[Erledigt] Verständnisfrage zu fail2ban und iptables

Alles rund um sicherheitsrelevante Fragen und Probleme.
EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

[Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 15.09.2017 14:29:04

Hallo,

(vor allem )bei einem Server macht es ja Sinn, alle Ports zu sperren, bis auf die, auf denen Dienste laufen. Macht das auch Sinn, wenn man fail2ban nutzt?
Vielleicht verstehe ich hier ja was falsch, aber wenn ich per iptables z.B. Port 22 offen lasse, „umgehe“ ich dann nicht die Blockierungen die von fail2ban für ssh erstellt werden?
Zuletzt geändert von EEK am 18.09.2017 11:54:26, insgesamt 1-mal geändert.

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von scientific » 15.09.2017 17:57:42

In dem Fall hast du fail2ban nicht verstanden.
Das untersucht die logs nach fehlgeschlagenen Anmeldeversuchen, und sperrt nach eine festgelegten Anzahl die IP-Adresse, von der aus die misslungenen Versuche unternommen wurden für eine definierte Zeit.

Damit sich aber jemand anmelden kann, muss der Port ja offen sein... Fail2ban sperrt diese Ports dann selektiv... Im Fall des Falles.

Lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 15.09.2017 18:09:41

scientific hat geschrieben: ↑ zum Beitrag ↑
15.09.2017 17:57:42
Das untersucht die logs nach fehlgeschlagenen Anmeldeversuchen, und sperrt nach eine festgelegten Anzahl die IP-Adresse, von der aus die misslungenen Versuche unternommen wurden für eine definierte Zeit.
Soweit ist mir das schon klar. Aber fail2ban sperrt die jeweilige IP doch auch "nur", indem es in den iptables einen Eintrag ala "REJECT all -- IP anywhere reject-with..." erstellt.
Deshalb ja die Frage ob sich die Einträge zum sperren von IPs mit dem festgelegten "öffnen für alle" von ssh gegenseitig in die Quere kommen. Oder liege ich mit den iptables bei fail2ban schon falsch?

struppi
Beiträge: 300
Registriert: 02.12.2011 14:12:09

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von struppi » 16.09.2017 14:25:57

EEK hat geschrieben: ↑ zum Beitrag ↑
15.09.2017 18:09:41
scientific hat geschrieben: ↑ zum Beitrag ↑
15.09.2017 17:57:42
Das untersucht die logs nach fehlgeschlagenen Anmeldeversuchen, und sperrt nach eine festgelegten Anzahl die IP-Adresse, von der aus die misslungenen Versuche unternommen wurden für eine definierte Zeit.
Soweit ist mir das schon klar. Aber fail2ban sperrt die jeweilige IP doch auch "nur", indem es in den iptables einen Eintrag ala "REJECT all -- IP anywhere reject-with..." erstellt.
Deshalb ja die Frage ob sich die Einträge zum sperren von IPs mit dem festgelegten "öffnen für alle" von ssh gegenseitig in die Quere kommen.
Genau das ist doch das Ziel von fail2ban. Es soll den erlaubten Diensten "in die Quere" kommen, wenn ein Angriffsversuch detektiert wird. Dann wird die selektive IP gesperrt.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 16.09.2017 17:42:55

struppi hat geschrieben: ↑ zum Beitrag ↑
16.09.2017 14:25:57
EEK hat geschrieben: ↑ zum Beitrag ↑
15.09.2017 18:09:41
scientific hat geschrieben: ↑ zum Beitrag ↑
15.09.2017 17:57:42
Das untersucht die logs nach fehlgeschlagenen Anmeldeversuchen, und sperrt nach eine festgelegten Anzahl die IP-Adresse, von der aus die misslungenen Versuche unternommen wurden für eine definierte Zeit.
Soweit ist mir das schon klar. Aber fail2ban sperrt die jeweilige IP doch auch "nur", indem es in den iptables einen Eintrag ala "REJECT all -- IP anywhere reject-with..." erstellt.
Deshalb ja die Frage ob sich die Einträge zum sperren von IPs mit dem festgelegten "öffnen für alle" von ssh gegenseitig in die Quere kommen.
Genau das ist doch das Ziel von fail2ban. Es soll den erlaubten Diensten "in die Quere" kommen, wenn ein Angriffsversuch detektiert wird. Dann wird die selektive IP gesperrt.
Nicht falsch verstehen, das ist jetzt nicht böse gemeint, aber drücke ich mich echt so unverständlich aus?
Ich weiß was bzw. wofür fail2ban ist, und dass es dynamische Regeln erstellt, um IP's zu sperren.
Ich will wissen, ob es (zumindest theoretisch) möglich ist, dass die von fail2ban erstellten Regeln nicht mehr greifen, weil ich "per Hand" über iptables z.B. den Port 22 "für alle" öffne?
Oder um es noch deutlicher zu sagen, ich hab es geschafft, mich per SSH mit einer Test-VM zu verbinden, obwohl die IP von fail2ban gesperrt war. Mir ist schon klar, dass ich vermutlich irgendwo einen Fehler gemacht habe. Aber das ändert nichts daran, das der Dienst lief, "fail2ban-client status sshd" diese IP als blockiert angezeigt hat, und ich mich wie gesag aber verbinden konnte. Daher die Frage, weil ich gerne herausfinden würde, was ich falsch gemacht habe

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von scientific » 16.09.2017 17:51:51

Ich arbeit mich auch grad in iptables ein... Bin also noch nicht fit.

Aber ich habs so verstanden, dass die ganze Kette so lange abgearbeitet wird, bis eine DENY-Regel zutrifft.
Fail2ban hängt unten an... Wenn also vorne freigegeben wird, und später verboten, bleibts draußen.

Aber wie das jetzt im Detail funktioniert, hab ich auch noch nicht durchblickt...
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

jeff84
Beiträge: 324
Registriert: 15.07.2009 13:32:36

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von jeff84 » 17.09.2017 09:43:32

Die Chain wird solange abgearbeitet bis eine Regel greift. Wenn du also als erste Regel ein

Code: Alles auswählen

iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT
hast, ist es total egal wie viel dahinter noch gedroppt wird.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 17.09.2017 11:15:21

scientific hat geschrieben: ↑ zum Beitrag ↑
16.09.2017 17:51:51
Aber wie das jetzt im Detail funktioniert, hab ich auch noch nicht durchblickt...
Geht mir genauso. Ich dachte erst, dass das relativ einfach ist. Aber umso mehr ich mich damit beschäftige, umso komplexer wird es.
jeff84 hat geschrieben: ↑ zum Beitrag ↑
17.09.2017 09:43:32
Die Chain wird solange abgearbeitet bis eine Regel greift. Wenn du also als erste Regel ein

Code: Alles auswählen

iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT
hast, ist es total egal wie viel dahinter noch gedroppt wird.
Das erklärt, warun ich mich trotz geblocker IP einloggen konnte.
Heißt dann aber auch, dass SSH per iptables öffnen und über fail2ban absichern keinen Sinn macht, oder?
Nur die IP's die ich zum Verbinden zulassen will über iptables regeln, würde ja nur funktionieren, wenn der Server im gleichen Netz ist bzw. wenn sich die IP des Hosts sich nicht ändert.

jeff84
Beiträge: 324
Registriert: 15.07.2009 13:32:36

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von jeff84 » 17.09.2017 12:55:01

EEK hat geschrieben: ↑ zum Beitrag ↑
17.09.2017 11:15:21
Das erklärt, warun ich mich trotz geblocker IP einloggen konnte.
Heißt dann aber auch, dass SSH per iptables öffnen und über fail2ban absichern keinen Sinn macht, oder?
Nur die IP's die ich zum Verbinden zulassen will über iptables regeln, würde ja nur funktionieren, wenn der Server im gleichen Netz ist bzw. wenn sich die IP des Hosts sich nicht ändert.
Du hast die Möglichkeit mit iptables auch so was ähnliches wie Fail2Ban aufzubauen. Es gibt das Modul recent, womit du nur eine bestimmte Anzahl Verbindungen pro Zeiteinheit freigibst. Verbunden mit einer Whitelist ist das ganz angenehm.

Code: Alles auswählen

# Generated by iptables-save v1.6.0 on Sun Sep 17 12:53:41 2017
*filter
:INPUT ACCEPT [59629:3207324]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [70414:5668956]
:BADGUY - [0:0]
:ssh_whitelist - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ssh_whitelist
-A INPUT -m recent --update --seconds 3600 --name badguys --mask 255.255.255.255 --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 600 --hitcount 6 --name ssh --mask 255.255.255.255 --rsource -j BADGUY
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 3 --name ssh --mask 255.255.255.255 --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh --mask 255.255.255.255 --rsource
-A BADGUY -m recent --set --name badguys --mask 255.255.255.255 --rsource -j DROP
-A ssh_whitelist -s 10.10.10.11/32 -m recent --remove --name ssh --mask 255.255.255.255 --rsource -j ACCEPT
-A ssh_whitelist -s 192.168.0.0/16 -m recent --remove --name ssh --mask 255.255.255.255 --rsource -j ACCEPT
COMMIT
# Completed on Sun Sep 17 12:53:41 2017
In dem Fall bekommt man nach 3 Verbindungsversuchen in einer Minute einen DROP und nach 6 in 10 Minuten ist man ne Stunde auf der Blacklist. Wobei die Stunde bei jedem weiteren Versuch in der Zeit wieder von neuem beginnt.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 17.09.2017 14:22:00

jeff84 hat geschrieben: ↑ zum Beitrag ↑
17.09.2017 12:55:01
Du hast die Möglichkeit mit iptables auch so was ähnliches wie Fail2Ban aufzubauen. Es gibt das Modul recent, womit du nur eine bestimmte Anzahl Verbindungen pro Zeiteinheit freigibst. Verbunden mit einer Whitelist ist das ganz angenehm.

Code: Alles auswählen

# Generated by iptables-save v1.6.0 on Sun Sep 17 12:53:41 2017
*filter
:INPUT ACCEPT [59629:3207324]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [70414:5668956]
:BADGUY - [0:0]
:ssh_whitelist - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ssh_whitelist
-A INPUT -m recent --update --seconds 3600 --name badguys --mask 255.255.255.255 --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 600 --hitcount 6 --name ssh --mask 255.255.255.255 --rsource -j BADGUY
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 3 --name ssh --mask 255.255.255.255 --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh --mask 255.255.255.255 --rsource
-A BADGUY -m recent --set --name badguys --mask 255.255.255.255 --rsource -j DROP
-A ssh_whitelist -s 10.10.10.11/32 -m recent --remove --name ssh --mask 255.255.255.255 --rsource -j ACCEPT
-A ssh_whitelist -s 192.168.0.0/16 -m recent --remove --name ssh --mask 255.255.255.255 --rsource -j ACCEPT
COMMIT
# Completed on Sun Sep 17 12:53:41 2017
Danke für das Beispiel! Für mich als Anfänger beim Thema iptables macht das aber vorerst keinen Sinn.
Mein Server steht zwar bei mir zu Hause, und ist von Außen nicht erreichbar. Ziel ist aber, mir einen Webserver einzurichten und den abzusichern (nein, der ist nur zum üben und soll auch später nicht von außen erreichbar sein). Hier was einzurichten, das ich im Detail noch nicht verstehe, bringt vermutlich nichts.

Rein aus Interesse: Würde es Sinn ergeben, per iptables nur den Portbereich vor und nach Port 22 zu sperren, und Port 22 mit fail2ban abzusichern?

jeff84
Beiträge: 324
Registriert: 15.07.2009 13:32:36

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von jeff84 » 17.09.2017 14:44:41

EEK hat geschrieben: ↑ zum Beitrag ↑
17.09.2017 14:22:00
Rein aus Interesse: Würde es Sinn ergeben, per iptables nur den Portbereich vor und nach Port 22 zu sperren, und Port 22 mit fail2ban abzusichern?
Eigentlich bringt es nichts mit IPtables an Ports ein Drop zu machen, wenn an diesem Port eh nichts lauscht. Deshalb reicht es aus meiner Sicht iptables zum limitieren von Ports, die erreichbar sind, einzusetzen.
Ich wüsste nicht, was dagegen sprechen sollte SSH über die default-IPtables Rules offen zu lassen und nur fail2ban sich darum kümmern zu lassen.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 17.09.2017 15:01:48

jeff84 hat geschrieben: ↑ zum Beitrag ↑
17.09.2017 14:44:41
Eigentlich bringt es nichts mit IPtables an Ports ein Drop zu machen, wenn an diesem Port eh nichts lauscht. Deshalb reicht es aus meiner Sicht iptables zum limitieren von Ports, die erreichbar sind, einzusetzen.
Ich dachte die Idee dahinter ist, dass z.B. ein Programm das man installiert, nicht ungewollt/unbemerkt einen Port öffnet von dem man gar nichts weiß? Insofern macht das doch eigentlich schon Sinn, oder?

DeletedUserReAsG

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von DeletedUserReAsG » 17.09.2017 15:06:33

Man sieht doch, was man installiert? Gut, wenn man nach Windowsart von allen möglichen Seiten Kram installiert, weiß man vorher nicht, was der Kram macht. Aber dann nutzt ein Paketfilter auch nix mehr ….

BenutzerGa4gooPh

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von BenutzerGa4gooPh » 17.09.2017 15:43:22

EEK hat geschrieben: ↑ zum Beitrag ↑
17.09.2017 15:01:48
jeff84 hat geschrieben: ↑ zum Beitrag ↑
17.09.2017 14:44:41
Eigentlich bringt es nichts mit IPtables an Ports ein Drop zu machen, wenn an diesem Port eh nichts lauscht. Deshalb reicht es aus meiner Sicht iptables zum limitieren von Ports, die erreichbar sind, einzusetzen.
Ich dachte die Idee dahinter ist, dass z.B. ein Programm das man installiert, nicht ungewollt/unbemerkt einen Port öffnet von dem man gar nichts weiß? Insofern macht das doch eigentlich schon Sinn, oder?
Es ist alles zu verbieten (default Deny) und nur der gewünschte Port zu öffnen!
Also zuerst eine spezielle Regel (Aktion=Permit, Interface, Direktion, Quelladresse, Quellprotokoll, Quellport, Zielangaben dgl.) für das Erwünschte und danach die allgemeine Deny-Any-Regel, die alles sperrt. Wenn und nur wenn die spezielle Regel zutrifft, wird die Deny-Any-Regel nicht erreicht.
Vorher kann man noch weitere spezielle Permit-Regeln für andere Dienste definieren. Bei Erreichen einer Permit-Regel wird der Rest nicht mehr abgearbeitet, das Paket wird weitergeleitet. First Match! Permit-Regeln so speziell wie möglich! Ist bei jedem mir bekanntem Hersteller so, der Accesslists verwendet. iptables ist nicht anders.

Edit: Sachlich korrigiert.
Zuletzt geändert von BenutzerGa4gooPh am 17.09.2017 16:17:09, insgesamt 5-mal geändert.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 17.09.2017 15:52:42

niemand hat geschrieben: ↑ zum Beitrag ↑
17.09.2017 15:06:33
Man sieht doch, was man installiert? Gut, wenn man nach Windowsart von allen möglichen Seiten Kram installiert, weiß man vorher nicht, was der Kram macht. Aber dann nutzt ein Paketfilter auch nix mehr ….
Jana66 hat geschrieben: ↑ zum Beitrag ↑
17.09.2017 15:43:22
Es ist alles zu verbieten (default Deny) und nur der gewünschte Port zu öffnen!
Sorry, aber was jetzt? Sperrt man alle Ports, oder macht es keinen Sinn?

BenutzerGa4gooPh

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von BenutzerGa4gooPh » 17.09.2017 15:55:28

EEK hat geschrieben: ↑ zum Beitrag ↑
17.09.2017 15:52:42
Sorry, aber was jetzt? Sperrt man alle Ports, oder macht es keinen Sinn?
Obigen Beitrag editiert.

Die Aussage von @niemand ist weiterhin zu beachten. Bezieht sich auch auf Traffic von LAN -> WAN, der in dieser Richtung von Programmen initiiert wird und zu berücksichtigen ist. Z. B. per Stateful Packet Inspection, heutzutage state of the art. Stateful Packet Inspection ist also ebenfalls zu realisieren. Oder manuell definieren: Zulässigen Traffic LAN -> WAN (outbound, egress). Kommunikation ist bidirektional!

In Richtung WAN -> LAN (inbound, ingress) schützt die Stateful Packet Inspection Firewall, also manuelle Eingriffe für Öffnung von Ports für vom Internet erreichbare Anwendungen notwendig. Oder die Default-Deny-Any-Regel dropt. So wie im vorherigen Beitrag beschrieben.

Ohne Firewall, ohne PAT/NAT: Programme öffnen Ports ohne definierte Regeln. Wiederum @niemandes Aussage berücksichtigen: Alle Dienste öffentlich erreichbar! Ungut ...

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 18.09.2017 11:53:45

Okay, verstehe. Danke!

struppi
Beiträge: 300
Registriert: 02.12.2011 14:12:09

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von struppi » 18.09.2017 15:23:45

EEK hat geschrieben: ↑ zum Beitrag ↑
16.09.2017 17:42:55
Nicht falsch verstehen, das ist jetzt nicht böse gemeint, aber drücke ich mich echt so unverständlich aus?
Ich weiß was bzw. wofür fail2ban ist, und dass es dynamische Regeln erstellt, um IP's zu sperren.
Ich will wissen, ob es (zumindest theoretisch) möglich ist, dass die von fail2ban erstellten Regeln nicht mehr greifen, weil ich "per Hand" über iptables z.B. den Port 22 "für alle" öffne?
Das war für mich aus deinem Beitrag nicht ersichtlich gewesen. Du hast bis dahin nicht davon gesprochen, dass du iptables von Hand manipulieren möchtest. Wobei ich nicht weiss ob das überhaupt sinnvoll ist. Ich mach das nicht und habe einige Server - die auch öffentlich erreichbar sind - am laufen. Ich verlasse mich darauf, dass die Einstellungen von Debian und den benutzen Programme keine Lücken öffnen, die ich nicht selbst aufreiße.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 20.09.2017 08:21:42

struppi hat geschrieben: ↑ zum Beitrag ↑
18.09.2017 15:23:45
Das war für mich aus deinem Beitrag nicht ersichtlich gewesen. Du hast bis dahin nicht davon gesprochen, dass du iptables von Hand manipulieren möchtest.
Vielleicht reden wir ja aneinander vorbei. Mit "per Hand" meine ich so was in der Art wie hier: https://wiki.debian.org/iptables
Zumindest dachte ich, dass das bereits in meinem ersten Post klar war.
EEK hat geschrieben: ↑ zum Beitrag ↑
15.09.2017 14:29:04
...alle Ports zu sperren...wenn ich per iptables z.B. Port 22 offen lasse...
Falls es nicht ersichtlich war, gelobe ich Besserung beim nächsten Mal :D
struppi hat geschrieben: ↑ zum Beitrag ↑
18.09.2017 15:23:45
...Ich verlasse mich darauf, dass die Einstellungen von Debian und den benutzen Programme keine Lücken öffnen, die ich nicht selbst aufreiße.
Das sehe ich anders. Ich bin sicher kein Experte bei Linux und Debian ist ein klasse OS. Aber auch bei Debian würde ich mich nicht immer darauf verlassen, dass alle Einstellungen von Haus aus sicher sind. Und selbst wenn, nützt mir das nichts, wenn Software Fehler enthält. Laut Debian-Security Newsletter gibt es z.B. bei Apache2 derzeit eine Sicherheitslücke die noch nicht gefixt ist.
https://security-tracker.debian.org/tra ... -2017-9798
https://blog.fuzzing-project.org/60-Opt ... emory.html

Aber noch mal, ich will hier weder streiten, noch schlau daherreden. Wenn ich unrecht habe, lasse ich mich gerne eines besseren belehren.

DeletedUserReAsG

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von DeletedUserReAsG » 20.09.2017 11:49:42

Und iptables würde dir bei dem Apache-Bug wie helfen?

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 20.09.2017 12:27:01

niemand hat geschrieben: ↑ zum Beitrag ↑
20.09.2017 11:49:42
Und iptables würde dir bei dem Apache-Bug wie helfen?
Habe ich das irgendwo behauptet?
Diese Ausage von struppi
struppi hat geschrieben: ↑ zum Beitrag ↑
18.09.2017 15:23:45
Ich verlasse mich darauf, dass die Einstellungen von Debian und den benutzen Programme keine Lücken öffnen, die ich nicht selbst aufreiße.
klang für mich nur so, als müsste ich mich bei Debian sowieso um nichts kümmern, weil es von Haus aus absolut sicher ist, solange man nicht selber was ändert.

struppi
Beiträge: 300
Registriert: 02.12.2011 14:12:09

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von struppi » 08.11.2017 08:07:37

EEK hat geschrieben: ↑ zum Beitrag ↑
20.09.2017 12:27:01
Diese Ausage von struppi
struppi hat geschrieben: ↑ zum Beitrag ↑
18.09.2017 15:23:45
Ich verlasse mich darauf, dass die Einstellungen von Debian und den benutzen Programme keine Lücken öffnen, die ich nicht selbst aufreiße.
klang für mich nur so, als müsste ich mich bei Debian sowieso um nichts kümmern, weil es von Haus aus absolut sicher ist, solange man nicht selber was ändert.
Um "nichts kümmern" ist eine falsche Interpretation. Du musst natürlich Wissen, was du wie benutzt und warum. Aber das von dir oben genannte Beispiel ist genau das was ich meine, es gibt eine Lücke und die wird im Bugreport gemeldet und dann irgendwann gefixed. Du musst dich um nichts kümmern.

Und wenn du auf so einer Ebene anfängst zu "fixen" dann sollte man Wissen was man tut. Ich weiss es nicht und lass daher lieber die Finger davon.

Das ganze hat aber nichts mit gutes oder schlechtes Betriebsystem zu tun. Ich halte es einfach nicht für so selbstverständlich in iptables rumzuwerkeln wie du es darstellst. Das ist eher ein Werkzeug für Spezialisten.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 14.12.2017 14:07:09

struppi hat geschrieben: ↑ zum Beitrag ↑
08.11.2017 08:07:37
Um "nichts kümmern" ist eine falsche Interpretation. Du musst natürlich Wissen, was du wie benutzt und warum. Aber das von dir oben genannte Beispiel ist genau das was ich meine, es gibt eine Lücke und die wird im Bugreport gemeldet und dann irgendwann gefixed. Du musst dich um nichts kümmern.
Natürlich wird es dann gefixt. Aber um gefixt zu werden, muss der Bug erstmal bekannt sein. Und auch in Debian oder Software für Debian wird nicht jeder Bug (gleich) gefunden. Und bis dahin (kann) das ein Sicherheitsrisiko sein. Außerdem gibt es nicht umsonst das "Securing Debian Manual", was sich nicht mit "absichern von Bugs" beschäftigt. Also ist "du musst dich um nichts kümmern" nun mal nicht richtig. Zumindest solange wir von "Einstellungen anpassen" oder "Sicherheitsvorkehrungen treffen" reden. Von Quellcode ändern, Bugs beheben... habe ich nie gesprochen.
struppi hat geschrieben: ↑ zum Beitrag ↑
08.11.2017 08:07:37
Und wenn du auf so einer Ebene anfängst zu "fixen" dann sollte man Wissen was man tut. Ich weiss es nicht und lass daher lieber die Finger davon.
Von welcher "Ebene" reden wir denn hier? Bugfix? Dann ja, davon lasse ich sicher die Finger. Hab ich aber wie gesagt auch nie behauptet, dass ich das kann oder machen will.
struppi hat geschrieben: ↑ zum Beitrag ↑
08.11.2017 08:07:37
Das ganze hat aber nichts mit gutes oder schlechtes Betriebsystem zu tun. Ich halte es einfach nicht für so selbstverständlich in iptables rumzuwerkeln wie du es darstellst. Das ist eher ein Werkzeug für Spezialisten.
Ich halte Debian nicht für schlecht (sonst würde ich es nicht benutzten). Ich gebe dir auch Recht, dass "komplexe" Regeln mit iptables von Profis erstellt werden sollten, oder besser gesagt, man die Finger davon lassen sollte, wenn man nicht weiß was man tut. Aber einen oder mehrere Ports "einfach nur" zu sperren, traue ich mir dann doch zu.

TomL

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von TomL » 14.12.2017 15:02:10

EEK hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 14:07:09
Aber einen oder mehrere Ports "einfach nur" zu sperren, traue ich mir dann doch zu.
Um was zu erreichen? Wenn Du einen bestimmten Port sperren willst, warum deinstallierst Du dann nicht einfach den anscheinend nicht benötigten Dienst, der auf diesem Port lauscht? Oder andersrum, warum willst Du einen Dienst laufen lassen, wenn er nach der Portsperre dermaßen kastriert ist, dass er nicht kommunizieren kann? Und wenn Du Input-Ports sperren möchtest... auf einem Desktop-PC hinter einem Standard-Consumer-DSL-Router...???.. äh, was soll das bringen...?... der Router lässt doch imho sowieso nix durch,was nicht von innen initiiert wurde.... oder täusche ich mich da?

Also, meine Meinung.... Iptables auf einem Desktop-PC (hinter Router) sind m.E. eher dafür da Ports freizugeben, und nicht um zu sperren. Zum Beispiel um einen Rechner, dem der Zugangs ins Internet stark reglementiert werden soll, zu blocken.... aber dann nach dem Motto "Es ist grundsätzlich alles verboten, was nicht ausdrücklich erlaubt ist.", wobei in dem Fall generell alles verboten ist und nur einzelne Ports explizit freigegeben werden. Aber einzelne Ports sperren und dann glauben, eine boshafte Anwendung einigt sich mit einem fremden Host nicht einfach auf einen anderen freien Port und verwendet diesen.... ich schätze, da hauts dann nicht wirklich mit der Sicherheit hin.

Viel kaputt machen kann man mit Iptables eigentlich nicht. Entweder das System funktioniert noch, oder eben nicht. Nur ob die gesetzten Iptables tatsächlich die Sicherheit gewähren, die man sich vorstellt... tja, das steht auf einem anderen Blatt. Und wenn man Pech hat, hat man nur einen Post-It mit dem Wort "Sicherheit" auf den Bildschirm geklebt.... tatsächlich hat man aber nix erreicht.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: [Erledigt] Verständnisfrage zu fail2ban und iptables

Beitrag von EEK » 15.12.2017 09:14:42

TomL hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 15:02:10
EEK hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 14:07:09
Aber einen oder mehrere Ports "einfach nur" zu sperren, traue ich mir dann doch zu.
Um was zu erreichen? Wenn Du einen bestimmten Port sperren willst, warum deinstallierst Du dann nicht einfach den anscheinend nicht benötigten Dienst, der auf diesem Port lauscht? Oder andersrum, warum willst Du einen Dienst laufen lassen, wenn er nach der Portsperre dermaßen kastriert ist, dass er nicht kommunizieren kann? Und wenn Du Input-Ports sperren möchtest... auf einem Desktop-PC hinter einem Standard-Consumer-DSL-Router...???.. äh, was soll das bringen...?... der Router lässt doch imho sowieso nix durch,was nicht von innen initiiert wurde.... oder täusche ich mich da?

Also, meine Meinung.... Iptables auf einem Desktop-PC (hinter Router) sind m.E. eher dafür da Ports freizugeben, und nicht um zu sperren. Zum Beispiel um einen Rechner, dem der Zugangs ins Internet stark reglementiert werden soll, zu blocken.... aber dann nach dem Motto "Es ist grundsätzlich alles verboten, was nicht ausdrücklich erlaubt ist.", wobei in dem Fall generell alles verboten ist und nur einzelne Ports explizit freigegeben werden. Aber einzelne Ports sperren und dann glauben, eine boshafte Anwendung einigt sich mit einem fremden Host nicht einfach auf einen anderen freien Port und verwendet diesen.... ich schätze, da hauts dann nicht wirklich mit der Sicherheit hin.

Viel kaputt machen kann man mit Iptables eigentlich nicht. Entweder das System funktioniert noch, oder eben nicht. Nur ob die gesetzten Iptables tatsächlich die Sicherheit gewähren, die man sich vorstellt... tja, das steht auf einem anderen Blatt. Und wenn man Pech hat, hat man nur einen Post-It mit dem Wort "Sicherheit" auf den Bildschirm geklebt.... tatsächlich hat man aber nix erreicht.
Also zunächst Mal, um dir zwei Beispiel zu nenne. Fail2ban installiert bei mir unter Debian „bsd-mailx“ mit und öffnet den smtp Port. Ob man „bsd-mailx“ nun deinstallieren/deaktivieren kann, sei mal dahingestellt. Es wird trotzdem erst Mal ein Port geöffnet, den das eigentliche Programm zum funktionieren nicht braucht und den ich gar nicht öffnen wollte. Und ja, wenn man es richtigmacht, sollte man so was überprüfen. Aber wenn, wenn, wenn… würde Menschen keine Fehler passieren. Also Zu sagen „Oder andersrum, warum willst Du einen Dienst laufen lassen, wenn er nach der Portsperre dermaßen kastriert ist, dass er nicht kommunizieren kann?“ Vielleicht will ich einen Dienst laufen lassen, der einen anderen Dienst laufen lässt, bei dem ich mir (erstmal) nicht sicher bin, ob der „fremde“ Dienst benötigt wird. Ja, zu Hause hinter dem Router ist so was egal. Aber wie gesagt, vielleicht weiß ich nicht ob ob der Dienst wirklich benötigt wird, und will einfach Mal schauen was passiert, wenn ich den Port sperre.

Zweites Beispiel: Bei uns in der Firma wird viel mit Virtualisierung gearbeitet. Wir haben vSphere mit Linux und Windows VMs, die von den Softwareentwicklern und Testern zum Testen verwendet werden. Auf den VMs werden immer wieder Ports gesperrt um verschiedene Dinge zu testen. Also nur, weil es im „normalen“ Einsatz keinen Sinn macht oder hier keiner nutzt, einzelne Ports zu sperren, heißt das noch lange nicht, dass das niemand braucht.

Aber um nun deinen Fragen zu beantworten: Den letzten Satz habe ich nicht geschrieben, weil ich behaupte, ich sperre irgendwelche Ports, oder dass das auf jeden Fall Sinn macht… Sondern um auf den Satz von „Struppi“ zu antworten. Bzw. ich wollte damit nur sagen, dass man nicht immer Profi sein muss, um am Betriebssystem, Software, iptables, Einstellungen… etwas zu ändern. Aber wenn es dich glücklicher macht, oder mir dann nicht gleich wieder irgendwas unterstellt wird, was ich nie gesagt habe. Mein letzter Satz hätte wie folgt lauten müssen: "Man muss nicht immer Profi sein, um (Sicherheits)Einstellungen zu ändern. Auch also nicht Guru kann man was richtig machen".

Antworten