Firewall installiert, was nun?
Alexander W.
In vielen Zeitschriften lese ich, dass die Sicherheit sehr wichtig ist
und eine Firewall empfohlen wird. Ich verwende seit längerem Debian
Woody auf meinem Internet-PC und möchte den Rechner Hacker-Sicher
machen. Ich habe mir die Kernelquellen, Firewall-Pakete und den
fwbuilder installiert. Jetzt weiss ich nicht, was ich überhaupt
abschotten muss.
Erstmal zu meinem System.
PC1: Debian Gnu/Linux Woody
DSL Anschluss
DSL-Netzwerkkarte 192.168.0.1
LAN-Netzwerkkarte 192.168.1.1
VMWARE-Netz 192.168.2.1
Samba (1 Verzeichnis für VMWARE, 1 Verzeichnis für PC2, 1 Drucker für
beides)
Squid (für LAN)
Mails werden mit Mozilla Mail verwaltet.
Sendmail glaube ich ist aber trotzdem installiert (standard)
edonkey
VMWARE
unterschiedliche Betriebssysteme. Ftp Zugang ins Internet nur für eine
IP
(192.168.2.2 - Linux Test- und Entwicklungssystem)
PC2 Windows 98 (192.168.1.2)
Surven+edonkey steuern
Kann mir jemand ein Paar Anhaltspunkte geben? Was muss abgeschottet
werden? was nicht? Worauf muss ich achten? Sonstige Tipps?
Ich danke im Voraus.
mfg. Alexander W.
Richard Körber
> Kann mir jemand ein Paar Anhaltspunkte geben? Was muss abgeschottet
> werden? was nicht?
Das ist einfach: du schottest erst mal alles ab. Wenn dann
etwas nicht geht, überlege erst mal, ob du den Dienst
*wirklich* brauchst. Wenn ja, mache die entsprechenden Ports
wieder auf.
Grüße
--
Richard Körber -- rkoe...@gmx.de --
Haluk
Als erstes muss eine PF (Personal-Firewall oder Paketfilter) auf deinem Host
installiert werden. Unter Windows 2000/XP stellt VMNAT.EXE (Bei
NAT-Verbindungen) die Verbindung ins Netzwerk und Internet her. Deshalb
müssen unter der Firewall des Host-Systemes Filterregeln für VMNAT.EXE
erstellt werden. (Bei den Verbindungen "Bridged" oder "Host only" sind es
andere Programme, die auf das Netzwerk zugreifen) Unter Linux wird es
ähnlich sein.
Danach sollte eine PF für das Gast-OS installiert werden. Dabei hängt es von
deiner VPN-Einstellung ab, wie du die Pakete routest.
Für ein sehr sicheres System müssen auf dem Host und Gast-Ost alle ICMP IN
und OUT gesperrt werden.
Die weiteren Punkte sind sehr kompliziert und benötigen daher Kenntnis über
die Materie. Dann kannst du Teile von ARP abschalten und bist völlig
unangreifbar.
Pauschal kann dir niemand sagen, wie deine PF eingestellt werden muss, weil
du selbst entscheiden musst, welchen Programmen du Zugriff ins Netzwerk
gestattest und welchen nicht. Deshalb solltest du dich vorher über alle
Protokolle informieren, bevor du anfängst etwas zu öffnen oder sperren.
Wenn du vorhast, nur über das Gast-OS in VMWARE zu surfen, um dein System
vor Viren und Trojanern zu schützen, installiere nur eine Firewall auf
deinem Host. Mach den Host absolut dicht. Die Virtual-Disk unter VMWARE
kannst du auf "Nonpersistent" stellen. Beim Neustarten deiner Gast-OS
werden alle Änderungen und vermeintliche Schadprogramme beseitigt. Dann
bist du solange sicher, bis jemand eine Lücke in VMWARE findet und deinen
Rechner trotzdem hackt.
--
mfg Haluk
Windows 2000 rocks!
Dirk Prösdorf
> In vielen Zeitschriften lese ich, dass die Sicherheit sehr wichtig ist
> und eine Firewall empfohlen wird.
Es muss aber nicht unbedingt stimmen, was in Zeitschriften so steht.
> PC1: Debian Gnu/Linux Woody
> DSL Anschluss
> DSL-Netzwerkkarte 192.168.0.1
> LAN-Netzwerkkarte 192.168.1.1
> VMWARE-Netz 192.168.2.1
> Samba (1 Verzeichnis für VMWARE, 1 Verzeichnis für PC2, 1 Drucker für
> beides)
> Squid (für LAN)
> Mails werden mit Mozilla Mail verwaltet.
> Sendmail glaube ich ist aber trotzdem installiert (standard)
> edonkey
Warum stellst Du Deine Software nicht einfach so ein, dass sie nicht an
die externe IP-Adresse gebunden ist?
Denis Jedig
> Für ein sehr sicheres System müssen auf dem Host und Gast-Ost alle ICMP
> IN und OUT gesperrt werden.
Bitte, hör auf, diesen Sch*** zu schreiben. Du bist ja noch schlimmer, als
Gibson.
--
Denis Jedig
syneticon GbR
Denis Jedig
> Warum stellst Du Deine Software nicht einfach so ein, dass sie nicht an
> die externe IP-Adresse gebunden ist?
Weil das unter Linux größtenteils wirkungslos ist.
Haluk
> Bitte, hör auf, diesen Sch*** zu schreiben. Du bist ja noch schlimmer, als
> Gibson.
Was hast du dagegen, wenn ich den Leuten sage, wie einfach es ist, ein
System abzusichern?
Denis Jedig
> Denis Jedig wrote:
>
>> Bitte, hör auf, diesen Sch*** zu schreiben. Du bist ja noch schlimmer,
>> als Gibson.
>
> Was hast du dagegen, wenn ich den Leuten sage, wie einfach es ist, ein
> System abzusichern?
Das Filter von ICMP macht dein System nicht sicherer, sondern macht einen
Teil der Protokolle kaputt. Geschweige denn das "Abstellen von Teilen von
ARP" (was genau stellst du dir darunter denn bitte vor, hm?)
Parallele: Gibson behauptet, das Entfernen von Raw Sockets aus den
Betriebssystemen Windows 2000 und XP würde die Sicherheit des Internet
erhöhen.
Ralf Gross
>> Bitte, hör auf, diesen Sch*** zu schreiben. Du bist ja noch schlimmer, als
>> Gibson.
>
> Was hast du dagegen, wenn ich den Leuten sage, wie einfach es ist, ein
> System abzusichern?
Sag ihnen doch gleich, daß sie den Stecker ziehen sollen. Das wäre
immer noch besser als ICMP komplett zu blocken.
Ralf
--
Luck is my middle name, said Rincewind, indistinctly. Mind you, my
first name is Bad. - Terry Pratchett, Interesting Times
Wolfgang Kueter
> Als erstes muss eine PF (Personal-Firewall oder Paketfilter) auf
> deinem Host installiert werden.
Quatsch.
> Unter Windows 2000/XP stellt VMNAT.EXE
> (Bei NAT-Verbindungen) die Verbindung ins Netzwerk und Internet her.
Der OP benutzt weder win2000 noch XP, lern lesen!.
> Deshalb müssen unter der Firewall des Host-Systemes Filterregeln für
> VMNAT.EXE erstellt werden. (Bei den Verbindungen "Bridged" oder "Host
> only" sind es andere Programme, die auf das Netzwerk zugreifen) Unter
> Linux wird es ähnlich sein.
Gesabbel.
> Danach sollte eine PF für das Gast-OS installiert werden.
Unsinn.
> Dabei hängt
> es von deiner VPN-Einstellung ab, wie du die Pakete routest.
Von VPN war beim OP überhaupt nicht die Rede und Routing hat mit VPN
nichts zu tun.
> Für ein sehr sicheres System müssen auf dem Host und Gast-Ost alle
> ICMP IN und OUT gesperrt werden.
Vollkommener Unsinn.
> Die weiteren Punkte sind sehr kompliziert und benötigen daher Kenntnis
> über die Materie. Dann kannst du Teile von ARP abschalten und bist
> völlig unangreifbar.
Nachdem Du also bis hierher vollkommen am Thema vorbei geschrieben
hast, kommt jetzt auch noch weiteres Geschwafel, ohne Sinn und
Verstand, mit dem Hinweis, dieses mache dann ein System unangreifbar.
> Pauschal kann dir niemand sagen, wie deine PF eingestellt werden muss,
> weil du selbst entscheiden musst, welchen Programmen du Zugriff ins
> Netzwerk gestattest und welchen nicht. Deshalb solltest du dich vorher
> über alle Protokolle informieren, bevor du anfängst etwas zu öffnen
> oder sperren.
_Du solltest Dich üner TCP/IP Grundlagen informieren. _Dir_ Mangelt es
nämlich an Grundlagenwissen, weshalb uns immer wieder Dein dämliches
Gesabbel zugemutet wird.
Danke, das reicht, Herr Oeren, setzen, 6!
Wolfgang
--
A foreign body and a foreign mind,
never welcome in the land of the blind.
Peter Gabriel, Not one of us, 1980
Urs [Ayahuasca] Traenkner
> Denis Jedig wrote:
>> Bitte, hör auf, diesen Sch*** zu schreiben. Du bist ja noch schlimmer, als
>> Gibson.
> Was hast du dagegen, wenn ich den Leuten sage, wie einfach es ist, ein
> System abzusichern?
Da haette ich gleich mal eine Frage: welche Teile von ARP kann man denn
wie Abschalten, und vor allem: weswegen?
Gruss Urs...
Urs [Ayahuasca] Traenkner
> Alexander W. wrote:
>> Kann mir jemand ein Paar Anhaltspunkte geben? Was muss abgeschottet
>> werden? was nicht? Worauf muss ich achten? Sonstige Tipps?
Ungenutzte Dienste abstellen. Rest vernuenftig verwalten.
http://online.securityfocus.com/archive/1/271983/2002-05-30/2002-06-05/0
Mit ipchains halt fuer die Verwaltung. Wird nicht viel Zeilen brauchen.
Anleitungen und How Tos gibt es zuhauf.
> Für ein sehr sicheres System müssen auf dem Host und Gast-Ost alle ICMP IN
> und OUT gesperrt werden.
Immer noch Unsinn.
> Die weiteren Punkte sind sehr kompliziert und benötigen daher Kenntnis über
> die Materie. Dann kannst du Teile von ARP abschalten und bist völlig
> unangreifbar.
Dein bester die Tage.
Gruss Urs...
Wolfgang Kueter
> Was hast du dagegen, wenn ich den Leuten sage, wie einfach es ist, ein
> System abzusichern?
Du schreibst wie immer so auch diesmal gequirlte Schei**e.
Gehe in die Bibliothek, begib Dich direkt dorthin, gehe nicht über
grc.com, ziehe nicht 4000 EUR ein.
Jens Hoffmann
Haluk <Ho...@gmx.de> wrote:
>> und eine Firewall empfohlen wird. Ich verwende seit längerem Debian
Man beachte das Wort Debian.
>Als erstes muss eine PF (Personal-Firewall oder Paketfilter) auf deinem Host
>installiert werden.
PF sind nicht notwendigerweise Paketfilter.
>Unter Windows 2000/XP stellt VMNAT.EXE (Bei
>NAT-Verbindungen) die Verbindung ins Netzwerk und Internet her. Deshalb
>müssen unter der Firewall des Host-Systemes Filterregeln für VMNAT.EXE
>erstellt werden. (Bei den Verbindungen "Bridged" oder "Host only" sind es
>andere Programme, die auf das Netzwerk zugreifen) Unter Linux wird es
>ähnlich sein.
Holla? Hast Du gelesen, was er einsetzt?
NAT wird auch fuer die Gastsysteme iunter VMWWARE
nicht von den Gastsystemen gemacht.
Ein Paketfilter wird von ihm eingesetzt.
>Danach sollte eine PF für das Gast-OS installiert werden.
Wozu?
>Dabei hängt es von
>deiner VPN-Einstellung ab, wie du die Pakete routest.
Warum? Welches VPN?
>Für ein sehr sicheres System müssen auf dem Host und Gast-Ost alle ICMP IN
>und OUT gesperrt werden.
Das ist sehr sicher, weil nix mehr richtig funktioniert.
Schau Dir bitte an, wie fragmentierung und/oder PMTUD funktioniert.
>Die weiteren Punkte sind sehr kompliziert und benötigen daher Kenntnis über
>die Materie. Dann kannst du Teile von ARP abschalten und bist völlig
>unangreifbar.
Hu?
>Pauschal kann dir niemand sagen, wie deine PF eingestellt werden muss, weil
>du selbst entscheiden musst, welchen Programmen du Zugriff ins Netzwerk
>gestattest und welchen nicht.
Sagt Dir Capabilities was?
>Deshalb solltest du dich vorher über alle
>Protokolle informieren, bevor du anfängst etwas zu öffnen oder sperren.
Das stimmt. Fang doch bitte mal bei IP an. Informiere Dich ueber den Zusammenspiel
im OSI-Modell von IP und ICMP und ARP.
Gruss,
Jens
Juergen Ilse
Wolfgang Kueter <wolf...@shconnect.de> wrote:
> Haluk wrote:
[ Reichlich Unfug genau wie die sinnvollen Korrekturen gesnipped ]
>> Deshalb solltest du dich vorher über alle Protokolle informieren,
>> bevor du anfängst etwas zu öffnen oder sperren.
Dieser Satz ist IMHO als *einziger* von dem ganzen Sermon des
urspruenglichen Postings ohne jeglichen Widerspruch zu akzeptieren.
> _Du solltest Dich üner TCP/IP Grundlagen informieren. _Dir_ Mangelt es
> nämlich an Grundlagenwissen, weshalb uns immer wieder Dein dämliches
> Gesabbel zugemutet wird.
In dem fraglichen Posting hatte er (im Gegensatz zu manchem anderen
was er bisher so verbreitet hat) doch tatsaechlich *einen* sinnvollen
Satz drin, und den willst du nicht entsprechend wuerdigen? ;-)
Tschuess,
Juergen Ilse (il...@usenet-verwaltung.org)
--
Das Netz ist Freude. Es ist Ekstase, die jeden einzelnen Nerv erglühen
läßt. Es ist Duft, den man fühlt. Es ist ein Bild, das man riecht.
Es ist Erfüllung - ein Geschmack, neben dem alles andere schal ist.
("Netzreiter-Preisung" aus dem Buch "Der Netzparasit" von Andreas Brandhorst)
Jens Suelwald
> Danach sollte eine PF für das Gast-OS installiert werden. Dabei hängt es von
> deiner VPN-Einstellung ab, wie du die Pakete routest.
Gast - OS innerhalb der VMWare? Nunja, nicht zwingend nötig dort eine PF
zu installieren, aber für sehr paranoide schon.
> Für ein sehr sicheres System müssen auf dem Host und Gast-Ost alle ICMP IN
> und OUT gesperrt werden.
Das ist IMHO Blödsinn. Vor allem wenn ein Host ein ICMP - Paket sendet,
weil z.B. ein Webserver derzeit nicht läuft und daher der Port nicht offen
ist. Wenn du dieses ICMP - Paket dann verschluckst, wartet dein Rechner
sich daran zu tode, AFAIK.
> Die weiteren Punkte sind sehr kompliziert und benötigen daher Kenntnis über
> die Materie. Dann kannst du Teile von ARP abschalten und bist völlig
> unangreifbar.
ARP... gehen ARP-Anfragen überhaupt via DSL weiter ins Internet? Wenn
nein, brauch man da nix sperren.
Und intern.. ist ARP nicht sehr wohl ein SEHR wichtiger Bestandteil? Oder
hab ich was falsch verstanden?
> Pauschal kann dir niemand sagen, wie deine PF eingestellt werden muss, weil
> du selbst entscheiden musst, welchen Programmen du Zugriff ins Netzwerk
> gestattest und welchen nicht. Deshalb solltest du dich vorher über alle
> Protokolle informieren, bevor du anfängst etwas zu öffnen oder sperren.
*ACK*
> Wenn du vorhast, nur über das Gast-OS in VMWARE zu surfen, um dein System
> vor Viren und Trojanern zu schützen, installiere nur eine Firewall auf
> deinem Host. Mach den Host absolut dicht. Die Virtual-Disk unter VMWARE
Nunja.. wenn derHost absolut dicht ist, wird VMWare auch nix mehr können,
oder? ^.^
mfg, WereBones
--
Jens 'WereBones' Sülwald | Linux rocks ;)
http://www.werebones.de/bonsi/ |
ICQ: 56519352 |
AIM: WereBones |
Wolfgang Kueter
> In dem fraglichen Posting hatte er (im Gegensatz zu manchem anderen
> was er bisher so verbreitet hat) doch tatsaechlich *einen* sinnvollen
> Satz drin, und den willst du nicht entsprechend wuerdigen? ;-)
Doch Jürgen, ich würdige seinen Satz entsprechend, denn es ist eine
ziemliche Dreistigkeit unseres Lieblingstrolls, anderen Ratschläge zu
geben (Informiere Dich über Protokolle etc.) und selbst genau diese
sinnvollen Ratschläge nicht zu befolgen.
Also ist er doppelt schuldig, nicht nur, dass er Schwachsinn wegen
seiner Wissenslücken im Elementarbereich schreibt, er rät anderen, ihr
Wissen zu vergrößern und tut genau das selbst nicht.
Jens Suelwald
> Was hast du dagegen, wenn ich den Leuten sage, wie einfach es ist, ein
> System abzusichern?
Nunja... absichern oder es unbrauchmar machen... da iss nen Unterschied
*g*
mfg, WereBones
--
Jens 'WereBones' Sülwald |
Jens Suelwald
> > Warum stellst Du Deine Software nicht einfach so ein, dass sie nicht an
> > die externe IP-Adresse gebunden ist?
> Weil das unter Linux größtenteils wirkungslos ist.
Isses? Hmmm.. Iss mir nie aufgefallen, nunja... auch wenn ich was nur an
eine interne IP binde, filtere ich doch von aussen den Port, sicher ist
sicher. Das könnte bewirken, das ich das ned merke *G*
Dirk Prösdorf
> Dirk =?ISO-8859-15?Q?Pr=F6sdorf?= <d.pro...@gmx.de> wrote:
>
>> Warum stellst Du Deine Software nicht einfach so ein, dass sie nicht an
>> die externe IP-Adresse gebunden ist?
>
> Weil das unter Linux größtenteils wirkungslos ist.
Kommisch, bei mir funktioniert dies gut und wirksam.
Was unter Linux nicht funktioniert, ist die Bindung einer IP an ein
Device (RFC1122). Wenn man sich aber davor schützen möchte, ist die
Filter-Regel wesentlich einfacher (auf externen Device alles ablehnen,
was die interne IP erreichen möchte).
Ich mag ja altmodisch sein, aber ich finde es sinnvoll, seine Dienste
richtig zu konfiguieren.
Denis Jedig
> seiner Wissenslücken im Elementarbereich schreibt, er rät anderen, ihr
> Wissen zu vergrößern und tut genau das selbst nicht.
Fällt die Berufsgruppe "Lehrer" eigentlich auch unter die beschriebene
Kategorie, oder muss man da irgendwie differenzieren?
Wolfgang Kueter
> Fällt die Berufsgruppe "Lehrer" eigentlich auch unter die beschriebene
> Kategorie, oder muss man da irgendwie differenzieren?
:->
WOlfgang
Bernhard Trummer
> Was hast du dagegen, wenn ich den Leuten sage, wie einfach es ist, ein
> System abzusichern?
Weil Du vergessen hast zu erwähnen, daß man ausgehende TCP-Pakete
mit gesetzem SYN-Flag auch sperren muß...
*SCNR*
--
No sig @ work.
Bernhard Trummer
> Das ist IMHO Blödsinn. Vor allem wenn ein Host ein ICMP - Paket sendet,
> weil z.B. ein Webserver derzeit nicht läuft und daher der Port nicht offen
> ist. Wenn du dieses ICMP - Paket dann verschluckst, wartet dein Rechner
> sich daran zu tode, AFAIK.
Muß nicht sein. Denn ein TCP/SYN wird normalerweise mit einem RST
beantwortet, falls kein Server auf dem betreffenden Port horcht.
Ein ICMP (port-unreachable, wenn ich mich nicht irre) habe ich
nur dann beobachtet, wenn z.B. ein ipchains-Packetfilter ein
REJECT macht.
Ich weiß allerdings nicht, ob es einen TCP/IP-Stack gibt,
der von sich aus TCP/SYNs mit einem ICMP-Paket abweist...
Bernhard Trummer
> Weil das unter Linux größtenteils wirkungslos ist.
-v bitte.
Ich habe auf meinem Rechner z.B. einen junkbuster laufen, der
auf 127.0.0.1:5865 gebunden ist. Von außen (d.h. von einem
anderen Rechner im Netzwerk) ist der definitiv nicht erreichbar...
Michael Andresen
> Hallo Groupis,
>
> In vielen Zeitschriften lese ich, dass die Sicherheit sehr wichtig ist
naja, das ist ja auch unbestritten richtig - aber lagom, wie man hier
sagt, also nicht zuviel und nicht zuwenig.
> und eine Firewall empfohlen wird.
Ja, das ist im Moment _das_ Modewort, leider wie ueblich inzwischen in
den meisten Artikeln jedes Inhaltes entleert...
> Ich verwende seit längerem Debian Woody auf meinem Internet-PC
> und möchte den Rechner Hacker-Sicher machen.
Mich schmerzt es jedesmal, wenn ich den Begriff "Hacker" im Sinne von
"Cracker" verwendet sehe; afaik verstehen sich u.a. Linus Torvalds und
Eric S. Raymond zum Beispiel selber als Hacker...
> Ich habe mir die Kernelquellen, Firewall-Pakete und den
> fwbuilder installiert. Jetzt weiss ich nicht, was ich überhaupt
> abschotten muss.
Es ist schwierig, Dir hierzu einen Rat zu geben; das ist, als
ob Du fragst, was fuer ein Auto Du kaufen sollst oder wie Du Deine
Wohnung tapezieren oder einrichten sollst; es gibt ein paar sicher
dysfunktionale Varianten, aber im wesentlichen richtet sich das nach
Deinen Beduerfnissen.
Mit ein paar dysfunktionalen Varianten hat freundlicherweise Haluk den
Thread bereichert; da kannst Du sehen, wie man es zum Beispiel nicht
machen soll.
Obwohl ich ihn ganz unterhaltsam finde; er setzt immer an, man koennte
denken, jetzt kommt was so richtig richtig Schlaues, und dann springt
er mit einer beeindruckenden Selbstsicherheit mitten in das tiefste
Fettnaepfchen, das weit und breit zu sehen ist.
Die Frage ist: sitzt da jemand, der Ahnung von der Materie hat und sich
einen Spass draus macht, eine NG an der Nase herumzufuehren, oder meint
er das Ernst? Haluk? Neee, ich wuerd es wohl auch nicht verraten... ;-)
>
> Erstmal zu meinem System.
>
> PC1: Debian Gnu/Linux Woody
> DSL Anschluss
> DSL-Netzwerkkarte 192.168.0.1
> LAN-Netzwerkkarte 192.168.1.1
> VMWARE-Netz 192.168.2.1
> Samba (1 Verzeichnis für VMWARE, 1 Verzeichnis für PC2, 1 Drucker für
> beides)
> Squid (für LAN)
> Mails werden mit Mozilla Mail verwaltet.
> Sendmail glaube ich ist aber trotzdem installiert (standard)
> edonkey
>
> VMWARE
> unterschiedliche Betriebssysteme. Ftp Zugang ins Internet nur für eine
> IP
> (192.168.2.2 - Linux Test- und Entwicklungssystem)
>
> PC2 Windows 98 (192.168.1.2)
> Surven+edonkey steuern
>
> Kann mir jemand ein Paar Anhaltspunkte geben? Was muss abgeschottet
> werden? was nicht? Worauf muss ich achten? Sonstige Tipps?
Generell wuerde ich vorschlagen, dass Du alles entfernst, was Du nicht
brauchst und nur die Software auf den Rechnern belaesst, die Du auch
wirklich verwendest.
Server kann man in ihrer Reichweite beschraenken, wenn man sie den
braucht.
Du kannst ueberlegen, ob Du iptables nutzt; das ist das
Verwaltungsprogramm fuer den im Kernel eingebauten Paketfilter; dann
solltest Du Dir mal die Howtos anschauen (google mal nach iptables).
Das alles setzt aber voraus, das Du mit
Begriffen wie TCP, three-way-handshake, ICMP usw. was anfangen kannst;
rfc 1180 (glaub ich war es) liefert eine ganz brauchbare Einfuehrung,
die ich am Anfang recht instruktiv fand; als Buch bevorzuge ich den
O'Reilly-Titel (TCP/IP-Network Administration, Craig Hunt vor dem
Tanenbaum; ich habe allerdings die deutsche Ausgabe; die englische soll
wohl besser sein.
edonkey ist wohl ein filesharing-tool? Falls ja, ist das natuerlich
eine relativ breite offene Seite...
Wenn Du keine Dienste nach aussen anbietest, kannst Du alle
Verbindungsaufbauten von aussen untersagen und solche nur von innen
zulassen; ich kenne edonkey allerdings nicht und weiss nicht, ob der
dann noch funktioniert; ich vermute fast nicht...
Viel Erfolg,
//M
--
Goodbye Douglas!
Whereever you are now, keep your towel and: don't panic.
Michael Andresen
> Jens Suelwald <jsue...@werebones.de> wrote:
>> Das ist IMHO Blödsinn. Vor allem wenn ein Host ein ICMP - Paket
>> sendet, weil z.B. ein Webserver derzeit nicht läuft und daher der
>> Port nicht offen ist. Wenn du dieses ICMP - Paket dann verschluckst,
>> wartet dein Rechner sich daran zu tode, AFAIK.
>
> Muß nicht sein. Denn ein TCP/SYN wird normalerweise mit einem RST
> beantwortet, falls kein Server auf dem betreffenden Port horcht.
ACK. DNS waere wohl ein gesuchtes Beispiel gewesen (ja, auch DNS _kann_
tcp nutzen...).
> Ein ICMP (port-unreachable, wenn ich mich nicht irre) habe ich
> nur dann beobachtet, wenn z.B. ein ipchains-Packetfilter ein
> REJECT macht.
udp-Pakete sollen standardmaessig mit einem port-unreachable
beantwortet werden:
"A host SHOULD generate Destination Unreachable messages with code:
[...]
3 (Port Unreachable), when the designated transport protocol (e.g.,
UDP) is unable to demultiplex the datagram but has no protocol
mechanism to inform the sender."(rfc 792)
> Ich weiß allerdings nicht, ob es einen TCP/IP-Stack gibt,
> der von sich aus TCP/SYNs mit einem ICMP-Paket abweist...
zumindest ist es wohl zulaessig:
"A transport protocol that has its own mechanism for notifying the
sender that a port is unreachable (e.g., TCP, which sends RST segments)
MUST nevertheless accept an ICMP Port Unreachable for the same
purpose."
(rfc 792); aber ob es faktisch gemacht wird, weiss ich auch nicht.
Jens Suelwald
> >> Warum stellst Du Deine Software nicht einfach so ein, dass sie nicht an
> >> die externe IP-Adresse gebunden ist?
> > Weil das unter Linux größtenteils wirkungslos ist.
> Ich mag ja altmodisch sein, aber ich finde es sinnvoll, seine Dienste
> richtig zu konfiguieren.
Naja.. was heisst altmodisch... sicher ist sicher.. also: Warum nicht den
Dienst daran binden, wo er gebraucht wird, und nicht dort, wo man ihn
_nicht_ braucht, und parallel dazu dennoch diese Ports auch auf den
nicht-gebunden IP's / Devices sperren?
Bernd Eckenfels
> fwbuilder installiert. Jetzt weiss ich nicht, was ich ?berhaupt
> abschotten muss.
root@woody# netstat -plutev
sind die Dinge um die du dir Sorgen machen musst.
Gruss
Bernd
Athanasios Boussoulas
<michaelhor...@telia.com> wrote:
>Obwohl ich ihn ganz unterhaltsam finde; er setzt immer an, man koennte
>denken, jetzt kommt was so richtig richtig Schlaues, und dann springt
>er mit einer beeindruckenden Selbstsicherheit mitten in das tiefste
>Fettnaepfchen, das weit und breit zu sehen ist.
Die Frage ist eher, wer hier in das Fettnäpfchen tritt ;)
>Die Frage ist: sitzt da jemand, der Ahnung von der Materie hat und sich
>einen Spass draus macht, eine NG an der Nase herumzufuehren, oder meint
Endlich mal jemand der "das" HALUK überhaupt begreift. :) Er versteht
es vorzüglich, sich gewisse "Eigenheiten" dieser NG zunutze zu machen.
>er das Ernst?
Niemals. Das ist zu offensichtlich. Ich kann mir gut vorstellen, dass
er sich über so manchen hier köstlich amüsiert. Denk mal nur an das
letzte Posting mit den ARP´s :) Ich könnte mich jetzt noch
kaputtlachen.
PS: Schade, dass Du jetzt einige zum Nachdenken bewegt hast. Ich hätte
gerne noch etwas gelacht......
Bernd Eckenfels
> root@woody# netstat -plutev
und um mich gleich zu widerlegen, reicht wohl bei vmware nicht aus.
Gruss
Bernd
Wolfgang Kueter
> Endlich mal jemand der "das" HALUK überhaupt begreift. :) Er versteht
> es vorzüglich, sich gewisse "Eigenheiten" dieser NG zunutze zu machen.
Nun, nachdem während der ersten Auftritte von Haluk hier jemand aus
seiner unmittelbaren Umgebung (gleiche Uni) einiges zum Besten gab,
scheint es sich bei Haluk eben nicht um jemanden zu handeln, der es
besser weiss, sondern der auch in seiner Umgebung durch ähnliche
unsinnige Aktionen auffällt.
Insofern ist Deine Einschätzung von Haluk wohl flasch.
Wolfgang
Ulrich Hanke
>
> sind die Dinge um die du dir Sorgen machen musst.
Hi
[root@ulrich scar]# netstat -plutev
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address
State Benutzer Inode PID/Program name
tcp 0 0 *:ssh *:*
LISTEN root 3092 1141/sshd
tcp 0 0 ulrich.tux:ipp *:*
LISTEN root 3397 1203/cupsd
tcp 0 0 localhost.localdoma:ipp *:*
LISTEN root 3396 1203/cupsd
udp 0 0 *:35116 *:*
scar 27474 1969/kmail
udp 0 0 *:631 *:*
root 3398 1203/cupsd
muss ich mir sorgen machen?
Habe keinen Packetfilter installiert.
SSH läuft weil ich den Rechner ab und zu Fernsteuere.
Dann biete ich noch den Drucker fürs locale netz an.
Warum kmail mit aufgeführt ist bin ich mir nicht sicher, kmail läuft
und holt alle 30min Mails ab.
Hat das soweit seine Ordung oder muss ich da was tun?
mfg Ulrich
Athanasios Boussoulas
<wolf...@shconnect.de> wrote:
>Athanasios Boussoulas wrote:
>> Endlich mal jemand der "das" HALUK überhaupt begreift. :) Er versteht
>> es vorzüglich, sich gewisse "Eigenheiten" dieser NG zunutze zu machen.
>Nun, nachdem während der ersten Auftritte von Haluk hier jemand aus
>seiner unmittelbaren Umgebung (gleiche Uni) einiges zum Besten gab,
>scheint es sich bei Haluk eben nicht um jemanden zu handeln, der es
>besser weiss, sondern der auch in seiner Umgebung durch ähnliche
>unsinnige Aktionen auffällt.
Sein Freund vielleicht? :) Und der Poster kennt zufällig das Pseudo
Haluk ? Kein Realname....naja.
>Insofern ist Deine Einschätzung von Haluk wohl flasch.
Sicher nicht. Um an der Uni studieren zu dürfen, bedarf es schon mal
Abitur. Gut, dass heisst noch lange nichts. Ich weiss auch nicht im
wievielten Semester er gerade ist, aber auch das spielt keine Rolle.
Glaubst Du allen ernstes, dass jemand mit einem gewissen Backround
soviel Scheiße posten kann ? Ich nicht. Ausserdem brauch man doch nur
seine Postings _genau_ zu lesen. Ich sehe da auch ein System. Michael
hat es schon *richtig* erkannt ;)
PS: Niemand tritt so _bewusst_ ins Fettnäpchen.
PPS: Komm Haluk, sag was ;)
Felix von Leitner
> >Nun, nachdem während der ersten Auftritte von Haluk hier jemand aus
> >seiner unmittelbaren Umgebung (gleiche Uni) einiges zum Besten gab,
> >scheint es sich bei Haluk eben nicht um jemanden zu handeln, der es
> >besser weiss, sondern der auch in seiner Umgebung durch ähnliche
> >unsinnige Aktionen auffällt.
> Sein Freund vielleicht? :) Und der Poster kennt zufällig das Pseudo
> Haluk ? Kein Realname....naja.
Leute, laßt bitte Haluk in Ruhe. Haluk ist die Warze dieser Newsgroup.
Je mehr ihr daran herumkratzt, streichelt, mit Säure und Pflastern
traktiert... , desto nerviger wird sie.
> PS: Niemand tritt so _bewusst_ ins Fettnäpchen.
Doch.
> PPS: Komm Haluk, sag was ;)
Nein.
Markus Brueckner
> Da haette ich gleich mal eine Frage: welche Teile von ARP kann man denn
> wie Abschalten, und vor allem: weswegen?
Ganz einfach: ARP-WHO-HAS und ARP REPLY schon is Ruhe. Und wieso is doch
klar: damit die bösen Hacker-Pakete ihr Ziel nicht mehr finden und vor
lauter Frust den Weg, den sie kennen zurückgehen und den Absender
zerstören...
Markus, nicht ganz ernst zu nehmen
--
[Männer sind selbstmordgefährdet]
Nur bei Onanie und Vergewaltigung. Beim Onanieren bekommt der Mann keine
Glueckshormone von der Frau zurueck und bei einer Vergewaltigung rueckt
die Frau sie ned raus. - ambanus
Markus Brueckner
> PS: Niemand tritt so _bewusst_ ins Fettnäpchen.
Ob bewußt oder nicht: Leute, die hier teilweise Anfängerfragen stellen,
werden durch solche sinnlosen Postings irritiert. Und das ist gefährlich
für die entsprechenden Poster, die leider oft dazu neigen, die sinnlosen,
aber einfachen Lösungen von Haluk zu bevorzugen, statt der aufwändigen von
Leuten, die sich wirklich auskennen. Naja, ich denke mal, gedient ist damit
niemandem. Der Spaß ist doch sehr kurzsichtig, wenn es denn einer is.
Markus, mal anmerkend
--
We're Germans and we use Unix. That's a combination of two demographic
groups known to have no sense of humour whatsoever.
Hanno Mueller in dcoup
Dieter Funck
> Als erstes muss eine PF (Personal-Firewall oder Paketfilter) auf
> deinem Host installiert werden.
>
> Danach sollte eine PF für das Gast-OS installiert werden.
>
> Für ein sehr sicheres System müssen auf dem Host und Gast-Ost alle
> ICMP IN und OUT gesperrt werden.
>
> Die weiteren Punkte sind sehr kompliziert und benötigen daher
> Kenntnis über die Materie. Dann kannst du Teile von ARP abschalten
> und bist völlig unangreifbar.
[mehr Blödsinn gesnipt]
<flame>
Hat hier eine/r die Null gewählt?
</flame>
Gruss
Dieter
--
Ein Byte sind ungefähr 10 Bit ...
... Tja, es ist immer wieder schön mal den Wissenden raushängen zu
lassen.
("Tut" im Heise-Forum am 12.05.02)
Dieter Funck
...mal wieder Blech.
> Was hast du dagegen, wenn ich den Leuten sage, wie einfach es ist,
> ein System abzusichern?
Geh zu $prof_deines_vertrauens, lass ihn tief Einblick nehmen
in deine erschreckende Welt der Lernresistenz und lass dich
danach schleunigst freiwillig exmatrikulieren. Du bist eine
Schande der Zunft und eine weitere Gefahr für den Standort
Deutschland.
Gruss
Dieter
--
>> Wie kommt es, daß du dir hier eine Meinung zu technischen Dingen
>> anmaßt?
> Weil ich davon mehr verstehe als du.
(Das "Haluk" zu Felix von Leitner in dcsf)
Juergen P. Meier
Man kann von einem direkt an ein ethx angeschlossenen Rechner ein
Paket mit Ziel-IP 127.0.0.1 an deine MAC addresse schicken, Linux
interessiert sich nicht die Bohne dafuer, das dieses paket ueber das
falsche Interface reinkam und leitet es an den Junkbuster weiter.
Abstellen laesst sich dieses Verhalten leider derzeit (<=2.4.19)
nicht per sysctl. Es ist also in diesem Fall ratsam Antispoofing
Regeln per iptables anzulegen.
Es existieren Kernelpatches die dieses Verhalten aendern.
Die option sys/net/ipv4/conf/*/rp_filter betrifft nur das weiterleiten
solcher Pakete. Sie hat keinen Einfluss auf die Behandlung durch den
lokalen Stack, davon abgesehen das hier die Src-IP gegen die Routing-
Tabelle geprueft wird.
Wen es interessiert *warum* linux das so macht, dem sei gesagt das
dieses Verhalten frueher[tm], d.h. im BSD ip stack, default war.
(Layer-2 wird bei Layer-3 behandlung des stacks nicht beachtet ;)
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
This is it. Nothing more to come. There is no more text. It's the
end
No Text? See http://jors.net/oe.html or http://wschmidhuber.de/oeprob/
Ulrich Eckhardt
> Hallo Groupis,
>
> In vielen Zeitschriften lese ich, dass die Sicherheit sehr wichtig ist
> Woody auf meinem Internet-PC und möchte den Rechner Hacker-Sicher
> fwbuilder installiert. Jetzt weiss ich nicht, was ich überhaupt
> abschotten muss.
>
> Erstmal zu meinem System.
>
> PC1: Debian Gnu/Linux Woody
> DSL Anschluss
> DSL-Netzwerkkarte 192.168.0.1
D.h. du hast einen Router der NAT macht. Damit kann schon mal
keiner mehr von außen ins innere Netz.
> Mails werden mit Mozilla Mail verwaltet.
Per default unsichere Software scheint ihr auch nicht zu
verwenden.
> Kann mir jemand ein Paar Anhaltspunkte geben? Was muss abgeschottet
> werden? was nicht? Worauf muss ich achten? Sonstige Tipps?
So auf den ersten Blick sieht das doch ordentlich aus. Viel mehr
kann man eigentlich nicht machen. Wenn man sehr paranoid ist oder
Benutzer mit ausgeprägtem Spieltrieb hat, eventuell das Netz noch
so einrichten, das Squid benutzt werden *muß*. So kann man zumindest
hinterher kontrollieren, wer Unsinn gemacht hat.
Uli
--
Ulrich Eckhardt Transcom
http://www.uli-eckhardt.de http://www.transcom.de
Suche neue Tätigkeit im Raum Darmstadt Lagerstraße 11-15 A8
http://www.uli-eckhardt.de/bewerbung/ 64807 Dieburg
Markus Brueckner
> Man kann von einem direkt an ein ethx angeschlossenen Rechner ein
> Paket mit Ziel-IP 127.0.0.1 an deine MAC addresse schicken, Linux
> interessiert sich nicht die Bohne dafuer, das dieses paket ueber das
> falsche Interface reinkam und leitet es an den Junkbuster weiter.
Wenn ich das richtig verstehe, wäre es theoretisch mit einem falschen,
statischen ARP-Eintrag und ner manipulierten Routing-Tabelle also möglich,
einen Verbindungsaufbau zu einem Dienst zu machen, der auf einem fremden
Rechner nur an localhost lauscht?
Quasi sowas in der Art:
127.0.0.1 -> xx:xx:xx:xx:xx:xx im ARP
und dann das Netz 127/8 über eth0 zum Beispiel routen.
Landet dann eine connection auf localhost automatisch auf dem fremden
Rechner oder verstehe ich da jetzt was verkehrt?
Markus, gerade mit leichten Verständniss-Problemen und ohne Zeit, das
einfach mal auszuprobieren
Markus Brueckner
> Wenn ich das richtig verstehe, wäre es theoretisch mit einem falschen,
> statischen ARP-Eintrag und ner manipulierten Routing-Tabelle also möglich,
> einen Verbindungsaufbau zu einem Dienst zu machen, der auf einem fremden
> Rechner nur an localhost lauscht?
Nachtrag: vorausgesetzt, der entsprechende Rechner befindet sich mit mir in
einem Subnet.
Markus
--
Neu! Jetzt mit Schild!
-
http://www.das-motto-des-tages.de
Dieter Funck
> Ich mag ja altmodisch sein, aber ich finde es sinnvoll, seine
> Dienste richtig zu konfiguieren.
Deine Einstellung wird auf absehbare Zeit up to date bleiben.
Gruss
Dieter
--
Bu bist ein wirklich aufgeblasenes Nullprodukt.
Juergen P. Meier
> Juergen P. Meier wrote:
>
>> Man kann von einem direkt an ein ethx angeschlossenen Rechner ein
>> Paket mit Ziel-IP 127.0.0.1 an deine MAC addresse schicken, Linux
>> interessiert sich nicht die Bohne dafuer, das dieses paket ueber das
>> falsche Interface reinkam und leitet es an den Junkbuster weiter.
>
> Wenn ich das richtig verstehe, wäre es theoretisch mit einem falschen,
> statischen ARP-Eintrag und ner manipulierten Routing-Tabelle also möglich,
> einen Verbindungsaufbau zu einem Dienst zu machen, der auf einem fremden
> Rechner nur an localhost lauscht?
> Quasi sowas in der Art:
> 127.0.0.1 -> xx:xx:xx:xx:xx:xx im ARP
> und dann das Netz 127/8 über eth0 zum Beispiel routen.
> Landet dann eine connection auf localhost automatisch auf dem fremden
> Rechner oder verstehe ich da jetzt was verkehrt?
Du musst "directly connected" sein, da dies nur durch Addressierung
auf Layer-2 moeglich ist, also nur innerhalb eines Layer-3 Subnetzes.
> Markus, gerade mit leichten Verständniss-Problemen und ohne Zeit, das
> einfach mal auszuprobieren
Es geht nicht ueber Router.
Markus Brueckner
> Du musst "directly connected" sein, da dies nur durch Addressierung
> auf Layer-2 moeglich ist, also nur innerhalb eines Layer-3 Subnetzes.
Hm, ja, das hatte ich ja im Nachtrag geschrieben :)
Markus
Ulrich Hanke
>> LISTEN root 3092 1141/sshd
>
> Welche (Open)SSH-Version wird eingesetzt?
3.4p1-1.1mdk
>> LISTEN root 3397 1203/cupsd
>
> Ist dieser Dienst öffentlich? Wenn ja, warum?
Nein ist er nicht.
mfg Ulrich
Wolfram Pienkoss
>Wolfgang Kueter <wolf...@shconnect.de> wrote:
>
>> seiner Wissenslücken im Elementarbereich schreibt, er rät anderen, ihr
>> Wissen zu vergrößern und tut genau das selbst nicht.
>
>Fällt die Berufsgruppe "Lehrer" eigentlich auch unter die beschriebene
>Kategorie, oder muss man da irgendwie differenzieren?
Ja, muß man. Es gibt überall diese und jene.
Gruß,
Wolfram
--
Wolfram Pienkoss Berufsschulzentrum Hermsdorf
Rodaer Strasse 45, D-07629 Hermsdorf Phone: +49-36601-47407
eMail: w...@bszh.de www: www.bszh.de Fax: +49-36601-47400