Was ist diese Anfrage?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Was ist diese Anfrage?

Beitrag von jph » 12.09.2017 19:36:09

scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 18:49:07
An und für sich gibts so gut wie keinen Grund für Pauschalurteile und Ferndiagnosen... @jph
Ähm, wenn du keine Ferndiagnosen willst, weshalb fragst du dann hier? Du wirst hier zwangsläufig nur Ferndiagnosen erhalten, sofern du nicht jemanden an/auf deinen Rechner lässt.

Du darfst gerne deinen Use Case erläutern, damit ich und andere ihn verstehen. Ich verstehe ihn nämlich nicht. Pakete werden auch ohne iptables rejected, wenn keine entsprechende Verbindung besteht bzw. am Zielport kein Dienst lauscht.

Hinweis: dein Rechner befindet sich im Subnetz 192.168.0.0/24, also hinter einem Router. Wieso nattet dein Router eingehende Pakete an deinen Rechner durch? Das wird er nur tun, falls zuvor eine Verbindung SRC=192.168.0.14 DST=216.58.207.77 PROTO=TCP SPT=56624 DST=443 aufgebaut wurde; ansonsten würden diese vom Router rejected (connection tracking). Der Fall, dass du eine fremde IP „geerbt“ hast oder die deine gespooft würde, passt hier nicht. Frage: wer hat zuvor diese Verbindung aufgebaut?

TomL

Re: Was ist diese Anfrage?

Beitrag von TomL » 12.09.2017 20:11:48

jph hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 18:05:08
An und für sich gibt es so gut wie keinen Grund, für einen Rechner daheim iptables zu pflegen. Dienste, die man nicht braucht, deaktiviert man.
Diese Aussage kann ich jetzt überhaupt nicht bestätigen. Es gibt sehr wohl gute Gründe, den ausgehenden Traffic auf Rechner daheim zu reglementieren. Und die folgende Aussage beschreibt doch eindeutig das Ziel, wo ich keine weitere infos wie z.b. ein use case für notwendig erachte:
scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 17:23:41
Bzw... ich hab eigentlich vor, auch OUTPUT auf DROP zu stellen, und nur mehr explizit erlaubten Netzwerkverkehr nach außen durchzulassen.
Und mit Dienste sauber konfigurieren hat das imho auch nix zu tun, es sei denn man betrachtet Libre Office (oder andere) auch als Dienste, die unerlaubt Verbindungen nach draussen aufbauen. Bei mir sind es jedenfalls 2 Maschinen, denen via Iptables jegliche Kontaktaufnahme oder ausgehender Verbindungsversuch ins Internet via Iptables rigoros verboten ist. Eingehender Traffic wird vom Router behandelt, ausgehender bei mir auch via iptables. Die default-Regel für Output ist Drop, explizite Port sind erlaubt.

J.m.2.c

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Was ist diese Anfrage?

Beitrag von scientific » 12.09.2017 22:27:14

Der Usecase ist ein multipler.

1) Ich möchte lernen, wie man iptables programmiert und was man damit machen kann.
2) Ich habe auf meinem Laptop sowohl Mail- als auch Web- als auch Druck und auch einen News-Server laufen. Diese möchte ich teilweise öffentlich erreichbar machen, damit ich mit meinem Smartphone von Unterwegs auf meine Ressourcen zugreifen kann.
3) Ich möchte lernen, wie man solche Webdienste und öffentlich erreichbaren Rechner möglichst gut absichern kann.
4) Ich möchte meinen Rechner so wenig wie möglich unter oben genannten Voraussetzungen geschwätzig machen.
5) Meine öffentlich erreichbaren Webdienste sind 3. SMTPS, IMAPS, SSH und HTTPS. Wie schon aus den Bezeichnungen hervorgeht, habe ich ausschließlich die TLS-gesicherten Ports nach draußen gelegt. SMTPS habe ich zusätzlich noch durch Login abgesichert, dass nur User, die sich einloggen auch tatsächlich Emails verschicken können.
fail2ban, apparmor, firejail (auch für exim4, dovecot und apache) sorgen für zusätzliche Gefängnisse für die Dienste.
6) Später soll noch VPN dazukommen, dann nehme ich die anderen Dienste wieder vom Netz und lasse sie nur per VPN erreichbar sein. Aber soweit bin ich noch nicht.

Ein durchaus ungewöhnlicher Use-Case. Dessen bin ich mir bewusst. Deswegen aber auch die aufwändigen iptables.

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

BenutzerGa4gooPh

Re: Was ist diese Anfrage?

Beitrag von BenutzerGa4gooPh » 13.09.2017 07:29:07

scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 22:27:14
2) Ich habe auf meinem Laptop sowohl Mail- als auch Web- als auch Druck und auch einen News-Server laufen. Diese möchte ich teilweise öffentlich erreichbar machen, damit ich mit meinem Smartphone von Unterwegs auf meine Ressourcen zugreifen kann.
3) Ich möchte lernen, wie man solche Webdienste und öffentlich erreichbaren Rechner möglichst gut absichern kann.
In dem Scenario sollte man physisch trennen. Also eine DMZ per Firewall bilden und eine extra Maschine für die öffentlichen Dienste nutzen.
scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 22:27:14
1) Ich möchte lernen, wie man iptables programmiert und was man damit machen kann.
Würde sich arg vereinfachen, wenn du nur die öffentlichen Dienste berücksichtigen musst. Eigentlich kann das schon eine Firewall.

Also du würdest wohl besser mit einem zusätzlichen Plastikrouter und DDWRT/OpenWRT/LEDE kommen. M. E. pflegst du mit den genannten Distributionen auch iptables - aber für mehrere Ports/VLANs/Zonen (Internet, LAN, DMZ, WLAN, Gast), demzufolge mit physischer oder logischer Dienstetrennung entsprechend Sicherheitsbedarf der jeweiligen Zone. Ein dediziertes Serverlein benötigst du natürlich dazu.

Aber Basteln und Lernen schadet nie. Als Dauerlösung würde ich "Alles-auf-Lappi" nicht verwenden. Du baust dir momentan sozusagen eine Firewall mit GUI, Browser, Privat-Datenspeicher/"NAS" und öffentlich erreichbaren Diensten. Wenn du das mit einem Rootserver machen würdest - der "Sturm der Entrüstung" wäre dir sicher. :wink:

https://de.wikipedia.org/wiki/Demilitarized_Zone

Edit: Ein anderes Thema wäre, wenn nur ein öffentlicher Server betrieben wird. Wäre dann so zu sichern wie ein Root-Server. Aber du mischt hier konzeptionell.

Antworten