TomL hat geschrieben: 14.12.2017 15:02:10
EEK hat geschrieben: 14.12.2017 14:07:09
Aber einen oder mehrere Ports "einfach nur" zu sperren, traue ich mir dann doch zu.
Um was zu erreichen? Wenn Du einen bestimmten Port sperren willst, warum deinstallierst Du dann nicht einfach den anscheinend nicht benötigten Dienst, der auf diesem Port lauscht? Oder andersrum, warum willst Du einen Dienst laufen lassen, wenn er nach der Portsperre dermaßen kastriert ist, dass er nicht kommunizieren kann? Und wenn Du Input-Ports sperren möchtest... auf einem Desktop-PC hinter einem Standard-Consumer-DSL-Router...???.. äh, was soll das bringen...?... der Router lässt doch imho sowieso nix durch,was nicht von innen initiiert wurde.... oder täusche ich mich da?
Also, meine Meinung.... Iptables auf einem Desktop-PC (hinter Router) sind m.E. eher dafür da Ports freizugeben, und nicht um zu sperren. Zum Beispiel um einen Rechner, dem der Zugangs ins Internet stark reglementiert werden soll, zu blocken.... aber dann nach dem Motto
"Es ist grundsätzlich alles verboten, was nicht ausdrücklich erlaubt ist.", wobei in dem Fall generell alles verboten ist und nur einzelne Ports explizit freigegeben werden. Aber einzelne Ports sperren und dann glauben, eine boshafte Anwendung einigt sich mit einem fremden Host nicht einfach auf einen anderen freien Port und verwendet diesen.... ich schätze, da hauts dann nicht wirklich mit der Sicherheit hin.
Viel kaputt machen kann man mit Iptables eigentlich nicht. Entweder das System funktioniert noch, oder eben nicht. Nur ob die gesetzten Iptables tatsächlich die Sicherheit gewähren, die man sich vorstellt... tja, das steht auf einem anderen Blatt. Und wenn man Pech hat, hat man nur einen Post-It mit dem Wort "Sicherheit" auf den Bildschirm geklebt.... tatsächlich hat man aber nix erreicht.
Also zunächst Mal, um dir zwei Beispiel zu nenne. Fail2ban installiert bei mir unter Debian „bsd-mailx“ mit und öffnet den smtp Port. Ob man „bsd-mailx“ nun deinstallieren/deaktivieren kann, sei mal dahingestellt. Es wird trotzdem erst Mal ein Port geöffnet, den das eigentliche Programm zum funktionieren nicht braucht und den ich gar nicht öffnen wollte. Und ja, wenn man es richtigmacht, sollte man so was überprüfen. Aber wenn, wenn, wenn… würde Menschen keine Fehler passieren. Also Zu sagen „Oder andersrum, warum willst Du einen Dienst laufen lassen, wenn er nach der Portsperre dermaßen kastriert ist, dass er nicht kommunizieren kann?“ Vielleicht will ich einen Dienst laufen lassen, der einen anderen Dienst laufen lässt, bei dem ich mir (erstmal) nicht sicher bin, ob der „fremde“ Dienst benötigt wird. Ja, zu Hause hinter dem Router ist so was egal. Aber wie gesagt, vielleicht weiß ich nicht ob ob der Dienst wirklich benötigt wird, und will einfach Mal schauen was passiert, wenn ich den Port sperre.
Zweites Beispiel: Bei uns in der Firma wird viel mit Virtualisierung gearbeitet. Wir haben vSphere mit Linux und Windows VMs, die von den Softwareentwicklern und Testern zum Testen verwendet werden. Auf den VMs werden immer wieder Ports gesperrt um verschiedene Dinge zu testen. Also nur, weil es im „normalen“ Einsatz keinen Sinn macht oder hier keiner nutzt, einzelne Ports zu sperren, heißt das noch lange nicht, dass das niemand braucht.
Aber um nun deinen Fragen zu beantworten: Den letzten Satz habe ich nicht geschrieben, weil ich behaupte, ich sperre irgendwelche Ports, oder dass das auf jeden Fall Sinn macht… Sondern um auf den Satz von „Struppi“ zu antworten. Bzw. ich wollte damit nur sagen, dass man nicht immer Profi sein muss, um am Betriebssystem, Software, iptables, Einstellungen… etwas zu ändern. Aber wenn es dich glücklicher macht, oder mir dann nicht gleich wieder irgendwas unterstellt wird, was ich nie gesagt habe. Mein letzter Satz hätte wie folgt lauten müssen: "Man muss nicht immer Profi sein, um (Sicherheits)Einstellungen zu ändern. Auch also nicht Guru kann man was richtig machen".