hi,

habe ein Frage bezügl. der Sicherheit meines kleinen 3 Rechner Heim-Netzwerkes. Mein RH8 Rechner dient

1) als Router

iptables Regel nat

If output interface is ppp0 masquerade

2) für sämtliche anderen Serverdienste

iptables Regeln filter

Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID,NEW

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


von Innen gibt es keine Beschränkungen.
von Aussen ist also alles dicht, solange keine Verbindung besteht. Ist eine Verbindung nun "established" müsste ja eigentlich für den verbundenen Host alles offen sein. Stellt dass nun eine Gefahr dar wenn z.B. einen bestandene Verbindung nicht automatisch getrennt wird?

mfg sonic

zum Nachdenken.
Du surfst so rum und handels dir ein Trojaner per Script ein. Dieser wird ueber die bestehende Verbindung per http runtergeladen und installiert sich auf deinem Surf-Rechner.
Dann geht dieser auf Port 33333 nach draussen um Infos los zuwerden und noch andere Trojaner zum mitmachen zu holen.
Geht so etwas bei deinen Einstellungen ? ;)

T;o)MEs

tomes hat recht!

Man sollte die Firewall-Rules beidseitig restriktiv setzen.
Eine Verteidigung ist nur so gut wie ihr schwächster Punkt...

mfg
cane

Hallo zusammen,

ich hänge da auch noch ne Frage an:

ich weiss ich bin Poranoid :) ich habe ein gehärtetes sichers Red Hat Psyche System und logge mich per SSH auf meinen noch ungepatchten, per default offenen Solaris Rechner ein.

Gibt es irgend eine Möglichkeit, dass ein Angreifer der ja locker Root auf der Solaris Büchse wird zu meinem System vordringen kann??

cu
adme

Original geschrieben von adme

Gibt es irgend eine Möglichkeit, dass ein Angreifer der ja locker Root auf der Solaris Büchse wird zu meinem System vordringen kann??


Die Chancen sind zwar gering, aber ja, die Möglichkeit gibt es. Entweder duch einen Fehler in ssh, oder auch z.B. durch sowas wie die kürzlich demonstrierten Schwächen einiger Terminals in Bezug auf die Handhabung von Escape-Sequenzen.
D.h. wenn der Angreifer auf dem Solaris System in eine Datei ein paar spezielle Escape-Sequenzen einfügt, und du dir an aus einem xterm (oder eterm/aterm or whatever, waren eigentlich alle mehr oder weniger verwundbar) heraus über ssh die Datei anschaust, könnte er Code auf deinem RedHat System ausführen lassen.
Ok, diese Lücke ist mittlerweile geschlossen worden, zeigt aber, das sowas möglich ist, und zwar nicht nur akademisch.
100% sicher bist du eigentlich nur, wenn KEINE Pakete von dem Solaris System auf die Redhat Box gelangen.

Gruss, cytrox

Original geschrieben von tomes
zum Nachdenken.
Du surfst so rum und handels dir ein Trojaner per Script ein. Dieser wird ueber die bestehende Verbindung per http runtergeladen und installiert sich auf deinem Surf-Rechner.
Dann geht dieser auf Port 33333 nach draussen um Infos los zuwerden und noch andere Trojaner zum mitmachen zu holen.
Geht so etwas bei deinen Einstellungen ? ;)

T;o)MEs

Nun, ja ein Trojaner ist immer eine Gefahr. Angenommen er verwendet Ports, die du sowieso freigeben musst. Das Risiko ist aber so sicher grösser.
Mein Bedenken war aber weniger die Gefahr eines Trojaners, als das Ausnutzen einer bestehenden Verbindung für einen Angriff. Meine Netzwerkkenntnisse versagen hier.
Angenommen ich habe ein Verbindung zu Host x an Port y. Die Verbindung besteht. Host x, erkennt mich nun und nutzt die bestehende Verbindung für seine Zwecke??

mfg sonic

oder auch z.B. durch sowas wie die kürzlich demonstrierten Schwächen einiger Terminals in Bezug auf die Handhabung von Escape-Sequenzen.


Wo wurde das denn disskutiert?

Original geschrieben von linuxhanz
Wo wurde das denn disskutiert?

Bugtraq. Siehe hier (http://marc.theaimsgroup.com/?l=bugtraq&m=104612710031920&w=2).

Gruss, cytrox

Danke, bei Bugtraq war ich auch grad, um mal nach eject zu schauen.
btw. Ist DAS -> bei Datenbanken eigentlich normal? &offset=0

http://www2.iraqwar.ru/iraq-browse_image.php?galleryId=3&sort_mode=created_desc&desp=0&offset=0x00ffff&imageId=0&lang=en


Beim Ändern habe ich dann erfahren:

Warning: MYSQL error: DB Error: syntax error in query:
select path,imageId,name,description,created,filename,fil esize,xsize,ysize,user,hits,publishdate from tiki_images where galleryId= order by created desc limit 65534,1
in /chroot/web/data/iraqwar/iraqwar/lib/tikilib.php on line 36

<nicht-rassistisch>
Die Russen und die Käfige *g
</nicht-rassisitsch>

Chain FORWARD (policy ACCEPT)
target prot opt source destination

von Aussen ist also alles dicht,

Solange die FORWARD chain auf ACCEPT steht, ist von außen überhaupt nichts dicht.

Ist eine Verbindung nun "established" müsste ja eigentlich für den verbundenen Host alles offen sein.
Nein. Wie würdest Du das denn erklären?

Original geschrieben von Belkira
Solange die FORWARD chain auf ACCEPT steht, ist von außen überhaupt nichts dicht.


Sorry, dass müsstest du mir als Newbie doch bitte erläutern. Mit meiner Input Chain bekomme ich nicht mal einen Ping.
Inwiefern stellt die FORWARD Chain ein Sicherheitsrisiko dar?

mfg

Pakete, die Dein Rechner selbst animmt, gehen über die INPUT chain. Pakete, die er von außen weiterleitet, z.B. ans LAN, gehen über die FORWARD chain und nicht vorher über die INPUT chain.