Schotten dicht!
Linux-Systeme vor Angriffen schützen, Teil 2
Fazit:
Bei den Distributoren besteht dringender Nachholbedarf, was die Standard-Installationen angeht. Einzig Mandrake verfügt über einen brauchbaren Mechanismus, der bei paranoider Einstellung fast alle Dienste abschaltet. Bei den meisten anderen helfen selbst Sicherheitsprofile wenig. Insbesondere Einsteiger-Distributionen, allen voran die Personal-Edition der SuSE 7.0, sollte jedoch auf die Bedürfnisse der Endanwender abgestimmt werden. Bleibt zu hoffen, dass dies in den nächsten Versionen der großen Distributoren berücksichtigt wird.
Dennoch, einen wirklich sicheren Rechner gibt es nicht. Auch wenn Sie mit den beschriebenen Möglichkeiten einigermaßen gut von außen geschützt sind, wird vielleicht irgendwann der alles außer Kraft setzende Fehler gefunden. Und eins sollten sie wissen: Das Internet ist böse, und irgendwann erwischt es jeden.
SSH & Firewall
SSH versucht normal, über einen Port zwischen 600 und 1023 einen zweiten Kanal aufzubauen. Dies haben wir mit der im Artikel eingerichteten Firewall jedoch unterbunden, SSH würde keine Verbindung hinbekommen. Dafür gibt es zwei Lösungsmöglichkeiten: Entweder, Sie rufen SSH mit dem Parameter "-P" auf, oder sie ändern die Rechte von SSH. Normal wird jede SSH-Verbindung mit Root-Rechten aufgebaut, um eben einen Port unterhalb 1024 verwenden zu können. Durch den Befehl chmod u-s `which ssh` sorgen Sie dafür, dass SSH in Zukunft mit Ihren Benutzer-Rechten gestartet wird – und autmatisch einen Port oberhab 1023 für den Rückkanal benutzt.
Glossar
Firewall
Brandschutzwand. Eine Firewall wird immer dort eingesetzt, wo vertrauenswürdige und fremde Netzwerke aufeinander treffen, zum Beispiel auf Firmen-Servern, die den Internet-Zugang bereit stellen. Die Firewall soll verhindern, dass Unbefugte von außerhalb auf den internen, vertrauenswürdigen Bereich zugreifen können. Je nach Komplexität und Umfang des Netzwerks kann die Einrichtung mehrere Tage erfordern. Aber auch im Heimbereich sind Firewalls sinnvoll, wenn man den eigenen Rechner vor Zugriffen aus dem Internet schützen möchte.
Masquerading
Maskierung, Maskerade. Wird vornehmlich auf Servern eingesetzt, die einem privaten Netzwerk Zugang zum Internet vermitteln. Durch das Masquerading bekommen alle Anfragen aus dem internen Netzwerk als Absender die IP-Adresse des Servers. Die Antworten werden dann wieder zurück übersetzt, so dass von innen kein Unterschied zwischen maskierter und unmaskierter Verbindung festzustellen ist. Nach außen hin sind die privaten Rechner jedoch nicht erreichbar, da ihre IP-Adressen nicht bekannt gegeben werden – Anfragen können also nur mit der IP des Masqueraders versehen sein, und diese landen beim Server selbst. Eine häufige Anwendung für Masquerading sind Standleitungen oder Flatrates, bei denen mehrere Rechner angeschlossen werden sollen. Die Provider geben pro Anschluss meist nur eine einzige IP-Adresse heraus, mit der sich auch nur ein Rechner ansprechen ließe. Alle anderen Rechner benutzen private IP-Adressen, und der Masquerader versieht Anfragen ins Internet mit seiner eigenen IP und sorgt für die Zustellung der Antworten.
ICMP
Internet Control Message Protocol – wird verwendet, um bei Nichterreichbarkeit eine entsprechende Nachricht an den Anfrager zu schicken. Auch ping versendet per ICMP echo-request (Bitte um Rücksenden) kleine Datenpakete an die Gegenstation, um von ihr via ICMP echo-reply (Antwort) die gleichen Daten zurück zu bekommen. Daraus lässt sich die Laufzeit zwischen Senden und Empfangen bestimmen.
UDP
User Datagram Protocol – ein verbindungsloses Protokoll, Datenpakete werden also vom Empfänger nicht bestätigt. Auch wiederholt der Absender die Daten nicht. Dies wird zum Beispiel bei Abfragen von DNS-Servern benutzt, um zu einem Hostnamen die zugehörige IP-Adresse zu erfragen. Da keine Verbindung aufgebaut wird, ist UDP sehr schnell. UDP-Daten können nicht direkt über das Internet versandt werden, weshalb man sie normal in IP-Pakete verpackt.
TCP
Transfer Control Protocol – ein sehr häufig verwendetes Protokoll im Internet. Es wird oft fälschlicherweise mit TCP/IP benannt, obwohl es sich hier um zwei Protokolle (TCP und IP) handelt. Das TCP sorgt unter anderem dafür, dass Daten in der richtigen Reihenfolge zusammengebaut werden.
IP
Internet Protocol – gewährleistet die Übertragung von Datenpaketen im Internet. Hier kommen die IP-Adressen zum Einsatz, die Absender und Empfänger eindeutig identifizieren. UDP-, ICMP- und TCP-Datenpakete werden vor Versand über das Internet in IP-Pakete verpackt und mit der Absender- und Empfänger-Adresse versehen.
Infos
[1] Deutsches Firewall-Handbuch von Guido Stepken mit vielen Beispielen: http://www2.little-idiot.de/firewall/
[2] Anmerkungen und Erweiterungen von Dirk Haase für EasyLinux-Benutzer zum ersten Teil von "Schotten dicht!": http://members.tripod.de/kridsoft/easyl/ha/ha005.html
Einem Freund empfehlen
