[Disc]Waar op letten bij beveiligen linux, firewall zin/onz.

the_r3b3l schreef op 19 oktober 2004 @ 10:02:
Ik werk nu een tijdje met linux en elke keer als ik een server installeer loop ik tegen dezelfde vragen aan. Waar moet ik op letten op de zaak goed dicht te timmeren.

Het eerste weer ik aan denk bij beveiligen is een firewall, ok daar kom ik dan nog uit alhoewel ik nog wel eens op zoek ben naar een mooie (grafische?) tool om regels mee te maken.

fwbuilder

Maar er zijn nog andere bestanden waar je toegang mee kunt vrijgeven/blokeren tot bepaalde diensten zoals:
hosts.allow/deny
inetd.conf

Wat is de functie van deze bestanden?

man hosts_access en man inetd.conf?

Verder zullen er heus nog wel andere puntjes zijn waar je op moet letten en ik hoop met dit topic daar wat tips over te krijgen.

Zoals je ziet is er al heel veel info zelf te vinden, en op internet zijn wel "hardening linux" of "hardening iets anders" howtos te vinden bijvoorbeeld.

the_r3b3l schreef op 19 oktober 2004 @ 10:02:
Het eerste weer ik aan denk bij beveiligen is een firewall, ok daar kom ik dan nog uit alhoewel ik nog wel eens op zoek ben naar een mooie (grafische?) tool om regels mee te maken.

Ik gebruik daarvoor Shorewall als frontend voor IPTables, niet grafisch maar wel een stuk handiger dan IPTables zelf. Wellicht kan je die eens proberen. Deze zit bovendien in veel distributies in het package management.

een goeie grafische firewall tool is firestarter

Waarom begint iedereen altijd met firewalls? In plaats van op 0.0.0.0 te binden kan ik wel wat veiligere methoden bedenken, zonder dat je iptables ooit hoeft aan te raken.

Op www.onlamp.com staan erg veel nuttige artikelen, bv deze http://www.onlamp.com/pub...08/26/FreeBSD_Basics.html over het installeren van een server. Niet alleen tips over beveiliging, maar ook andere aandachtspunten bij het inrichten van een server.

Als je je bak goed configged heb je natuurlijk helemaal geen firewalll nodig. Maar SSH login´s filteren tot alleen je eigen IP is natuurlijk nooit verkeerd.

Neem anders eens een kijkje op je bak met "webmin". Dit is een redelijk makkelijk hulpmiddel van de diverse configuraties, maar krijg je toch nog mee wat je nou daadwerkelijk eigenlijk doet.

Er zijn vele goede docs op internet. Een eigen overzicht en een bergje links heb ik verzameld op http://mrlee.homelinux.net/linux-security.htm

Veel plezier ermee....

Zorgen dat root niet kan inloggen via ssh en dat je dus alleen root kan worden via su is ook handig. En zorgen dat je alleen zelf in de wheel groep zit.

nog eentje in het rijtje handige firewall scripts: ShoreWall

In de Gentoo Linux security guide word uitgebreid beschreven aan welke dingen je moet denken en op welke manieren je je "bak" kunt beschermen voor ongewenste intimiteiten.

Portsentry is ook heel handig (mits goed geconfigureert), blokt portscanners dmv iptables.

http://linux.cudeso.be/linuxdoc/portsentry.php

GieltjE schreef op 20 oktober 2004 @ 08:48:
Portsentry is ook heel handig (mits goed geconfigureert), blokt portscanners dmv iptables.

http://linux.cudeso.be/linuxdoc/portsentry.php

Hartstikke handig..
geef je ip eens? blok ik even het halve internet voor jou.
als ik een portscan op je loslaat met valse source ip's(decoys, kan je meegeven in nmap bijvoorbeeld) en ik stop daar de ip's van google.nl en tweakers.net in dan blokt jouw firewall het verkeer van en naar die ip's en kan jij dus mooi niet meer op die sites voor een bepaalde tijd..

Maar het kan nog leuker. ik traceroute je, en scan met het ip van je gateway als decoy..
Hoppa, weg internet verbinding...

Het idee van portsentry is leuk, maar iemand kan je er zo ontiegelijk mee gallen dat het meer problemen geeft dan voordeel...

En over die met die opmerking van vuurmuur om je huis dat niemand dan niet meer naar buiten kan kijken, dat is een kwestie van je firewall goed instellen..
Vanuit mijn netwerk kan alles en iedereen naar buiten op alle mogelijke poorten.
Maar naar binnen staat er maar een beperkt aantal poortjes open voor http en smtp enzo maar meer niet..

Volgens mij zijn die mensen die iets tegen firewalls hebben er gewoon nooit goed ingedoken en hebben er daardoor alleen maar problemen mee gehad..
Een vuurmuur is niet een muur om je huis.. de vuurmuur is je voordeur die op slot zit.. wat handiger is dan binnen in je huis appart iedere deur op slot te doen..

possamai schreef op 20 oktober 2004 @ 10:14:
Een vuurmuur is niet een muur om je huis.. de vuurmuur is je voordeur die op slot zit.. wat handiger is dan binnen in je huis appart iedere deur op slot te doen..

Daar ben ik het niet geheel mee eens, het slot op je voordeur is de beveiliging in de (server)applicatie zelf, bijvoorbeeld via hosts.allow/hosts.deny of de allow/deny mogelijkheden in de apache webserver.
De firewall is dan zegmaar je tuinhek met af en toe een deurtje die een kant op open kan (is een slechte vergelijking, maar je doet het er maar mee )

Verwijderd schreef op 20 oktober 2004 @ 19:56:
En anders laat je portsentry alleen detecteren. Maar mooier is eigenlijk snort.... maar wil je die echt goed gebruiken, dan moet je daar een aparte server voor pakken.

En erg goed instellen..
Ik heb een hele tijd snort gedraait maar dat detecteerd echt alles..
Als je'm niet goed instelt krijg je zo'n ongelofelijke lading info dat je door de bomen het bos niet meer ziet.
ACID is hierbij wel handig.. Dit is een webbased frontend voor snort waarmee je dan ook filters in kan stellen zodat de boel wat overzichtelijker wordt..

possamai schreef op 20 oktober 2004 @ 10:14:
Hartstikke handig..
geef je ip eens? blok ik even het halve internet voor jou.
als ik een portscan op je loslaat met valse source ip's(decoys, kan je meegeven in nmap bijvoorbeeld) en ik stop daar de ip's van google.nl en tweakers.net in dan blokt jouw firewall het verkeer van en naar die ip's en kan jij dus mooi niet meer op die sites voor een bepaalde tijd..

Gelukkig is spoofing tegenwoordig al lang niet zo makkelijker meer te doen als vroeger, vanwege in/egress filtering 't Kan nog wel, natuurlijk.

Maar het kan nog leuker. ik traceroute je, en scan met het ip van je gateway als decoy..
Hoppa, weg internet verbinding...

Dat gaat niet werken. Ten eerste stuurt de pc van $topicstarter geen traffic naar het IP-adres van z'n router, maar direct naar het MAC-adres dmv arp resolving. Een firewall block op IP-niveau boeit dan dus ook niet. Daarnaast kun je hem niet bereiken met een gespoofd source ip van z'n eigen gateway. Die gateway laat dat natuurlijk nooit door, een packet die binnenkomt op een interface met het source ip van de router zelf.

Het idee van portsentry is leuk, maar iemand kan je er zo ontiegelijk mee gallen dat het meer problemen geeft dan voordeel...

True, het spoofing verhaal gaat idd op. Helemaal als je gewoon miljoenen adressen gaat spoofen. Er worden dan zo enorm veel rules geladen waardoor de firewall nogal traag wordt -> DoS..

serkoon schreef op 03 november 2004 @ 14:58:
Dat gaat niet werken. Ten eerste stuurt de pc van $topicstarter geen traffic naar het IP-adres van z'n router, maar direct naar het MAC-adres dmv arp resolving. Een firewall block op IP-niveau boeit dan dus ook niet.

Maar toch stuur je IP packets
Denk even aan het OSI model, en kijk waar MAC adressen staan en IP adressen en je komt er achter dat die op een ander niveau werken en dus slaat het nergens op wat je nu zegt.

Erkens schreef op 03 november 2004 @ 15:20:
[...]

Maar toch stuur je IP packets
Denk even aan het OSI model, en kijk waar MAC adressen staan en IP adressen en je komt er achter dat die op een ander niveau werken en dus slaat het nergens op wat je nu zegt.

Dat klopt, maar een router routeerd op IP-adressen en niet op MAC adressen.

eghie schreef op 03 november 2004 @ 19:19:
[...]

Dat klopt, maar een router routeerd op IP-adressen en niet op MAC adressen.

ehm, ja uiteraard (bij ene IP router dan) en door dit gezegt te hebben spreek je jezelf dus tegen

> En erg goed instellen.. Ik heb een hele tijd snort gedraait maar dat detecteerd echt alles.. Als je'm niet goed instelt krijg je zo'n ongelofelijke lading info dat je door de bomen het bos niet meer ziet. ACID is hierbij wel handig.. Dit is een webbased frontend voor snort waarmee je dan ook filters in kan stellen zodat de boel wat overzichtelijker wordt..

Ik gebruik zo weinig mogelijk extra's op mijn snortbak. En je moet ook niet alle rule-groepen aan zetten. Verder moet je jezelf een testfase gunnen waarbij je de false-positives uit zet in de configs. En als je toch nog meer rules wil met meer detectie.... bleedingsnort.org.... te gek!

De alerts gaan bij mij per email. Niks webserver en zo... kost alleen kracht; gebruik ik liever om nog wat extra verkeer te monitoren.


Verder blijf ik van mening dat een ids wel degelijk kan werken. En wil je geen rare dingen laat jet ids dan alleen detecteren zonder contra-acties uit te voeren. En heb je de kracht.... dan is snort wel een poepie gaver dan portsentry. Lees meer in http://mrlee.homelinux.net/linux-security.htm

[ Voor 26% gewijzigd door Verwijderd op 03-11-2004 20:49 ]

possamai schreef op 20 oktober 2004 @ 10:14:
[...]


Maar het kan nog leuker. ik traceroute je, en scan met het ip van je gateway als decoy..
Hoppa, weg internet verbinding...

Dat is natuurlijk onzin. Hoe vaak communiceer jij op IP-niveau met je gateway? Ik nooit. Je stuurt er wel pakketjes heen, ja. Maar die hebben niet het IP-adres van je gateway er in. Hoogstens een MAC-adres (soms ook dat niet zoals bijvoorbeeld bij PPP links). Je firewall kan dus niet je internetverkeer afbreken op deze manier. Bovendien krijg je bij een traceroute het IP-adres van de interface aan jouw kant van het geheel te zien. Niet die waar je heen gaat.

Misschien ten overvloede, maar kijk ook eens met netstat welke poorten openstaan.

Wat betreft dat geintje met portsentry. En iemand geeft al aan dat je met decoy's andere websites kan laten blokkeren. Het kan eenvoudiger

Traceroute die bak is en het een na laatste ip voordat je die bak bereikt die gebruik je als decoy. Tada bak van internet. Heel vervelend.

(ik weet het niet zeker maar volgens mij kan portsentry portsscans met decoys detecteren van scanlogd weet ik het wel die kan dat niet)

Ik ben van mening dat je portsentry, snort en dat soort spul moet gebruiken als waarschuwing... niet om nieuwe entries toe te voegen aan je badhosts table. Als je dat namelijk doet ben je gewoon vulnerable voor een DoS.

Snort in combinatie met Acidlab is idd erg goeie. Zeker met een paar goeie filters.

Het enige wat ik af en toe doe is ip's aan mijn badhosts table toe voegen die proberen te brute forcen. (Overigens nadat ik het ip gecontroleerd heb en van welke provider dat netblock is ) Wat ik eigenlijks zou moeten doen is even een abuse mailtje de deur uit doen. Maar jah ik denk dat ik daar te lui voor ben

[ Voor 1% gewijzigd door active2 op 04-11-2004 09:27 . Reden: Effe wat gramatica toepassen ]

Zowiezo de dingen uitzetten en niet installeren die je niet gebruikt. Met name FTP wordt tegenwoordig veel misbruikt zodat ik momenteel alleen TFTP gebruik ism TotalCommander.