[GNU/Linux] iptables of firewall? - Linux en overige clients

vrijdag 2 januari 2004 21:09

Acties:

Tux is lievvv

Topicstarter

Ik wil nu eindelijk eens een echt publiek beschikbaar GNU/Linux servertje opzetten maar daar komt ook de nodige security bij kijken natuurlijk.

Mijn eerdere servertje was alleen voor privé gebruik over internet, op afwijkende poorten en achter een router met NAT.
Deze komt te draaien op standaard poorten met een eigen IP-adres. Dus heb ik niets meer aan de firewall van de router.

Nu ben ik hier al flink aan het zoeken geweest op dit onderwerp maar heb niet echt een bevredigend resultaat gevonden; dat een firewall nodig is heb ik wel begrepen uit de gevonden posts maar hoe groots ik dat precies moet aanpakken werd me niet echt duidelijk.

Is het nu echt nodig om met behulp van complete security-suites als bastille-linux e.d. het hele systeem dicht te timmeren of is het voldoende om met iptables alle poorten behalve diegene waar de webserver e.d. op draaien te 'droppen'?

Tja

vrijdag 2 januari 2004 21:14

Acties:

Kippenijzer

McFallafel, nu met paardevlees

Tja, afhankelijk van op wat voor manier hij aan internet komt te hangen moet je het verschillend aanpakken. Echter is het meer kennis dan pakketten waar je wat aan hebt.
Ik heb zelf de nodige machines gewoon aan 100Mbit in colocatie (ik betaal voor ieder bitje traffic dat ik genereer en moet dus geen probleemverkeer binnenkrijgen) maar ik kan prima af met mijn self geschreven firewalletjes op basis van iptables.

[ Voor 3% gewijzigd door Kippenijzer op 02-01-2004 21:14 ]

vrijdag 2 januari 2004 21:14

Acties:

XTerm

Het ALLER belangrijkste is geen lekke software te draaien, dus je security updates goed bij te houden.

2de in het rijtje is geen ONNODIGE zooi te laten draaien en vooral niet als ze globaal connecties accepteren.

Als 3de kan je eventueel een firewall draaien, maar die is enkel nuttig om je eventueel te redden als je 2 of 1 verneukt hebt

vrijdag 2 januari 2004 22:00

Acties:

MadEgg

Tux is lievvv

Topicstarter

Okidoki, dan zal ik me eens flink in iptables gaan verdiepen. Ik heb ook nog een Linux Security Book van Syngress van iemand geleend, zal die ook 's doorbladeren of daar nog leuke dingetjes in staan.

Dank u $_/-\o_$

Tja

vrijdag 2 januari 2004 23:22

Acties:

pierre-oord

Ik heb een heel eenvoudige firewall, zie ook m'n site. Gewoon alle connecties die je zelf niet naar buiten hebt gemaakt en binnenkomen worden geweigerd. Maak je eerst een connectie naar buiten dan wordt het antwoord daarop wel toegestaan. En daarna gewoon poorten openzetten voor services. Ik praat hier dus over een NAT router. Voor jouw lijkt het me het beste gewoon een politity van alles deny op te zetten en alleen toestaan wat mag.

Verder heb ik niet zo'n verstand van linux, en weet ik ook niet hoe linux poorten dichttimmert zonder firewall. Wél kun je met zo'n iptables firewall (correct me if i'm wrong) je poorten stealth maken; er komt dat dus geen afwijsreactie van je server als de poort niet beschikbaar is, en da's prettig tegen portscanners.

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

zaterdag 3 januari 2004 16:15

Acties:

benoni

Op mijn webserver heb ik als firewall Shorewall geinstalleerd, dat was onder Debian makkelijk omdat je 'm in de standaard packages list van apt-get cq. dselect kunt vinden.

Op m'n werk werk ik op een Linux router al een tijd lang met Arno's firewall, die bestaat eigenlijk alleen maar uit 1 scriptje en een config-bestand. Ik had wel het een en ander op de scripting aan te merken, en heb dus mijn versie hier en daar aangepast en uitgebreid.
http://rocky.molphys.leidenuniv.nl/
http://freshmeat.net/proj...es-firewall/?topic_id=151

Een waarschuwing specifiek voor Shorewall: de versie die ik had opgehaald snapte de configuratie niet goed, en gooide ALLE poorten dicht op het moment dat je met '/etc/init.d/shorewall stop' de firewall uitschakelt. Da's niet handig als je server ergens in een serverpark staat. Gelukkig pikte die na een herstart wel de gewone config weer op.

zondag 4 januari 2004 15:54

Acties:

Verwijderd

Ik sluit me aan bij de reactie van XTerm. Eerst zorgen dat je geen lekke software hebt en houd (je bent vast lui, net als ik: neem daarom een distributie waarmee je dat makkelijk kunt regelen zoals Debian), dan zoveel mogelijk software die je niet nodig hebt eraf gooien en dan voor de extra zekerheid met IPTables aan de slag.

Belangrijk is dat je deze volgorde niet omdraait: als je een "dichte" IPTables firewall bouwt om een systeem dat voor de rest zo lek is als een mandje neem je alsnog onnodige risico's (je vertrouwt dan op IPTables als "single line of defence").

Goede iptables scripts / security guides zijn er overigens in overvloed te vinden. Een heel uitgebreide is die van TrinityOS

maandag 5 januari 2004 08:39

Acties:

TrailBlazer

Karnemelk FTW

ik zal inderdaad alles dubbel doen alles dichtzetten mbv van iptables en je patches goed in de gaten houden. Ook het analyseren van je logfiles is uiteraard van belang.

maandag 5 januari 2004 08:45

Acties:

pierre-oord

Op een windows systeem wil je ook niet draaien zonder firewall, hoe recent je patches ook zijn... zelfs als netbios zou zijn gedisabled

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

maandag 5 januari 2004 11:44

Acties:

benoni

Linux zou je inderdaad zonder firewall kunnen draaien, maar het geeft mij persoonlijk een wat beter gevoel om alles nogges door iptables te laten lopen.

Ik gebruik de firewall vooral om gemaakte verbindingen (ook outbound) te laten registreren in 1 logbestand, zodat ik voor de reguliere checks niet zoveel verschillende logbestanden hoef na te lopen. Alleen de gewone dingen (http requests inbound, DNS lookup outbound enzo) laat ik niet extra loggen.

maandag 5 januari 2004 20:39

Acties:

MadEgg

Tux is lievvv

Topicstarter

Zoals je in m'n ondertitel ziet bennik een Gentoo fanaat

en die is ook makkelijk up2date te houden net als Debian, dus dat zal het probleem niet zijn.

Alles draait nu zo'n beetje, ben alleen bezig met afwegen tussen FTP-servers.

Firewall heb ik nu opgezet met alleen iptables zonder extra progjes. Toen ik een en ander had ingesteld en dacht dat ik klaar was liep ik echter tegen een probleem aan dat ik zelf niet meer kon vanaf die PC, geen FTP/HTTP/watdanook verbindingen maken om updates enzo te downloaden.

Na nog wat doorgescharreld te hebben kwam ik erachter dat ik om dat wel te laten werken ik connecties vanaf sourceport 80, 21 etc moest accepteren ipv destination-port zoals al was ingesteld. Dat leek me niet echt veilig en dus ben ik nog even door gaan zoeken en kwam ik op een site tegen dat alle inkomend verkeer zonder TCP-flag SYN en mét TCP-flags RST en ACK er niet op uit was om een verbinding te maken maar antwoord gaf op een uitgaande request.

Dus nu heb ik de volgende regel toegevoegd:

code:

1	iptables -A INPUT -p tcp ! --syn -j ACCEPT

Dit bleek te werken, alle uitgaande verbindingen werken. Nu vraag ik me af of dit op zijn beurt WEL veilig is, of moet ik echt per service deze pakketjes gaan instellen?

Tja

maandag 5 januari 2004 22:07

Acties:

TrailBlazer

Karnemelk FTW

je vergeet nu nog alle udp protocollen DNS enzo. Je moet zo en zo alle UDP poorten onder de 1023 dichtzetten

dinsdag 6 januari 2004 02:43

Acties:

Verwijderd

Waarom zou je met een o zo stoer klinkende 'firewall' iets dicht zetten, als je toch niets achter een port hebt hangen? Een firewall heeft voor een simpele server nou eenmaal weinig nut. Je zorgt er gewoong voor dat je alleen de daemons draait die nodig zijn (bv http/ftp/ssh) je zorgt ervoor dat ze niet lek zijn (makkelijker gezegt dan gedaan) en klaar! Niets geen firewall nodig....

Een firewall is handig voor NAT, voor restricted services, voor IDS'en, voor DMZ's en wellicht voor veel meer. Maar het is een laatste redmiddel wat eigenlijk alleen nuttig is als de rest van je security te wensen overlaat (zie vorige posts).