Arno IPtables UDP Ports schließen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Aeris90
Beiträge: 4
Registriert: 12.05.2017 22:43:29

Arno IPtables UDP Ports schließen

Beitrag von Aeris90 » 12.05.2017 22:51:02

Guten Abend,

ich nutze auf meinem Vserver Arno IPtables und ich möchte nun alle UDP Ports schließen, allerdings weiß ich nicht genau wie.

Bei der Standardconfig wurden nur folgende Einträge geändert:
EXT_IF="..."
EXT_IF_DHCP_IP="0"
DRDOS_PROTECT="1"
OPEN_ICMP="1"
BLOCK_HOSTS_FILE="/etc/arno-iptables-firewall/blocked-hosts"

Und ein paar Ports bei OPEN_TCP= 80, ... usw

OPEN_UDP="" ist so in der Config vermerkt.
Ich möchte, dass UDP immer geblockt wird, bis auf eventuell in OPEN_UDP definierte Ports.

Gruß,

Aeris90

Edit: in der jetzigen Configuration sind alle UDP Ports sperrangel weit offen, TCP nicht!

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Arno IPtables UDP Ports schließen

Beitrag von jph » 13.05.2017 13:53:43

"Stehen sperrangel offen" -- welche Dienste lauschen denn da?

Aeris90
Beiträge: 4
Registriert: 12.05.2017 22:43:29

Re: Arno IPtables UDP Ports schließen

Beitrag von Aeris90 » 13.05.2017 15:00:48

Rpcbind ist Standard mäßig installiert und lauscht auf udp 111.
Wobei ich halt generell möchte das udp erstmal zu ist, bis man den Port open_udp freigibt.

DeletedUserReAsG

Re: Arno IPtables UDP Ports schließen

Beitrag von DeletedUserReAsG » 13.05.2017 15:07:50

Rpcbind ist Standard mäßig installiert und lauscht auf udp 111.
Seltsam, bei mir nicht.
Wobei ich halt generell möchte das udp erstmal zu ist, bis man den Port open_udp freigibt.
Keinen Dienst laufen lassen, der einen aufmacht → alle Ports zu.

Ansonsten halt via iptables INPUT -p udp droppen (aber sich dann nicht wundern, wenn $sachen wie Namensauflösung nicht mehr tun).

Aeris90
Beiträge: 4
Registriert: 12.05.2017 22:43:29

Re: Arno IPtables UDP Ports schließen

Beitrag von Aeris90 » 13.05.2017 16:01:06

Hmm, wenn ich bei OVH und Netcup meinen vServer mit Debian Minimal installiere, dann ist:

nfs-common und rpcbind installiert.

netstat -tulpen
Bild

Ein Nmap Scan mit ein paar Ports:
Bild

DeletedUserReAsG

Re: Arno IPtables UDP Ports schließen

Beitrag von DeletedUserReAsG » 13.05.2017 16:07:57

Dann deinstallier/deaktivier’s halt. Oder setze ein sauberes System auf – das ist die Lösung, die ich in der Regel bevorzuge: da läuft dann nur der Kram, den ich draufgetan habe.

Deiner nmap-Ausgabe zufolge wird das eh (providerseitig?) gefiltert.

OT: Text als Bild zu posten, ist nicht sehr freundlich.

Aeris90
Beiträge: 4
Registriert: 12.05.2017 22:43:29

Re: Arno IPtables UDP Ports schließen

Beitrag von Aeris90 » 13.05.2017 16:14:08

niemand hat geschrieben:Dann deinstallier/deaktivier’s halt. Oder setze ein sauberes System auf – das ist die Lösung, die ich in der Regel bevorzuge: da läuft dann nur der Kram, den ich draufgetan habe.

OT: Text als Bild zu posten, ist nicht sehr freundlich.
Die beiden Pakete zu entfernen ist wohl die beste Lösung.

Wobei ich halt echt verwundert bin, dass die Pakete in den Standard Images von so großen Anbietern vorhanden sind, vor allem da es ja zusammen mit offenen Udp Ports ein enormes Risiko darstellt.

Zum OT: Entschuldigung dafür, ich hatte es erst als Text drin, aber dann erschien es mir als Bild sinnvoller bzw. übersichtlicher, für den nächsten Post weiß ich es dann besser :)

Edit: Die Intention hinter dem Post ist folgende:
Ein Kollege hat seinen Vserver auch bei Netcup und eine Nachricht bekommen, dass sein Vserver durch rpcbind + offenen UDP Port 111 gefährdet ist.

Edit 2: bei Netcup wird es nicht providermäßig gefiltert:
111/udp open rpcbind (rpcbind V2-4) 2-4 (rpc #100000)

Der Scan aus dem letzten Post war von einem frischen OVH Server, aber bei Netcup gibt es genau das selbe Problem, nur dass dort keine Provider Filterung stattfindet laut Nmap

DeletedUserReAsG

Re: Arno IPtables UDP Ports schließen

Beitrag von DeletedUserReAsG » 13.05.2017 16:44:38

Wobei ich halt echt verwundert bin, dass die Pakete in den Standard Images von so großen Anbietern vorhanden sind, vor allem da es ja zusammen mit offenen Udp Ports ein enormes Risiko darstellt.
Die Provider tun dir ein System drauf, das grundsätzlich läuft – für alles Weitere ist der Admin zuständig. Ich hatte mir damals die vorhandene Debianinstallation auf einem OVH-Rootserver angesehen und gefunden, dass diese möglichst schnell durch eine saubere Installation zu ersetzen ist.

Ein offener Port ist auch nicht per se ein „enormes Risiko“. Das wird’s erst, wenn das betreffende Programm fehlkonfiguriert ist oder Sicherheitslücken aufweist.

Antworten