Debian + iptables Firewall, Probleme mit XP


exitboy

Erfahrenes Mitglied
huhu,

ich gehe auf meiner Testumgebung mit einem Router per DHCP ins Web.
Nun habe ich dahinter eine FW(Firewall) mit Debian erstellt. Minimalsystem, nen paar Toolz drauf, Bastille Unix , FW in den rc.s gestartet und fertig.

Jeder Rechner der sich hinter der FW verbindet muss also ueber den GW(Gateway) FW und danach ueber den GW Router nach draussen. Umgekehrt aber auch wieder rein. Jeder Rechner kennt seine Routen. Pingen hab ich mal vorsichtshalber wieder aktiviert. Bin jemand der nmapern wenig chancen laesst *hihi*

So bei nem Debian Rechner der dahinter steht klappt das ohne Probleme. Die Pakete werden erfolgreich durchgenatet.

ABER bei nem Windowssystem: z.B. XP scheint das nicht zu klappen. Ich komme auch nicht ins Netz, obwohl ich den GW uebergeben habe.
Ich glaub ich kenn mich nicht wirklich gut mit Windows aus ... das ist mein Probl. hehe

Daher: meine Frage: Braucht Windows irgendwelche Ports, die frei sein muessen damit Windose ueberhaupt funkzten kann? Ich denke hier primaer an Updateserver usw.

Gruss und Dangoe
 

exitboy

Erfahrenes Mitglied
so ich hab's gefunden. War ne Firewall die ICMP geblockt hatte. Da kann ich ja lange warten lol
 
Zuletzt bearbeitet:

Navy

Freiwillige Serverwehr
Als Erstes mal: ICMP zu blocken ist dumm. Ein solches Vorgehen hat nichts mit Sicherheit zu tun. Und weder ein Ping noch ein Portscan ist ein Angriff, auch nicht wenn Dir die Software aus Punkt 2 soetwas suggerieren möchte.

Zum Zweiten: so gut wie jede ominöse Sicherheitsschlangenölsoftware die man umgangssprachlich "Firewall" bzw. "Personal Firewall" nennt ist nur eine Verschwendung von Ressourcen ohne Sicherheitsgewinn. Gründe gibt es zu genüge und Du kannst sie in diesen Foren einfach nachlesen. Entferne diesen unsäglichen Müll komplett von Deinem Windowssystem und vergewissere Dich, dass keiner dessen Dienste deine Säuberungsaktion überlebt haben.

Zum Dritten: Wenn Du einen Service nach draußen anbietest, kann der auch gemappt werden. Nmap z.B. kann auch ohne vorherigen Ping sein Portmapping durchführen und es gibt eine Menge Möglichkeiten -- die Dir /vielleicht/ nicht bekannt sind -- um trotzdem zum Ziel zu kommen. Achte lieber darauf, dass Dein Service sicher ist und Deine Passworte entsprechend stark sind, denn im Netz kann man seine Anwesenheit nicht verstecken.

Als Letztes: Überprüfe die Routingtabellen des Windowsclient, schneide den Datenverkehr mal komplett mit (gefiltert auf die Windowskiste) während der Client eine DHCP-Anfrage und andere kurze Kommunikationsversuche unternimmt. Kennen die Arp-Tabellen der Linuxknechte den anderen Rechner oder vice versa möglicherweise?
 

exitboy

Erfahrenes Mitglied
wie gesagt, ich kenn mich mit dem WIndows Firewallkram echt noch nicht wirklich aus.
Das Routing durch die FW und den Router klappt mittlerweile. Habs gestern Nacht dann auch noch mit dem xp-ler hinbekommen.

ICMP kann Systemdetails preisgeben. Daher ist ein blocken sinnvoll. Je nachdem wie para man sich fuehlt ^^ ies wie nmap werten diese Rueckmeldungen aus und analysieren diese Anhand von Datentabellen mit typischen Standartwerten (e.g. OS/Version detection). Aber gut, wie alles im Leben, hat jeder halt verschiedene Ansichten. Das sind eben meine. Ich lass mich gerne belehren, wenn ich was lernen kann. :)

PF hat dann Sinn, wenn keine anderen Sicherheitssystem vorgeschalten sind / oder werden koennen. Dann haben diese durchaus Ihren Nutzen. Das ist falsch was Du sagst. Nur sind diese natuerlich "Ontop" ueber dem System und daher leichter zu exploitn als eine die feste in ner Sandbox laeuft, mit dem einzigen Sinn der Packet-Filterung.

"denn im Netz kann man seine Anwesenheit nicht verstecken. " das halte ich fuer ne sehr gewagte Aussage.
Zu deinem Services Gedanken, besser finde ich es wenn nur die Protokolle/Dieste genutzt und aktiviert werden, die zur jeweiligen Zeit auch wirklich benoetigt werden und das auch nur das absolute Minimalsystem vorhanden ist. Z.b. brauche ich keine crontabs, wenn ich cron garnicht nutze.
Update und ne gute Passwortabsicherung ist das A und O, ABER eben nicht alles.

// EDIT: ich lass die Frage nochmal offen, dann kannst Du nochmal was posten, was du ueber meine Einstellung denkst./ wie Du es siehst.
 
Zuletzt bearbeitet:

Navy

Freiwillige Serverwehr
ICMP kann Systemdetails preisgeben. Daher ist ein blocken sinnvoll. Je nachdem wie para man sich fuehlt ^^ ies wie nmap werten diese Rueckmeldungen aus und analysieren diese Anhand von Datentabellen mit typischen Standartwerten (e.g. OS/Version detection). Aber gut, wie alles im Leben, hat jeder halt verschiedene Ansichten. Das sind eben meine. Ich lass mich gerne belehren, wenn ich was lernen kann. :)
Und dann? Warum sollte man versuchen sollen zu verbergen, was man nutzt? "security through obscurity" (Kirchhoff) funktioniert nicht und Informationen über ein Serversystem lassen sich auch anders extrahieren, als nur über ICMP. ICMP an sich ist ungefährlich und hat seine Berechtigung. Lies dazu auch:http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html. Aber natürlich hast Du ein ganz doll wichtigen Grund, warum man bei Dir PMTUD nicht funktionieren darf.

PF hat dann Sinn, wenn keine anderen Sicherheitssystem vorgeschalten sind / oder werden koennen. Dann haben diese durchaus Ihren Nutzen. Das ist falsch was Du sagst. Nur sind diese natuerlich "Ontop" ueber dem System und daher leichter zu exploitn als eine die feste in ner Sandbox laeuft, mit dem einzigen Sinn der Packet-Filterung.
Diese Annahme ist nicht richtig. http://www.ntsvcfg.de/linkblock.html Abschnitt B
Kein Sicherheitsgewinn vielmehr eine Vergrößerung der potentiellen Angriffsbasis.

"denn im Netz kann man seine Anwesenheit nicht verstecken. " das halte ich fuer ne sehr gewagte Aussage.
Dann erzähl mal, wie Du irgendeinen Service im Netz nutzen möchtest, ohne dass auch nur der DNS-Server von der Existenz Deines Systems weiß. Wenn Du dann noch irgendwo beispielsweise eine http-Anfrage sendest, musstest Du über so viele Knoten, dass die Annahme, dass keiner Dich sehen kann absolut lächerlich ist.

Darüber hinaus ist das laute Rufen von "ICH BIN GAR NICHT HIER!", und genau das machst Du ja beim Droppen von ICMP, wenig zielführend, wenn man sich möglichst unauffällig im Netz bewegen möchte.

Freund Dich einfach mit dem Gedanken an, dass es im Netz keinen "Stealth"-Modus gibt, denn sonst könntest Du keine Nachrichten empfangen. Schließlich sollte das Routing ja wissen wohin die Reise der Pakete gehen soll. Du kannst (hinreichend lange) verschleiern /wer/ Du bist und /wo/ genau das System steht, aber nicht *dass* es im Netz ist.

Zu deinem Services Gedanken, besser finde ich es wenn nur die Protokolle/Dieste genutzt und aktiviert werden, die zur jeweiligen Zeit auch wirklich benoetigt werden und das auch nur das absolute Minimalsystem vorhanden ist. Z.b. brauche ich keine crontabs, wenn ich cron garnicht nutze.
Natürlich. Man bietet nur die Services an die man braucht. Keine Frage. Aber dafür musst Du eben diese Services auch zugänglich machen. Und wenn der Service verwundbar ist, ist es egal, ob Du ihn über eine PF laufen lässt oder nicht.

Update und ne gute Passwortabsicherung ist das A und O, ABER eben nicht alles.
Aha. Wenn der Service sicher ist und mein Passwort stark genug um Wörterbuchattacken zu entgehen, das Passwort nach einer gewissen Zeit geändert wird, dann ist das also nicht ausreichend sicher... Ich gebe zu, dass es möglich wäre, dass der TCP/IP-Stack des Systems womöglich angreifbar ist, jedoch würde ich ein solches System nicht einsetzen.
 

exitboy

Erfahrenes Mitglied
ICMP ja nicht ganz geblockt werden!! Schliesslich liefert es ja die Fehlermeldung um zu Nutzen!
@Passwords:
Hm... ob Rainbowattacks,BF oder was auch immer, Passwoerte koennen halt nicht sicher sein, egal wie lang die sind. Ob da jetzt nen paar Grakas zum cracken sitzen oder nen RZ ist nur ne Frage der Zeit bis jedes geknackt ist. Und wenn nicht, wird vorher nen Fehler im Authentiverfahren gefunden ;) Siehe SecureUSB Stikkis *hihi* Aber bisher konnte den guten alten Passwoertern im allgemeinen Nutzen auch noch nichts das Wasser reichen.
Alles ist moeglich, ist nur ne Frage der Zeit. Auch der Stealth Mode, glaub mir <-- basiert auf reinem Optimismus und den glauben an unsere starke OpenSource Community.
So. Mein Problem ist ma wieder selber geloest wordn, ich close dann ma. Danke nochmal fuer's mithelfn.
 
Zuletzt bearbeitet: