Sicherheit im Netzwerk - Routerkonfiguration

[Capu]

Deswegen hatte ich ja in einem vorherigen Post geschrieben das so Dinge nicht out-of-the-box funktionieren und ständig angepasst bzw. auf dem laufenden gehalten werden müssen. Ich möchte nicht wissen wieviele Firmen (oder auch ambitionierte Heimanwender) sich hinter ihrer FW sicher fühlen welche seit nem Jahr (oder noch länger) nicht mehr angepackt worden ist...
Natürlich hast du Recht, der Weg über den Anwender ist meistens der einfachere... Die Gefahr kommt von innen, das ist ja auch nicht neu! ;-)

 

[itari]

Es ist äusserst "schlecht" wenn der Webserver User einfach pauschal Schreibrechte auf den DocRoot hat. Zudem sollte man immer sicherstellen, dass die User unter denen solche Server laufen möglichst wenig Rechte im Dateisystem selber haben. Blöd wäre z.B. wenn der User nobody busybox aufrufen könnte und man busybox gleich noch suid gesetzt hätte. Dabei kann einem die Firewall nicht wirklich helfen

Wie kann man per Webserver Schreibrechte bekommen? WebDAV?

Wie kann man an die busibox kommen, wenn telnet oder ssh nicht läuft? exec()-Calls mit 'root'Rechten im PHP?

Ihr zieht euch immer schnell aus der Affaire, wenn ihr auf Debian, andere Geräte oder andere Anwendungen verweist. Es geht ja hier nicht darum, an eine 'perfekte' Lösung zu kommen, sondern einmal zu verstehen, was eine Firewall so alles kann und wie sie überwunden werden könnte und welche Auswirkungen das hätte ... im Moment kommt herüber: kann 'irgendwie' passieren - ist 'irgendwie' gefährlich - das ist 'irgendwie' zu kompliziert ... ich könnte jetzt auch so argumentieren: eine NAS ist irgendwie ein Linux-Server, der irgendwie zu kompliziert ist, als dass man ihn benutzen kann *gg* ... also ich hätte jetzt schon gerne mehr gewusst, wie eine Firewall überwunden werden kann und über welche Kanäle genau ein Angriff dann zu erwarten wäre, am besten Mal ein griffiges Beispiel aus der Synology-NAS-Praxis.

Itari

 

[CaptainKrunch]

... also ich hätte jetzt schon gerne mehr gewusst, wie eine Firewall überwunden werden kann und über welche Kanäle genau ein Angriff dann zu erwarten wäre, am besten Mal ein griffiges Beispiel aus der Synology-NAS-Praxis.

Itari

Also: Angriffe auf eine Firewalls selbst sind äußerst selten, und versprechen heutzutage kaum mehr Erfolg als einen DOS. Viel spannender sind daher Angriffe auf die hinter der Firewall freigebenen Dienste, um beim Beispiel zu bleiben also eine DS.
Zu diesem Zweck wird dann meist eine Lücke in der installierten Software ausgenutzt um Berechtigungen zu erweitern (z.B. durch Ausnutzung einer Sicherheitslücke im Serverdienst selbst, der im schlimmsten Fall zu root-Rechten führen kann), Daten abzugreifen (Stichwort SQL Injection)oder (erfeut sich seit ein paar Jahren wachsender Beliebtheit) Angriffe auf Clients zu starten, die den Dienst nutzen (Stichwort XSS oder XSRF).

Die Liste liesse sich noch ein wenig erweitern, allerdings ist das Thema wirklich sehr komplex, und alleine die o.g. Stichpunkte sind ein guter Start, sich mit dem Thema zu befassen.

Um dir auch direkt ein älteres, aber aus dem Leben gegriffenes Beispiel zu nennen: http://securityreason.com/securityalert/7809

 

[itari]

@CaptainKrunch

danke für die Beispiele. Leider trifft es nicht den Kern der Diskussion (wovor schützen uns Firewalls) oder vielleicht doch? Wenn wie ihr sagt, Firewall werden weder ausgehebelt noch stellen sie einen Schutz vor den Angriffen auf die Server dar, dann stellt sich für mich die Frage, wozu machen wir das mit der Firewall überhaupt ... dann könnten wir es auch einfach lassen, wenn sie eh nicht 'schützen'.

Wenn das als Diskussionergebnis nun herauskommen sollte, dann ist das ja auch ok ... also Leute, ich provoziere mal, dann lassen wir die Firewall einfach aus.

Itari

 

[CaptainKrunch]

@itari:
In diesem Fall müssen wir noch zwischen einem Paket- (im allgemeinen Hausgebrauch als "Firewall" bekannt) und Application-Filtern unterscheiden. Erstere arbeiten auf Schicht 4 des OSI-Models und helfen dabei, den eingehenden Netzwerkverkehr anhand von IP-Adressen zu kontrollieren, die auf bestimmte Ports zugreifen wollen.
In vielen Fällen wären diese tatsächlich nicht nötig. Beispiel: Linuxrechner direkt an der DSL-Leitung, der entweder erst gar keine Servedienste laufen hat, oder solche, die nur auf der internen Schnittstelle lauschen. Wo kein TCP- / UDP-Port geöffnet ist, ist auch kein Angriff auf einen Dienst möglich.
Eine dedizierte Firewall kann aber auch hier Sinn machen: diese ist meist auf genauere Beachtung "normalen" Netzwerkverkehrs ausgelegt und hilft z.B. vor fehlerhaften Paketen, die den Netzwerkstack eines Clients lahmlegen können. Eins der prominentesten Beispiele hierfür ist der "ping of death", bei dem sich mit Hilfe eines einfachen Pakets ein Windowsrechner komplett lahmlegen ließ.

Fazit bislang: eine "Firewall" ist wirklich nicht zwingend nötig, deswegen aber nicht per se eine dumme Idee.

Kommen wir zu den Application Firewalls: diese arbeiten auf Schicht 7 des OSI-Modells, und verstehen daher nicht nur IP-Adressen und Ports, sondern auch noch das Netzwerkprotokoll an sich. "Früher" waren diese meist als Proxy ausgelegt und im Vergleich zu Paketfiltern nicht allzu performant. Mittlerweile gehen die Hersteller der "großen" Firewalls dazu über, den Netzwerkverkehr bis auf Protokollebene zu prüfen und somit z.B. auch SQL Injections abwehren zu können, bevor sie den Webserver im Hintergrund überhaupt erreichen.
Es dürfte einleuchten, dass hierbei ein wesentlich höherer Schutz gewährleistet ist, und dass solche Lösungen durchaus ihre Daseinsberechtigung haben. Leider setzen solche Lösungen (für den sinnvollen Betrieb) ein wesentlich tieferes Verständnis der Materie voraus, so dass sie für den "Normalsterblichen" wieder kaum Sinn machen.

War das eher das, worauf du hinaus wolltest?

 

[itari]

War das eher das, worauf du hinaus wolltest?

Also das Thema hier heißt: "Sicherheit im Netzwerk - Routerkonfiguration". Irgendwie waren wir dann bei dedizierten Firewall und ähnlichem und ich hab versucht den Weg zur DiskStation wieder zurück zu finden ... weil es also meist keine Firewall auf dem Router gibt, würde es sich halt anbieten, die Firewall auf der DS zu verwenden, um die Sicherheit zu erhöhen. Dabei interessiert natürlich das Warum und Wie und die Diskussion in den letzten Post führt immer wieder auf eine Bedrohungslage, die irgendwie irgendwo zustande kommt, aber nichts mit der Firewall direkt zu tun zu haben scheint. Deswegen hab ich mich wie ein Manager erstmal 'doof' gestellt und gefragt, ob mir einer erklären kann, ob die Firewall (iptables) auf der DS nichts taugt (wenn ja, dann weg damit) und mich dann gefragt, ob wir überhaupt eine brauchen (also auch weg damit). Den 'ping of death' fängt wahrscheinlich die Minifirewall des Routers ab (die meisten Billigrouter, die ich kenne) preisen das ja an. Klar ist mir auch, was 'iptables' so kann und was nicht und dass es auf der Anwendungsebene (z.B. SQL Injektions) noch eine Menge zu tun gibt.

Was ich gerne hätte, wäre eine Einschätzung der Bedrohungslage auf der Ebene, auf der konkret die Firewall einer DS etwas tun kann und das gerne mal an einem Beispiel erläutert. Dies sollte uns doch gelingen. Wenn es wirklich zu kompliziert wird, dann macht eine Firewall auf der DS keinen Sinn. Man kann zwar etwas konfigurieren und fest daran glauben, dass die auch 'Sinn' macht, aber wenn hier gesagt wird, Ätsch, verstehste eh nicht, ist zu kompliziert, dann ist der 'Sinn' in meinen Augen weg und man muss erst gar nicht damit anfangen. Nochmal, wenn es interessant sein soll für die Leser hier, dann muss es sich auf die Gegebenheiten einer DiskStation beziehen und nicht auf RZ-Problematiken. Und über eines müssen uns alle im Klaren sein: auf einer DS läuft genauso wie im RZ ein Linux, die Serverprogramme sind dieselben, die Techniken und Tools sind die gleiche und die Problematik ist eine sehr ähnliche ... wir hängen am Internet. Vielleicht sind die Versionsstände nicht die gleichen, aber ich denke, dass tut nicht wirklich was zur Sache.

Ich sehe natürlich auch und respektiere jeden hier, der sich Mühe macht, etwas Licht ins Dunkle zu bringen. Deswegen auch meine Dank dafür (es könnte ja sein, dass ihr das Gefühl habt, ich will nur mosern *gg*), denn ich weiß, dass es nicht immer einfach ist, etwas, was doch offensichtlich klar ist, so zu erläutern, dass man sich auch wirklich etwas darunter vorstellen kann ... und darum, nur darum geht es mir hier. Wie heißt es so schön: Sicherheit fängt im Kopf an ...

Itari

 

[CaptainKrunch]

OK, dann verstehe ich dich jetzt (galube ich (endlich)) richtig.

In dem Fall: eine DS, die mit einer einzigen Netzwerkkarte direkt am Internet klemmt (also ohne Router oder Firewall davor), kann mit Hilfe des integrierten Paketfilters weiter abgesichert werden. Standardmäßig lauscht ja jeder aktivierte Dienst dann auf Anfragen aus dem Internet, was nicht zwingend für jeden Dienst gewünscht sein muss. SSH und den DSM würde ich z.B. auf meine fixe Source-IP beschränken, während der Webserver für alle zugänglich sein soll.

Dieser Fall dürfte aber wohl nur die allerwenigsten betreffen, da die DS ja meist innerhalb des privaten, ohnehin durch einen Router / Paketfilter geschützten Netz steht. Zugriffe auf Dienste des NAS werden hier dann ja ohnehin durch Portweiterleitungen gelöst. Eine zusätzliche Firewall auf der DS selbst bringt in dieser Konstellation herzlich wenig Sicherheitsgewinn.

 

[itari]

Eine zusätzliche Firewall auf der DS selbst bringt in dieser Konstellation herzlich wenig Sicherheitsgewinn.

Also, das ist mal eine Ansage: Leute, deaktiviert die Firewall auf der Diskstation, weil sie nichts zur Sicherheit beträgt, wenn eure DiskStation an einem Router hängt (und ich ergänze mal und nicht in der 'DMZ' bzw. als 'exponierter Host' agiert).

Richtig oder falsch? Meinungen bitte

Itari

 

[CaptainKrunch]

Danke für die Ergänzung! Beim "exponierten Host" ist es ja nichts anders, als wäre die DS direkt am Internet angeschlossen. Hatte ich vergessen...

 

[Wessix]

Hi, ich möchte erstmal allen die sich hier in diesem thread beteilgen bedanken, da sie laien, wenn in meinem falle auch nicht blutiger pc anfänger, jedoch keinem linux experten interessante einblicke ermöglichen und das verständnis und die aufmerksamkeit für das thema sicherheit fördern. Nun meine frage: macht es in einem standard 0815 netzwerk nicht doch sinn die firewall der ds anzuhaben, da sich in diesem netzwerk ja noch andere, potentiell infizierte rechner befinden könnten. Mir ist bewusst das dies zu verhindern besser wäre, aber wie schon oben erwähnt sitzt die größte gefahr meist vor dem rechner und ist im falle von eltern oder grosseltern, kindern etc. Nicht zu unterschätzen. Ich denke dass die firewall der ds im falle einer solchen infektion eines rechners schützt und evtl. sogar hilft die bedrohung zu erkennen.
Liege ich da falsch?
Grüsse wessix

 

[Merthos]

IMO nicht wirklich. Die Dienste, die Du verwendest, sind eh in der Firewall freigeschaltet (und damit könnte auch jeder zugreifen), und alle anderen sollten besser gar nicht an sein.

 

[CaptainKrunch]

macht es in einem standard 0815 netzwerk nicht doch sinn die firewall der ds anzuhaben, da sich in diesem netzwerk ja noch andere, potentiell infizierte rechner befinden könnten. Mir ist bewusst das dies zu verhindern besser wäre, aber wie schon oben erwähnt sitzt die größte gefahr meist vor dem rechner und ist im falle von eltern oder grosseltern, kindern etc. Nicht zu unterschätzen. Ich denke dass die firewall der ds im falle einer solchen infektion eines rechners schützt und evtl. sogar hilft die bedrohung zu erkennen.

Wie sähe dann ein solcher "Schutz" via DS-Firewall aus? Um die DS vor infizierten Clients zu schützen, müsste denen ja standardmäßig der Zugriff auf das NAS verboten werden. Steht irgendwie im Gegensatz zum Zweck, oder?
Davon abgesehen: mir fallen spontan nicht viele Würmer ein, die sich von infizierten Windows- erfolgreich auf Linuxrechner verbreiten...

 

[Wessix]

Naja ich kann z.B. doch festlegen das der SSH zugriff nur von ip 192.168.1.x und sonst keiner ip erlaubt ist oder? außerdem kann ich einstellen, dass sofern keine Regel zutrifft der Zugriff immer verweigert wird. Das die Ports der dienste die ich nutzen will dann offen bleiben müssen für alle pcs die sie nutzen wollen muss dann eingestellt werden. Bringt das nichts?

 

[CaptainKrunch]

Über den SSH-Zugang würde ich mir (bei einem ausreichenden sicheren Passwort) herzlich wenig Sorgen machen. Aber OK, könnte man sich sicherlich noch überlegen, wobei ich da eher auf die Accountspree setzen würde, die die Synologys von Haus aus mitbringen.

Zu den restlichen Ports: ich gehe einfach mal davon aus, dass so ziemlich alle restlichen PCs auf Webdienste und Co. zugreifen sollen, oder? Aber selbst wenn du ein oder zwei Rechner per Paketfilter sperrst: sobald du einen Wurm im Netz hast, verbreitet der sich in 99,9% aller Fälle eher auf die anderen Windows-PCs als auf die DS. Sicherlich hast du einen minimalen Sicherheitsgewinn, wenn du den Zugriff einschränkst...aber über den Sinn darf trotzdem gestritten werden.

 

[petehild]

Also, das ist mal eine Ansage: Leute, deaktiviert die Firewall auf der Diskstation, weil sie nichts zur Sicherheit beträgt, wenn eure DiskStation an einem Router hängt (und ich ergänze mal und nicht in der 'DMZ' bzw. als 'exponierter Host' agiert).

Richtig oder falsch? Meinungen bitte

Itari

Ich sehe das wie CaptainKrunch, meine Schnittstelle nach außen ist der Router nicht die DS selber. Einzelne ausgesuchte Dienste der DS kann ich per Portforwarding im Router nach außen zugänglich machen. Eine weitere Firewall auf der DS bringt daher meiner Meinung nach nichts.

Pete

 

[jahlives]

Wie kann man per Webserver Schreibrechte bekommen? WebDAV?
Wie kann man an die busibox kommen, wenn telnet oder ssh nicht läuft? exec()-Calls mit 'root'Rechten im PHP?

exec() mit PHP wäre ein Weg dazu. Ich wollte weniger einen konkreten Weg erläutern, sondern mehr das Prinzip dahinter ;-) Und das Prinzip ist "je weniger (Rechte) umso besser". Klar ist es nicht ganz so trivial einzubrechen und Rechte zu erweitern, aber es ist fast unmöglich wenn der Webserveruser nirgends Schreibrechte hat.
Ein konkretes Bsp? Die FTP Lücke in alten Firmware Versionen. Zwar kein "Angriff" direkt auf die DS, sondern ein Seitenangriff, wie er wahrscheinlich häufiger vorkommen wird, wenn jemand einbrechen will. Klar war auch dieser "Angriff" nicht einfach, aber die Lücke an sich hätte sich für vieles ausnutzen lassen. Weitere Möglichkeiten v.a. beim Webserver wäre alte Software-Versionen z.B. WordPress mit einer Lücke oder ein Forum. Oder einfach nur ein "vergessenes" PHP-eval-Testscript, aus den Zeiten wo man PHP gelernt hat

 

[jahlives]

@Pete
eine Firewall auf der DS kann schon etwas bringen:
1. Angriffe aus dem LAN/WLAN
2. Logüberwachung und Blockierung
3. Filterung ausgehender Verbindungen basierend auf uid und gid
4. Erschwerung von BruteForce Angriffen z.B. bei ssh

zu 4)
iptables kann Verbindungen überwachen und Statistiken dazu laufen lassen. So kann man relativ einfach alle BruteForce Angriffe gegen ssh ins Leere laufen lassen

iptables -A INPUT -m tcp -p tcp -dport 22 -m hashlimit --hashlimit 1/min --hashlimit-mode srcip --hashlimit-name ssh -m state --state NEW -j ACCEPT
iptables -A INPUT -m tcp -p tcp -dport 22 -m state --state NEW -j DROP

obiges erlaubt maximal ein Paket mit Status NEW pro Minute und IP (--hashlimit-mode srcip) auf 22/TCP. Der Rest wird durch die zweite Regel gedroppt

 

[Maschee]

Hallo zusammen,

bin gerade auf der Suche nach einer sinnvollen Netzwerkkonfiguration meiner DS, auch auf Hinblick von außerhalb via Handy auf das Gerät zugreifen zu können. Ich will die DS als Medienserver für Fotos und MP3s nutzen und will aber auf der anderen Seite wenig Angriffsfläche bieten.

Die Erste Anlaufstelle ist für mich natürlich dieses Forum und leider muss ich hier in sämtlichen Threads immer wieder feststellen, daß zwar Versuche Unternommen werden Sicherheitstipps zu geben, welche dann aber meisten im selben Thread wieder von andereren Personen in Frage gestellt werden. Wie zum Beispiel auch in diesem Thread hier, der zwar einen vielversprechenden Titel trägt, ich aber trotzdem noch nicht schlauer bin was nun die beste Lösung ist. Hier werden irgendwie nur Argumente und Gegenargumente von diversen Einstellungen diskutiert. Ein ständiges hin und her. Leider kommt man doch so auf keinen grünen Zweig.

Ich weis dass viele Wege nach Rom führen, aber gibt es kein "Standartpaket" zur Absicherung des eigenen Routers und WLANs mit dem Einsteiger und auch Profis zufrieden sein können? Und wenn ja, kann man das auch so formulieren das Nicht-IT Experten das verstehen?

Computertechnisch bin ich sicherlich nicht unerfahren, aber beim Thema Netzwerksicherheit im Internet hört bei mir der Horizont langsam auf.

Gruß

 

[itari]

Wie zum Beispiel auch in diesem Thread hier, der zwar einen vielversprechenden Titel trägt, ich aber trotzdem noch nicht schlauer bin was nun die beste Lösung ist. Hier werden irgendwie nur Argumente und Gegenargumente von diversen Einstellungen diskutiert. Ein ständiges hin und her. Leider kommt man doch so auf keinen grünen Zweig.

Bedeutet aber schon, dass wir hier im Forum keine guten Argumente für eine zusätzliche Sicherheit (z. B. per Firewall) finden ... und damit bedeutet es auch: man kann es bei der einfachen Kontrolle der Portweiterleitungen lassen

Itari

 

[bredok]

Hallo,

es fing so gut an. Warum habt ihr aufgehört?


bredok