IT-Sicherheit ausgehender Traffic Verallgemeinern oder anpassen
Hallo Zusammen,
in meinem Fall nutze ich ein Webserver ( Ubuntu 20.04 LTS ). Ich hab zwei Iptables Regelset:
1.) Den ersten Regelset ist nur NTP, DNS, Webservice,SSH erlaubt.
2.) Beim zweiten Regelset ist noch zusätztlich HTTPS/HTTP ausgehend zum updaten/upgraden des System erlaubt. Dieser Regelset wird über cron einmal am Tag angewandt, kurz zum updaten.
Nun stelle ich mir die Frage ob es überhaupt Sinn macht den ausgehenden Traffic zu definieren ? Letztendlich falls der Server kompromittiert wird spielt es noch eine Rolle was du ausgehend erlaubt hast oder nicht ?
Was sind euere Meinungen, Vorschläge ?
Vielen Dank und Viele Grüße
decehakan
in meinem Fall nutze ich ein Webserver ( Ubuntu 20.04 LTS ). Ich hab zwei Iptables Regelset:
1.) Den ersten Regelset ist nur NTP, DNS, Webservice,SSH erlaubt.
2.) Beim zweiten Regelset ist noch zusätztlich HTTPS/HTTP ausgehend zum updaten/upgraden des System erlaubt. Dieser Regelset wird über cron einmal am Tag angewandt, kurz zum updaten.
Nun stelle ich mir die Frage ob es überhaupt Sinn macht den ausgehenden Traffic zu definieren ? Letztendlich falls der Server kompromittiert wird spielt es noch eine Rolle was du ausgehend erlaubt hast oder nicht ?
Was sind euere Meinungen, Vorschläge ?
Vielen Dank und Viele Grüße
decehakan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 612807
Url: https://administrator.de/contentid/612807
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Nein.
Eben. Wenn es dem Angreifer gelingt, auf dem System erhöhte Rechte zu erlangen, dann macht er mit Deinen IPTables was er will. Oder er tunnelt seinen traffic durch die offenen Ports. Deshalb macht man sowas nicht auf der Maschine, sondern vor der Maschine auf einem eigenen möglichst darauf spezialisierten Stück Hardware, auf dem ein entsprechender Portfilter läuft. Das ist Teil der Firewall und nicht des Webservers.
my 2 cents
Erik
Zitat von @decehakan:
Nun stelle ich mir die Frage ob es überhaupt Sinn macht den ausgehenden Traffic zu definieren ?
Nun stelle ich mir die Frage ob es überhaupt Sinn macht den ausgehenden Traffic zu definieren ?
Nein.
Letztendlich falls der Server kompromittiert wird spielt es noch eine Rolle was du ausgehend erlaubt hast oder nicht ?
Eben. Wenn es dem Angreifer gelingt, auf dem System erhöhte Rechte zu erlangen, dann macht er mit Deinen IPTables was er will. Oder er tunnelt seinen traffic durch die offenen Ports. Deshalb macht man sowas nicht auf der Maschine, sondern vor der Maschine auf einem eigenen möglichst darauf spezialisierten Stück Hardware, auf dem ein entsprechender Portfilter läuft. Das ist Teil der Firewall und nicht des Webservers.
my 2 cents
Erik
Moin,
Bei Hetzner geht das:
https://docs.hetzner.com/de/robot/dedicated-server/firewall/
Jetzt wäre interessant, was für ein Webserver das ist. Ein Root-Server? Auch da kann man vor den Produktivserver eine Firewall schalten. Als Basis nimmt man ein schlankes Linux mit einem Virtualisierer. Dann kommt da eine spezielle Distro mit einer Firewall drauf und hinter diese Firewall in einer eigenen virtuellen Maschine der Produktivserver. Wenn es ein einfacher Webspace ist oder ein managed server, dann muss man den Provider nach den Firewalleinstellungen fragen.
Liebe Grüße
Erik
Zitat von @decehakan:
mein webserver wie viele tausende andere die bei strato,hetzner hosten haben ja gar keine möglichkeit vor der maschine ein Firewall einzubauen. Daher regelt man die Sicherheit über der eigenen Firewall iptables.
mein webserver wie viele tausende andere die bei strato,hetzner hosten haben ja gar keine möglichkeit vor der maschine ein Firewall einzubauen. Daher regelt man die Sicherheit über der eigenen Firewall iptables.
Bei Hetzner geht das:
https://docs.hetzner.com/de/robot/dedicated-server/firewall/
Jetzt wäre interessant, was für ein Webserver das ist. Ein Root-Server? Auch da kann man vor den Produktivserver eine Firewall schalten. Als Basis nimmt man ein schlankes Linux mit einem Virtualisierer. Dann kommt da eine spezielle Distro mit einer Firewall drauf und hinter diese Firewall in einer eigenen virtuellen Maschine der Produktivserver. Wenn es ein einfacher Webspace ist oder ein managed server, dann muss man den Provider nach den Firewalleinstellungen fragen.
Liebe Grüße
Erik
Moin,
Sicher. Wenn ich nur einen stumpfen Portfilter habe, dann kann ich alles über die offenen Ports tunneln. Kein (großes) Problem. Der Vorteil einer externen gegenüber einer internen Firewall ist aber immer der, dass ein Angreifer, dem das Kapern des Servers gelingt, damit noch lange nicht die Herrschaft über die Firewall hat. Jetzt muss er probieren, wie er rauskommt. An der Stelle kann ich z. B. eingreifen und die Firewall eine Warnung ausgeben lassen über ungewöhnlichen Verkehr. Außerdem kann ich reigucken in die Pakete. Ist das wirklich http drin, was da über 80 rausgeht? Das wäre dann ein Proxy. Das alles wäre zwar auch lokal theoretisch möglich, würde aber von einem Angreifer sofort abgeschaltet, sobald er root bzw. admin ist. Bei der externen kann er das nicht.
Liebe Grüße
Erik
Zitat von @decehakan:
Welchen Vorteile hat den die externe Firewall für die ausgehende Traffic ?
Sagen wir der webserver hat die ausgehende traffic alles erlaubt, die firewall erlaubt nur ausgehend ntp,dns und http/s. Dann wird der kompromitierter Webserver über den http die Daten versenden können.
Welchen Vorteile hat den die externe Firewall für die ausgehende Traffic ?
Sagen wir der webserver hat die ausgehende traffic alles erlaubt, die firewall erlaubt nur ausgehend ntp,dns und http/s. Dann wird der kompromitierter Webserver über den http die Daten versenden können.
Sicher. Wenn ich nur einen stumpfen Portfilter habe, dann kann ich alles über die offenen Ports tunneln. Kein (großes) Problem. Der Vorteil einer externen gegenüber einer internen Firewall ist aber immer der, dass ein Angreifer, dem das Kapern des Servers gelingt, damit noch lange nicht die Herrschaft über die Firewall hat. Jetzt muss er probieren, wie er rauskommt. An der Stelle kann ich z. B. eingreifen und die Firewall eine Warnung ausgeben lassen über ungewöhnlichen Verkehr. Außerdem kann ich reigucken in die Pakete. Ist das wirklich http drin, was da über 80 rausgeht? Das wäre dann ein Proxy. Das alles wäre zwar auch lokal theoretisch möglich, würde aber von einem Angreifer sofort abgeschaltet, sobald er root bzw. admin ist. Bei der externen kann er das nicht.
Liebe Grüße
Erik
Es hängt von Schutzkonzept ab.
HTTPS / SSL / TLS / DNS Traffic sind fast immer bei ernstzunehmenden Sicherheitsvorfällen vorzufinden. In wie Outgoing.
Ich verwalte über 100 Firewalls die fast alle SSL Deep Inspektion beherrschen und kann nur bestätigen, das bei writ über 90% der Payload über verschlüsselte Verbindungen und Standard Ports abgewickelt wird.
HTTPS / SSL / TLS / DNS Traffic sind fast immer bei ernstzunehmenden Sicherheitsvorfällen vorzufinden. In wie Outgoing.
Ich verwalte über 100 Firewalls die fast alle SSL Deep Inspektion beherrschen und kann nur bestätigen, das bei writ über 90% der Payload über verschlüsselte Verbindungen und Standard Ports abgewickelt wird.