PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie sicher sind daten auf nem router?



Tybalt0125
05.10.04, 09:23
Hi Leute,

ich hoffe das ich hier das richtige Forum erwischt habe, wenn nicht einfach mal verschieben.
Jetzt zu meiner Frage, ich habe einen Router (debian woody) an dem zwei Rechner hängen.
Einmal Debian und einmal Win2k.
Ich habe auf dem router ssh, ftp und http laufen und noch ein paar dienste mehr.
Auf dem router habe ich eine iptables firewall, die eigentlich alles verwirft, bis auf ssh, ftp, http und mysql.
Wie sicher ist es, meine privaten Daten auf den Router zu stellen und ihn als
Fileserver zu nutzen?

Was sollte ich beachten?
Ich wäre euch sehr dankbar für eure Tipps und Ideen. :)

MfG
tybalt0125

Sauerkraut
05.10.04, 10:45
Das ist so, wie wenn eine Mutter mit ihrem Kind in einem gepanzerten Fahrzeug über ein Schlachtfeld fahren würde...

DiWoWo
05.10.04, 11:18
Hi Leute,

ich hoffe das ich hier das richtige Forum erwischt habe, wenn nicht einfach mal verschieben.
Jetzt zu meiner Frage, ich habe einen Router (debian woody) an dem zwei Rechner hängen.
Einmal Debian und einmal Win2k.
Ich habe auf dem router ssh, ftp und http laufen und noch ein paar dienste mehr.
Auf dem router habe ich eine iptables firewall, die eigentlich alles verwirft, bis auf ssh, ftp, http und mysql.
Wie sicher ist es, meine privaten Daten auf den Router zu stellen und ihn als
Fileserver zu nutzen?

Was sollte ich beachten?
Ich wäre euch sehr dankbar für eure Tipps und Ideen. :)

MfG
tybalt0125

Genau so habe ich es eigentlich auch! Router (Debian Woody) und ein WinXP Rechner, aber auf dem Router liegen keine wichtigen Daten ausser das was im FTP verzeichnis is =)

cane
05.10.04, 14:49
Auf dem router habe ich eine iptables firewall, die eigentlich alles verwirft, bis auf ssh, ftp, http und mysql.
Wie sicher ist es, meine privaten Daten auf den Router zu stellen und ihn als
Fileserver zu nutzen?

Ich gehe mal davon aus, dass die genannten Dienste von außen, also über das Internet, zu erreichen sind.

1. Warum benötigst Du Zugriff auf mysqld?

2. ftp ist unsicher weil Username && Passwort im Klartext übertragen werden
Lösung: Entweder nur ssh nutzen oder zusätzlich scponly installieren. Anleitung zu scponly:
http://www.sancho2k.net/filemgmt_data/files/scponly.html

3. Root Login per ssh in der config des sshd verbieten.

4. Es gibt Kernelpatches die vor Buffer Overflows schützen und Tools wie Tripwire die du so konfigurieren kannst, dass sich nur bestimmte Dateinen / Ordner auf dem System ändern dürfen. Mehr in der Linkliste des Sicherheitsforum: http://www.linuxforen.de/forums/showthread.php?t=136651

mfg
cane

Tomek
05.10.04, 15:05
Das ist so, wie wenn eine Mutter mit ihrem Kind in einem gepanzerten Fahrzeug über ein Schlachtfeld fahren würde...

:D :D :D

Besser konnte man es nicht treffen.

Tybalt0125
05.10.04, 17:16
Ich gehe mal davon aus, dass die genannten Dienste von außen, also über das Internet, zu erreichen sind.

1. Warum benötigst Du Zugriff auf mysqld?

2. ftp ist unsicher weil Username && Passwort im Klartext übertragen werden
Lösung: Entweder nur ssh nutzen oder zusätzlich scponly installieren. Anleitung zu scponly:
http://www.sancho2k.net/filemgmt_data/files/scponly.html

3. Root Login per ssh in der config des sshd verbieten.

4. Es gibt Kernelpatches die vor Buffer Overflows schützen und Tools wie Tripwire die du so konfigurieren kannst, dass sich nur bestimmte Dateinen / Ordner auf dem System ändern dürfen. Mehr in der Linkliste des Sicherheitsforum: http://www.linuxforen.de/forums/showthread.php?t=136651

mfg
cane

zu 1. habe auch schon gemerkt das es schwachsinn war das freizuschalten, habe es schon geändert.
zu 2. auch hier habe ich gemerkt, das ich besser nur ssh benutze.
zu 3. ist nicht erlaubt
zu 4. werde ich mir anschauen.

danke für deine hilfe...

sind meine daten einigermassen sicher, oder nicht?

also das sind nicht wirklich brisante daten, wie kundendaten oder so. halt nur private sachen, fürs studium und so...

cane
05.10.04, 17:28
Nichts zu danken...


also das sind nicht wirklich brisante daten, wie kundendaten oder so. halt nur private sachen, fürs studium und so...

Dann ist das Sicherheitsniveau - vorausgesetzt Du machst regelmäßige Backups - definitiv okay; vor allem wenn man überlegt wie viele Leute es gibt die ihre Daten ohne Backup auf dem alten Client ohne Virenschutz etc lagern und nebenher auf dem selben Rechner noch fleißig saugen.

Auf den letzten Rechnern die ich desinfiziert habe war fast immer mindestens ein Filesharing-Client installiert über dessen Download-Verzeichnis die meiste Malware eingeschleust wurde...

mfg
cane

Tybalt0125
05.10.04, 17:52
Nichts zu danken...



Dann ist das Sicherheitsniveau - vorausgesetzt Du machst regelmäßige Backups - definitiv okay; vor allem wenn man überlegt wie viele Leute es gibt die ihre Daten ohne Backup auf dem alten Client ohne Virenschutz etc lagern und nebenher auf dem selben Rechner noch fleißig saugen.

Auf den letzten Rechnern die ich desinfiziert habe war fast immer mindestens ein Filesharing-Client installiert über dessen Download-Verzeichnis die meiste Malware eingeschleust wurde...

mfg
cane
ich betreibe kein filesharing, also kann da auch schon nichts durch kommen.
Ich möchte halt bloss auf meine ganzen daten von überall her zugriff haben, da ich nicht immer meinen laptop mitschleppte möchte und nicht immer alles auf den stick passt.

will halt meine ganzen daten zentral haben. :)

IT-Low
05.10.04, 19:05
will halt meine ganzen daten zentral haben. :)

Das scheinz momentan wohl modern zu sein.

Dann benutze doch ein VPN oder lasse einfach nur SSH/SCP für deinen User ausschließlich von deinen anderen Rechnern zu.

cane
06.10.04, 16:44
Um remote auf Deine Daten zuzugreifen kannst Du auch scponly benutzen.

Ich schreibe gerade ein HowTo dazu:
http://www.linuxforen.de/forums/showthread.php?t=154410

scponly unterstützt allerdings per default keinerlei ssh-Befehle, soll es auch nicht...

mfg
cane

Tybalt0125
06.10.04, 17:05
Um remote auf Deine Daten zuzugreifen kannst Du auch scponly benutzen.

Ich schreibe gerade ein HowTo dazu:
http://www.linuxforen.de/forums/showthread.php?t=154410

scponly unterstützt allerdings per default keinerlei ssh-Befehle, soll es auch nicht...

mfg
cane
das geht auch, allerdings habe ich dann ja auch meine ganzen Daten auf dem Server liegen.
Werde mir das howto gleich mal anschauen. :)

cane
06.10.04, 17:41
das geht auch, allerdings habe ich dann ja auch meine ganzen Daten auf dem Server liegen.

Wie meinst Du das?

cane

RapidMax
07.10.04, 00:06
also das sind nicht wirklich brisante daten, wie kundendaten oder so. halt nur private sachen, fürs studium und so...
Datenverlust ist nur eine Seite der Medallie: Was denkst du, wie gerne dauerhaft, breitbandig angebundene Rechner "übernommen" werden? Bei uns in der Firma hat man auch mal "nur kurz" einen FTP-Server in Betrieb nehmen wollen. Nach der Mittagspause war die Disk schon mit Daten gefüllt, dessen Szenennamen mit z enden.....

Gruss, Andy

Tybalt0125
07.10.04, 08:11
Datenverlust ist nur eine Seite der Medallie: Was denkst du, wie gerne dauerhaft, breitbandig angebundene Rechner "übernommen" werden? Bei uns in der Firma hat man auch mal "nur kurz" einen FTP-Server in Betrieb nehmen wollen. Nach der Mittagspause war die Disk schon mit Daten gefüllt, dessen Szenennamen mit z enden.....

Gruss, Andy
hmm... irgendwie verstehe ich nicht ganz was Du mir sagen willst? :(



Wie meinst Du das?

cane
Naja, ich habe bis jetzt keine Daten auf dem Server liegen, bis auf mein HP.

RapidMax
08.10.04, 17:03
hmm... irgendwie verstehe ich nicht ganz was Du mir sagen willst? :(
Ein Angreiffer will nicht unbedingt an deine Daten. Er wird sich ein Root-kit Installieren um von diesem Rechner illegale Aktionen auszuführen, oder wenn genügend Bandbreite zur Verfügung steht, den Rechner als Spam-Schleuder oder Warez-Lager missbrauchen.

Gruss, Andy

Tybalt0125
09.10.04, 08:23
Ein Angreiffer will nicht unbedingt an deine Daten. Er wird sich ein Root-kit Installieren um von diesem Rechner illegale Aktionen auszuführen, oder wenn genügend Bandbreite zur Verfügung steht, den Rechner als Spam-Schleuder oder Warez-Lager missbrauchen.

Gruss, Andy
achso...
na und was kann ich dagegen machen?
Wie gesagt, ich bin für Tipps und Tricks immer dankbar... :)

IT-Low
09.10.04, 11:38
achso...
na und was kann ich dagegen machen?

1. Nur das Nötigste installieren (wie Serverdienste)
2. System aktuell halten, sichere Passwörter verwenden
3. Logfiles regelmäßig durchforsten
4. Security-Newsletter lesen (www.heise.de/security ist schon mal ein guter Anfang)
...

Tybalt0125
11.10.04, 08:45
1. Nur das Nötigste installieren (wie Serverdienste)
2. System aktuell halten, sichere Passwörter verwenden
3. Logfiles regelmäßig durchforsten
4. Security-Newsletter lesen (www.heise.de/security ist schon mal ein guter Anfang)
...

zu 1. werde ich dann mal machen. Muss ich die Dienste die ich installiert habe unbedingt deinstallieren, wenn deren port sowieso gesperrt ist? Was ist, wenn die Dienste nicht laufen, dann auch deinstallieren?

zu 2. Ich halte mein System relativ aktuell, das heißt das ich eigentlich jeden 2ten Tag ein 'apt-get dist-upgrade' mache.

zu 3. das mache ich noch nicht so oft, werde ich aber auch machen, sobald ich nachgeschaut habe worauf ich achten muss. :)

zu 4. wird gemacht... :)

IT-Low
11.10.04, 18:29
zu 1. werde ich dann mal machen. Muss ich die Dienste die ich installiert habe unbedingt deinstallieren, wenn deren port sowieso gesperrt ist? Was ist, wenn die Dienste nicht laufen, dann auch deinstallieren?

ja, wieso nicht?



zu 2. Ich halte mein System relativ aktuell, das heißt das ich eigentlich jeden 2ten Tag ein 'apt-get dist-upgrade' mache.

Das kann man auch täglich zB mit einen cronjob machen.

Tybalt0125
11.10.04, 20:44
jo, das mit dem cronjob ist ne gute idee...
allerdings, wenn ich ein dist-upgrade mache, dann taucht manchmal ein auswahlmenü (z.B.: apache ) auf, ob ich die konfig dateien erneuern möchte. wie kann ich das denn dann verhindern?

IT-Low
12.10.04, 20:07
man apt-get

"apt-get --assume-yes dist-upgrade" zum Bleistift

Tybalt0125
13.10.04, 08:02
man apt-get

"apt-get --assume-yes dist-upgrade" zum Bleistift
sorry, hätte ich mir auch denken können, das es im manuel drinsteht.
danke dir... werd ich dann gleich mal einrichtigen....