Wozu Firewall
Wozu Firewall
Gerade eben beim Zähneputzen stell ich mir die Frage, wozu betreibe ich eigentlich auf meinem RootServer eine Firewall? Ich betreue einen einfach RootServer auf dem ein Apache, ein FTP und ein SSH Server läuft und eigentlich frage ich mich, warum ich eine Firewall habe? Wenn doch alle Dienste die auf dem Server laufen sowieso für die große weite Welt laufen, warum dann eine Firewall? Warum soll ich z.B. den Port 666 sperren, wenn an diesem gar kein Dienst läuft?
Bevor Du einen Beitrag postest:
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
Was meinst du? Auf einem Server passiert doch nicht einfach zufällig mal irgendwas?HELLinG3R hat geschrieben:Damit nicht irgendein "tool" "versehentlich" dort einen Port aufmacht?
Bevor Du einen Beitrag postest:
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
Normalerweise nicht, nein.
Aber wenn Nutzer Zugriff haben, haben sie evtl auch eine shell und können (beispielsweise) einen IRC daemon auf Port 12345 starten. Der lauscht dann und versendet über ein spezielles kommando per sendmail-binary, auf das der normale user zugriff hat, spam.
Aber wenn Nutzer Zugriff haben, haben sie evtl auch eine shell und können (beispielsweise) einen IRC daemon auf Port 12345 starten. Der lauscht dann und versendet über ein spezielles kommando per sendmail-binary, auf das der normale user zugriff hat, spam.
Perl macht Spass.
- Simmel
- Beiträge: 698
- Registriert: 08.03.2004 14:43:43
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Düsseldorf
-
Kontaktdaten:
Re: Wozu Firewall
Je nach FW, ist es sogar möglich deine Server die Dienste im Internet anbieten von deinem internen Netz abzukoppeln. Sowas nennt man eine DMZ - demilitarized zonemohameth hat geschrieben:G Wenn doch alle Dienste die auf dem Server laufen sowieso für die große weite Welt laufen, warum dann eine Firewall?
Unternehmen gehen sogar her und benutzen 2 FW und andere physikalische Trennungen, z.B. programmierbare Switches um die Netze noch einmal zusätzlich abzusichern.
Bei wikipedia ist das schon recht gut erklärt
http://de.wikipedia.org/wiki/Demilitarized_Zone
Übrigens wenn du noch auf jedem Server ebenfalls eine FW baust, kannst du deinen Netzwerkverkehr besser überwachen, vor allem wenn du diese restriktiv aufbaust.
Grüße,
Simmel
you've got to know how far to go in going too far
perl -le'print+(split//,"schaeuble")[6,8,7,3,5,0..2,4]'
http://creativecommons.org/licenses/by-nc-sa/2.0/
perl -le'print+(split//,"schaeuble")[6,8,7,3,5,0..2,4]'
http://creativecommons.org/licenses/by-nc-sa/2.0/
Es ging nicht um FHW-Firewalls - trotzdem ist dein Post eine Bereicherung, nur möglicherweise verwirrend.wozu betreibe ich eigentlich auf meinem RootServer eine Firewall?
Hier würde mich eine Erläuterung interessieren - Warum soll eine (übliche) Firewall der Überwachung dienlich sein?Übrigens wenn du noch auf jedem Server ebenfalls eine FW baust, kannst du deinen Netzwerkverkehr besser überwachen, vor allem wenn du diese restriktiv aufbaust.
(Das sind ernst gemeinte Fragen und nicht als Provokation gedacht)
Perl macht Spass.
Re: Wozu Firewall
Darüber können wir höchstens Vermutungen äußern und nachdem du dir als Root Server Administrator selbst diese Frage stellst, schaut die Antwort eher driste aus.mohameth hat geschrieben:Ich betreue einen einfach RootServer auf dem ein Apache, ein FTP und ein SSH Server läuft und eigentlich frage ich mich, warum ich eine Firewall habe?
Poste uns einmal die Ausgabe von "netstat -tulpn" von deinem Root Server
Wie ist dein ssh konfiguriert, ist Passwort-Login erlaubt ? Ist das "Local User" Login beim FTP Server erlaubt ?
Ohne Firewall ist dein Root Server jedenfalls nicht einmal gegen kleinere DoS oder Brute Force Attacken geschützt. Wobei eine einzelner Host mit einer DoS Attacke gegen deinen Apache, diesen ziemlich lahm legen kann. Selbst dann wenn du mod_evasive einsetzt, ist es wesentlich Resourcen schonender, wenn du diesen Host per Firewall aussperren kannst.
Gruß
gms
- Simmel
- Beiträge: 698
- Registriert: 08.03.2004 14:43:43
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Düsseldorf
-
Kontaktdaten:
Hmhkay,HELLinG3R hat geschrieben: Hier würde mich eine Erläuterung interessieren - Warum soll eine (übliche) Firewall der Überwachung dienlich sein?
(Das sind ernst gemeinte Fragen und nicht als Provokation gedacht)
also prinzipiell ist es ja so, das eine FW so aufgebaut ist das man "von innen" alles machen darf. D.h. ich mache z.B. ein
Code: Alles auswählen
apt-get update
Anders gesprochen, Stateful Inspection erlaubt dir die Pakete die von innen erfragt worden sind (den Ursprung im geschützen Bereich haben) zu erkennen und durchzulassen.
Wenn du deine FW aber nun restrikitiv aufsetzt, regelst du auch den Verkehr nach draussen.
Bleiben wir mal bei deinem Beispiel, irgendwie hat es ein Bot geschafft sich durch einen deiner Internet-Dienste zu haxorn und setzt gerade seine Tools ein. Nicht gerade intelligent einen Dienst aufsetzt, versucht er eine Hintertür zu öffnen um sich dann schlafen zu legen. Da er hinter der FW sitzt kann er dieses nun ohne weiteres realisieren, was er aber meist nicht kann, ist die FW-Regeln zu erweitern.
Selbstverständlich kann man auch die FW aushebeln, wenn es ein Mensch ist wird er sehr schnell begreifen, das die FW auch nach aussen begrenzt, ein Bot aber eher nicht.
Hier kommt nun ein weiterer nützlicher Effekt ins Spiel. Wenn du deine FW restriktiv aufbaust, kannst du theoretisch deinen Netzwerkverkehr durch ein Probe (tcpdump, o.ä.) ständig überwachen (das geht sicherlich auch ohne, keine Frage).
Der Aufbau deiner FW hilft dir die "False Positives" also den gewünschten Verkehr sowohl von aussen nach innen, als auch von innen nach aussen schneller zu verstehen und auszusortieren, so das sich eine Probe nur noch um die Pakete kümmert die auffälig sind.
Wenn wir von einer ganzen Serverfarm ausgehen würden, macht dieser Ansatz durchaus Sinn.
Durch die Kombination einer Analyse von
- eingehenden Paketen die in der FW des jeweiligen Rechners geblockt werden
- ausgehenden Paketen die in der FW des jeweiligen Rechners geblockt werden
und
- dem "Mithören" einer Probe auf eingehende und
- dem "Mithören" einer Probe auf ausgehende Paket
kannst du sehr schnell erkennen wenn einer deiner Server kompromittiert worden ist, oder sich z.B. Server miteinander unterhalten, obwohl diese das sonst nie machen würden (z.B. weil ein Rechner kompromittiert worden ist, jemand z.B. schon in deiner DMZ ist, deine äußere FW bereits umgangen hat und dieser das nicht mehr auffällt).
Eine weitere nützliche Funktion wäre es vll. sogar komplette Netze in der Server-FW auszuschliessen, je nachdem welcher Dienst angeboten wird.
Anders kann ich es leider nicht erklären, hoffe das das so verständlich ist?
you've got to know how far to go in going too far
perl -le'print+(split//,"schaeuble")[6,8,7,3,5,0..2,4]'
http://creativecommons.org/licenses/by-nc-sa/2.0/
perl -le'print+(split//,"schaeuble")[6,8,7,3,5,0..2,4]'
http://creativecommons.org/licenses/by-nc-sa/2.0/
Danke für deine Umfangreiche Antwort!
Ich bin, durch den Threadstarter, von einer "simplen" FW-Lösung auf dem Host selber ausgegangen.
Dein Konzept macht, im Farmkontext, durchaus Sinn, aber das Überwachen geschieht durch eine spezielle Software, nicht durch die Firewall - das war also lediglich ein Verständisproblem.
Ich bin, durch den Threadstarter, von einer "simplen" FW-Lösung auf dem Host selber ausgegangen.
Dein Konzept macht, im Farmkontext, durchaus Sinn, aber das Überwachen geschieht durch eine spezielle Software, nicht durch die Firewall - das war also lediglich ein Verständisproblem.
Perl macht Spass.
Wie gesagt, ich verwalte nur einen einzigen Server.
Natürlich! Das macht Sinn! Ich blocke DoS Angriffe mit meiner Firewall und erlaube RootKits nicht willkürlich nach Hause zu telefonieren.![Smile :)](./images/smilies/icon_smile.gif)
Natürlich! Das macht Sinn! Ich blocke DoS Angriffe mit meiner Firewall und erlaube RootKits nicht willkürlich nach Hause zu telefonieren.
![Smile :)](./images/smilies/icon_smile.gif)
Bevor Du einen Beitrag postest:
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?