IPTABLES - Sicherheit Status "invalid"

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
mensch90
Beiträge: 9
Registriert: 13.11.2013 18:51:22

IPTABLES - Sicherheit Status "invalid"

Beitrag von mensch90 » 26.05.2015 00:45:24

Moin moin zusammen,
ich habe eine Grundsatzfrage zu IPTABLES:

Szenario: Webserver
Wenn ich den INPUT via

Code: Alles auswählen

$IPTABLES -P INPUT DROP
perse droppe und via

Code: Alles auswählen

$IPTABLES -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
explizit gültige, sprich neue Verbindungen erlaube, brauche ich dann noch etwas wie:

Code: Alles auswählen

$IPTABLES -A INPUT -m state --state INVALID -j DROP
Man findet den Hinweis immer wieder, dass eine solche Regel gesetzt werden soll - der Kernel ist doch aber so stabil, dass er sich nicht durch invalide Pakete belästigen lässt.
Dieser Meinung ist auch jemand hier: http://security.stackexchange.com/a/4745

Wie handhabt ihr das ganze? Das Paket mit invalidem Content muss doch "automatisch" durch die Policy "drop" weggeworfen werden, oder?

Redhat ist anderer Meinung: http://rhelblog.redhat.com/2014/04/11/m ... ux-7-beta/


Vielen Dank für Input ;) ;) ganz welcher Art!

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: IPTABLES - Sicherheit Status "invalid"

Beitrag von eggy » 26.05.2015 08:42:02

Wenn Du per Policy alles wegwirfst, und vorher nur "gute" Pakete durchlässt, dann werden die schlechten automatisch weggeworfen. Also "nein, brauchst Du nicht". ABER ... die Regeln werden linear von oben nach unten abgearbeitet. Also muss jedes invalide Paket gegen jede andere Regel vorher noch testet werden. Das kostet. Und ausserdem von denen könnte eine sagen "ok du darfst durch".

Es gibt n paar (seltene) Fälle wo auch invalide Pakete erwünscht sind, die sollten im "normal Betrieb" aber nicht vorkommen.
Überleg Dir welche Auswirkung es hat wenn eine "gute" Verbindung nicht zustande kommt, und wäge das ab gegen "ein böses Paket ist durchgekommen". Ich würde mal eine zeitlang loggen was er als invalid betrachtet und dann entscheiden,

Es stellt sich mir eher die Frage: willst Du wirklich so großzügig sein?
Der Webserver läuft eingehend (in der Regel) doch nur auf einem Port - warum also alle 65000+ aufmachen?

Antworten