ich habe einen rechner unter SuSE 6.4., der als Firewall und Internet-Router für unser Firmennetz fungiert (isdn-karte+flatrate).
ich habe den recher soweit konfiguriert, daß er über ipchains per masquerading den zugang zum Internet fürs LAN bereitstellt. klappt einwandfrei.
Auf der Firewall selbst sind keine offenen ports (laut nmap). da läuft kein samba, o.ä. allerdings auf den rechnern, die sonst noch so im netz hängen (einige win98, NT, 2 linux-kisten).
kann vielleicht jemand hinter die firewall scannen bzw. sich verbinden auf einen anderen „angreifbaren“ rechner ??
Eigentlich wollte ich per ipchains noch einen paketfilter einrichten… aber muß ich das eigentlich, wenn auf der Firewall kein daemon läuft / keine ports offen sind???
wo liegen noch prinzipielle angriffschancen übers netz (lokaler angriff lassen wir mal aussen vor)??
Eigentlich wollte ich per ipchains noch einen paketfilter
einrichten… aber muß ich das eigentlich, wenn auf der
Firewall kein daemon läuft / keine ports offen sind???
ipchains ist eigentlich ein Paketfilter.
wo liegen noch prinzipielle angriffschancen übers netz
(lokaler angriff lassen wir mal aussen vor)??
Um den vielgebrauchten Vergleich vom Haus mit den offenen Türen zu gebrauchen: Du hast also alle Türen versperrt, von Zeit zu Zeit machst Du welche auf, um einkaufen zu gehen oder die Post zu holen.
Was machst Du, damit Dir niemand eine Briefbombe schickt?
Um den vielgebrauchten Vergleich vom Haus mit den offenen
Türen zu gebrauchen: Du hast also alle Türen versperrt, von
Zeit zu Zeit machst Du welche auf, um einkaufen zu gehen oder
die Post zu holen.
Was machst Du, damit Dir niemand eine Briefbombe schickt?
ich gehe nie zur post oder einkaufen ))
nein, mal ernst: auf dem rechner läuft gar nix, noch nicht mal sendmail ist von aussen erreichbar…
gibt es vielleicht bugs im tcp/ip-stack, die man für einen angriff ausnutzen kann? kann man sich jetzt noch irgendwie auf der kiste einen loginprompt bekommen ?
gibt es vielleicht bugs im tcp/ip-stack, die man für einen
angriff ausnutzen kann?
Damit habe ich mich nicht ausführlich genug beschäftigt, mir sind aber keine Fälle bekannt, in denen so etwas zu ernsten Schwierigkeiten geführt hat.
kann man sich jetzt noch irgendwie auf
der kiste einen loginprompt bekommen ?
Das hängt von Deinen Firewallregeln ab, vermutlich aber nein. Ganz wichtig: die Default Policy auf DENY setzen!
Was Du trotzdem noch beachten solltest: E-Mail-Viren á la I Love You usw.
Wie kompetent und zuverlässig sind Deine User? Wenn das Computerexperten sind (oder zumindest halbwegs intelligent), kannst Du folgende Regeln aufstellen:
es wird nur ein ganz bestimmter Browser (nicht IE!) verwendet.
kein Java.
kein ActiveX usw.
kein ICQ, Napster usw.
E-Mail Attachements werden nicht ausgeführt, schon gar nicht automatisch.
Virenscanner installieren.
Zugriff auf CD-ROM und Disketten nur wenn absolut notwendig und nach gründlichem Virencheck.
Beim IPMasquerading ist das Problem, dass zwangslaeufig Ports auf der firewall geoeffnet werden muessen, um die Packete der internen Rechner ans oeffentliche Netz weiterzuleiten. Diese offenen Ports koennte ein Eindringling ausnuetzen, um auf einem internen Rechner zuzugreifen. Ueber diesen Port kann z.B. auf einem interen Rechner zugegriffen werden, um einen Dienst zum Abstuerz zu bringen. Das Abstuerzende Programm kann durch ein eigenes Programm ersetzt werden, um so Ding auf dem internen Rechner auszufuehren. Die einzige Moeglichkeit dies zu verhindern, ist soweit ich weiss ein Proxy. Auch wenn die Wahrscheinlichkeit sehr gering ist, das so ein Einbruchsversuch stattfindet, besteht die Moeglichkeit. Vor allem bei Sicherheitsrelevanten Anwendungen waere ich vorsichtig.
Tschau
Burkhard
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
))