Homebanking unter Suse 9.3… Was muss ich beachten ?

FragenHomebanking unter Suse 9.3… Was muss ich beachten ?
thieste - Donnerstag, 30. Juni 2005 11:30 Uhr

Hallo,
ich möchte gern unter Suse Homebanking betreiben.. reichen die Standardmäßig bei der Installation aktivierten Sicherheiten wie Firewall aus.. oder sollte und muss man noch weitere kritsche Stellen im System manuell schliessen (speziell nun auch Firewall Einstellungen)?

Unter Windows habe ich das bisher so gehandhabt: Firewall nur Homebanking Software war Internetzugriff erlaubt, eingeschränkter Benutzer, Virenscanner.. das wars.. ..

nun möchte ich eine ähnliche Sicherheit unter Linux haben..
oder ist das Quatsch .. …

Danke für jede Information…

3 Antworten
thieste - Donnerstag, 30. Juni 2005 11:39 Uhr

Die Homebanking Software wäre StarMoney.. welches sich dann unter Linux mittels Wine benutzt werden kann.. gibt demnach aus bezüglich wine und Sicheheit etwas zu beachten…

thieste - Donnerstag, 30. Juni 2005 11:55 Uhr

Nun nochmal in ordentlichem Deutsch..

Die Homebanking Software wäre StarMoney, welche dann unter Linux mittels Wine benutzt werden kann. Gibt es bei der Nutzung von wine und Sicherheit auch etwas zu beachten..?

Tobias Hunger - Donnerstag, 30. Juni 2005 16:23 Uhr

Solange Du den Root-User nur spärlich nutzt, mit diesem Account insbesondere
keine Desktopumgebungen startest (also nie direkt als Root in eine GUI
einloggst) und nicht als Root im Netz unterwegs bist, solltest Du recht sicher
sein. Natürlich musst Du Dich um Sicherheitsupdates kümmern und die zeitnah
einspielen. Alle anderen Benutzer sind in Linux von sich aus „eingeschränkt“.

Firewall (besser: Ein Packetfilter) ist grundsätzlich nie verkehrt. Wenn Du
Deinen Rechner vernünftig konfiguriert hast, dann sind keine Dienste von außen
zu erreichen und der Packetfilter ist damit eigentlich überflüssig. Trotzdem:
Verkonfiguriert ist schnell mal was und da ist es dann gut noch eine
Verteidigungslinie zu haben. Andererseits ist es aber auch schon mal
vorgekommen, dass im Code vom Packetfilter selbst ein Bug saß, der einen
Angriff auf das System ermöglichte. Es ist also wie immer eine Abwägungssache:
Will ich ein weiteres evtl. angreifbares Subsystem auf meinem Rechner oder
lasse ich es und verzichte auf eine Verteidigungslinie?

Unter Linux ist es allerdings recht schwer nur bestimmten Applikationen den
Zugriff auf das Netz zu erlauben. Da hat Windows die Nase vorn… Wenn Du den
Rechner wirklich nur zum Onlinebanking nutzen willst, könntest Du natürlich
nur die Rechner Deiner Banken freigeben und alle anderen sperren.

Virenscanner sind meiner Meinung nach nicht sinnvoll: Solange Du nicht als
Root unterwegs bist „verhungern“ eventuelle Viren sowieso, da Du als User
keine ausführbaren Programme verändern darfst. Damit kann sich ein Virus
nirgends einnisten. Deine Userdaten kann ein Schädling zwar löschen, aber Du
machst ja sicherlich Backups von denen Du die Daten wieder herstellen kannst.
Wenn Du ganz paranoid bist, kannst Du auch einen extra Benutzer für das
Internet anlegen und Deine Browser unter dessen Kennung starten (kdesu -u
surfuser -c mozilla falls Du KDE benutzt). Dann sind nur die Daten von Deinem
„surfuser“ gefährdet.

Wenn jemand einen Weg findet, das Rechtesystem von Linux zu umgehen (setzt
i.d.R. einen kernelbug vorraus), dann sieht die Situation allerdings recht
trübe aus… Dann kann Dir ein Angreifer evtl. auch Viren u.ä. unterschieben,
wenn Du nur als normaler User angemeldet bist. Zum Glück passiert sowas ader
recht selten und Sicherheitsupdates erscheinen in so einem Fall sehr schnell.

PS: Warum sollte man sich nie als Root in eine GUI einloggen?

Weil sowohl KDE als auch Gnome riesig sind und keiner so richtig weiß, was da
im Hintergrund alles passiert. Die Programme, die da gestartet werden machen
aus allen möglichen Gründen hier und da mal eine Internetverbindung auf (z.B.
um Daten zu CDs und MP3s runterzuladen, nach Updates zu suchen, etc.). Viele
der Programme sind auch noch ganz einfach durch Module erweiterbar… damit
ist es fast unmöglich festzustellen, ob einem da nicht jemand was
untergeschoben hat.

Einzelne vertrauenswürdige Programme kann man natürlich als Root starten. Dazu
stellen sowohl KDE als auch Gnome grafische Wrapper um „su“ (kdesu bzw. gtsu,
bei letzterem bin ich mir nicht sicher) bereit, mit denen man ganz einfach
Programme aus einer User-X-Session heraus starten kann.

thieste - Donnerstag, 30. Juni 2005 18:34 Uhr

Danke für deinen ausführlichen Beitrag.. von dem Hinweis Packetfilter inspiriert habe ich in einem Forum zum Thema Packetfilter einen Verweis auf ipfilter gefunden und zur Konfiguration eine Oberfläche namens Firestarter.. also das sieht alles ganz vertrauenserweckend aus.. nun werde ich mich da mal reinarbeiten..

Mit der eingeschränkten Benutzergeschichte hat sich ja auch erledigt.. ok Virenscanner kann ich auch vernachlässigen.. nun ja dann scheint soweit ja alles so zu sein wie ich es mir vorgestellt habe…

Das Einspielen der aktuellen Sicherheitsupdates.. sollte nun auch nicht das Problem darstellen..

Na dann auf gehts.. bei Problemen bin ich dann wieder hier zur Stelle 🙂

thieste - Freitag, 01. Juli 2005 13:01 Uhr

So nun habe ich den Packetfilter aktiv, und dank der Firestarter GUI kann man alles wunderbar konfigurieren, wie du schon schriebst „… Verkonfiguriert ist schnell mal was …“ wie kann ich nun den Packetfilter dazu bringen, dass nur noch HTTPS erlaubt ist ( nur das wird irgendwie bei Pin/Tan verwendet, zumindestens zeigt das Firestarter an, bei aktive Verbindung) und alle anderen geblockt sind ? Macht das Sinn oder grenzt das schon an Sicherheits Wahn…?

Da Starmoney nun über wine läuft und bei der Installation der IE 6 installiert wurde.. ist nun das wine System genauso anfällig für IE Spyware, Trojaner etc.. oder ist aufgrunddessen, dass wine windows nur emuliert dieses kein Problem ?

Tobias Hunger - Freitag, 01. Juli 2005 20:39 Uhr

HTTPS läuft wenn ich mich richtig entsinne über Port 443. Kannst Du in der
Datei /etc/services aber selber nachlesen, dort stehen fast alle wichtigen
Internetdienste mit ihren Ports. Wenn Du nur diesen Port zulässt, dann kommt
das recht nahe an „nur HTTPS“ ran: Recht nahe deshalb, weil es dem Paketfilter
egal ist was da für ein Protokoll im Paket steckt. Wenn jemand einen
SSH-Dämonen auf Port 443 startet (was jeder Root-Nutzer darf), dann läßt
Dein Paketfilter diese Kommunikation zu… oder wenn jemand seinen HTTPS
Server auf einem anderen Port startet, dann wird die unterbunden. Ob eine
Beschränkung auf nur HTTPS sinnvoll ist, musst Du schon selber entscheiden,
wir kennen Deinen Kontostand schließlich nicht;-)

Was die Virenproblematik angeht: [1] hat einen Testbericht über die
Nutzbarkeit dieser in Windows so beliebten Unterart von Software unter Linux.
Generell sieht es mit der Kompatibilität nicht wirklich gut aus… trotz Wine
funktionieren die meisten nicht richtig;-)

[1] http://os.newsforge.com/article.pl?sid=05/01/25/1430222&from=rss

thieste - Samstag, 02. Juli 2005 09:15 Uhr

Wenn das so ist, dann dient der Packetfilter also lediglich als eine Art Anzeige, welche Verbindungen ankommen und rausgehen und halt über welchen Port das Ganze geschieht.?! Ein wirklicher Schutz gegen „feinliche Angriffe“ ist so ein Packetfilter also nicht ?!

Demnach stellt sich mir dann die Frage wozu ein Packetfilter bzw. wie sollte man Ihn konfigurieren ? In der Tat, ich habe da jetzt nur -HTTPS erlauben- eingestellt .. also Port 443..

Danke für weitere Informationen

Tobias Hunger - Montag, 04. Juli 2005 11:18 Uhr

Ein Paketfilter ist eigentlich genau das, was der Name besagt: Ein Filter für
Datenpakete.

Jedes Datenpaket, dass bei deinem Rechner ankommt, von ihm gesendet wird oder
durch ihn weitergeleitet werden soll, wird untersucht und dann gemäß
Filterregeln behandelt. Dabei betrachtet der Filter aber nicht die
Daten, die in dem Paket stecken, sondern nur die Informationen aus dem Header
(also die „Verwaltungsinformationen“ von TCP/UDP (von welchem Host/Port an
welchen Host/Port, ist das Paket UDP oder TCP) plus über welche
Netzwerkverbingung das Paket eingetroffen ist.

Ein Schutz gegen feindliche Angriffe ist so ein Paketfilter schon: Du kannst
damit Datenpakete wegwerfen, die an Ports Deines Rechners gehen, an denen Du
keine Datenpakete haben willst. Oder Du kannst sicherstellen, das Pakete, die
eine lokale IP haben (als entweder 127.0.0.1 oder eine IP deines LANs) nicht
aus dem Internet eingeschmuggelt werden. Oder Du kannst nur Pakete zulassen,
die als Antwort auf Kommunikationsversuche Deines eigenen Rechners ankommen.
Oder, oder, oder.

Bei gewollt erreichbaren Ports (z.B. dem Deines weltweit erreichbaren
Webservers) bringt ein Paketfilter aber nichts: Der muss die Pakete und deren
Antworten ja durchlassen, sonst wäre der Server ja nicht mehr erreichbar.
Gegen groben Unfug (z.B. URLs, die einen Fehler in den Skripten Deines
Webservers auslösen) hilft ein Paketfilter auch nicht: Die Datenpakete selber
sind da ja OK und deren schädlicher Inhalt wird von einem Paketfilter nicht
untersucht.

Vor solchen Angriffen könnte Dich evtl. eine Firewall bis zu einem gewissen
Grad schützen: Das ist eine „Trennwand“ zwischen mehreren Netzen. Neben einem
Packetfilter hin zu allen Netzen, die angeschlossen sind, kommen da aber noch
Proxies für alle Protokolle, die die Firewall durchlassen soll, hinzu. Die
Proxies untersuchen die Anwendungsdaten in einem Paket (soweit möglich) und
gewähren damit noch mal mehr Schutz als nur mit Paketfiltern möglich.

PS: Andere sehen den Begriff „Firewall“ als ständig zu verfeinerndes Konzept,
das Proxies, Paketfilter, etc. als Hilfsmittel nutzt und der Gefahrenabwehr
aus fremden Netzen dient. Ich finde das geht ein wenig zu weit… dafür gibt
es außerdem auch schon den Begriff „Sicherheitskonzept“;-)

thieste - Montag, 04. Juli 2005 23:42 Uhr

Ok.. an dieser Stelle mal ein Danke für deine ausführlichen Antworten.. aber ich hab da noch ein paar Fragen..

In einem deiner vorherigen Beiträge sprichst du von
„…Wenn Du Deinen Rechner vernünftig konfiguriert hast, dann sind keine Dienste von außen zu erreichen und der Packetfilter ist damit eigentlich überflüssig. Trotzdem:
Verkonfiguriert ist schnell mal was und da ist es dann gut noch eine
Verteidigungslinie zu haben..“

Mmh dazu würde ich nun auch gerne mehr wissen wollen.. was genau meinst du mit vernünftig konfiguriert..

Also ich nutze Suse Linux 9.3 Personal ausschliesslich für Homebanking.. weder fürs „Surfen“ oder für den Empfang von E-Mails etc. schon gar nicht als Webserver..

Aus diesem Grund!

Welche Dienste, ich gehe mal davon aus das man dort anfängt vernünftig zu konfigurieren, müssen speziell in meinem Fall aktiviert bleiben, welche sollte ich möglich deaktivieren.. gibts es da Paschalaussagen oder läuft es auf Learning by Doing hinaus?

Gibt es Übersichten, welcher Dienst mit welchem zusammenhängt und was er letztendlich bewirkt ?

Was muss ich noch vernünftig konfigurieren…außer den Diensten… ?

Und wieder bin ich dankbar für jede Information

Tobias Hunger - Dienstag, 05. Juli 2005 13:38 Uhr

Mit vernünftig konfiguriert meine ich, dass wirklich nur die Dienste laufen,
die auf dem Rechner benötigt werden. Auf Deinem Nur-Homebanking Rechner
brauchst Du kein Samba, NFS, Webserver, … die können alle deaktiviert
werden. Schau‘ auch mal in /etc/inetd nach: Stehen da Dienste drin, die Du
wirklich brauchst? Wenn nicht, dann kannst Du den kompletten inetd abklemmen.
inetd ist ein Dämon, der an vielen Ports lauschen kann und bei
Verbindungsversuchen andere Programme startet, die dann übernehmen. Heute
läuft nur noch wenig über den Inetd, so das man den meistens recht problemlos
stoppen kann.

Ich nehme mal an, Dein Homebanking läuft unter X Windows. Ist der X Server aus
dem Netz erreichbar? Das brauchst Du nur, wenn Du X Anwendungen auf anderen
Rechnern starten musst und deren Anzeige auf den Bildschirm des
Homebanking-Rechners holen willst (und die Verbindung nicht über SSH
tunnelst).

Wie sieht es mit einem SMTP-Dämon (==Mailserver) aus? Den braucht linux i.d.R.
zum Versenden von Nachrichten an Root. Wenn Du den sonst nicht brauchst kannst
Du den Daemon entweder ganz abklemmen (bei exim geht das z.B., der liefert
trotzdem noch über den sendmail-wrapper hereinkommende Mails aus) oder nur an
das loopback Interface binden (lo). Damit ist der Mailserver dann nicht mehr
von außen erreichbar.

Was bewirken die Dienste… Da hilft am wahrscheinlich Google am meisten.
Samba, NFS und die größeren sollten eigentlich recht offensichtlich sein, die
kleineren brauchst Du wahrscheinlich nicht:-) Schau‘ einfach mal die Skripte
in /etc/init.d durch, die enthalten evtl. auch Abhängigkeiten (leider nicht
bei allen Distributionen). Alles was irgendeinen Dämonen startet ist
wahrscheinlich überflüssig:-) Wenn Du wirklich nur Homebanking von dem Rechner
aus erledigst, dann solltest Du das Gerät so konfigurieren können, das er nach
außen keine offenen Ports hat. Dann brauchst Du natürlich keinen Paketfilter
mehr: Es gibt ja sowieso nichts, was man erreichen könnte. Wenn aus versehen
aber mal ein Dämon gestartet wird, dann ist der ohne Paketfilter für alle Welt
erreichbar…

Peter - Sonntag, 17. Mai 2015 19:02 Uhr

Die Frage ist zwar schon 10 Jahre alt, aber das Thema ist sicher weiterhin aktuell: Homebanking sollte man nicht auf dem Rechner betreiben mit dem man z.B. surft, Mails empfängt oder ggfls. sogar spielt. Homebanking sollte man immer nur über einen Rechner machen, der ausschließlich für das Homebanking eingerichtet ist. Die Lösung lautet VMWARE oder VBox. Wenn mit der virtuellen Maschine ausser dem direkten Bankzugriff nicht gesurft und gemailt wird, dann ist es unwahrscheinlich sich einen Virus oder Trojaner einzufangen.
Als professioneller Paranoier kann man sogar hingehen und Internetzugriffe nur noch über virtuelle Maschinen machen. Banking, Mailing, Surfen … über virtuelle Maschinen. Und der reale Rechner kennt gar nicht das Gateway. Bleibt also auf jeden Fall immer sauber und er kann von keinem Spion per Internet erreicht werden. Er ist ja gar nicht online! Nur die VMs, für die verschiedenen Onlineaufgaben. Und „fangen“ die sich einmal schadende Software ein, werden sie einfach gelöscht und neu draufgespielt! 😉

piWo

Verso - Freitag, 16. Oktober 2015 16:22 Uhr

Virtuelle Maschine ist nicht empfehlenswert: denn wenn sich im Wirtssystem (–> z.B. Windows) Schädlinge wie z.B. Keylogger
befinden, dann werden auch die im Gastsystem (–> Virtuelle Maschine) gemachten Eingaben aufgezeichnet und an den Verursacher bzw. dessen Server gesendet, wenn man wieder online geht mit Windows. Der hat dann ebenfalls Zugriff.

Empfehlenswert ist das Online-Banking mit der Bankix-CD.
Absolut sicher, weil man nur von der Live-CD bootet und arbeitet, das Betriebssystem auf der Festplatte bleibt völlig unberührt.
Wer Bankix haben will, kann es über die Suchmaschine finden oder bei heise.de

Deine Antwort