Internet Mail Firewall Port zugriff angriff offene Ports

keine offene ports = sicher ??

Von: , Frage gestellt am Di, 26. Sep 2000

ich habe einen rechner unter SuSE 6.4., der als Firewall und Internet-Router für unser Firmennetz fungiert (isdn-karte+flatrate).

ich habe den recher soweit konfiguriert, daß er über ipchains per masquerading den zugang zum Internet fürs LAN bereitstellt. klappt einwandfrei.

Auf der Firewall selbst sind keine offenen ports (laut nmap). da läuft kein samba, o.ä. allerdings auf den rechnern, die sonst noch so im netz hängen (einige win98, NT, 2 linux-kisten).

kann vielleicht jemand hinter die firewall scannen bzw. sich verbinden auf einen anderen "angreifbaren" rechner ??

Eigentlich wollte ich per ipchains noch einen paketfilter einrichten... aber muß ich das eigentlich, wenn auf der Firewall kein daemon läuft / keine ports offen sind???

wo liegen noch prinzipielle angriffschancen übers netz (lokaler angriff lassen wir mal aussen vor)??

steffen.

4 Antworten zu dieser Frage

  1. Antwort von nach 43 Minuten hilfreich
    Re: keine offene ports = sicher ??

    Eigentlich wollte ich per ipchains noch einen paketfilter
    einrichten... aber muß ich das eigentlich, wenn auf der
    Firewall kein daemon läuft / keine ports offen sind???
    ipchains ist eigentlich ein Paketfilter. wo liegen noch prinzipielle angriffschancen übers netz
    (lokaler angriff lassen wir mal aussen vor)??
    Um den vielgebrauchten Vergleich vom Haus mit den offenen Türen zu gebrauchen: Du hast also alle Türen versperrt, von Zeit zu Zeit machst Du welche auf, um einkaufen zu gehen oder die Post zu holen.
    Was machst Du, damit Dir niemand eine Briefbombe schickt?

    Michael

    • Antwort von nach einem Tag hilfreich
      Re^2: keine offene ports = sicher ??

      Um den vielgebrauchten Vergleich vom Haus mit den offenen
      Türen zu gebrauchen: Du hast also alle Türen versperrt, von
      Zeit zu Zeit machst Du welche auf, um einkaufen zu gehen oder
      die Post zu holen.
      Was machst Du, damit Dir niemand eine Briefbombe schickt?
      ich gehe nie zur post oder einkaufen ;-)))

      nein, mal ernst: auf dem rechner läuft gar nix, noch nicht mal sendmail ist von aussen erreichbar...

      gibt es vielleicht bugs im tcp/ip-stack, die man für einen angriff ausnutzen kann? kann man sich jetzt noch irgendwie auf der kiste einen loginprompt bekommen ?

      • Antwort von nach einem Tag hilfreich
        Re^3: keine offene ports = sicher ??

        gibt es vielleicht bugs im tcp/ip-stack, die man für einen
        angriff ausnutzen kann?
        Damit habe ich mich nicht ausführlich genug beschäftigt, mir sind aber keine Fälle bekannt, in denen so etwas zu ernsten Schwierigkeiten geführt hat. kann man sich jetzt noch irgendwie auf
        der kiste einen loginprompt bekommen ?
        Das hängt von Deinen Firewallregeln ab, vermutlich aber nein. Ganz wichtig: die Default Policy auf DENY setzen!

        Was Du trotzdem noch beachten solltest: E-Mail-Viren á la I Love You usw.
        Wie kompetent und zuverlässig sind Deine User? Wenn das Computerexperten sind (oder zumindest halbwegs intelligent), kannst Du folgende Regeln aufstellen:

        - es wird nur ein ganz bestimmter Browser (nicht IE!) verwendet.
        - kein Java.
        - kein ActiveX usw.
        - kein ICQ, Napster usw.
        - E-Mail Attachements werden nicht ausgeführt, schon gar nicht automatisch.
        - Virenscanner installieren.
        - Zugriff auf CD-ROM und Disketten nur wenn absolut notwendig und nach gründlichem Virencheck.
        - usw.

        Viel Erfolg!

        Michael

      • Antwort von nach 2 Tagen 1 hilfreich
        Re^3: keine offene ports = sicher ??

        Beim IPMasquerading ist das Problem, dass zwangslaeufig Ports auf der firewall geoeffnet werden muessen, um die Packete der internen Rechner ans oeffentliche Netz weiterzuleiten. Diese offenen Ports koennte ein Eindringling ausnuetzen, um auf einem internen Rechner zuzugreifen. Ueber diesen Port kann z.B. auf einem interen Rechner zugegriffen werden, um einen Dienst zum Abstuerz zu bringen. Das Abstuerzende Programm kann durch ein eigenes Programm ersetzt werden, um so Ding auf dem internen Rechner auszufuehren. Die einzige Moeglichkeit dies zu verhindern, ist soweit ich weiss ein Proxy. Auch wenn die Wahrscheinlichkeit sehr gering ist, das so ein Einbruchsversuch stattfindet, besteht die Moeglichkeit. Vor allem bei Sicherheitsrelevanten Anwendungen waere ich vorsichtig.

        Tschau
        Burkhard [Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!

© Copyright 2003-2012 wer-weiss-was GmbH. Alle Rechte vorbehalten