[LinuxOB] Ubuntu und Firewall

Mo Jan 28 23:59:12 CET 2008

Michael Helmrich schrieb:
> Hallo liebe Linux-Gemeinde,
> 
> Eigentlich zähle ich mich eher zu den Mausschubsern, die beruflich und
> privat nicht von den Mircosoft-Produkten wegkommen. Man hat sich immer mal
> wieder mit Linux mehr oder weniger am Rande beschäftigt. Nun lief mir vor
> kurzem eine Ubuntu Desktop 7.10 CD in die Finger. Ich habe diese dann auf
> einen alten Rechner installiert und war eigentlich positiv von der
> Installation usw. überrascht. Nun konnte man nachlesen, dass im Grunde
> genommen eine Firewall nicht erforderlich ist, weil Ubuntu nur die Ports
> offen macht, die man bewusst öffnet. Irgendwie glaube ich dieser Sache so
> nicht wirklich. Deswegen mal die Frage an die Fachleute hier im Forum: Ist
> es tatsächlich so, dass ich bei einer Grundinstallation von Ubuntu keine
> Firewall brauche? Nun lege ich eine SSH-Verbindung auf den Port 40123 und
> lasse nur eine Verbindung mit einem Keyfile zu. Ansonsten lasse ich alles in
> der Grundinstallation. Ist dieser Rechner, der dann auch noch an einen
> Router mit NAT und Firewall angeschlossen ist, tatsächlich sicher? Ach ja,
> in dem Router lasse ich natürlich den oben genannten Port forwarden auf
> meinen Ubuntu und habe einen DynDNS eingerichtet, damit ich diesen Rechner
> von überall in der Welt per SSH auf Port 40123 mittels KeyFile erreichen
> kann. Kann man diesen Aussagen tatsächlich vertrauen???
Kurz: Ja.

Lang: Nein, denn...

... Linux ist zwar prinzipiell ein relativ sicheres System, dennoch ist 
es nicht unangreifbar. Nichts ist unangreifbar. Nichtmal (wie Redmonder 
das gerne behaupten) Vista ist 100%ig sicher, denn es gibt keine 100%ige 
Sicherheit. Es ist immer nur eine Frage der Zeit, bis jemand per Zufall 
oder auch nicht darauf stoesst, wie man kleine Fehler in Programmen 
ausnutzen kann.

Was ich aber nicht verstehe ist deine Argumentation ueber die Ports. Ein 
Port ist grundsaetzlich immer geschlossen, es sei denn ein Programm 
oeffnet diesen Port. Unter Windows sind haeufiger einige Ports 
(unnoetiger Weise) geoeffnet, aber der Unterschied zu Linux ist da nur 
sehr winzig. Letztendlich kommt es auf die Sicherheit der verwendeten 
Software an, die den Port oeffnet. SSH ist ein bis dato als sehr sicher 
angesehenes Protokoll, deren Server in der Vergangenheit im Vergleich zu 
anderen Servern nur wenige Schwachstellen aufwiesen. So lange dein SSH 
Server auf dem neusten Stand ist, solltest du auf der sicheren Seite 
sein. SSH auf den Port 40123 zu legen ist zwar eine nette Idee, aber das 
wuerde nur einige Scriptkiddies davon abhalten, eine Schwachstelle 
ausnutzen zu koennen. Sollte es fuer deinen SSH Server eine bekannte 
Sicherheitsluecke geben und jemand wuerde deinen Rechner gezielt 
angreifen wollen, waere das nur eine Frage von Minuten, denn ein 
Portscan ist sehr einfach und es ist auch sehr einfach herauszufinden, 
was fuer ein Server auf dem Port laeuft. Ein SSH Server meldet sich in 
der Regel mit einer Zeichenkette wie "SSH-1.x-OpenSSH_3.y.z". Das kannst 
du selber leicht (in der Konsole) ausprobieren:

$ telnet deinname.dyndns.org 40123

Zu der Firewall... Es gibt mehrere Arten von Firewalls. Grob kann man 
sie in Hard- und Softwarefirewalls kategorisieren. Softwarefirewalls 
sind - wie ein Server, der einen Port oeffnet - nur so lange sicher, bis 
jemand doch noch rausfindet, wo die Programmierer geschlampt haben. 
Hardwarefirewalls sind in der Regel schwerer zu knacken.

Unter Linux kannst du das ohne Angst zu haben ignorieren, so lange du 
eben keinen SSH Server benutzt, der bekannterweise anfaellig ist.

Was immer noch schoen ist, ist ein Paketfilter, der Pakete 
herausfiltert, die nicht dem SSH-Draft entsprechen (fuer SSH liegt 
meines Wissens noch kein RFC vor, oder irre ich mich?). Das ist aber 
auch nur Spielerei.

Wie ich Michael (G.) kenne, wird er mich gleich attackieren, aber ich 
sehe echt keinen Grund dafuer, wieso du noch zusaetzlich eine Firewall 
benutzen solltest. Das liegt vielleicht aber auch daran, dass das Modul 
"Sicherheit in Kommunikationsnetzen" erst im naechsten Semester dran 
kommt - aber ich denke nicht. ;-)

> Gruß an alle,
> 
> Michael Helmrich

Von mir auch,
   Alexander