Firewalls

[D€NNIS]

Hi,

welche Firewalls kommen bei euch zum Einsatz benutzt ihr
dedizierte Systeme für euer Sicherheitskonzept oder setzt ihr auf Personal Firewalls die direkt auf dem zu schützenden Segment laufen?

Mich interessieren alle Formen der Firewall statefull - stateless egal ob IPTables oder ZoneAlarm alles wird gerne gesehen.

Meine Firewall wird von meinem Rechner superHorst gebildet auf Basis von IPTables respektive Netfilter (Debian + Kernel 2.4.24)

Da viele ja nur IPTables schreiben um sich zu profilieren will ich euch mein Skript als Beweis nicht vorenthalten.

#---------------SuperHorst IPTables Firewall version0.07---------------
#!/bin/sh
#
IPTABLES=/sbin/iptables
IFCONFIG=/sbin/ifconfig
MODPROBE=/sbin/modprobe
DEPMOD=/sbin/depmod
SLEEP=/bin/sleep
PON=/usr/bin/pon
POFF=/usr/bin/poff
AWK=/usr/bin/awk
#
INTIF=eth1
INTNET="192.168.101.80/28"
INTIP="192.168.101.82/28"
EXTIF=ppp0
#
$DEPMOD -a
#
$MODPROBE ip_conntrack
$MODPROBE ip_conntrack_ftp
$MODPROBE iptable_nat
$MODPROBE iptable_filter
$MODPROBE ip_nat_ftp
$MODPROBE ipt_state
$MODPROBE ipt_REJECT
$MODPROBE ipt_LOG
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
$IPTABLES -Z
$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT DROP
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
#
$IPTABLES -t nat -F
#
$POFF dsl-provider
$SLEEP 1
$PON dsl-provider
$SLEEP 2
#
EXTIP="`$IFCONFIG $EXTIF | $AWK /$EXTIF/'{next}//{split($0,a,":")\
;split(a[2],a," ");print a[1];exit}'`"
#
$IPTABLES -A INPUT -i $EXTIF -d $EXTIP \
-p tcp -m state --state NEW --dport xxxx -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -d $EXTIP \
-p udp -m state --state NEW --dport xxxx -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -d $EXTIP \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -s $INTNET -j LOG --log-level info
$IPTABLES -A INPUT -i $EXTIF -s $INTNET -j REJECT
$IPTABLES -A INPUT -i $INTIF -s $INTNET -j ACCEPT
#
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF -d $INTNET -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d $INTNET --dport xxx:xxx -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTIF -j ACCEPT
#
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF \
-p tcp --dport xxxx -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG
#
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP
$IPTABLES -t nat -A PREROUTING -p tcp -d $EXTIP --dport xxxx -j DNAT --to xxx.xxx.xxx.xxx:xxxx

 

[Dönertier]

Windows XP Firewall

 

[wingman]

Steganos Internet Security glaub ich!!

 

[D€NNIS]

@Dönertier

Naja, besser als gar nix

@Wingman

Steganos oder Symantec?
Beide heißen ähnlich

 

[smiley]

Original geschrieben von Dönertier
Windows XP Firewall

Hardware Firewall des Routers

 

[D€NNIS]

@smiley

Was für ein Router ist es denn?

 

[HardwareHunter]

Firewall meines Routers ( Telekom Teledat Komfort)

&

Sygate Personal Firewall


und zufrieden .


Hunter

 

[Morphium]

Firewall des D-Link 604 + Zonealarm

 

[rosenbusch]

1.)hardwarerouter (irgendwas von netgear, keine ahnung, komme gerade nicht zum nachschaun dran, ist zu sehr verbaut ), glaube aber sowas wie rt314 oder so, auf alle fälle schon mal ne hilfe, ohne portforwarding bleibt da schon ne menge draußen, bzw klopft an die tür und wird nicht reingelassen

2.) Bitdefender professional, kombination aus sehr gutem virenscanner (besonders gründliche scannung von archiven) und softwarefirewall, die wenigsten kennen das produkt:

http://www.bitdefender.com/index.php

gibt auch produkte für linux^^

 

[D€NNIS]

Ich versteh gar nicht wieso einige von euch die bereits nen Router mit ner Statefull Packet Inspection Firewall benutzen sich von der Ergänzung durch Personal Firewalls zusätzliche Sicherheit erhoffen.

Der Router filtert sowieso schon alles raus sodass die PersonalFirewall eigentlich ne schlechte Ergänzung ist.
Beim Bitdefender kann man das ja noch verstehen da das ne Sicherheitssuite ist.

Also SPI Firewall und n ordentlicher Virenscanner sollten eigentlich für SoHo Zwecke absolut hinreichende Sicherheit bieten.

 

[Morphium]

Ich benutze Zonealarm zur Kontrolle der internen Programme, die nach Außen kommunizieren wollen. Dafür ist sie bestens geeignet. Der Router ist einigermaßen sicher, was Anfragen von Außen betrifft. Ich finde, an einer solchen Kombination ist nicht viel auszusetzen ?

 

[Robbenmeister]

jo, ich mach es genauso wie Morphium: gleicher Router, gleiches Konzept. Von der ZA möchte ich nur, dass ich genau weiss, welche Programme von innen aufs netz zugreifen wollen. Für Private Begriffe ist das schon meiner Meinung sehr gut. Wenn ich ein bisschen fitter mit Firewalls bin, werde ich mir auch mal ne richtige aufbauen, aber voreher noch nicht

 

[D€NNIS]

Ja die Kommunikation einzelner Programme nach außen über
Personal Firewalls zu verifizieren ist in Ordnung allerdings würde ich dann feste Rulesets in meiner Router Firewall definieren um die kritischen Programme die nach außen hin kommunizieren wollen den Kontakt zu unterbinden.

Im übrigen ist nicht jedes Programm das nach außen hin kommuniziert gleich eine potentielle Sicherheitsgefährdung. Mit ganz soviel Paranoia sollte man vielleicht auch nicht an die Sache herangehen

 

[Robbenmeister]

Oh es hat nixhts mit paranoia ala "ich will nicht entdeckt werden dass ich sonstwas unlizensiert nutze zu tun", ich will nur wissen, was in meinem System vor sich geht. Es ist immer wieder überraschend, zu sehen, welche Programme gerne nach draussen wollen, die das ja eigentlich nicht brauchen... und ich kann entscheioden, ob sie es dürfen oder nicht, darum geht es.

Ws du mit den Rulesets umdefinieren meinst, kann ich nicht ganz nachvollziehen: ich kann nur bestimmte Ports auf bestimmte IP's festlegen und vielleicht noch virtuelle Serverrouten, das war alles. dann hab ich noch ne NAT drin, aber ich kann keine feinen Regeln erstellen - dafür sind die Teile ja auch nicht gedacht.

 

[D€NNIS]

@Robbenmeister

Das ist dann natürlich wieder ne Restriktion Deines Routers. Es gibt durchaus Router die wesentlich variabler in ihrern Rulesets auch in Bezug auf den Output Traffic sind.

Und selbst wenn Du weisst das Programm xy von mir aus nach außen hin eine Kommunikation einfordert bist Du immer noch nicht um die Erkenntnis reicher WAS genau dieses Programm eigentlich im Detail mit der Kommunikation anfängt respektive welche Daten transferiert werden.

 

[cuda]

Router: EPIA-BOX mit Squid und IPtables drauf. Das reicht voll aus, mehr braucht man nicht.

'cuda

 

[D€NNIS]

Zeig mal Dein IPTables Skript bitte.

 

[cuda]

Ich bin jetzt im Geschäft, kann es Dir also schlecht zeigen. Vor allem im Netz gibt es tausende davon, man kann einen x-beliebigen runterladen und hierher posten, also bitte.

Womit hast du den Script erstellt? Sieht nicht nach Handarbeit aus.

'cuda

PS: Noch so einer von der Sorte, "zeigt mir Bilder, sonst glaube ich nichts..."

 

[D€NNIS]

@Cuda

Runterladen??

Nein gewiss nicht ich habe mich mit der IPTables Materie intensiv vertraut gemacht bevor ich überhaupt auf die Idee gekommen bin IPTables als Sicherheitsfundament zu implementieren.

Und ja es ist Handarbeit jede einzelne Zeile von Hand mit dem Editor
"vi" eingetippt und wenn Du es nicht glaubst kannst du mich gerne prüfen indem ich jede einzelne Zeile ganz detailliert erkläre.

 

[Robbenmeister]

so, das nenn ich jetzt mal paranoia: nur weil man nichts zeigen kann bzw. weil es nicht nach Handarbeit aussieht, ist es gleich irgendwoher gezogen... der Paranoia Puinkt geht eindeutig zu Lasten von D€NNIS

Ne im Ernst, warum soll ich mir einem anderen Router besorgen, wenn meine derzeitige Konfiguration so gut läuft? Ausserdem geht es mir nicht darum, was gesendet wird, sondern wer sendet... Wenn ich genau wissen will, dann kann ich sden Traffic abhören, will ich aber nicht.

Warum sollte sich XIII z.b. jedesmal mit dem Server von Ubisoft verbinden, wenn das Spiel noch nicht mal ne eingebaute Updatefunktion hat? Wie kann ich unterscheiden, ob Office nur auf den localhost oder auf die Seiten von microsoft.com zugreift... darum geht es mir.

 

[D€NNIS]

@Robbenmeister

Moment mal der Vorwurf mit der mangelnden Handarbeit sowie der Hinweis das man sich fertige IPTables Skripts auch aus dem INet laden kann kam von cuda ich habe lediglich negiert das mein Skript ein solches ist insofern bitte etwas genauer drauf achten

Du glaubst es läuft gut aber die 100%ige Transparenz hast Du eben nicht verstehst Du was ich damit sagen will?
Zu wissen welches Programm eine InternetKommunikation einfordert heisst nichts zwangsläufig auch zu wissen WESWEGEN es sie einfordert.
Nicht immer ist der Sachverhalt so offensichtlich wie bei XIII oder Filesharing Tools.
Man kann natürlich den Weg des geringsten Wiederstandes gehen und im Grunde genommen nach der Maxime agieren
KENN ICH NICHT WEISS ICH NICHT BRAUCH ICH NICHT BLOCK ICH
aber der Weisheit letzter Schluss ist das sicher nicht

 

[KimmY]

Momentan habe ich das Symantec Packet am laufen, sprich AntiVirus, PersonalFirewall etc. ...

... doch werd ich diese Software in kürze ersetzen durch ...

... G Data AntiVirenKit 2004
... doch auf dem Firewall-Gebiet weis ich noch nicht welche ich nehmen soll ... abwarten !!

 

[Robbenmeister]

Hey D€NNIS, ich wollte dich ja auch nicht anmachen, aber cuda hat recht: man kann sich gute und funktionieren Scripts (oder vorlagen) runtersaugen und die verwenden oder umfunktioneieren. Es hat doch keiner an deiner Kompetenz gezweifelt...

Ich weiss auch, dass so was nicht 100% sicher und transparent ist, aber a) stehe ich noch am Anfang dieses Wissens (über Firewalls) b) werde ich mir dieses Wissen in ächster Zeit so oder so aneignen und c) bin ich mit meiner Lösung zufrieden - weiss aber auch, dass sie nicht das beste ist, was man haben kann / will.

 

[D€NNIS]

Das ihr gleich immer solche Sachen unterstellt
Ich bin einfach jemand der UNBEDINGT das war er macht verstehen MUSS deshalb liegt es schon in der Natur der Sache das ICH mir nie ein Skript einfach runterladen würde ohne die exakten Hintergründe zu kennen.

Das heißt aber nicht das es nicht legitim ist das trotzdem zu machen und auf keinenfall habe ich das so verstanden als ob jemand von euch an meiner Kompetenz zweifelt. (Selbst wenn wäre das kein Problem)

 

[Robbenmeister]

ach D€NNIS alter h4XX0r...

Nee im Ernst, gut wenn du es verstehst und der Sache auf den Grund gehst, das sollte auch so sein. Seh ich auch als nicht aber auch gar nichts negatives an - im Gegenteil... aber lass uns mal zum Thema firewall zurückkehren :backtotopic: Wie wäre es, du erklärst mal das Prinzip von IPTables und co, denn das würde mich doch auch interessieren!

 

[D€NNIS]

Das Prinzip von IPTables ist den im Kernel befindlichen netfilter Code
(ab 2.4) durch IPTables als Frontend Tool zu kontrollieren.

Dabei gilt es erstmal zu verstehen das es sogenannte Tables gibt in denen sich wiederrum Chains verbergen. In diesen Chains definiert man einzelne Rulesets die dann hierarchisch abgearbeitet werden.

Die 3 default Tables sind nat, mangle und filter
Im nat Table finden alle NetworkAdressTranslation basierenden Rulesets platz (DNAT SNAT)
Im mangle Table kann der status einzelner Pakete manipuliert werden wie beispielweise die TTL (Time to Live)
Im Filter Table hingegen findet man kann es fast erahnen sämtliches Paketfiltern statt.

IPTAbles von Grund auf an zu erklären würde heir sicherlich zu weit führen aber die Stärke des Programms liegt in der Variationsfreudigkeit. Richtig konfiguriert ist es mächtig wie kaum ein anderes Paketfilterprogramm falsch benutzt bringt es jedoch n Scheiss.

-Mein Skript-

Wie ihr oben sehen könnt sind im Filter Table und in den dazugehörigen Chains (OUTPUT FORWARD UND INPUT) die default Policys auf DROP gestellt d.h alles mit erst einmal verworfen.
Das obige Beispiel ist eine statefull Firewall (-m state) die neben Paketfilterung auch 1:1 SourceNAT d.h mehreren internen Segmenten den InternetZugang ermöglicht sowie DNAT PortForwarding durchführt.

Die besondere Stärke liegt wiegesagt in der statefull Ability von ITables d.h IPTables kann durch ConnectionTracking einzelne Pakete identifizieren und erkennen ob diese eine neue Verbindung aufbauen wollen zu einer bereits existierenden Verbindung gehören oder aber nicht gültig sind.

 

[Robbenmeister]

huihuihui, muss das erstmal ein paar mal lesen: d.h. es erkennt anhand der Daten (=pakete) ob das Paket gewollt oder ungewollt ist? Besser: ob das zu dem Programm gehgörig ist oder nur getarnter Drecksmist, der sich als Daten anderer Programme ausgibt?

 

[D€NNIS]

So ungefähr wobei IPTables die Assoziation auf einer
Paket -> Verbindung Basis durchführt.

Das ganze ist natürlich nur kurz angeschnitten wenn Du wirklich wissen willst was läuft kann ich Dir gerne etwas englische Lektüre in Form einer dahinführenden URL an die Hand bzw. Maus geben

 

[Robbenmeister]

jepp, wäre anzuraten! BTW: auf was für einer hardware läuft so etwas vernünftig, wobei hier vielleicht sogar noch der Einsatz als DSL-Router hinzukommen würde?

 

[D€NNIS]

Du brauchst keine "Potenzbestie" um solch einen leckeren Router hochzaubern zu können Geduld und Willensstärke sind vielmehr gefragt.
Mit nem P55C tralala biste auf jeden Fall schon dabei kann auch n schabbeliger 486er sein wenn Du möchtest.

Fli4l ist ähnlich gestrickt nur basiert des auf IPChains und nicht auf IPTables.

schau mal unter

www.netfilter.org Ackere dort alle Dokumentationen durch insbesondere das englische Tutorial von Oskar ist gut

unter tldp.org ist n noch geiles HowTo über IP Masquerading