On 22.11.05 12:21:39, Felix M. Palmen wrote: > Hallo Andreas, > > * Andreas Pakulat <[EMAIL PROTECTED]> [20051121 12:15]: > > > Der SSH-Port soll zunächst als einziger Port nach außen hin offen sein, > > > alles andere wird über die andere NIC nur nach innen freigegeben - > > > alles per iptables; für die Konfiguration dessen werde ich bastille > > > nehmen. > > > > ?? Wieso iptables? Lass die Dienste nur auf der internen NIC lauschen, > > das ist deutlich sicherer als irgendwelche iptables Basteleiein. > > Falsch.
IMHO nicht, aber s.u. > Wo letztendlich das Paket aufgehalten wird ist egal, das heißt > zunächst einmal sind beide Vorgehensweisen gleich "sicher". Wenn der Dienst nicht angeboten wird, wird das Paket nicht aufgehalten, es laeuft ins Leere. Bzw. wird wohl der Kernel ein entsprechendes Antwortpaket generieren. Wenn du aber iptables verwendest um alle Anfragen auf Port X abzublocken, musst du dir sicher sein dass 1. iptables kein Sicherheitsloch haben 2. Deine Regeln alle korrekt sind Und schliesslich auch das der Kernel IP-Kram kein relevantes Sicherheitsloch hat, das aber gilt natuerlich auch fuer die Abschaltung eines Dienstes. > Wenn man sich allerdings nur auf die Kponfiguration der einzelnen > Dienste verlässt ist das wesentlich fehleranfälliger, ?? Wieso ist das fehleranfaellig? Ich schalte den Dienst ab, bzw. lasse ihn nur auf IP X Port Y lauschen. Verstehe ich nicht. > jeder hat eine andere Syntax Mit der Konfiguration der zu installierenden Dienste muss man sich eh beschaeftigen, fuer einen oeffentlichen Server reicht ein apt-get sshd oder apt-get apache einfach nicht. Da muss man schon etwas mehr Zeit investieren. > und es gibt sogar welche, die sich überhaupt nicht beschränken lassen. Das ist etwas vollkommen anderes und das Beispiel ntp wurde ja schon genannt. Hier ist es natuerlich sinnvoll die Kommunikation zu dem ntp mittels iptables zu beschraenken. > Man macht also am besten beides (richtige Konfiguration der einzelnen > Dienste UND Paketfilter). Wenn ein Paketfilter notwendig wird, klar. Aber wieso soll ich den nutzen wenn ich ihn nicht brauche? Das Sicherheitskonzept sollte zwar alle Risiken abdecken, aber nicht mehr damit es uebersichtlich bleibt... > Die weit verbreiteten Vorbehalte gegen Paketfilter liegen eher in > sogenannten "Firewalls" für Windows begründet, Die Windows-Firewalls sind sowieso Humbug, aber das hat nichts mit der Tatsache zu tun, dass es besser ist einen Dienst nicht anzubieten als zu versuchen mittels Paketfilter den Zugriff darauf zu beschraenken. Ich hab auf meinem Router auch keine Dienste aufs Externe Interface gelegt, und iptables dient einzig und allein dazu aus dem LAN heraus die Windows-Kommunikation ins Internet zu blocken, sowie das Masquerading durchzufuehren. > Linux Netfilter dagegen funktioniert genau wie beschrieben und > verspricht nichts Unsinniges, den Einsatz kann man nur empfehlen. Wie gesagt: Wer einen Paketfilter braucht, soll ihn nutzen. Aber wenn man die Sicherheit des Servers ohne Paketfilter auf demselbigen "sicherstellen" kann, dann besteht keinerlei Grund einen einzusetzen. Andreas -- You never know how many friends you have until you rent a house on the beach. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
