Firewall

[blubber]

Hoi,

Ik heb hier van verschillende leden gelezen dat er al een firewall draait na installatie. Nu was en ben ik in de veronderstelling van het onderstaande. Dit is puur informatief bedoeld of anders om misvattingen van mij weg te nemen

Standaard draait er al een firewall
Technisch gezien wel ja, maar die doet niets. In de kernel zit Netfilter. Dat is een onderdeel van de IP stack en kan onder andere gebruikt worden voor firewall doeleinden. Met IPTables kun je Netfilter configureren. Echter, standaard heeft IPTables geen regels en zal dus alles doorlaten:

Code: [Selecteer]

$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destinationAlle poortjes zitten standaard dicht
Maar dat heeft niets met een firewall te maken. Op een maagdelijke installatie draaien geen services(ftp, shh, rsync, etc.) je kunt dus wel met een poortje gaan praten, maar er luistert toch niemand. Als er daarna Webmin ofzo wordt geinstalleerd staat op poortje 22 sshd open voor vragen van iedereen.

Heb je een firewall nodig?
Voor de meeste toepassingen niet. Zolang je geen services op je computer draait, voegt een firewall niets toe.
Wanneer dan wel? Bijvoorbeeld:
- Als je een router/server draait die de afscheiding vormt tussen jouw netwerk en internet kan het wenselijk zijn om een en ander af te schermen.
- Als je andere (non-privileged) users op je systeem toelaat. Zonder root-rechten mag je vanaf poortje 4000 (ofzo) ook services starten. Dat is af te schermen met een firewall.

Correcties zijn van harte welkom, ter leering ende vermaeck.

[Pjotr]

Parano

[Soul-Sing]

@blubber in een eerdere bijdrage noemde ==firestarter== de frontend voor ip-tables. is dit volgens jou hetzelfde om firestarter als een "grafische schil" te duiden voor ip-tables?
pjotr heeft een poosje geleden een topic gestart over de firewall binnen ubuntu. ben je het eens met pjotr dat ==firestarter==gebruikt dient worden? welke instellingen beveel je dan aan in ==firestarter==?
waarom bestaat er toch zoveel onduidelijkheid over ip-tables?
ik begrijp hier niets van..

[Tukcedo]

Er is ook een verschil tussen een poort waar niks op luistert en eentje die door een firewall is afgeschermd, een evt. aanvaller ziet het verschil direct. Als deze kans ziet (via een mail-worm o.i.d.) kans ziet om een service te starten is niets dat hem nog in de weg staat. Beter is dus om het meerdere lagen model van bescherming toe te passen: 1) host hardening (bijv. met Bastille), dit elimineert onnodige services, linke instellingen etc. 2) goede, strenge firewall. Pjotr gaat zich dus paranoide maar wel lekker veilig voelen! ;-)

[Soul-Sing]

@tukcedo
bastille gebruiken naast firestarter?
lijkt me wel interessant om het een keer over system-hardening te hebben. welke tools er zijn, en welke tools door leden gebruikt worden.
en wat de ervaringen zijn met die tools.

[blubber]

in een eerdere bijdrage noemde ==firestarter== de frontend voor ip-tables. is dit volgens jou hetzelfde om firestarter als een "grafische schil" te duiden voor ip-tables?

Dat kun je inderdaad zien als een grafische schil voor IPTables. Ik heb er zelf geen ervaring mee. Voor mij is het geen optie, want mijn server heeft geen grafische omgeving. Of je een firewall dient te gebruiken en met welke instellingen is mijns inziens afhankelijk van de situatie.

Er is ook een verschil tussen een poort waar niks op luistert en eentje die door een firewall is afgeschermd, een evt. aanvaller ziet het verschil direct. Als deze kans ziet (via een mail-worm o.i.d.) kans ziet om een service te starten is niets dat hem nog in de weg staat.

Hoe kan een aanvaller daar verschil in merken? Het pakketje komt toch nooit bij de service aan? Hoe kan een worm zonder root-rechten een firewall omzeilen?

[Tukcedo]

Een goede scanner als Nmap kan zien of een port is afgeschermd of dat er gewoon niks luistert. Kun je trouwens met telnet ook heel duidelijk zien: in het eerste geval krijg je geen enkele respons maar blijft je proces hangen tot timeout optreedt, in het tweede geval komt-iie meteen terug met "connection refused".

Stel dus dat een aanvaller via je email een worm weet te zenden. Via mail is maar een voorbeeld, het gaat erom dat er "iets" binnenkomt via een toegestaan kanaal. Jij leest je email, dus is dat (als voorbeeld) een toegestaan kanaal. Deze worm zou via een exploit van een executable (sudo of su zijn hele leuke) voldoende rechten kunnen krijgen om een service op te starten. Overigens, gebruikers kunnen services opstarten met een portnummer > 1023.

Bij het gebrek aan een firewall is een opgestartte service al voldoende om rechtstreeks contact te maken met het systeem.

Vraag me niet hoe ze het doen, maar als je SecurityFocus een beetje volgt, dan zie je dat er dagelijks honderden vulnerabilities bijkomen, zelfs voor Linux af en toe. Er zijn nu eenmaal van die #$%$^&$)(*$^$ die er helemaal op zijn gespecialiseerd om ergens in te breken...

Firestarter ken ik niet, maar Bastille is een verzameling scripts die met name onnodige services en configuratie-instellingen aanpast. Bijv. niet direct inloggen via remote als root, SSH verbindingen na 2 minuten idle verbreken e.d. Ik weet vrijwel zeker dat het er gewoon "naast" kan.

[nils holkerson]

weet iemand toevallig waar ik kan vinden hoe ik mijn firewall het beste kan instellen? ik gebruik firestarter op aanraden van keir thomas, een schrijver. maar hij gaat niet echt diep op de stof in. en mocht ik nou denken "k wil bastille ernaast draaien", gaat dat dan niet met elkaar in conflict? of is dat ook een windows-syndroom? of heeft het helemaal geen zin?

ik zit trouwens met iets raars , ik zat op advies van een of ander boek te klooien met met mijn netwerk tools, nu staan er  2netwerkkaarten ingesteld,  een IPv4 en een IPv6, die laatste staat als host ingevoerd terwijl ik er volgens mij echt maar 1 heb (tenzij het geintegreert zit in moederbord, heb nl geen idee wat er precies inzit, -een PII 450 - het is een dump pc van mijn pa z'n werk).

nu is dit volgens mij niet zo'n probleem, maar ik kan firestarter niet goed instellen en ook niet goed aanzetten. het geeft de melding:

Aparaat sit0 is niet klaar
controleer netwerkinstellingen en zorg dat internetverbinding actief is

de ene is als RTL-8139/8139C/8139C+ van realtek geregistreerd,
en de andere als ethernet pro100 van intel  allebei op pci.

het probleem is dus mijn firewall die ik niet ingesteld krijg, weet iemand wat ik hiermee moet?

[Tim van Akkerveeken]

heej pjotr zou je mij wat uitleg willen geven over het hoe en wat met firestarter en Bastille ik zit voorlopig even in de buurt van tilburg?? ik hoor het wel Thnx T

[Pjotr]

@nils: Bastille ken ik niet, lijkt me ook overbodig als je Firestarter draait. Als je die goed instelt, dan draai je volledig stealth, net als bij ZoneAlarm onder Windows.

Firestarter heeft de eigenaardigheid dat-ie zonder handmatige ingreep, alleen op eth0 wil draaien. Programmeerfoutje! Je voorgevoel klopt dus.

Wat je dus moet doen, is

[Tukcedo]

Nee, Bastille heeft wel degelijk zin omdat het HOST (systeem) beveiliging is. Het past hele hordes lokale instellingen aan. Daarom werkt het ook feilloos samen met firewalls, omdat die zich richten op NETWERK beveiliging. Bastille valt in de categorie "system hardening"

[Soul-Sing]

ik heb bastille geinstalled. was er geen perl tk issue? ik weet het niet meer precies...
maar in ieder geval doorloop je met dit prog allerlei systeem instellingen, en idd zoals de expert boven vermeldt, geen netwerk instellingen.
draait op default hier.
tips zijn welkom tukcedo! |:)

[Pjotr]

Nou word ik ook nieuwsgierig. Ik ga eens met Bastille aan de slag, denk ik.

Hum.... overigens een merkwaardige naam voor zo'n progje, vinden jullie niet? De Bastille was een gevangenis, en bezweek bij de eerste de beste aanval van de Franse revolutionairen....

Als ze het nou nog Massada hadden genoemd! Die vesting werd ook wel ingenomen, maar daarbij hadden de verdedigers zich letterlijk tot de laatste man verdedigd, zodat de Romeinen weinig aan de verovering hadden....

Groet, Pjotr.

[zappa]

Hum.... overigens een merkwaardige naam voor zo'n progje, vinden jullie niet? De Bastille was een gevangenis, en bezweek bij de eerste de beste aanval van de Franse revolutionairen....

Als ze het nou nog Massada hadden genoemd! Die vesting werd ook wel ingenomen, maar daarbij hadden de verdedigers zich letterlijk tot de laatste man verdedigd, zodat de Romeinen weinig aan de verovering hadden....
Groet, Pjotr.

Ik denk dat het vooral om de opsporing en safe opsluiten van dissidente elementen gaat. En dat heeft de Parijse Alcatraz eeuwen goed gedaan vrees ik.

[nils holkerson]

als ik dit commando invoer krijg ik deze melding,

root@ubuntu:~# /etc/firestarter/configuration
bash: /etc/firestarter/configuration: Toegang geweigerd

vergeet ik ergens iets?

[budster]

bij mij heeft de owner (root) alleen leesrechten.

[Soul-Sing]

u kunt firestarter "grafisch" configureren.
toepassingen---internet--firestarter--etc

[Tukcedo]

Over de meer esotherische aspecten van Bastille weet ik helaas weinig, maar in elk geval is het in de vorm waarin ik het gebruik altijd een command-line script dat door middel van vraag en antwoord de diverse instellingen evt. aanpast. Ik vind dat het dit goed doet want ik heb nog nooit problemen hierdoor ondervonden. SELinux gaat veel verder en dieper en geeft derhalve nog wel eens "vage" problemen. SELinux gaat mij dan ook te ver, ik heb dat soort fijne controle eigenlijk nog nooit nodig gehad en omdat het op file en directory basis gaat is het een beheer-nachtmerrie. Maar goed, als alternatief is het zeker nuttig.

Eigenlijk is dit wel zo'n beetje wat je in deze kleine ruimte erover kunt zeggen!

[nils holkerson]

waar kan ik dan die instellingen wijzigen?

[Tukcedo]

Dat hoef je gelukkig niet uit te vogelen want Bastille doet dat heel netjes voor je. Maar als je het echt wil weten, de meeste configuratiebestanden staan allemaal "ergens" in de /etc directory. Soms per applicatie in een directory, soms ook gewoon ergens in /etc.

[nils holkerson]

@nils: Bastille ken ik niet, lijkt me ook overbodig als je Firestarter draait. Als je die goed instelt, dan draai je volledig stealth, net als bij ZoneAlarm onder Windows.

Firestarter heeft de eigenaardigheid dat-ie zonder handmatige ingreep, alleen op eth0 wil draaien. Programmeerfoutje! Je voorgevoel klopt dus.

Wat je dus moet doen, is

[Pjotr]

Goed is goed, zeg ik altijd maar! Aan de andere kant: wij Linuxers zijn zeer nieuwsgierige mannekes (en vroukes), dus we willen meestal graag weten hoe het precies zit.

Bij het configuratiebestand van Firefox kom je grafisch het makkelijkste: gksudo nautilus

Vervolgens grafisch doorploegen. Ik ben benieuwd wat er precies in de configuratie van jouw Firestarter staat....

@Leo: Firestarter configureren vanuit z'n eigen menu, lukt maar ten dele. Er zit waarschijnlijk een programmeerfout in. Omschakelen van eth0 naar eth1 kan, zo heb ik na enig geploeter gemerkt bij een andere PC, alleen door een handmatige ingreep.

Groet, Pjotr.

[nils holkerson]

Bij het configuratiebestand van Firefox kom je grafisch het makkelijkste: gksudo nautilus

Vervolgens grafisch doorploegen. Ik ben benieuwd wat er precies in de configuratie van jouw Firestarter staat....

Groet, Pjotr.

#-----------( Firestarter Configuration File )-----------#

# --(External Interface)--
# Name of external network interface
IF="eth0"
# Network interface is a PPP link
EXT_PPP="off"

# --(Internal Interface--)
# Name of internal network interface
INIF="eth0"

# --(Network Address Translation)--
# Enable NAT
NAT="off"
# Enable DHCP server for NAT clients
DHCP_SERVER="off"
# Forward server's DNS settings to clients in DHCP lease
DHCP_DYNAMIC_DNS="on"

# --(Inbound Traffic)--
# Packet rejection method
#   DROP:   Ignore the packet
#   REJECT: Send back an error packet in response
STOP_TARGET="DROP"

# --(Outbound Traffic)--
# Default Outbound Traffic Policy
#   permissive: everything not denied is allowed
#   restrictive everything not allowed is denied
OUTBOUND_POLICY="restrictive"

# --(Type of Service)--
# Enable ToS filtering
FILTER_TOS="off"
# Apply ToS to typical client tasks such as SSH and HTTP
TOS_CLIENT="off"
# Apply ToS to typical server tasks such as SSH, HTTP, HTTPS and POP3
TOS_SERVER="off"
# Apply ToS to Remote X server connections
TOS_X="off"
# ToS parameters
#   4:  Maximize Reliability
#   8:  Maximize-Throughput
#   16: Minimize-Delay
TOSOPT=8

# --(ICMP Filtering)--
# Enable ICMP filtering
FILTER_ICMP="on"
# Allow Echo requests
ICMP_ECHO_REQUEST="off"
# Allow Echo replies
ICMP_ECHO_REPLY="off"
# Allow Traceroute requests
ICMP_TRACEROUTE="off"
# Allow MS Traceroute Requests
ICMP_MSTRACEROUTE="off"
# Allow Unreachable Requests
ICMP_UNREACHABLE="off"
# Allow Timestamping Requests
ICMP_TIMESTAMPING="off"
# Allow Address Masking Requests
ICMP_MASKING="off"
# Allow Redirection Requests
ICMP_REDIRECTION="off"
# Allow Source Quench Requests
ICMP_SOURCE_QUENCHES="off"

# --(Broadcast Traffic)--
# Block external broadcast traffic
BLOCK_EXTERNAL_BROADCAST="on"
# Block internal broadcast traffic
BLOCK_INTERNAL_BROADCAST="off"

# --(Traffic Validation)--
# Block non-routable traffic on the public interfaces
BLOCK_NON_ROUTABLES="off"

# --(Logging)--
# System log level
LOG_LEVEL=info

met gksudo kom ik in in een alleen lezenbestand, ook via de wortel, en wat is er eigenlijk het voordeel aan om eth1 insgesteld te hebben?

groet nils

[wr19026]

Heeft iemand hier trouwens ervaring met het installeren van OSSEC HIDS?

[blubber]

Een goede scanner als Nmap kan zien of een port is afgeschermd of dat er gewoon niks luistert.

Klopt, maar nmap kan niet het verschil zien tussen een afgeschermd poortje met en zonder een service erachter. Bovendien maakt het niet zoveel uit want een aanvaller kan er toch niet bij.

Dat Bastille is interessant. Ik dacht altijd dat het een 'concurrent' van Firestarter was, maar zo te zien is het een mooie aanvulling op een veilig beleid.