Stateful inspection Firewall

  • Thread starter Thread starter Tobster
  • Start date Start date
T

Tobster

Guest
Hat schon mal jemand versucht das auf einem rootDS einzurichten?

Ich bin daran gescheitert das ich keine neuen Verbindungen mehr aufmachen konnte, mein SSH durfte weiterkommunizieren.
Hat jemand schon mal in einer Firewall FTP mit TLS eingerichtet, soweit ich weiß handeln die sich ja an einem beliebigen Port anstatt des Ports 20 für die Befehlskommunikation aus. Sollte das nicht stimmen bitte berichtigen.
 
Du hast nur bedingt recht, daß TLS einen beliebigen Port öffnet.
Bei einigen FTP-Servern läßt sich der Port-Range einschränken. (Bei proftpd heißt es z.B. PassivPorts.)
Bei wenig frequentierten Servern, kann man diese Range auf 1-2 Ports beschränken und diese auch in der Firewall freigeben.

huschi.
 
Ok das bekomme ich sogar hin. Könnte man diese Ports vielleicht auch nur aufmachen wenn Port 21 auf ESTABLISHED,RELATED steht? Und welchen Portbereich nimmt man vornehmlich?

Ich komme weiter meine Firewall läuft bis auf das FTP.

Achso und was macht man bei Servern die etwas mehr zu tun haben? Es gibt doch auch noch das Modul ip_conntrack_ftp kann man damit nichts machen? Ist das überhuapt im Kernel von den rootDS?

Wo ich gerade so schön am Fragen bin. Warum geht dem nett?
Code: 
$IPT -A OUTPUT -j LOG --log-prefix "abgelehnt (OUTPUT):"
Es gibt die Fehlermeldung
Code: 
iptables: No chain/target/match by that name
 
Last edited by a moderator:
Tobster said:
Könnte man diese Ports vielleicht auch nur aufmachen wenn Port 21 auf ESTABLISHED,RELATED steht?
Click to expand...
Entweder als Kernelmodul (s.u.) oder als Wrapper zwischen inetd und proftpd. Nachteil des Wrappers: Er erkennt wahrscheinlich nicht jeden Verbindungsabbruch.

Und welchen Portbereich nimmt man vornehmlich?
Click to expand...
Such Dir irgendwas ganz Krummes.

Es gibt doch auch noch das Modul ip_conntrack_ftp kann man damit nichts machen?
Click to expand...
Doch, aber ich ging davon aus, das hättest Du schon versucht... :)

Ist das überhuapt im Kernel von den rootDS?
Click to expand...
Finde es raus:
modprobe ip_conntrack_ftp
 
@Huschi Bitte die letzte Frage auch noch lesen. Ich habe editiert als du geschrieben hast.

Bis jetzt habe ich alles ohne modprobe gemacht. Das passiert mit.
Code: 
modprobe: Can't open dependencies file /lib/modules/2.6.8-022stab070.4-enterprise/modules.dep (No such file or directory)
modprobe: Can't open dependencies file /lib/modules/2.6.8-022stab070.4-enterprise/modules.dep (No such file or directory)

Kann man das auch vielleicht benutzen ohne das geladen wird, vielleicht ist es ja schon geladen.

Noch eins ich benutze kein inetd halte nicht davon das ein Programm ein anderes startet.
 
Last edited by a moderator:
Was das Logging angeht, dafür muß das LOG-Modul im Kernel geladen sein.

Tobster said:
Kann man das auch vielleicht benutzen ohne das geladen wird, vielleicht ist es ja schon geladen.
Click to expand...
Es ist nicht geladen und es muß geladen sein, damit man es benutzen kann.
Du läufst ja auch nicht nackig auf die Straße und sagst:
"Wieso die Aufregung? Meine Kleider hängen doch im Schrank!"

Noch eins ich benutze kein inetd halte nicht davon das ein Programm ein anderes startet.
Click to expand...
Ohne eine Grundsatzdiskussion abbrechen zu wollen, denk mal über folgendes nach:
Was ist besser?
Ein gutes und ständig geprüftes und daher sicheres Programm, welches die meisten Connections über das Internet herstellt, oder viele verschiedene, jedes mit anderen Sicherheitslücken und Gefahren, welche alle am Netzwerk horchen?

huschi.
 
Huschi said:
Du läufst ja auch nicht nackig auf die Straße und sagst:
"Wieso die Aufregung? Meine Kleider hängen doch im Schrank!"
Click to expand...
Ne ich sag keine Zeit es brennt muss schnell mit der Feuerwehr löschen fahren. *ggg* Ich weiß was du meinst, finde ich aber zum schießen.
Huschi said:
Ohne eine Grundsatzdiskussion abbrechen zu wollen, denk mal über folgendes nach:
Was ist besser?
Ein gutes und ständig geprüftes und daher sicheres Programm, welches die meisten Connections über das Internet herstellt, oder viele verschiedene, jedes mit anderen Sicherheitslücken und Gefahren, welche alle am Netzwerk horchen?
Click to expand...
Machen wir es mal anders herum. Die Festplatte ist es so langsam und da soll als das Programm als von der Festplatte geladen werden? Kommt immer auf den Standpunkt an. Ist aber wahrscheinlich nur eine Glaubensfrage, genauso wie setze ich eine Firewall ein oder ist es blödsinn.
 
Tobster said:
genauso wie setze ich eine Firewall ein oder ist es blödsinn.
Click to expand...
Ich wollte eben keine Diskussion. Die gab es hier nämlich schon mal. Aber ein Argument noch, weil es zum Thema paßt:
Aber warum eine strenge Firewall aufsetzen, wenn man bewust Sicherheitslücken im System läßt?

huschi.
 
Naja ist ok.

Ich versuche mal mein Glück beim Support.

Was mache ich, wenn ich keine Module laden kann?
 
Ich darf kein Modul nachladen und LOG wird nicht unterstützt. Und dafür habe ich einen Tag und bestimmt fünf Anrufe gebraucht um das zu erfahren.
 
So wo soll ich das Scipt denn publizieren? Und welche Art der Trafficmessung schlagt ihr vor?

Ich habe mir eben vnstat angeguckt. Der Funktioniert auf jeden Fall. Nur misst er auch was gedrop wurde mit?

Oder soll ich eine auf dem iptables-Befehl CHAIN basierende Lösung wie IAM verwenden? Dies soll aber sehr Ressourcen fressen.

Womit lässt sich einfacher ein E-Mail-Report erzeugen? Eine Warnung bei übertraffic finde ich nicht mehr so wichtig, da der rootDS Starter schon 1 TB Traffic hat. Ich höre mir aber gerne gute ernstgemeinte Argumente für eine Trafficwarnung an.
 
Tobster said:
So wo soll ich das Scipt denn publizieren?
Click to expand...
Auf huschi.net natürlich!

Und welche Art der Trafficmessung schlagt ihr vor?
Click to expand...
IAM.

Womit lässt sich einfacher ein E-Mail-Report erzeugen?
Click to expand...
IAM.

Ich höre mir aber gerne gute ernstgemeinte Argumente für eine Trafficwarnung an.
Click to expand...
Z.B. rechtzeitig erkenne, ob ein Hacking-Versuch statt findet, ungewöhnlich hoher Email-Traffic spricht für Spam-Versand, etc., etc., etc., etc. und etc.

huschi.
 
Wie baue ich IAM in die Firewall ein ohne die Verbindungskontrolle zu verlieren?

Die Frage mit dem wo bezog sich aufs Forum. In diesem Thread oder einem neuen und wenn dann unter FAQ oder Security oder ...

Was ist denn nu mit den Ressourcen frisst das jetzt was oder nicht?
 
Tobster said:
Wie baue ich IAM in die Firewall ein ohne die Verbindungskontrolle zu verlieren?
Click to expand...
Einfach die iptables.server in Deine Regeln mit einbinden.

Die Frage mit dem wo bezog sich aufs Forum.
Click to expand...
Schade! Ich denke am besten in die FAQ-Sektion.

Was ist denn nu mit den Ressourcen frisst das jetzt was oder nicht?
Click to expand...
Ja, natürlich. Schließlich schreibt er regelmässig Statistik-Werte in ein Logfile. Aber das frisst auch nicht mehr resourcen als z.B. ein laufender Crond, der sonst nichts zu tun hat, ausser hin und wieder nachzusehen, ob er was zu tun hätte.

huschi.
 
Huschi said:
Einfach die iptables.server in Deine Regeln mit einbinden.
Click to expand...
Das Script kann aber auf einem rootDS so wie es ist nicht laufen.

Ferner ist es total ******e, wenn man eine Firewall hat, kann keine Module nachladen und möchte was per FTP runterladen von einem Server der nur passives FTP unterstützt!
 
Also der Reihe nach:

Um mal schnell Einstellungen zu testen empfehle ich dir folgendes:
Mach dir einfach schnell mal nen Skript mit deinen Iptables- Regeln und eines wo du die ganzen Chains dann wieder flushed und die Policy's wieder zurücksetzt.Dann folgende Befehlszeile die deine Regeln/Firewall für z.B. 30s aktiviert und danach wieder deaktiviert.

./iptblock &&sleep 30&&./iptfree


oder eben mit nem Richtigen Startskript:


./fw start &&sleep 30&&./fw stop



Die conntrack Module müssten eigentlich im Kernel fest integriert sein denn ansonsten dürfte S4Y nicht mit Stateful Inspection werben.

Einfach mal ausprobieren.


Ich weiss das folgende Module fehlen:

ipt_Log (schon sehr ärgerlich - vielleicht auf neues Virtuozzo Release warten)

ipt_nat (vielleicht ärgerlich für irgendwelche OpenVPN-Konstruktionen)
 
TheSandman said:
Um mal schnell Einstellungen zu testen empfehle ich dir folgendes:
Mach dir einfach schnell mal nen Skript mit deinen Iptables- Regeln und eines wo du die ganzen Chains dann wieder flushed und die Policy's wieder zurücksetzt.Dann folgende Befehlszeile die deine Regeln/Firewall für z.B. 30s aktiviert und danach wieder deaktiviert.

./iptblock &&sleep 30&&./iptfree


oder eben mit nem Richtigen Startskript:


./fw start &&sleep 30&&./fw stop
Click to expand...
Ich weiß ehrlich gesagt nicht was das bringt was du da vorschlägst oder was ich davon hätte.

TheSandman said:
Die conntrack Module müssten eigentlich im Kernel fest integriert sein denn ansonsten dürfte S4Y nicht mit Stateful Inspection werben.

Einfach mal ausprobieren.
Click to expand...
Zumindest das für FTP ist nicht trin. Und der Support möchte dir das ganze Kostenpflichtig einrichten. Allerdings mit festfreigegeben Portranges.

TheSandman said:
Ich weiss das folgende Module fehlen:

ipt_Log (schon sehr ärgerlich - vielleicht auf neues Virtuozzo Release warten)

ipt_nat (vielleicht ärgerlich für irgendwelche OpenVPN-Konstruktionen)
Click to expand...
Deswegen bin ich schon im Dreieick gesprungen. Was bringen OUTPUT-Regeln, wenn du nicht siehst wenn einer dageben rennt.

Ich versuche jetzt das IAM Script mit meinem zu Paaren, ich hoffe die Kinder erben die Figur von meinem Script. *ggg* Das wird aber heute nicht mehr so doll wie ich heute schon bin. Wenn ich noch Fragen habe melde ich mich, ansonsten mache ich dann einen neuen Thread mit dem Endprodukt auf.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top