Paketfilter auf einem Webserver?

[tracer]

Ich habe gerade den Beitrag hier gefunden: http://www.rc-heli.de/board/showpost.ph ... stcount=17

Vergleichbares Topic gab es ja auch hier: http://www.rchelifan.org/rund-ums-for ... 95070.html

Will mir mal einer schnell erklären, welchen Sinn ein Paketfilter auf einem Webserver macht?

Dienste, die er nach aussen anbietet, sollen erreichbar sein.

Andere mache ich erst gar nicht verfügbar.

OK, einzige Option, die mir einfallen würde: SSH nur von meiner statischen IP, ich habe aber keine. Könnte mir dann evtl. mit Portknocking aushelfen, aber das hat nun wieder nicht mit V4 vs V6 zu tun.

[gecko03]

kann es nicht sein daß eher eine normale Firewall gemeint ist, die die Ports dicht macht?

[tracer]

kann es nicht sein daß eher eine normale Firewall gemeint ist, die die Ports dicht macht?

Das ist ja ein Paketfilter.
Aber welche Ports soll er dicht machen?

[gecko03]

alle ausser den 80er würde ich jetzt mal spontan sagen...?
(ausser es laufen noch mehr Dienste auf der Kiste die von außen zugänglich sein sollen)

[tracer]

alle ausser den 80er würde ich jetzt mal spontan sagen...?

SMTP sollte schon erreichbar sein, und IMAP auch

SSH zum Arbeiten/Ändern.

SQL nur an localhost gebunden. Was will ich dann noch filtern?

OK, Mailing könnte ich auch komplett auslagern, aber schadet der performance nicht, und wenn es läuft, sollte es auch erreichbar sein.

[gecko03]

schreib ihm doch mal ne PN...

[tracer]

schreib ihm doch mal ne PN...

Och, nö, wenn er schon ColaFreak als Aushilfsadmin bezeichnet, wie mag er mich dann erst nennen?

Ich wollte das lieber hier erfahren

[adrock]

Hi,

naja, wenn Du die Dienste auf Deinem Server ausreichend sicher konfiguriert hast (sprich nur an die notwendigen Adressen gebunden, alles nichtbenötigte abgeschaltet), bringt ein zusätzlicher Paketfilter erstmal kein Plus an Sicherheit.

Was er dennoch bringen könnte wenn nur die notwendigen Ports zugelassen werden:

- Verbindungsaufbaupakete zu deren Zielport kein Dienst läuft, werden gleich vom Paketfilter geblockt, anstatt noch ein Antwortpaket vom TCP-Stack zu generieren
- Wurde Dein Server kompromittiert, ist es evtl. schwieriger einen bösartigen Dienst zu etablieren
- Du könntest mit entsprechenden Regeln ein "Rate limiting" einrichten, um z.B. zu verhindern dass von einer Absender-IP mehr als 5 Verbindungsversuche/Sekunde zu Deinem SSH-Server erfolgen.

Mehr fällt mir dazu jetzt nicht ein...

Grüße
Markus

[tracer]

bringt ein zusätzlicher Paketfilter erstmal kein Plus an Sicherheit.

Das meinte ich.

- Verbindungsaufbaupakete zu deren Zielport kein Dienst läuft, werden gleich vom Paketfilter geblockt, anstatt noch ein Antwortpaket vom TCP-Stack zu generieren
- Wurde Dein Server kompromittiert, ist es evtl. schwieriger einen bösartigen Dienst zu etablieren
- Du könntest mit entsprechenden Regeln ein "Rate limiting" einrichten, um z.B. zu verhindern dass von einer Absender-IP mehr als 5 Verbindungsversuche/Sekunde zu Deinem SSH-Server erfolgen.

Das gefällt mir als Antwort

Da fällt mir ein, für letzteres nutze ich sogar iptables

[ColaFreak]

Hi,

naja, wenn Du die Dienste auf Deinem Server ausreichend sicher konfiguriert hast (sprich nur an die notwendigen Adressen gebunden, alles nichtbenötigte abgeschaltet), bringt ein zusätzlicher Paketfilter erstmal kein Plus an Sicherheit.

Was er dennoch bringen könnte wenn nur die notwendigen Ports zugelassen werden:

- Verbindungsaufbaupakete zu deren Zielport kein Dienst läuft, werden gleich vom Paketfilter geblockt, anstatt noch ein Antwortpaket vom TCP-Stack zu generieren

Das kommt aber Stark auf die gewählte Methode an, ob man nun DROP oder REJECT macht. Bei REJECT sendest du sehr wohl ein Paket zurück, wenn auch nicht über TCP sondern ICMP.

- Wurde Dein Server kompromittiert, ist es evtl. schwieriger einen bösartigen Dienst zu etablieren

Stimmt prinzipiel, oft werden dann aber auch Rootexploits benutzt, dann kann die Firewall sowieso umgangen werden.

- Du könntest mit entsprechenden Regeln ein "Rate limiting" einrichten, um z.B. zu verhindern dass von einer Absender-IP mehr als 5 Verbindungsversuche/Sekunde zu Deinem SSH-Server erfolgen.

Das ist immer gut, auch wenn die wenigsten richtig administrierten Server über SSH geknackt werden.

Sorry, hab das Thema hier erst jetzt gesehen .

Persönlich setze ich schon auf Iptables um einige Sachen zu verhindern, man sollte sich aber auch im Klaren sein dass Iptables auch oft zu Problemen führen sie ersetzen einfach keine Hardwarefirewall.

Und um nochmal auf IPv6 zurück zukommen, der einzige Unterschied bei Firewallregeln ist dass du IPv6 auf jeden Fall ICMPv6 erlauben musst. Sonst ists Essig mit der Konnektivität. Und der Typ hat einfach keinen Plan , deswegen hab ichs dann auch auf sich beruhen lassen.