Wozu Firewall

[fabske]

Gerade eben beim Zähneputzen stell ich mir die Frage, wozu betreibe ich eigentlich auf meinem RootServer eine Firewall? Ich betreue einen einfach RootServer auf dem ein Apache, ein FTP und ein SSH Server läuft und eigentlich frage ich mich, warum ich eine Firewall habe? Wenn doch alle Dienste die auf dem Server laufen sowieso für die große weite Welt laufen, warum dann eine Firewall? Warum soll ich z.B. den Port 666 sperren, wenn an diesem gar kein Dienst läuft?

[HELLinG3R]

Damit nicht irgendein "tool" "versehentlich" dort einen Port aufmacht?

[fabske]

Damit nicht irgendein "tool" "versehentlich" dort einen Port aufmacht?

Was meinst du? Auf einem Server passiert doch nicht einfach zufällig mal irgendwas?

[HELLinG3R]

Normalerweise nicht, nein.
Aber wenn Nutzer Zugriff haben, haben sie evtl auch eine shell und können (beispielsweise) einen IRC daemon auf Port 12345 starten. Der lauscht dann und versendet über ein spezielles kommando per sendmail-binary, auf das der normale user zugriff hat, spam.

[Simmel]

G Wenn doch alle Dienste die auf dem Server laufen sowieso für die große weite Welt laufen, warum dann eine Firewall?

Je nach FW, ist es sogar möglich deine Server die Dienste im Internet anbieten von deinem internen Netz abzukoppeln. Sowas nennt man eine DMZ - demilitarized zone


Unternehmen gehen sogar her und benutzen 2 FW und andere physikalische Trennungen, z.B. programmierbare Switches um die Netze noch einmal zusätzlich abzusichern.

Bei wikipedia ist das schon recht gut erklärt

http://de.wikipedia.org/wiki/Demilitarized_Zone

Übrigens wenn du noch auf jedem Server ebenfalls eine FW baust, kannst du deinen Netzwerkverkehr besser überwachen, vor allem wenn du diese restriktiv aufbaust.

Grüße,
Simmel

[HELLinG3R]

wozu betreibe ich eigentlich auf meinem RootServer eine Firewall?

Es ging nicht um FHW-Firewalls - trotzdem ist dein Post eine Bereicherung, nur möglicherweise verwirrend.

Übrigens wenn du noch auf jedem Server ebenfalls eine FW baust, kannst du deinen Netzwerkverkehr besser überwachen, vor allem wenn du diese restriktiv aufbaust.

Hier würde mich eine Erläuterung interessieren - Warum soll eine (übliche) Firewall der Überwachung dienlich sein?


(Das sind ernst gemeinte Fragen und nicht als Provokation gedacht)

[gms]

Ich betreue einen einfach RootServer auf dem ein Apache, ein FTP und ein SSH Server läuft und eigentlich frage ich mich, warum ich eine Firewall habe?

Darüber können wir höchstens Vermutungen äußern und nachdem du dir als Root Server Administrator selbst diese Frage stellst, schaut die Antwort eher driste aus.
Poste uns einmal die Ausgabe von "netstat -tulpn" von deinem Root Server
Wie ist dein ssh konfiguriert, ist Passwort-Login erlaubt ? Ist das "Local User" Login beim FTP Server erlaubt ?

Ohne Firewall ist dein Root Server jedenfalls nicht einmal gegen kleinere DoS oder Brute Force Attacken geschützt. Wobei eine einzelner Host mit einer DoS Attacke gegen deinen Apache, diesen ziemlich lahm legen kann. Selbst dann wenn du mod_evasive einsetzt, ist es wesentlich Resourcen schonender, wenn du diesen Host per Firewall aussperren kannst.

Gruß
gms

[Simmel]

Hier würde mich eine Erläuterung interessieren - Warum soll eine (übliche) Firewall der Überwachung dienlich sein?


(Das sind ernst gemeinte Fragen und nicht als Provokation gedacht)

Hmhkay,

also prinzipiell ist es ja so, das eine FW so aufgebaut ist das man "von innen" alles machen darf. D.h. ich mache z.B. ein

Code: Alles auswählen

apt-get update

und die Verbindung zum Debian-Server wird erlaubt, die Anfragen die zurück kommen werden identifiziert als "von innen" gestellt und werden durchgelassen.

Anders gesprochen, Stateful Inspection erlaubt dir die Pakete die von innen erfragt worden sind (den Ursprung im geschützen Bereich haben) zu erkennen und durchzulassen.

Wenn du deine FW aber nun restrikitiv aufsetzt, regelst du auch den Verkehr nach draussen.

Bleiben wir mal bei deinem Beispiel, irgendwie hat es ein Bot geschafft sich durch einen deiner Internet-Dienste zu haxorn und setzt gerade seine Tools ein. Nicht gerade intelligent einen Dienst aufsetzt, versucht er eine Hintertür zu öffnen um sich dann schlafen zu legen. Da er hinter der FW sitzt kann er dieses nun ohne weiteres realisieren, was er aber meist nicht kann, ist die FW-Regeln zu erweitern.

Selbstverständlich kann man auch die FW aushebeln, wenn es ein Mensch ist wird er sehr schnell begreifen, das die FW auch nach aussen begrenzt, ein Bot aber eher nicht.

Hier kommt nun ein weiterer nützlicher Effekt ins Spiel. Wenn du deine FW restriktiv aufbaust, kannst du theoretisch deinen Netzwerkverkehr durch ein Probe (tcpdump, o.ä.) ständig überwachen (das geht sicherlich auch ohne, keine Frage).

Der Aufbau deiner FW hilft dir die "False Positives" also den gewünschten Verkehr sowohl von aussen nach innen, als auch von innen nach aussen schneller zu verstehen und auszusortieren, so das sich eine Probe nur noch um die Pakete kümmert die auffälig sind.

Wenn wir von einer ganzen Serverfarm ausgehen würden, macht dieser Ansatz durchaus Sinn.

Durch die Kombination einer Analyse von

- eingehenden Paketen die in der FW des jeweiligen Rechners geblockt werden
- ausgehenden Paketen die in der FW des jeweiligen Rechners geblockt werden

und

- dem "Mithören" einer Probe auf eingehende und
- dem "Mithören" einer Probe auf ausgehende Paket

kannst du sehr schnell erkennen wenn einer deiner Server kompromittiert worden ist, oder sich z.B. Server miteinander unterhalten, obwohl diese das sonst nie machen würden (z.B. weil ein Rechner kompromittiert worden ist, jemand z.B. schon in deiner DMZ ist, deine äußere FW bereits umgangen hat und dieser das nicht mehr auffällt).

Eine weitere nützliche Funktion wäre es vll. sogar komplette Netze in der Server-FW auszuschliessen, je nachdem welcher Dienst angeboten wird.

Anders kann ich es leider nicht erklären, hoffe das das so verständlich ist?

[HELLinG3R]

Danke für deine Umfangreiche Antwort!
Ich bin, durch den Threadstarter, von einer "simplen" FW-Lösung auf dem Host selber ausgegangen.
Dein Konzept macht, im Farmkontext, durchaus Sinn, aber das Überwachen geschieht durch eine spezielle Software, nicht durch die Firewall - das war also lediglich ein Verständisproblem.

[fabske]

Wie gesagt, ich verwalte nur einen einzigen Server.

Natürlich! Das macht Sinn! Ich blocke DoS Angriffe mit meiner Firewall und erlaube RootKits nicht willkürlich nach Hause zu telefonieren.