debian nftables Port Freigabe für spezifische Anwendung

[joe2017]

Guten Morgen zusammen,

ich wollte mal nachfragen ob es in Debian irgendeine Möglichkeit gibt mit der nftable Firewall einen Port nur für eine Anwendung freizugeben?
Beispiel TCP 443 für Firefox

In der Regel werden nur Ports geöffnet und diese können gleich mit allem was installiert ist nach außen funken.
Das missfällt mir etwas. In Windows ist so etwas ganz einfach möglich.

Vielen Dank

[debilian]

sollte nicht so schwer sein:

https://u-labs.de/portal/einstiegt-in-n ... -iptables/

https://access.redhat.com/documentation ... g_nftables

gruss

[joe2017]

Ich bin mir nicht sicher ob du meine Frage richtig gelesen hast?
Ich möchte einen Port (443) lediglich für eine einzige Anwendung (bsp. Firefox) öffnen.
Daas wird in deinen Links leider nicht beschrieben.

[MSfree]

Ich möchte einen Port (443) lediglich für eine einzige Anwendung (bsp. Firefox) öffnen.

Das geht nicht. Es ist auch nicht sinnvoll, weil:

Wenn ich als Schadsoftwareentwickler nur mit dem Prozeßnamen "firefox" durch die Firewall käme, würde ich mene Schadsoftware einfach "firefox" nennen.

Wenn überhaupt, kannst du vielleicht etwas mit dem PolicyKit basteln, aber auch hier bitte mal den "Kritik"-Teil lesen.

[mat6937]

Ich möchte einen Port (443) lediglich für eine einzige Anwendung (bsp. Firefox) öffnen.

Versuch mal mit:

Code: Alles auswählen

iptables -I OUTPUT 1 -o eth0 -p tcp --dport 443 -m owner ! --cmd-owner <command> -j REJECT

Für "command" die richtige Syntax benutzen.

[joe2017]

Ich möchte einen Port (443) lediglich für eine einzige Anwendung (bsp. Firefox) öffnen.

Das geht nicht. Es ist auch nicht sinnvoll, weil:

Wenn ich als Schadsoftwareentwickler nur mit dem Prozeßnamen "firefox" durch die Firewall käme, würde ich mene Schadsoftware einfach "firefox" nennen.

Wenn überhaupt, kannst du vielleicht etwas mit dem PolicyKit basteln, aber auch hier bitte mal den "Kritik"-Teil lesen.

Ja natülich könnte das so genutzt werden. Aber dafür müsste man erst einmal wissen, welche Anwendung überhaupt freigegeben wurde.
Andernfalls kann eine Schadsoftware immer ohne Einschränkung raus. Du stimmst mir zu, dass dies sicherlich nicht sinnvoller ist.

[mat6937]

"cmd-owner" funktioniert nicht mehr bzw. nur mit ganz altem Kernel. Siehe z. B.: viewtopic.php?t=85320

[MSfree]

Aber dafür müsste man erst einmal wissen, welche Anwendung überhaupt freigegeben wurde.

Code: Alles auswählen

iptables -L

oder das entsprechende nftables Äquivalent.

Andernfalls kann eine Schadsoftware immer ohne Einschränkung raus. Du stimmst mir zu, dass dies sicherlich nicht sinnvoller ist.

Nein, da stimme ich dir nicht zu. Die Firewall gehört halt nicht auf den Arbeitspatzrechner sondern auf den Router. Der Router hat aber überhaupt keine Möglichkeit mehr, zu prüfen, welche Anwedung auf dem Arbeitsplatzrechner ein bestimmtes Paket geschickt hat. Insofern ist auch hier die Überprüfung des Sendeprogramms unmöglich.

[mat6937]

Ja natülich könnte das ...

Teste mal mit:

Code: Alles auswählen

nc -zv 142.132.203.155 443
iptables -I OUTPUT 1 -o eth0 -p tcp --dport 443 -m string --algo kmp ! --string firefox -j REJECT
nc -zv 142.132.203.155 443
iptables -D OUTPUT 1

[debilian]

ja, ich hab das falsche gelesen, da ich nicht auf die Idee käme, eine lokale Firewall zu nutzen.
Internet - Firewall - Rechner (aber egal)

vielleicht ein Proxy?
Zumindest hab ich das früher manchmal so gemacht, damit nicht irgend eine Anwendung einfach so was aus dem Netz holen kann,
allerdings ist der Proxy auch ein eigenes Gerät

[cosinus]

Andernfalls kann eine Schadsoftware immer ohne Einschränkung raus. Du stimmst mir zu, dass dies sicherlich nicht sinnvoller ist.

Das artet in Konfigurationsterror aus. Ich hab das auch mal unter Windows versucht als ich mal viel Langeweile hatte
Ja das ist möglich. Aber Frickel Krampf und Würg, man kann so wirklich nicht arbeiten, wenn man jede *.exe Datei einzeln den Zugang ins Internet erlauben muss

Ausgehenden Verkehr zu filtern macht nur in Ausnahmefällen Sinn.

[MSfree]

man kann so wirklich nicht arbeiten, wenn man jede *.exe Datei einzeln den Zugang ins Internet erlauben muss

Und bei jedem Update fängt man von vorne an, weil sich die Exes geändert haben.

Ausgehenden Verkehr zu filtern macht nur in Ausnahmefällen Sinn.

Das macht mein Router schon seit mehr als 2 Jahrzehnten, ohne den Komfort großartig einzuschränken. Für's www habe ich einen Proxy mit einem umfangreichen Regelsatz, der mir PiHole, noscript und wie sie alle heißen mögen, erspart. Gegen Schadsoftware, die auf Port 80 oder 443 raus will, hilft das aber auch nur, wenn die Schadsoftware zu blöde ist, die Proxykonfiguration herauszufinden. Da Schadsoftware aber auch Firmenumfelder im Visier hat, muß man davon ausgehen, daß die auch WPAD beherrscht und somit einfach durch den Proxy tunnelt.

[cosinus]

Und bei jedem Update fängt man von vorne an, weil sich die Exes geändert haben.

Wenn man als Kriterium die Prüfsumme der Datei nimmt ja. Aber da ich eben von der Windows-Firewall sprach: da hab ich zum Testen "nur" den Pfad zur EXE angegeben. Wenn der gleich bleibt ist das egal ob das Programm ein Update bekommen hat oder nicht.
Es ist aber schon ein Abenteuer die Windows Updates richtig zu konfigurieren, wenn man ausgehenden Verkehr als Standardregel erstmal verbietet

Das macht mein Router schon seit mehr als 2 Jahrzehnten, ohne den Komfort großartig einzuschränken.

Wenn man denn so nen Router hat. Für zu Hause reicht es dicke, dass erstmal alle Serverdienste von außen nicht erreichbar sind. Und wenn man mal ehrlich ist, wenn man Schadprogramme ausgehend blockieren muss, dann ist auf jeden Fall schon vorher was gründlich daneben gegangen.

[joe2017]

Also der Aussage, dass die Firewall nicht auf den Arbeitsplatz gehört kann ich keinesfalls zustimmen.
Ich sichere jedes einzelne System so gut es geht ab. Dazu gehört auch die Lokale Firewall.

Ich rede auch nicht von einem 0815 Privat PC sondern von Denian Arbeitsplätzen welche in einem Unternehmen eingestzt werden.
In Windows riegeln wir mit GPOs schon seit Windows Vista unsere Anwendungen mit der Firewall ab. HIer werden lediglich einigen wenigen Anwendungen Ports geöffnet.
Hier gibt es auch nicht ständig etwas zu korrigieren, da sich Anwendungen in der Regel nicht ändern.

In Debian habe ich leider keine Möglichkeit Ports auf Anwendungen zu konfigurieren und das ist sehr schade. Ich habe gehofft, dass es in nft eine Möglichkeit gibt welche ich noch nicht kenne.
Natürlich laufen alle Verbindungen anschließend über einen Gateway. Jedoch möchte ich bereits am Arbeitsplatz alles einschränken was nicht verwendet werden soll.

[cosinus]

Dazu gehört auch die Lokale Firewall.

Wenn man sonst keine Arbeit hat, macht man sich welche?
Die Windows-Firewall nutzen wir auch. Auch für die Debian-Server ist iptables aktiv. Es wird aber nichts Ausgehendes blockiert.

[joe2017]

Naja, wenn es hierfür keine Lösung in Debian gibt, ist es schade.

Trotzdem Danke

[MSfree]

wenn man Schadprogramme ausgehend blockieren muss, dann ist auf jeden Fall schon vorher was gründlich daneben gegangen.

Nicht wirklich. Es gibt stille Angriffe, bei denen das Opfer gar keine Chance mehr hat.

Hast du das hier gelesen?
https://www.heise.de/news/iPhones-still ... 71140.html

Da bekommt das Smartphone eine stille SMS, also eine, die weder per Klang auf sich aufmerksam macht, noch daß man sie in der SMS-Liste sehen könnte. Diese beinhaltet einen Exploit, der das Smartphone infiziert.

OK, hier wurde der Weg über eine SMS gewählt. Einen PC kann man so natürlich nicht infizieren. Möglich wäre aber z.B. eine Infektion über ein Werbebanner auf einer Webseite, der eine Sicherheitslücke ausnutzt und so den Rechner übernimmt, und zwar so, daß man nicht auf das Banner klicken muß.

[wanne]

Hier schon mal relativ ausführlich erklärt warum die "Frage" falsch ist. Und nein. Auch unter Windows funktioniert das nicht. Es gibt nur ein Haufen Anwendungen, die das Versrprechen ohne es sinnvoll zu tun.
viewtopic.php?t=185413&hilit=internet+explorer#p1312436

[MSfree]

In Windows riegeln wir mit GPOs schon seit Windows Vista unsere Anwendungen mit der Firewall ab. HIer werden lediglich einigen wenigen Anwendungen Ports geöffnet.

Das ist halt reines ABM ohne Nutzen. Das führt nur zu einem falschen Sicherheitsgefühl.

[cosinus]

OK, hier wurde der Weg über eine SMS gewählt.

Und wie willst du dich dagegen wehren? Mit SauAlarm für iOS?

[Blackbox]

Und wie willst du dich dagegen wehren?

Kannst du eben leider nicht, deswegen werden stille SMS gern von Repression und den Schlapphüten eingesetzt, um deine mobile Hardware zu infizieren.

[debilian]

Und wie willst du dich dagegen wehren? Mit SauAlarm für iOS?

mein Trick: kein Smartphone
dafür bin ich auch nicht so gestresst, wie die mobil-debilen.....

duck&renn

[MSfree]

mein Trick: kein Smartphone

Glaubst du wirklich, daß du damit gegen stille SMS geschützt bist?

Auch auf nicht so smarten Telefonen läuft ein Betriebssystem, das Sicherheitslücken hat. Oft genug läuft da sogar Android drauf, lustigerweise in einer Uraltversion, weil die mit geringeren Resourcen (RAM, CPU) aukommt und schon seit 10 Jahren aus der Wartung gefallen ist.

Selbst wenn du auf Mobiltelefonie komplett verzichtest, das Festnetztelefon kann direkt abgehört werden. Und offenschtlich hast du ja auch Internet, sonst könntest du hier gar nicht posten.

[Blackbox]

kein Smartphone

Auch wenn deine Anmerkung sicherlich lustig gemeint war ...
Aber stille SMS waren bereits das Mittel der Wahl, als Nokia noch Marktführer im Handybau-Business gewesen ist.

Selbst wenn du auf Mobiltelefonie komplett verzichtest, das Festnetztelefon kann direkt abgehört werden.

Richtig: Der Abhörstandard dazu heißt „Lawful interception“ in deutschsprachigem Raum auch „VOIP-LI“ genannt.
Es bestände zwar die Möglichkeit VOIP-Verbindungen mit SRTP zu verschlüsseln, aber dieses Feature ist bei den meisten Anbietern erst gar nicht aktiviert.

[debilian]

jo,
dass Mobiltelefone ortbar sind ist nichts Neues, oder? Dass Telefonie abgehört wird auch nicht wirklich...
Damit hab ich kein Problem bzw. wenn ich nicht ortbar sein will, hab ich einfach kein Telefon dabei.
Mein Mobiltelefon ist eigentlich immer aus und nicht wirklich oft bei mir... so ne Art tragbare Telefonzelle, wenn nötig -
die gelben sind ja nicht mehr da

gruss