Hallo Leute,

ich habe einen Server mit iptables. Ich habe per INPUT so ziemlich viel verboten, was von draußen kommt - nur Port 80 und 443 sind zugelassen. Nun möchte ich aber gerne wissen, was man per OUTPUT verbieten sollte. Auf dem Server läuft Apache und Javaprojekte. Ist Output notwendig und wenn ja, was muss man verbieten ? Was für Gefahren lauern, wenn man kein Output definiert ?

thx and mfg

kommt drauf an wie paranoid du bist :p
Am besten wär es ja wenn du Output ganz verbietest.
Wobei du denn aber alle Reply einzeln öffnen müsstest.
Der Vorteil wär an der Methode das ein eventueller trojaner keine Chance hätte sich nach draussen zu verbinden.

er sollte so sicher wie möglich sein ! Muss ich noch was anderes rauslassen, außer HTTP ? Also ich betreibe ja einen Webserver mit Javaprojekten. Reicht es, wenn ich nur Port 80 nach außen hin öffne ? Aber selbst dann gibt es ja noch Möglichkeiten den Server von "innen" zu attaktieren, oder ?

Gruß marcel

Einen Topic weiter unten steht:


Auf der Seite des Oreilly Open-Book Projekts gibts das sehr gute Buch
"Linux-Firewalls - Ein praktischer Einstieg" kostenlos!

Würde fast schon sagen es ist ne Pflichtlektüre!

mfg
cane

Vielleicht sollten wir mal einen Topic erstellen der Links zu guten Basics sprich HowTos, Ebooks, Harrys Iptables Generator etc. listet.
Gerade hier im Sicherheitsbereich kehren die Empfehlungen auf die gleichen Quellen sehr oft wieder...

Vielleicht erstell ich die Tage mal einen und schick ihn an Richard und Thomas...

mfg
cane

Der Vorschlag ist super, ich habe früher schon daran gedacht, aber da ich befürchtet habe dass die Beteiligung zu schwach ausfallen würde habe ich die Idee wieder verworfen. Da es jetzt aber hoffentlich eine rege Beteiligung geben wird, nehme ich das natürlich in Angriff!

Bitte sendet eure Vorschläge via PN an mich, ich werde dann die wichtigsten/besten Links zusammenfassen und in einem Post als "sticky" setzen.
Ich kümmere mich dann am Wochenende darum.


Thomas.

Super!
Bekommst meine Vorschläge im Laufe des Tages...

mfg
cane

gute Idee, mit der Liste !

aber nun nochmal zu meiner Frage :

was sollte man per Output verbieten ? Welche Möglichkeiten biete ich Angreifern, wenn von außen Port 80 und 443 offen sind und nach außen hin alle ? Was kann er damit machen ? Auf den Webseiten befinden sich zwar Uploadfunktionen mit Passwortschutz, allerdings sind die Verzeichnisse auf dem Server nochmal gesichert - nur lese und schreibbar !

Danke schonmal !

... Deine Frage ist falsch formuliert ;)
Sie sollte lauten:
Was soll man für die OUTPUT Chain erlauben?

Grüße

Manx

Welche Möglichkeiten biete ich Angreifern, wenn von außen Port 80 und 443 offen sind und nach außen hin alle

Wen Du dir per Mail etc ein Rootkit einschlepst dass eine Phone Home Funktionalität hat kan es beliebige Daten verschicken...

Lies Dir doch einfach das Buch durch -da steht drin was ma für einen Apache offen haben muß :rolleyes:

Was der Angreifer machen kann? Wen ein Bug im Apache gefunden wird kann er diesen ausnutzen und bekommt die Rechte des Apache - wenn Du immer aktuelle Software einsetzt ist das unwarscheinlich.

Ansonsten beschränk halt alle Rechte:
Wer darf wo lesen, wer wo schreiben, bestimmte Benutzer sollen vielleicht nur von bestimmten Rechnern zugreifen können usw.

mfg
cane