[LinuxOB] Ubuntu und Firewall
Alexander Müller
visus at visusnet.de
Mo Jan 28 23:59:12 CET 2008
Michael Helmrich schrieb:
> Hallo liebe Linux-Gemeinde,
>
> Eigentlich zähle ich mich eher zu den Mausschubsern, die beruflich und
> privat nicht von den Mircosoft-Produkten wegkommen. Man hat sich immer mal
> wieder mit Linux mehr oder weniger am Rande beschäftigt. Nun lief mir vor
> kurzem eine Ubuntu Desktop 7.10 CD in die Finger. Ich habe diese dann auf
> einen alten Rechner installiert und war eigentlich positiv von der
> Installation usw. überrascht. Nun konnte man nachlesen, dass im Grunde
> genommen eine Firewall nicht erforderlich ist, weil Ubuntu nur die Ports
> offen macht, die man bewusst öffnet. Irgendwie glaube ich dieser Sache so
> nicht wirklich. Deswegen mal die Frage an die Fachleute hier im Forum: Ist
> es tatsächlich so, dass ich bei einer Grundinstallation von Ubuntu keine
> Firewall brauche? Nun lege ich eine SSH-Verbindung auf den Port 40123 und
> lasse nur eine Verbindung mit einem Keyfile zu. Ansonsten lasse ich alles in
> der Grundinstallation. Ist dieser Rechner, der dann auch noch an einen
> Router mit NAT und Firewall angeschlossen ist, tatsächlich sicher? Ach ja,
> in dem Router lasse ich natürlich den oben genannten Port forwarden auf
> meinen Ubuntu und habe einen DynDNS eingerichtet, damit ich diesen Rechner
> von überall in der Welt per SSH auf Port 40123 mittels KeyFile erreichen
> kann. Kann man diesen Aussagen tatsächlich vertrauen???
Kurz: Ja.
Lang: Nein, denn...
... Linux ist zwar prinzipiell ein relativ sicheres System, dennoch ist
es nicht unangreifbar. Nichts ist unangreifbar. Nichtmal (wie Redmonder
das gerne behaupten) Vista ist 100%ig sicher, denn es gibt keine 100%ige
Sicherheit. Es ist immer nur eine Frage der Zeit, bis jemand per Zufall
oder auch nicht darauf stoesst, wie man kleine Fehler in Programmen
ausnutzen kann.
Was ich aber nicht verstehe ist deine Argumentation ueber die Ports. Ein
Port ist grundsaetzlich immer geschlossen, es sei denn ein Programm
oeffnet diesen Port. Unter Windows sind haeufiger einige Ports
(unnoetiger Weise) geoeffnet, aber der Unterschied zu Linux ist da nur
sehr winzig. Letztendlich kommt es auf die Sicherheit der verwendeten
Software an, die den Port oeffnet. SSH ist ein bis dato als sehr sicher
angesehenes Protokoll, deren Server in der Vergangenheit im Vergleich zu
anderen Servern nur wenige Schwachstellen aufwiesen. So lange dein SSH
Server auf dem neusten Stand ist, solltest du auf der sicheren Seite
sein. SSH auf den Port 40123 zu legen ist zwar eine nette Idee, aber das
wuerde nur einige Scriptkiddies davon abhalten, eine Schwachstelle
ausnutzen zu koennen. Sollte es fuer deinen SSH Server eine bekannte
Sicherheitsluecke geben und jemand wuerde deinen Rechner gezielt
angreifen wollen, waere das nur eine Frage von Minuten, denn ein
Portscan ist sehr einfach und es ist auch sehr einfach herauszufinden,
was fuer ein Server auf dem Port laeuft. Ein SSH Server meldet sich in
der Regel mit einer Zeichenkette wie "SSH-1.x-OpenSSH_3.y.z". Das kannst
du selber leicht (in der Konsole) ausprobieren:
$ telnet deinname.dyndns.org 40123
Zu der Firewall... Es gibt mehrere Arten von Firewalls. Grob kann man
sie in Hard- und Softwarefirewalls kategorisieren. Softwarefirewalls
sind - wie ein Server, der einen Port oeffnet - nur so lange sicher, bis
jemand doch noch rausfindet, wo die Programmierer geschlampt haben.
Hardwarefirewalls sind in der Regel schwerer zu knacken.
Unter Linux kannst du das ohne Angst zu haben ignorieren, so lange du
eben keinen SSH Server benutzt, der bekannterweise anfaellig ist.
Was immer noch schoen ist, ist ein Paketfilter, der Pakete
herausfiltert, die nicht dem SSH-Draft entsprechen (fuer SSH liegt
meines Wissens noch kein RFC vor, oder irre ich mich?). Das ist aber
auch nur Spielerei.
Wie ich Michael (G.) kenne, wird er mich gleich attackieren, aber ich
sehe echt keinen Grund dafuer, wieso du noch zusaetzlich eine Firewall
benutzen solltest. Das liegt vielleicht aber auch daran, dass das Modul
"Sicherheit in Kommunikationsnetzen" erst im naechsten Semester dran
kommt - aber ich denke nicht. ;-)
> Gruß an alle,
>
> Michael Helmrich
Von mir auch,
Alexander
Mehr Informationen über die Mailingliste linux