PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba-PDC <> XP-Clients ohne Server-Anpingen möglich?



will_990
10.09.05, 11:40
Hallo! Folgendes:
Ich habe Samba 3.0.x (Suse 9.3) als PDC laufen und daneben ein paar XP-SP2 Clients mit Domain-Logon (läuft jetzt endlich dank Eurer HowTo Infos!). Als ich versuchte, zwecks IP-Scan Vermeidung das Anpingen des Linux-Servers mittels
/proc/sys/net/ipv4/icmp_echo_ignore_all = 1
(standardmäßig beim Systemstart aktiviert) zu verhindern, konnten sich die XP-Clients nicht mehr anmelden bzw. die Benutzerprofile vom Server laden.

Meine Frage: Müssen (XP)-Clients zwingend den Server anpingen können, um zu funktionieren, oder kann ich es über Einträge in diversen Konfig-Dateien (XP und Linux)erreichen, dass es auch ohne Anpingen läuft? Ich möchte das Scannen des Servers (der permanent online sein muss) aus dem Internet einfach verhindern.

Für jede Antwort wäre ich dankbar
Christian

cane
10.09.05, 12:42
Als ich versuchte, zwecks IP-Scan Vermeidung das Anpingen des Linux-Servers mittels
/proc/sys/net/ipv4/icmp_echo_ignore_all = 1
(standardmäßig beim Systemstart aktiviert) zu verhindern, konnten sich die XP-Clients nicht mehr anmelden bzw. die Benutzerprofile vom Server laden.


Zu deiner eigentlichen Frage kann ich nichts sagen - das verbieten von Echo Replies bietet abet so gut wie keinen Schutz vor Portscans da die meisten Portscanner mit TCP-Paketen etc. arbeiten oder ARP-Requests nutzen...

mfg
cane

will_990
10.09.05, 18:10
Das stimmt schon, cane; um Port Scanning jedoch wirksam einsetzen zu können benötigt man erstmal einen range an IP-Adressen (zumindest schließe ich das aus den Beschreibungen der Progs, die ich mir angesehen habe). Ich ging bislang immer davon aus, dass Hacker zuerst mal einen Scan aller verfügbaren IP-Adressen machen und diese im zweiten Schritt auf offene Ports analysieren; ohne IP-Rückmeldung sollte der PortScanner auch nicht wirklich funktionieren (zumindest nicht im schnellen Suchverfahren aus Russland, China und Konsorten)
...ich würde trotzdem gerne wissen, ob ich ICMP_ignore_all aktivieren kann und der Serverzugriff dennoch funktioniert (oder es gänzlich unmöglich ist).

cane
10.09.05, 19:24
Arbeiztet der Samba-Server gleichzeitig als Router oder warum ist er aus dem Internet erreichbar?

Hat er zwei Netzwerkkarten?

Es würde doch reichen ICMP nur Richtung Internet zu blocken - lokal kann ICMP ja aktiviert bleiben...

mfg
cane

suck
10.09.05, 20:28
Aus Sicht des dummst möglichen Scriptkiddies würde sich dein System ohne diese Blockung wie folgt verhalten:

"Entweder kommt was oder ne Fehlermeldung"

..und mit Blockung:

"Entweder kommt was oder es kommt nix"

Du solltest es wirklich nicht anstreben sowas zu blocken. Für den Angreifer macht es sofern er wenst kaum Ahnung hat keinen Unterschied und für den Rest des Internets kann es nur schädliche Auswirkungen haben.

will_990
11.09.05, 10:59
@cane: ja, es sind 2 NW-Karten eingebaut und ja, der Server arbeitet auch als Router. Das Blocken des externen Zugangs allein hatte ich noch gar nicht bedacht (Befehl ist in der sysctl.conf aktiviert und dort wird ja alles gesperrt); einen Versuch kann ich immer starten.

@suck. Ich frage mich ja selber, inwieweit das Blocken einen Sinn macht. Ich nahm an, dass nachwievor zuerst nach IPs gescannt wird; scheinbar sind die aktuellen Port-Scanner aber bereits soviel weiter, dass der Rechner immer irgendwie erkannt wird. Schätze, dass ich das Ganze mal wirklich austesten muss.

hanteltaster
11.09.05, 21:01
das einfachste wäre, Du blockierst dein Internet-Interface mit iptables dahingehend, dass nur noch Pakete die mit established bzw. related geflagged sind durchkommen. Das heisst das vom ins Internet zeigenden Interface nur noch Pakete durchgelassen werden, die vom internen Netzwerk angefordert wurden. Dein Rechner ist dann für einen Portscanner zwar noch sichtbar, jedoch bekommt der Angreifer bei einem Portscan nur noch "node down". Der Nachteil hierbei ist, dass Dein Rechner vom Internet nicht erreichbar ist. Sollte dein Rechner für bestimmte Protokolle vom Internet aus erreichbar sein, wirds erheblich komplizierter.

Gruß

Mike

Fly
12.09.05, 08:45
@Will,

falls du einen alten Rechner rumstehen hast (486 genügt), würde ich ein Coyote Linux System installieren (startet von Diskette) da kannst du dir ein IPTABLES Skript reinkopieren und so ist dein Firewall sicher...

Ein smb Dienst auf FW oder Router zu laufen ist sehr bedenklich. Wenn du auf die SIcherheitspatches bzw. sicheren Passwörter achtest, brauchst du keinen Angst vor Hackern haben auch wenn der Portscan Ports anzeigt, die offen sind. Normalerweise weiss man ja auch für welchen IP-Bereich die Ports offen sein sollen, auser für WEB bzw. Mailserver.

Mit folgender Eintrag im iptables kannst du die Pings von aussen verbieten, jedoch kannst du von innen nach aussen pingen, so dass du die Antwort-Pakete erhälst...



iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

will_990
14.09.05, 18:49
Danke für alle replies!
Ich habe jetzt mal ein paar Portscans durchgeführt (natürlich funktionieren die Scans auch bei abgeschalteten echo requests, ist also faktisch für gar nichts ;-)), allerdings filtert die Suse Firewall soweit alle Ports. Extern zugelassen sind lediglich pop3 (emails) und ssh (für Putty mit Datafreeway, reicht völlig für externen Zugriff), Samba brauche ich ohnehin nur intern. Der Zugriff von außen dürfte zumindest nicht mehr ganz so einfach sein. Nochmals Danke!