kanotix.com :: Thema anzeigen

kanotix.com

Installation, Einstellungen, Systempflege - Firewall

webcam - 08.11.2006, 06:35 Uhr
Titel: Firewall

Hallo zusammen,
ich habe noch nichts schlaues gefunden über Firewall und Antivirus-Programme für Kanotix.
Braucht man überhaupt solche Programme unter Linux ??
Wenn ja welche Programme sind empfelenswert und wie konfiguriert man sie optimal.

Danke für Eure Antwort.
MFG
WEBCAM

ReNE - 08.11.2006, 08:45 Uhr
Titel: Firewall

naja, ne firewall würde ich auf jeden fall einsetzen.
ich hab hier guarddog am laufen und bin sehr zufrieden damit.

devil - 08.11.2006, 08:56 Uhr
Titel: Firewall

antiviren apps brauchst du nicht, höchstens um win zu scannen.
firewall hängt davon ab, ob du hinter einem router bist.
wenn nicht, würde ich eine benutzen.
guarddog, firestarter.

greetz
devil

webcam - 08.11.2006, 09:07 Uhr
Titel: Firewall

Hallo zusammen,
Merci für die Antworten.
Das mit dem Router habe ich schon mehrmals gelesen. Aber was bewirkt der Router genau?
Das Problem bei mir ist ja auch die Webcam, darum habe ich ja eine feste IP und den Router habe ich ja so konfiguriert, das man mit der IP Adresse auf die Webcam kommt. Somit hat man ja immer ein aktuelles Bild.
Also nochmals:
Ist mein Compi mit Linux relativ sicher hinter einem Router?
mfg
Webcam

devil - 08.11.2006, 09:11 Uhr
Titel: Firewall

ein router ist sicher, wenn er richtig konfiguriert ist, das gilt auch für die eingebaute firewall.
die firewall im router ist normalerweise, wenn richtig konfiguriert, vollkommen ausreichend.
kannst ja mal über portforwarding nachlesen.

greetz
devil

acheronta.movebo - 08.11.2006, 09:24 Uhr
Titel: Re: Firewall

devil hat folgendes geschrieben::

firewall hängt davon ab, ob du hinter einem router bist.
wenn nicht, würde ich eine benutzen.
guarddog, firestarter.

Wirklich? Ist ja schrecklich. Ich habe noch keine gesehen, die ich als halbwegs angenehm zu bedienen empfunden habe.

Vielleicht wirkt sich hier eine alte Windows-Denke zum ersten Mal negativ aus. Denn die applikationsbasierten FWs unter Windows (mein All-Time-Favorit Sygate) waren hervorragend einfach. Drei Regeln:
- Darf raus (FF, Antivir)
- darf unter keinen Umständen raus (IExplorer, MS Office)
- Rest gegen die Wand

Sowas fehlt irgendwie unter Linux. Ich setze mich doch nicht hin und gebe IP-Adressen ein.

slam - 08.11.2006, 09:30 Uhr
Titel: RE: Re: Firewall

Zitat:

Denn die applikationsbasierten FWs unter Windows (mein All-Time-Favorit Sygate) waren hervorragend einfach.

Deshalb sind sie ja auch so wirkungsvoll, und deshalb werden auf den meisten Webservern dieser Welt Windows + Application Based Firewalls erfolgreich und sicher eingesetzt. Server mit Linux sind nur sehr selten anzufinden, weil sie eben nicht sicher sind mit ihren handgefrickelten IP-Tables. Studien von Microsoft (und neuerdings auch Novell) beweisen das eindeutig. Winken

Greetings,
Chris

acheronta.movebo - 08.11.2006, 09:30 Uhr
Titel: Re: Firewall

Ja, mach Dich mal lustig über mich. Winken

webcam,

Ich habe früher immer diese Seite hier benutzt:

http://www.security-check.ch/

acheronta.movebo - 08.11.2006, 09:37 Uhr
Titel: Re: Firewall

slam,

ich meine, was will er mit 'ner FW? Ich höre immer: Braucht man nicht, unter Linux ist per default nichts offen. Da seine Webcam eh über Port 80, 8080 laufen wird, kann er da nicht so raus?

webcam - 08.11.2006, 10:28 Uhr
Titel: Re: Firewall

Hallo,
ich bin immer noch nicht schlauer geworden. Habe mal den Check gemacht, aber für einen Laien verstehe ich gleich viel wie am Anfang. Stimmt nicht ganz, ich weis jetzt, das der Check bei mir auf dem System keine Firewall gefunden hat.

Full Scan

Schritt 5 von 5: Auswertung

Beim Full Scan wurden 9 offene Dienste gefunden.

Es wurde keine Firewall entdeckt.

Name Dienst Status
DNS 53 / UDP Offen
Bootstrap Protocol Server 67 / UDP Offen
HTTP
Web Server CT
WebDownloader
WAN Remote
Seeker
RTB 666
RingZero
Reverse WWW Tunnel Backdoor
Ramen
Noob
NCX
MTX
IISworm
Hooker
God Message
God Message 4 Creator
Executor
CGI Backdoor
Cafeini
Back Orifice 2000 Plug-Ins
Back End
AckCmd
711 trojan (Seven Eleven) 80 / TCP Offen
NetBIOS (Name Service)
Msinit 137 / UDP Offen
NetBIOS (Datagram Service) 138 / UDP Offen
isakmp 500 / UDP Offen
router routed -- RIP 520 / UDP Offen
SSDP 1900 / UDP Offen
SGI Pointblank game/demo
Ascend Tunnel Management Protocol 5150 / UDP Offen

Weitere durchgeführte Tests:

Ping Ihr System antwortet auf Ping Requests.

Das ist grundsätzlich nicht schlecht, aber es gab in der Vergangenheit auch schon Probleme damit (z.b. Ping Of Death, damit konnte ein System mit nur einem Ping Request zum Absturz gebracht werden).

Sie können die Sicherheit Ihres Systems verbessern indem Sie mit einer Firewall Ping (ICMP) Requests filtern.

OS Detection Die Wahrscheinlichkeit Ihr Betriebssystem richtig erkennen zu können liegt bei 25%

67%: NetBSD 1.6
67%: NetBSD 1.6.1
64%: OpenBSD 2.5
64%: NetBSD 1.5.3
64%: NetBSD 1.5.2

NetBIOS
(Windows Netzwerk) Es ist nicht möglich via NetBIOS auf Ihr System zuzugreifen, da NetBIOS nicht aktiviert oder gefiltert ist.

SNMP Es ist nicht möglich via SNMP auf Ihr System zuzugreifen, da SNMP nicht aktiviert oder gefiltert ist.

Passwort Check Telnet und/oder HTTP ist auf Ihrem System aktiviert, aber es ist nicht möglich auf Ihr System einzuloggen, da entweder kein häufig verwendetes resp. Standard-Passwort

Ich versuche nun mal eine Firewall zu installieren und dann mache ich den Test nochmals.
mfg
Webcam

devil - 08.11.2006, 10:40 Uhr
Titel: Re: Firewall

also, die firewall ist schon da, nur nicht aktiviert.
was du jetzt installst, ist nur ne gui für iptables, da die ohne gui bissel spröde sind.

greetz
devil

webcam - 08.11.2006, 10:52 Uhr
Titel: Re: Firewall

Hallo devil,
das tönt doch schon besser, aber wie aktiviere ich jetzt diese Firewall?
Habe mir schnell Guarddog installiert, aber das ist mir momentan zu kompliziert.

devil - 08.11.2006, 10:54 Uhr
Titel: Re: Firewall

versuch mal firestarter, find ich einfacher.
wenn du das auch nicht verstehst, musst du dich einlesen.

greetz
devil

acheronta.movebo - 08.11.2006, 12:25 Uhr
Titel:

Hm, bei ihm sind aber schon ein paar Sachen offen. Bei mir ebenso (Port 111, RPC).

Wie macht man den Ports zu? Wüßte nicht, was ich mit RPC soll.

Ach so, Firestarter habe ich mal installiert. Firestarter stellt ja nur drei Fragen!?

webcam - 08.11.2006, 12:43 Uhr
Titel:

Hallo,
also jetzt habe ich den Test beim Compi von meiner Frau gemacht. Der hat eine Firewall und ein Virusscanner. Und das System ist Windows XP.

Full Scan

Schritt 5 von 5: Auswertung

Beim Full Scan wurden 9 offene Dienste gefunden.

Es wurde keine Firewall entdeckt.

Name Dienst Status
DNS 53 / UDP Offen
Bootstrap Protocol Server 67 / UDP Offen
HTTP
Web Server CT
WebDownloader
WAN Remote
Seeker
RTB 666
RingZero
Reverse WWW Tunnel Backdoor
Ramen
Noob
NCX
MTX
IISworm
Hooker
God Message
God Message 4 Creator
Executor
CGI Backdoor
Cafeini
Back Orifice 2000 Plug-Ins
Back End
AckCmd
711 trojan (Seven Eleven) 80 / TCP Offen
NetBIOS (Name Service)
Msinit 137 / UDP Offen
NetBIOS (Datagram Service) 138 / UDP Offen
isakmp 500 / UDP Offen
router routed -- RIP 520 / UDP Offen
SSDP 1900 / UDP Offen
SGI Pointblank game/demo
Ascend Tunnel Management Protocol 5150 / UDP Offen

Weitere durchgeführte Tests:

Ping Ihr System antwortet auf Ping Requests.

Das ist grundsätzlich nicht schlecht, aber es gab in der Vergangenheit auch schon Probleme damit (z.b. Ping Of Death, damit konnte ein System mit nur einem Ping Request zum Absturz gebracht werden).

Sie können die Sicherheit Ihres Systems verbessern indem Sie mit einer Firewall Ping (ICMP) Requests filtern.

OS Detection Die Wahrscheinlichkeit Ihr Betriebssystem richtig erkennen zu können liegt bei 25%

67%: NetBSD 1.6
67%: NetBSD 1.6.1
64%: OpenBSD 2.5
64%: NetBSD 1.5.3
64%: NetBSD 1.5.2

NetBIOS
(Windows Netzwerk) Es ist nicht möglich via NetBIOS auf Ihr System zuzugreifen, da NetBIOS nicht aktiviert oder gefiltert ist.
SNMP Es ist nicht möglich via SNMP auf Ihr System zuzugreifen, da SNMP nicht aktiviert oder gefiltert ist.

Passwort Check Telnet und/oder HTTP ist auf Ihrem System aktiviert, aber es ist nicht möglich auf Ihr System einzuloggen, da entweder kein häufig verwendetes resp. Standard-Passwort verwendet wird oder beim getesten System handelt es sich nicht um einen ZyXEL Router.

Also sieht ja fast gleich aus wie bei Linux.
Jetzt frage ich mich aber ob dieser Test funktioniert.

mfg Webcam

ReNE - 08.11.2006, 12:53 Uhr
Titel:

bei mir mit firewall sind nur diese aktiviert / offen:

RPC 111 / UDP Offen
MS RPC 135 / UDP Offen
NetBIOS (Name Service) 137 / UDP Offen
NetBIOS (Datagram Service) 138 / UDP Offen
NetBIOS (Session Service) 139 / UDP Offen
SNMP 161 / UDP Offenen

alles andere ist deaktiviert bzw. geschlossen. sieht schon mal besser aus als bei dir. Winken

Hack-o-Master - 08.11.2006, 13:26 Uhr
Titel:

Mein Ergebnis:

Code:

Full Scan

 Schritt 5 von 5: Auswertung

 Beim Full Scan wurden 0 offene Dienste gefunden.

 Das ist gut, denn dies bedeutet, dass ein potenzieller Angreifer bei einem

 Angriffsversuch über die gängisten Eintrittsmöglichkeiten scheitern würde.

 Es wurde eine Firewall entdeckt.

Weitere durchgeführte Tests:

Ping   Sehr gut, Ihr System antwortet nicht auf Ping Requests

  OS Detection   Ihr Betriebssystem konnte nicht erkannt werden.

  NetBIOS

(Windows Netzwerk)   Es ist nicht möglich via NetBIOS auf Ihr System

zuzugreifen, da NetBIOS nicht aktiviert oder gefiltert ist.

  SNMP   Es ist nicht möglich via SNMP auf Ihr System zuzugreifen,

  da SNMP nicht aktiviert oder gefiltert ist.

  Passwort Check   Es ist nicht möglich via Telnet oder HTTP auf Ihren

  Router zuzugreifen, da weder Telnet noch HTTP erreichbar ist.

also total Dichtgezimmert Cool

(Bei Dingen die ungefragt von aussen Verbindungen aufbauen wollen).

Setup 'normales' DSL-Modem (no Router) & eine damals von Webmin erstellte iptables-Konfig (später händisch etwas erweitert): siehe hier.

mfg. Hack-o-Master

acheronta.movebo - 08.11.2006, 13:35 Uhr
Titel:

Und wie mache ich nun etwa den RPC-Port dicht? Unter /etc/init.d/ finde ich keinen Dienst, den ich stoppen könnte.

Hack-o-Master - 08.11.2006, 13:50 Uhr
Titel:

Nehme mal an das Firestarter auch 'nur' diverse IPtables-Rules setzt wie sehen die denn bei dir aus ?

Code:

iptables -L

(als root) Hier sieht die INPUT Chain so aus

Code:

root@Jacobsen:/home/jacobsen# iptables -L

Chain INPUT (policy DROP)

target     prot opt source               destination

ACCEPT     0    --  anywhere             anywhere

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:64662

ACCEPT     udp  --  anywhere             anywhere            udp dpt:64665

ACCEPT     udp  --  anywhere             anywhere            udp dpt:64672

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:6881

ACCEPT     udp  --  anywhere             anywhere            udp dpt:4444

ACCEPT     tcp  --  anywhere             anywhere            tcp flags:ACK/ACK

ACCEPT     0    --  anywhere             anywhere            state ESTABLISHED

ACCEPT     0    --  anywhere             anywhere            state RELATED

ACCEPT     udp  --  anywhere             anywhere            udp spt:domain dpts:1024:65535

ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply

ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable

ACCEPT     icmp --  anywhere             anywhere            icmp source-quench

ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded

ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem

Der 'Trick' meiner (manuellen) Iptables - Konfig ist alles was reinkommt Standardmässig zu DROPpen (verwerfen) ausser es ist eine von innen initierte Anfrage (iptables-Rules mit tcp flags:ACK/ACK, state ESTABLISHED, state RELATED) bzw. ICMP-Statusmeldung

mfg. Hack-o-Master

acheronta.movebo - 08.11.2006, 14:05 Uhr
Titel:

Da steht gar nichts!?!

Code:

Chain INPUT (policy ACCEPT)

target     prot opt source               destination

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

webcam - 08.11.2006, 15:36 Uhr
Titel:

Hallo,
bei mir sieht es aus wie ein Schweizerkäse.

root@Brienz:/home/webcam# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 192.168.1.1 anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT udp -- 192.168.1.1 anywhere
ACCEPT 0 -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere limit: avg 10/sec burst 5
DROP 0 -- anywhere 255.255.255.255
DROP 0 -- anywhere 255.255.255.255
DROP 0 -- BASE-ADDRESS.MCAST.NET/8 anywhere
DROP 0 -- anywhere BASE-ADDRESS.MCAST.NET/8
DROP 0 -- 255.255.255.255 anywhere
DROP 0 -- anywhere 0.0.0.0
DROP 0 -- anywhere anywhere state INVALID
LSI 0 -f anywhere anywhere limit: avg 10/min burst 5
INBOUND 0 -- anywhere anywhere
LOG_FILTER 0 -- anywhere anywhere
LOG 0 -- anywhere anywhere LOG level info prefix `Unknown Input'

p500xl - 08.11.2006, 16:22 Uhr
Titel:

vielleicht helfen dir die threads weiter, webcam
http://kanotix.com/PNphpBB2-viewtopic-t ... rehol.html
http://people.ee.ethz.ch/~wenners/files ... irehol.pdf

sideshore - 08.11.2006, 17:25 Uhr
Titel:

Hier eine kleine Anekdote zur Glaubwürdigkeit solcher Security-Tests; Fullscan aus einem Win98 SE ohne Desktopfirewall, lediglich eine AVM! Fritzcard als DSL-Modem:

Zitat:

Full Scan

Schritt 5 von 5: Auswertung
Beim Full Scan wurden 0 offene Dienste gefunden.
Das ist gut, denn dies bedeutet, dass ein potenzieller Angreifer bei einem
Angriffsversuch über die gängisten Eintrittsmöglichkeiten scheitern würde.

Es wurde eine Firewall entdeckt.

Weitere durchgeführte Tests:

Ping: Ihr System antwortet auf Ping Requests.

Das ist grundsätzlich nicht schlecht, aber es gab in der Vergangenheit auch schon Probleme damit (z.b. Ping Of Death, damit konnte ein System mit nur einem Ping Request zum Absturz gebracht werden).

Sie können die Sicherheit Ihres Systems verbessern indem Sie mit einer Firewall Ping (ICMP) Requests filtern.

OS Detection: Die Wahrscheinlichkeit Ihr Betriebssystem richtig erkennen zu können liegt bei 25%

50%: OpenBSD 3.0
50%: OpenBSD 3.1
50%: OpenBSD 3.3
50%: OpenBSD 3.2
50%: Foundry Networks Device (Big/Net/Fast Iron) Software Version 07.5.04T53

NetBIOS
(Windows Netzwerk): Es ist nicht möglich via NetBIOS auf Ihr System zuzugreifen, da NetBIOS nicht aktiviert oder gefiltert ist.

SNMP: Es ist nicht möglich via SNMP auf Ihr System zuzugreifen, da SNMP nicht aktiviert oder gefiltert ist.

Passwort Check: Es ist nicht möglich via Telnet oder HTTP auf Ihren Router zuzugreifen, da weder Telnet noch HTTP erreichbar ist.

Hm - ist mein 98SE nun so sicher, weil es keine Dienste anbietet ? Und habe ich es so verbogen, daß man es von aussen als OpenBSD identifizieren muß ?
Weder noch. Vom brüchigen IP/TCP Stack dieses Systems steht da nix in der Analyse Smilie

Also, ich würde nicht allzuviel auf solche Auswertungen geben. Die nach aussen angebotenen Dienste sollte man kontrollieren und konfigurieren (abstellen, was nicht benötigt wird = Port dicht) - und das sollte dann reichen.

Hier gibts ein paar Infos zur Dienstekonfiguration unter Linux, die ich ganz hilfreich finde:

http://rootwiki.unixfreunde.de/index.ph ... aktivieren

Und meine Kanotixe laufen auch ohne DTFW, ich schicke aber nach der Installation immer Kanos`s script "./remove-servers.sh" drüber und deinstalliere portmap. Brauche ich bei Einzelplatzrechnern nicht. Bis jetzt keine (sichtbaren) Probleme.

Nachtrag: zur Vollständigkeit nun auch noch mal der Fullscan aus meinem KANOTIX 2005-04 mit 2.6.16.20-slh-up-1 i686, wie gesagt, ohne Firewall:

Zitat:

Beim Full Scan wurden 0 offene Dienste gefunden.
Das ist gut, denn dies bedeutet, dass ein potenzieller Angreifer bei einem Angriffsversuch über die gängisten Eintrittsmöglichkeiten scheitern würde.

Es wurde keine Firewall entdeckt.

Weitere durchgeführte Tests:
Ping Ihr System antwortet auf Ping Requests.
Das ist grundsätzlich nicht schlecht, aber es gab in der Vergangenheit auch schon Probleme damit (z.b. Ping Of Death, damit konnte ein System mit nur einem Ping Request zum Absturz gebracht werden).

Sie können die Sicherheit Ihres Systems verbessern indem Sie mit einer Firewall Ping (ICMP) Requests filtern.

OS Detection Die Wahrscheinlichkeit Ihr Betriebssystem richtig erkennen zu können liegt bei 25%

67%: Linux Kernel 2.4.21
67%: Linux Kernel 2.0.30
67%: Linux Kernel 2.0.34
67%: Linux Kernel 2.0.36
67%: Linux Kernel 2.4.20

NetBIOS
(Windows Netzwerk) Es ist nicht möglich via NetBIOS auf Ihr System zuzugreifen, da NetBIOS nicht aktiviert oder gefiltert ist.

SNMP Es ist nicht möglich via SNMP auf Ihr System zuzugreifen, da SNMP nicht aktiviert oder gefiltert ist.

Passwort Check Es ist nicht möglich via Telnet oder HTTP auf Ihren Router zuzugreifen, da weder Telnet noch HTTP erreichbar ist.

webcam - 09.11.2006, 15:58 Uhr
Titel:

Hallo p500xl ,
ein guter Link ist das. Bin gerade am lesen und ausprobieren.
Mal schauen was dann rauskommt.
So wie ich es jetzt herausgefunden habe, ist mein Compi mit Kanotix für Normalbenutzer wie ich einer bin relativ Dicht. Habe mit diversen Scanner mal geschaut, aber keiner hat da etwas
schlimmes gefunden.
mfg
Webcam