit irgendwelchen Servern/rechner komunizieren, ist eine Undichte Stelle da, das denke ich zumindest. Immerhin habe ich den Messenger gaim zu laufen und zu zwei Website-Servern neheme ich auch regelmäßig Kontakt auf.

Deren Ports nach aussen zu schliessen wäre dann aber kontraproduktiv.

Die Firewall hilft Dir nur, wenn Du Server-Programme laufen hast, auf die von aussen nicht zugegriffen werden soll - und Du ihnen nicht zutraust, selbst darauf zu achten, dass Zugriffe nur von z.B. localhost erlaubt sind.

Andererseits könnte es natürlich auch Sicherheitslücken in der Firewall-Implementation geben...

Wenn man nicht gerade zu den bedauernswerten Leuten gehört, die bei Modems bleiben müssen, ist heutzutage IMHO eh am sinnvollsten, wenn man sich hinter einem DSL/Kabel-Router versteckt 😉
Da hat man dann auch gleich die immer wieder empfohlene Konfiguration, bei der die 'Firewall' ein eigener Rechner ist, auf dem sonst nix läuft.

Ohne iptables:

tcs@prometheus tcs $ nmap horus

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-08-19 17:43 CEST
All 1663 scanned ports on horus.double-action.tld (192.168.123.195) are: closed

Nmap finished: 1 IP address (1 host up) scanned in 0.234 seconds

mit iptables:

tcs@prometheus tcs $ nmap horus

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-08-19 17:46 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0Nmap finished: 1 IP address (0 hosts up) scanned in 4.017 seconds

Ich seh keinen Unterschied der mich zu Begeisterungstaumel für iptables auf meinem Rechner hinreißen würde. 😉

Cheers

tcs

Wie gesagt, wenn man mir erklärt, wo ich überprüfen kann, was genau auf meinem Ubuntu passiert, insbesondere der Netzwerkverkehr (einschließlich Internet) und ich dann die Ausführungen, Ubuntu bräuchte keine Firewall, nachvollziehen kann und als ein Fakt ansehen kann, dann werde ich das auch sicher tun.

Da hast du dir aber was vorgenommen... 😉
Dann installier dir mal ethereal, das zeigt dir den gesamten Netzwerkverkehr, der an deiner Netzwerkkarte vorbeizieht. Da solltest du dann sehen können, was alles für'n Schrott von draußen reinkommt und ob dein Rechner darauf antwortet.
Wenn du noch weitere PC's im Netzwerk hast, wirst du außerdem sehen, dass diese sich hinter deinem Rücken recht lustig unterhalten, das macht aber nichts.

Dakuan

Hi Dakuan!

Dakuan hat geschrieben:

Da hast du dir aber was vorgenommen... 😉
Dann installier dir mal ethereal, das zeigt dir den gesamten Netzwerkverkehr, der an deiner Netzwerkkarte vorbeizieht. Da solltest du dann sehen können, was alles für'n Schrott von draußen reinkommt und ob dein Rechner darauf antwortet.
Wenn du noch weitere PC's im Netzwerk hast, wirst du außerdem sehen, dass diese sich hinter deinem Rücken recht lustig unterhalten, das macht aber nichts.

Jaaa, installiert habe ich es auch schon. Doch das Programm ist wieder mal völlig in englisch und ich verstehe nur Bahnhof... Nein, im ernst, mir ist leider nicht klar, was ich da wo einstellen muß. Ich hane zwar schon ein wenig herumgesucht, aber nicht so richtig was gefunden. 😕
Gibt es für das Programm vielleicht ein deutsches Sprachpaket, oder ein deutsches Handbuch?

Gruß,

Cmdr. Vitok

Hehe , ich habe mir das Programm PeerGuardian 1.9x runnergeladne, dass bloggt IP's von allen möglichen stellen.(Auch viel Adaware und Werbung)... ob so Software etwas bringt, sei dahingestellt ... aber ich belasse mich mal in dem Glauben 😉