PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheit erhöhen



Tommy_20
24.09.02, 13:54
Ich habe derzeit ein IPTABLES-Script am laufen, welches jedoch nicht mehr macht, als die ports blockt, die nicht durchsollen und nur bestimmte ports zulässt.

Da man aber mit iptables sicher noch etwas genauer sein kann und dadurch die sicherheit weiter erhöhen kann, würde ich mich über jegliche vorschläge sehr freuen ;)

In einer doku hab ich etwas gefunden, womit man bei DoS-Angriffen nicht so leicht in die knie geht (über limit), nur funktioniert das nicht wirklich.

Meine Regeln sind derzeit folgendermaßen aufgebaut:



#######
# SSH #
#######

$IPTABLES -A INPUT -i $EXT -p TCP --sport 22 --dport $highports -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i $EXT -p TCP --sport $highports --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT -p TCP --sport $highports --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT -p TCP --sport 22 --dport $highports -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INT -o $EXT -p TCP --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

Jinto
24.09.02, 15:49
Ohne dein Konzept zu kennen, kann man eigentlich gar nichts sagen.

Da ich nicht müde werde, möchte ich es hier auch nochmals wiederholen:
Man sollte zuerst anfangen seine Daemonen entsprechend seinem Bedarf (Konzept) anzupassen, danach kann man weitergehen und die Paketfilter Regeln definieren. :cool:

corresponder
24.09.02, 16:34
wichtig it auch, immer die neuesten updates der packete:

ssl
ssh
mysql
php
apache
perl

und halt erforderliche mod_ dateien...

dann sind auch die angriffsmöglichkeiten kleiner !

:D

Tommy_20
25.09.02, 12:33
die dämons hab ich auf ein minimum beschränkt und die pakete sind alle auf dem aktuellen stand (inkl. patches).

mir geht es mehr darum, die regeln noch etwas zu verfeinern in bezug auf gefälschte absender oder so.

mit syn gibts da auch ein paar möglichkeiten, nur dazu hab ich leider noch keine wirklich guten infos gefunden.

Jasper
25.09.02, 13:39
Original geschrieben von Tommy_20
mit syn gibts da auch ein paar möglichkeiten, nur dazu hab ich leider noch keine wirklich guten infos gefunden.

dann sieh mal hier: http://www.linuxguruz.org/iptables/

-j

Matzetronic
25.09.02, 23:49
Da man aber mit iptables sicher noch etwas genauer sein kann und dadurch die sicherheit weiter erhöhen kann, würde ich mich über jegliche vorschläge sehr freuen

hi,

vielleicht hilft dir das weiter...

/usr/src/linux/Documentation/networking/ip-sysctl.txt


matze