Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Firestarter Firewall  (gelezen 2295 keer)

daffiet

  • Gast
Firestarter Firewall
« Gepost op: 2009/01/12, 13:38:10 »
Hallo iedereen,

Ik ben een beetje op onderzoek gegaan naar firewalls, en ik heb Firestarter gezien dat er best goed uitziet. Mijn vraag is, kan ik Firestarter als firewall gebruiken voor mijn windows 2008 netwerk?

Groet,

Offline siegi

  • Lid
  • Steunpunt: Nee
Re: Firestarter Firewall
« Reactie #1 Gepost op: 2009/01/12, 13:42:38 »
De vraag die je eerst kan stellen is heb je een firewall nodig.
In ongeveer elke router zit al een firewall.
Kijk ook even hier.
http://wiki.ubuntu-nl.org/VeiligheidInUbuntu

Even over firestarter, dit is eigenlijk een gui voor iptables. Volgens mij gebruik je op dit moment beter ufw of de gui gufw.

daffiet

  • Gast
Re: Firestarter Firewall
« Reactie #2 Gepost op: 2009/01/12, 13:54:07 »
Het is voor school, ik moet een gehele netwerk opzetten (zoals bv in een bedrijf) daarbij wil een linux gebaseerde firewall. Is daarbij firestarter een optie of Gufw? hebbe jullie nog suggesties?

groet,

Offline Michael Anckaert

  • Lid
    • http://www.sinax.be
  • Steunpunt: Nee
Re: Firestarter Firewall
« Reactie #3 Gepost op: 2009/01/12, 14:42:08 »
Firestarter of gUFW betekenen GUI firewalls. Een GUI op een server of router is niet zo'n goed idee. Het voegt potentiële beveiligingslekken toe aan je netwerk. Mijn advies: werk puur met iptables (Firestarter of gUFW zijn frontends voor iptables). In essentie voegen deze GUI's niets toe aan de krachten of mogelijkheden van iptables, vaak maskeren ze zelfs mogelijke fuctionaliteiten!
Het is misschien geen point en click oplossing maar je zal het je later niet beklagen als je jezelf wat verdiept in iptables.
www.sinax.be
Open Source Integrators, consulting and custom development

Offline Dennisgroot

  • Lid
  • Steunpunt: Nee
Re: Firestarter Firewall
« Reactie #4 Gepost op: 2009/01/12, 15:27:45 »
Een iptables howto:

https://help.ubuntu.com/community/IptablesHowTo

daarnaast kan je veel vinden door op google te zoeken.
Het is niet echt heel moeilijk. Ik gebruik het ook voor mijn server.
Ik log al het verkeer van buiten het netwerk op de ssh en de ftp, imap,imaps poort.
Dus als er wat vreemd gebuurd kan ik het zien.

Daarnaast is fail2ban ook mooi om je netwerk mee te beveiligen. Deze houdt het aantal mislukte inlog pogingen in de gaten.
En als deze de limiet overschrijven voegt hij automatisch een regel in iptabels toe die de "hacker" blockt.
 

Offline crashit

  • Lid
    • Tekstbureau Anderverhaal
  • Steunpunt: Nee
Re: Firestarter Firewall
« Reactie #5 Gepost op: 2009/01/12, 20:29:23 »
Citaat
Ik log al het verkeer van buiten het netwerk op de ssh en de ftp, imap,imaps poort.
Hoe doe je dat?
"If engineers built buildings the way Microsoft builds operating systems the first woodpecker to come along would bring civilization to its knees."

Offline Dennisgroot

  • Lid
  • Steunpunt: Nee
Re: Firestarter Firewall
« Reactie #6 Gepost op: 2009/01/17, 11:28:05 »
ik zal mijn script ff laten zien (deze moet met sudo recht worden opgestart)


.iprules
#! /bin/bash
# Dit is een shell script voor initialisatie van iptables.

# Flush chains en delete non-standaard chains
#iptables -F
#iptables -X

# Instellen policies standaard chains
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Aanmaken eigen chains
iptables -N bad_packets
iptables -N blacklist


#log
iptables -A INPUT -p tcp --dport 22 -s ! 192.168.1.0/24 -m limit --limit-burst 1 -j LOG --log-prefix "ssh toeganag: " --log-level 4
iptables -A INPUT -p tcp --dport 21 -s ! 192.168.1.0/24 -m limit --limit-burst 1 -j LOG --log-prefix "ftp toeganag: " --log-level 4
iptables -A INPUT -p tcp --dport 143 -s ! 192.168.1.0/24 -m limit --limit-burst 1 -j LOG --log-prefix "imap toeganag: " --log-level 4
iptables -A INPUT -p tcp --dport 993 -s ! 192.168.1.0/24 -m limit --limit-burst 1 -j LOG --log-prefix "imaps toeganag: " --log-level 4



# Instellen INPUT chain
iptables -A INPUT -p tcp --dport 80 -j blacklist
iptables -A INPUT -p tcp --dport 443 -j blacklist
iptables -A INPUT -p tcp --dport 21 -j blacklist
iptables -A INPUT -p tcp --dport 143 -j blacklist
iptables -A INPUT -p tcp --dport 993 -j blacklist
iptables -A INPUT -p tcp --dport 7999 -j blacklist
iptables -A INPUT -p tcp --dport 8000 -j blacklist
iptables -A INPUT -p tcp --dport 22 -j blacklist
iptables -A INPUT -j bad_packets

# Vullen chain bad_packets
# SYN-flood aanvallen
iptables -A bad_packets -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Portscan aanvallen
iptables -A bad_packets -p tcp --tcp-flags SYN,ACK,FIN,RST RST \
  -m limit --limit 1/s -j ACCEPT
# Ping-flood aanvallen met behulp van het ICMP protocol
iptables -A bad_packets -p icmp --icmp-type echo-request -m limit \
  --limit 1/s -j ACCEPT
# Heel gemeen: wel een nieuwe connectie, maar geen SYN bit gezet.
iptables -A bad_packets -p tcp ! --syn -m state --state NEW -j DROP
# TCP Spoofing met Sequence Number voorspelling
iptables -A bad_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
  -m state --state NEW -j REJECT --reject-with tcp-reset

# Vullen chain blacklist
if [ -f /home/dennis/blacklist.txt ]; then
  for HOST in `cat /home/dennis/blacklist.txt`
  do
    iptables -A blacklist -s $HOST -j DROP
  done
  iptables -A blacklist -j RETURN
fi
En je ziet ook /home/dennis/blacklist.txt staan. Hier heb ik alle chinees, Russische etc ips in staan (deze komen dus sowieso niet binnen)
dan plak je deze in /etc/init.d/.iprules
en voer je uit in de terminal "sudo update-rc.d .iprules defaults"
daarnaast heb ik verder gefilterd met sommige cronjobs

in root (dus sudo crontab -e):
*/15 * * * * grep "CONNECT: Client" /var/log/vsftpd.log | grep -v 192.168.1. > /home/dennis/log/ftpcon

en in mijn eigen gebruiker (crontab -e)
*/15 * * * * grep "ftp toeganag:" /var/log/messages > /home/dennis/log/ftp
*/15 * * * * grep "ssh toeganag:" /var/log/messages > /home/dennis/log/ssh
*/15 * * * * grep "imap toeganag:" /var/log/messages > /home/dennis/log/imap
*/15 * * * * grep "imaps toeganag:" /var/log/messages > /home/dennis/log/imaps
*/15 * * * * grep "] Ban" /var/log/fail2ban.log > /home/dennis/log/ban
*/15 * * * * grep ssh2 /var/log/auth.log | grep -v 192.168.1. > /home/dennis/log/sship

Zo heb ik alles wat een beetje belangrijk is in mijn log map en die kijk ik eens per dag na

edit:
even bijgewerkt. en ik heb hiervoor een paar verschillende handleidingen gecombineerd.
Alle eer voor hun!!

« Laatst bewerkt op: 2009/01/17, 11:47:50 door Dennisgroot »

Offline Soul-Sing

  • Lid
  • Steunpunt: Nee
Re: Firestarter Firewall
« Reactie #7 Gepost op: 2009/01/17, 12:15:29 »
hoe heb je je blacklist samengesteld via ip-list/peerguardian?

Offline Dennisgroot

  • Lid
  • Steunpunt: Nee
Re: Firestarter Firewall
« Reactie #8 Gepost op: 2009/01/17, 12:34:14 »
Ik heb wat lijsten van internet gehaald.
helaas is het te groot om hier te plakken.
Ik zou het even opzoeken

edit:
kan het niet meer vinden.
Gandyman had een link voor beveiliging in het forum geplakt en op die link stond een link naar
alle chinese ips

Daarnaast wil ik wel medelen dat ik nog maar net iets langer dan 1 jaar Ubuntu draai.
Geen echte verstand heb van servers en geen ict opleiding doe.
« Laatst bewerkt op: 2009/01/17, 12:43:35 door Dennisgroot »

Offline Soul-Sing

  • Lid
  • Steunpunt: Nee
Re: Firestarter Firewall
« Reactie #9 Gepost op: 2009/01/17, 12:56:06 »
heb je veel ¨blocks¨? en zijn die gelogd?

Offline Dennisgroot

  • Lid
  • Steunpunt: Nee
Re: Firestarter Firewall
« Reactie #10 Gepost op: 2009/01/17, 13:06:40 »
Jep fail2ban blocked en ik log ze ik zal er een paar laten zien. Die ander ips die blacklist die log ik niet.

fail2ban (heb me zelf niet uitgesloten zodat ik kan testen of hij het nog doet :D) -Deze zijn 2 uur geblocked geweest-
2009-01-12 11:04:49,328 fail2ban.actions: WARNING [vsftpd] Ban 192.168.1.101
2009-01-13 16:44:50,048 fail2ban.actions: WARNING [ssh] Ban 128.164.157.206
2009-01-14 14:26:14,143 fail2ban.actions: WARNING [ssh] Ban 208.38.35.8
2009-01-15 21:23:07,464 fail2ban.actions: WARNING [vsftpd] Ban 192.168.1.101
2009-01-16 17:38:54,655 fail2ban.actions: WARNING [ssh] Ban 192.168.1.103

Ftp (gebaseerd op iptables)
Jan 12 14:06:53 server kernel: [   88.365747] ftp toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=87.98.200.119 DST=192.168.1.102 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=21913 DF PROTO=TCP SPT=3067 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 15 12:12:59 server kernel: [18756.168371] ftp toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=87.106.241.34 DST=192.168.1.102 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=5493 DF PROTO=TCP SPT=4596 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 16 22:04:18 server kernel: [54184.242461] ftp toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=152.160.17.2 DST=192.168.1.102 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=2602 DF PROTO=TCP SPT=35845 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0

vsFtpd log (87.98.200.119 is test of hij logde)
Sun Jan 11 19:07:57 2009 [pid 13012] CONNECT: Client "87.98.200.119"
Mon Jan 12 12:34:09 2009 [pid 23692] CONNECT: Client "87.98.200.119"
Mon Jan 12 12:34:45 2009 [pid 23697] CONNECT: Client "87.98.200.119"
Mon Jan 12 12:34:54 2009 [pid 23700] CONNECT: Client "87.98.200.119"
Mon Jan 12 12:40:33 2009 [pid 8792] CONNECT: Client "87.98.200.119"
Mon Jan 12 12:46:00 2009 [pid 10194] CONNECT: Client "87.98.200.119"
Mon Jan 12 13:16:33 2009 [pid 12098] CONNECT: Client "87.98.200.119"
Mon Jan 12 14:06:53 2009 [pid 8568] CONNECT: Client "87.98.200.119"
Fri Jan 16 22:04:18 2009 [pid 17074] CONNECT: Client "152.160.17.2"

Heb de laatste ook even nagekeken is 1 poging geweest die niet goed was.
Dus is ook er niet ingekomen.

imap
Jan 12 23:36:52 server kernel: [34237.297690] imap toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=204.16.252.112 DST=192.168.1.102 LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=36532 DF PROTO=TCP SPT=55109 DPT=143 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 15 21:27:25 server kernel: [51974.326760] imap toeganag: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=45010 DF PROTO=TCP SPT=50648 DPT=143 WINDOW=32792 RES=0x00 SYN URGP=0
Jan 15 22:47:05 server kernel: [56747.665940] imap toeganag: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=10122 DF PROTO=TCP SPT=35323 DPT=143 WINDOW=32792 RES=0x00 SYN URGP=0

de eerste is een poortscanner om te controleren. De 2 laatste zijn dat ik inlogde met squirrellmail.

ssh (via iptables)
Jan 13 16:33:11 server kernel: [34344.595226] ssh toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=128.164.157.206 DST=192.168.1.102 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=61996 DF PROTO=TCP SPT=57469 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 14 14:21:27 server kernel: [26451.936767] ssh toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=208.38.35.8 DST=192.168.1.102 LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=27099 DF PROTO=TCP SPT=41126 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 14 17:21:01 server kernel: [37209.977546] ssh toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=218.56.61.114 DST=192.168.1.102 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=21901 PROTO=TCP SPT=8889 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 16 13:20:28 server kernel: [22798.066402] ssh toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=61.136.145.5 DST=192.168.1.102 LEN=48 TOS=0x00 PREC=0x00 TTL=106 ID=5751 PROTO=TCP SPT=11252 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

edit:
binnenkomers worden ook gelogd, maar er is dus niemand binnen gekomen door ssh
alle andere logs zijn leeg, dus geen hackers geweest.

In totaal 5 hackers/verkeerd verbondes. 2 zijn geblocked na te veel inlog pogingen en 3 niet. Deze heb het niet vaak genoeg geprobeerd.
Als ik een ip te vaak terug zie zet ik hem gewoon handmatig bij blacklist.txt.

Daarnaast kijk ik soms ook nog eens verder in de logs wat er precies is gebeurd
« Laatst bewerkt op: 2009/01/17, 13:34:09 door Dennisgroot »

Offline Soul-Sing

  • Lid
  • Steunpunt: Nee
Re: Firestarter Firewall
« Reactie #11 Gepost op: 2009/01/17, 13:37:30 »
bedankt, goed werk. ik ga me er nog verder in verdiepen. eerst de beveiliging rondmaken, en dan maar eens een servertje opzetten...