Firewall = Musthave?

[Ogad]

Hallo,

man liest ja immer, wie "gefährlich" es ohne Firewall wäre. Ich für meinen Teil betreibe meinen VServer seid der Bereitstellung "ohne", und hatte nie Probleme. Jedoch frage ich mich nun, ob es auch für mich sinnvoll wäre, eine FW zu installieren? Momentan läuft an Serverdiensten nur der Apache sowie SSH, ein DB-Server sowie PHP sind nicht installiert. Nmap liefert mir folgendes:

ogad@desktop$~: nmap xx.xxx.xxx.xxx
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-09-14 14:57 CEST
Interesting ports on vserver.host (xx.xxx.xxx.xxx):
Not shown: 1677 filtered ports
PORT     STATE  SERVICE
22/tcp   closed ssh
80/tcp   open   http
8443/tcp open   https-alt

Nmap finished: 1 IP address (1 host up) scanned in 31.573 seconds

Wie sinnvoll wäre hier ein FW?

Gruß,
Ogad

 

[CentY]

Hi,

ich halte eine Firewall schon für sinnvoll auch bei reinen Webservern, da eine Firewall die auch ausgehenden Verkehr ausser über bestimmte Ports verbietet dich z.B. vor PHP Scripts schützt die eine Remoteshell über einen Highport versuchen aufzubauen.

Also ich persönlich setze fast immer Firewalls ein, viel Aufwand ist das ja auch nicht und es gibt eine gewisse Sicherheit.

Grüße

 

[Roger Wilco]

da eine Firewall die auch ausgehenden Verkehr ausser über bestimmte Ports verbietet dich z.B. vor PHP Scripts schützt die eine Remoteshell über einen Highport versuchen aufzubauen.

Das stimmt nicht so ganz. Du müsstest auf jeden Fall Ausnahmen definieren, damit von deinem Server aus ein Zugriff auf das Netzwerk möglich ist. Und genau diese Ausnahmen kann sich ein Angreifer dann zu Nutze machen.
Es bringt also im besten Fall ein warmes Gefühl in der Magengegend. Nicht mehr und nicht weniger.

Also ich persönlich setze fast immer Firewalls ein

Da wir hier ja ausschließlich von Paketfiltern auf dem zu schützenden System reden: Ich nicht.

Wenn es einen speziellen Anlass gibt (z. B. weil sich ein Daemon nicht an ein bestimmtes Netzwerkinterface binden lässt o. ä.), verwende ich auch Netfilter, aber ansonsten nicht.

viel Aufwand ist das ja auch nicht und es gibt eine gewisse Sicherheit.

s/gibt eine gewisse/wiegt dich in falscher/

 

[Ben.]

Es gibt Fragen, auf die es keine Antworten gibt. Der eine sagt Firewalls sind nur dann sinnvoll, wenn sie VOR also nicht AUF dem eigentlichen Server laufen, der andere sagt du brauchst überhaupt keine wenn der Server richtig konfiguriert ist, aber ich denke, das sind zwei verschiedene Ansichten.

Firewalls machen eben nicht nur Ports zu. Von daher bin ich grundsätzlich für eine Firewall, egal wo, ob AUF dem Server oder VOR dem Server. Dass VOR dem Server sicherlich besser ist sollte klar sein, aber welcher Provider bietet heute kostengünstig selbstkonfigurierbare Firewalls VOR dem Server an?

 

[Armadillo]

Das stimmt nicht so ganz. Du müsstest auf jeden Fall Ausnahmen definieren, damit von deinem Server aus ein Zugriff auf das Netzwerk möglich ist. Und genau diese Ausnahmen kann sich ein Angreifer dann zu Nutze machen.
Es bringt also im besten Fall ein warmes Gefühl in der Magengegend. Nicht mehr und nicht weniger.

Das sehe ich nicht so. Klar muss man Ausnahmen definieren. Jedoch sind diese Ausnahmen an Ports dann von den Services die auf dem Server laufen belegt. Alles andere was dann unberechtigt versucht nach Hause zu telefonieren kann das nicht, also irgendwelche Scripts oder ähnliches. Dass das nicht davor schützt, dass man über die laufenden Services ins System einbrechen kann, sollte klar sein.
Deshalb sollte man sich nie nur auf seine Firewall verlassen, sondern immer schauen, dass man auch in anderlei Hinsicht immer auf Sicherheit bedacht ist. Sprich Services nicht als root laufen lassen und die laufenden Services immer mit den aktuellsten Bugfixes etc. versorgen, um nur mal 2 Maßnahmen aufzuzählen.
Somit kann man mit einer Reihe scheinbar nutzloser Maßnahmen zumindest den Standardangriffen der Kiddies entgegenwirken, jedoch muss man sagen, dass es keinen 100%igen Schutz gibt, auch nicht mit einer aktuellen Firewall VOR dem System. Wenn wirklich jemand eindringen will und das entsprechende Knowhow hat, kommt er auch rein, jedoch sollte man immer versuchen es ihm/ihr so schwer wie nur irgend möglich zu machen.

 

[Roger Wilco]

Jedoch sind diese Ausnahmen an Ports dann von den Services die auf dem Server laufen belegt.

Aha, und was machst du, wenn bspw. dein Virenscanner (falls installiert) automatisiert neue Signaturen herunterzuladen versucht oder du ein Programm mit deinem Paketmanager nachinstallieren willst?

 

[CentY]

Ähm den entsprechenden Port freigeben? Bzw. wäre auch ein Application Gateway was den Port scanned welcher Traffic durch geht und die Pakete analysiert zuverlässiger also eine Kombination aus beidem Firewall und App Gateway.

 

[charli]

Hallo,

Alles andere was dann unberechtigt versucht nach Hause zu telefonieren kann das nicht, also irgendwelche Scripts oder ähnliches.

über Port 80?

 

[IngoH]

Meienr Meinung nach einfach danach schauen, dass so wenig wie möglich Daemons nach Außen lauschen.
Zusätzlich kann iptables gegen bruteforce (und Floods) eingesetzt werden.

Unter BSD die einzelnen Dienste in Jails packen.
Unter Linux chrooted + anderer Benutzer bzw. gleich in eine VM.