decehakan
Goto Top

IT-Sicherheit ausgehender Traffic Verallgemeinern oder anpassen

Hallo Zusammen,

in meinem Fall nutze ich ein Webserver ( Ubuntu 20.04 LTS ). Ich hab zwei Iptables Regelset:

1.) Den ersten Regelset ist nur NTP, DNS, Webservice,SSH erlaubt.
2.) Beim zweiten Regelset ist noch zusätztlich HTTPS/HTTP ausgehend zum updaten/upgraden des System erlaubt. Dieser Regelset wird über cron einmal am Tag angewandt, kurz zum updaten.


Nun stelle ich mir die Frage ob es überhaupt Sinn macht den ausgehenden Traffic zu definieren ? Letztendlich falls der Server kompromittiert wird spielt es noch eine Rolle was du ausgehend erlaubt hast oder nicht ?

Was sind euere Meinungen, Vorschläge ?


Vielen Dank und Viele Grüße

decehakan

Content-ID: 612807

Url: https://administrator.de/contentid/612807

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

erikro
Lösung erikro 14.10.2020 um 18:06:26 Uhr
Goto Top
Moin,

Zitat von @decehakan:
Nun stelle ich mir die Frage ob es überhaupt Sinn macht den ausgehenden Traffic zu definieren ?

Nein.

Letztendlich falls der Server kompromittiert wird spielt es noch eine Rolle was du ausgehend erlaubt hast oder nicht ?

Eben. Wenn es dem Angreifer gelingt, auf dem System erhöhte Rechte zu erlangen, dann macht er mit Deinen IPTables was er will. Oder er tunnelt seinen traffic durch die offenen Ports. Deshalb macht man sowas nicht auf der Maschine, sondern vor der Maschine auf einem eigenen möglichst darauf spezialisierten Stück Hardware, auf dem ein entsprechender Portfilter läuft. Das ist Teil der Firewall und nicht des Webservers.

my 2 cents

Erik
decehakan
decehakan 14.10.2020 um 18:23:23 Uhr
Goto Top
mein webserver wie viele tausende andere die bei strato,hetzner hosten haben ja gar keine möglichkeit vor der maschine ein Firewall einzubauen. Daher regelt man die Sicherheit über der eigenen Firewall iptables.
erikro
erikro 14.10.2020 um 18:35:14 Uhr
Goto Top
Moin,

Zitat von @decehakan:

mein webserver wie viele tausende andere die bei strato,hetzner hosten haben ja gar keine möglichkeit vor der maschine ein Firewall einzubauen. Daher regelt man die Sicherheit über der eigenen Firewall iptables.

Bei Hetzner geht das:
https://docs.hetzner.com/de/robot/dedicated-server/firewall/ face-wink

Jetzt wäre interessant, was für ein Webserver das ist. Ein Root-Server? Auch da kann man vor den Produktivserver eine Firewall schalten. Als Basis nimmt man ein schlankes Linux mit einem Virtualisierer. Dann kommt da eine spezielle Distro mit einer Firewall drauf und hinter diese Firewall in einer eigenen virtuellen Maschine der Produktivserver. Wenn es ein einfacher Webspace ist oder ein managed server, dann muss man den Provider nach den Firewalleinstellungen fragen.

Liebe Grüße

Erik
decehakan
decehakan 14.10.2020 um 19:40:41 Uhr
Goto Top

ja nur eigehende ;), nicht ausgehende :D.

Danke für die Idee, aber jetzt genauer ?

Welchen Vorteile hat den die externe Firewall für die ausgehende Traffic ?

Sagen wir der webserver hat die ausgehende traffic alles erlaubt, die firewall erlaubt nur ausgehend ntp,dns und http/s. Dann wird der kompromitierter Webserver über den http die Daten versenden können.
erikro
erikro 15.10.2020 um 20:28:45 Uhr
Goto Top
Moin,

Zitat von @decehakan:
Welchen Vorteile hat den die externe Firewall für die ausgehende Traffic ?

Sagen wir der webserver hat die ausgehende traffic alles erlaubt, die firewall erlaubt nur ausgehend ntp,dns und http/s. Dann wird der kompromitierter Webserver über den http die Daten versenden können.

Sicher. Wenn ich nur einen stumpfen Portfilter habe, dann kann ich alles über die offenen Ports tunneln. Kein (großes) Problem. Der Vorteil einer externen gegenüber einer internen Firewall ist aber immer der, dass ein Angreifer, dem das Kapern des Servers gelingt, damit noch lange nicht die Herrschaft über die Firewall hat. Jetzt muss er probieren, wie er rauskommt. An der Stelle kann ich z. B. eingreifen und die Firewall eine Warnung ausgeben lassen über ungewöhnlichen Verkehr. Außerdem kann ich reigucken in die Pakete. Ist das wirklich http drin, was da über 80 rausgeht? Das wäre dann ein Proxy. Das alles wäre zwar auch lokal theoretisch möglich, würde aber von einem Angreifer sofort abgeschaltet, sobald er root bzw. admin ist. Bei der externen kann er das nicht.

Liebe Grüße

Erik
142583
142583 17.10.2020 um 14:00:33 Uhr
Goto Top
Es hängt von Schutzkonzept ab.

HTTPS / SSL / TLS / DNS Traffic sind fast immer bei ernstzunehmenden Sicherheitsvorfällen vorzufinden. In wie Outgoing.

Ich verwalte über 100 Firewalls die fast alle SSL Deep Inspektion beherrschen und kann nur bestätigen, das bei writ über 90% der Payload über verschlüsselte Verbindungen und Standard Ports abgewickelt wird.