PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Freigegebene Ports nur für IP-Bänder und Betriebssysteme freigebbar ?



AndreasMeier
12.01.11, 12:22
Hallo zusammen,

ich hab einen kleinen Server daheim stehen.

Dort läuft
- auf Port 80 ein Apache
- auf Port 993 für IMAP
- auf Port 25 ein SMTP


Diese Portfreigaben möchte ich am Server mit einer Art "IP-Whitelist" einschränken.
Ich halte mich nur auf ein paar IP-Bändern auf, die man Providern zuordnen kann.
1.Frage ist daher:
Geht so eine Art von Einschränkung ?

Bei PHP-Dateien kenn ich diese Art von Abfragen.
Ich such aber eine Einschränkung auf Port- bzw. System-Ebene anstatt auf einzelner Projekt-Ebene.

Und bei den Mail-Diensten kenn ich mich nicht so genau aus.



2.Frage ist daher:
Kann ich die Portfreigaben zusätzlich noch auf ein Betriebssystem eingrenzen, da ich alle Informationen mit einem Android-Smartphone abrufe ??

Danke und Gruß
Andreas

ThorstenHirsch
12.01.11, 12:43
1.) Sollte sich mit dem Linux Paketfilter lösen lassen, siehe hier (http://security.maruhn.com/howto/packet-filtering-HOWTO-7.html) - das ist quasi die Firewall, die in Linux eingebaut ist (in den Kernel).

2.) Jein... also du könntest in PHP den Browser-Header/Tag (oder wie das heißt) anschauen und daraufhin aussortieren, aber diesen Header kann man selbst einstellen/manipilieren, das ist keine sichere Lösung.

eule
12.01.11, 12:50
Du solltest erst mal an den von dir verwendeten Begriffen arbeiten. Mit denen duerftest du bei der Suche im Netz kaum Erfolg haben.
Fang mal hier an:
http://www.netzmafia.de/skripten/netze/index.html

AndreasMeier
12.01.11, 13:20
@Thorsten:
IP-Tables hab ich bereits installiert und schau jetzt mal, wie ich die Erweiterung auf ne Whitelist hinbekomme.
Danke für den Hinweis.

Zur Browser- bzw. Betriebssystem-Erkennung ist mir schon klar, dass das manipulierbar ist.
Dennoch stellt das eine weitere Hürde dar, die einen Teil von Zugriffsversuchen wegfiltert und ausschliesst.

Der Punkt ist aber, dass Du PHP erwähnt hast. Dort ist mir das klar, aber geht ähnliches auch bei Postfix etc. ?


@Eule:
Welche Begriffe meinst Du denn ?

ThorstenHirsch
12.01.11, 18:33
Also Postfix ist ja ein MTA und dort gibt's so eine Kennung im Header nicht. D.h. der Client rückt schonmal nicht freiwillig damit heraus, was er für ein OS ist. Also frickeltechnisch gesehen könntest du bestimmt irgendwie iptables oder postfix dazu bringen, dass antrudelnde Clients (die Postfix nutzen wollen) erstmal per nmap gescannt werden und hierüber vielleicht das OS in Erfahrung gebracht werden kann. Aber ich glaube, das wird weder performant sein noch halbwegs stabil laufen.

Roger Wilco
13.01.11, 09:40
Mit etwas Fleißarbeit funktioniert OS fingerprinting im Paketfilter durchaus – wenn auch nicht mit 100%-iger Sicherheit bezüglich der erkannten Betriebssysteme.

Für Netfilter gibt es bspw. einen p0f Patch oder OSF (http://www.ioremap.net/projects/osf).

ThorstenHirsch
13.01.11, 11:29
Guter Punkt. Aber hat Android nicht den gleichen OS fingerprint wie jedes "normale" Linux?

Roger Wilco
13.01.11, 11:52
Verschiedene Kernelversionen und ggf. Linuxdistributionen lassen sich mit entsprechenden Fingerabdrücken durchaus unterscheiden. p0f ist diesbezüglich schon ganz gut, aber natürlich hängt das alles von der Qualität der Datenbasis ab.