Hallo Thomas, Thomas Antepoth, 25.03.2006 (d.m.y):
> On Sat, 25 Mar 2006, Wolfgang Jeltsch wrote:
>
> > Damals erkundigte ich mich auf dieser Liste, was ich am besten machen
> > sollte,
> > und mir wurde gesagt, dass es unsinnig ist, Zugriffe auf Ports, die sowieso
> > nicht offen sind, noch durch einen Filter zu verhindern.
> > Und die offenen Ports will ich ja nicht blockieren. Mit anderen Worten:
> > auf einem Server, der direkt mit dem Internet verbunden ist, braucht man
> > keinen Paketfilter. (So habe ich das jedenfalls verstanden.)
>
> Es wird immer wieder vergessen, daß es auch sog. "Connectback"-Shells
> gibt. D.h. ein von außen erlaubter Dienst wird dazu gebracht, daß er auf
> einem beliebigen anderen Port mit einer connectback-shell
> zurück-connected. Und die macht dann *wirkliche* Swinigeleien.
>
> Somit folgt, daß auch ausgehende Connections auf das unbedingt notwendige
> Maß zurückgestutzt werden sollten, will man die Angriffsvektoren so klein
> wie möglich halten.
>
> Was braucht man ausgehend?
>
> ftp Debian-Mirror
> dns root/forwarder
> smtp any
> ident any
>
> Alles andere sollte gesperrt sein.
>
> Damit laufen dann auch die cback-Dinger ins Leere.
Es sei denn, sie laufen ueber einen freigegebenen Port. ;-)
Gruss,
Christian Schmidt
--
Was ich weiß, kann jeder wissen. Mein Herz habe ich allein.
-- Johann Wolfgang von Goethe
signature.asc
Description: Digital signature
