werbeklaus: Sinn einer Firewall

Guten Tag allerseits,
ich habe eine Frage zu dem Sinn einer Firewall. Nachdem der Begriff ja doch recht vielseitig ist, möchte ich mich auf eine Firewall im Sinne von so etwas wie iptables konzentrieren. Also das simple Regeln definieren, wie einzelne Datenpakete behandelt werden sollen.
Meine Frage ist folgende: Wenn ich mit einer solchen Firewall alle unbenötigten Ports schliesse, und ein paar wenige offen lasse wie 80 und 22, warum sollte sich dadurch die Sicherheit erhöhen? Jeder Webserver zum hosten von Homepages hat doch port 80 offen, also was hilft es mir, 65534 Ports zu schliessen, wenn der 80er noch offen ist?
Angelehnt daran die Frage: Für den passiven FDP-Modus muss eine ganze Port-Spanne offen sein. Damit dürfte sich nach dieser Sicht die Sicherheit ja ins bodenlose verringern.
Ich danke für antworten, die mich dem Ziel näher bringen, die Bedrohungen des Internets und deren Bekämpfung besser zu verstehen.

Einen schönen Nachmittag noch,
werbeklaus

  1. hi,

    Meine Frage ist folgende: Wenn ich mit einer solchen Firewall alle unbenötigten Ports schliesse, und ein paar wenige offen lasse wie 80 und 22, warum sollte sich dadurch die Sicherheit erhöhen?

    "Offene Ports" sind nicht per se gefährlich - sondern nur dann, wenn auf diesen ein Programm/Dienst "lauscht", der mit dem empfangenen Daten irgendetwas macht, im Zweifelsfalle aber nicht soll.

    Analogie: Die Astlöcher im Bretterzaun sind auch nicht "gefährlich", wer von aussen mit dem Finger reinpicksen will, soll das halt tun. Nur wenn hinter so einem Loch auch jemand "lauscht", bekommt der vermutlich Ohrenschmerzen.

    Jeder Webserver zum hosten von Homepages hat doch port 80 offen, also was hilft es mir, 65534 Ports zu schliessen, wenn der 80er noch offen ist?

    Hinter dem 80er "lauscht" ein Dienst - der Webserver - der genau weiss, was er mit den reinkommenden Anfragen zu tun hat, bzw. der sie ignoriert, wenn sie fehlerhaft sind.

    Angelehnt daran die Frage: Für den passiven FDP-Modus

    [ot] Soll das eine Beschreibung von Bios Lebensweise sein? [/ot]

    muss eine ganze Port-Spanne offen sein.

    Sagt wer?

    gruß,
    wahsaga

    --
    /voodoo.css:
    #GeorgeWBush { position:absolute; bottom:-6ft; }
    1. Hallo,

      vielen Dank für die Antwort.

      Analogie: Die Astlöcher im Bretterzaun sind auch nicht "gefährlich", wer von aussen mit dem Finger reinpicksen will, soll das halt tun. Nur wenn hinter so einem Loch auch jemand "lauscht", bekommt der vermutlich Ohrenschmerzen.

      Toller Vergleich, gefällt mir gut ;)

      Angelehnt daran die Frage: Für den passiven FDP-Modus

      [ot] Soll das eine Beschreibung von Bios Lebensweise sein? [/ot]

      Nein, nur ein Schreibfehler, den ich schon hunderte Male gemacht habe.

      muss eine ganze Port-Spanne offen sein.

      Sagt wer?

      Ich ;)
      Gut, wenn ich ehrlich bin hab ich davon nicht so die Ahnung, aber vllt kannst du mir ja ne alternative sagen. Auf den Tutorials die ich dazu gelesen habe stand war die Lösung auf das Problem des Zufall-Ports von fTp-Servern eben immer: Server auf eine gewisse Spanne legen und diese auch freigeben.

      Einen schönen Nachmittag wünsche ich,
      werbeklaus

  2. Wenn nichts auf den 65534 anderen Ports auf eine Verbindung wartet, erhöht sich die Sicherheit im Enteffekt nicht. Bei so einem Paketfilter auf Port Basis, geht vielmehr darum, installierte, nicht verwendete und potenziell unsichere Netzwerkdienste zu sperren.
    Wenn jemand/etwas böswilliges schon auf dem Rechner ist, hilft ein solcher Paketfilter wenig. (andere Funktionalitäten einer Firewall lassen wir jetzt mal weg)

  3. Moin!

    Meine Frage ist folgende: Wenn ich mit einer solchen Firewall alle unbenötigten Ports schliesse, und ein paar wenige offen lasse wie 80 und 22, warum sollte sich dadurch die Sicherheit erhöhen?

    Wenn auf einem Hardware-Server nur zwei (Software-)Server für HTTP und SSH laufen, dann sind sowieso nur Port 80 und 22 offen. Da jetzt noch eine Firewall vorzupacken, die die restlichen Ports "schließt", ist vollkommener Schwachsinn und verbrät vermutlich nur unnötig CPU-Power. Denn anstelle des IP-Stacks, der Connects zu ungeöffneten Ports zurückweist, muß zusätzlich ja die Firewall installiert sein und würde zuerst mal anstelle des IP-Stacks die hereinkommenden Pakete durch die Filterregeln jagen - auch die an die geöffneten Ports. Danach kommt dann der reguläre IP-Stack dran und leitet die Datenpakete an die Serversoftware weiter.

    Eine Firewall ist nur dann notwendig bzw. sinnvoll, wenn tatsächlich individueller gefiltert werden soll, als das die Konfiguration der Serversoftware erlaubt. Wenn also beispielsweise der Zugriff auf den SSH-Port nur für einen bestimmten IP-Bereich freigeschaltet wird, und das auch erst dann, nachdem die Firewall einen definierten Portscan an bestimmten anderen Ports festgestellt hat, dann ist das eine Funktion, die man vermutlich nicht im sshd vorfinden wird oder dort konfigurieren kann.

    Angelehnt daran die Frage: Für den passiven FDP-Modus muss eine ganze Port-Spanne offen sein. Damit dürfte sich nach dieser Sicht die Sicherheit ja ins bodenlose verringern.

    Nein. Nicht die Anzahl der offenen Ports ist relevant für die Sicherheit, sondern die Anzahl der Serversoftware, die diese Ports bedient.

    Wenn du eine hackbare Version einer Serversoftware einsetzt, dann reicht schon 1 Port aus, um den Server zu knacken. Wenn du umgekehrt eine sichere Version eines FTP-Servers einsetzt, dann kann der gerne alle 65000 Ports öffnen - es wird nicht das geringste passieren.

    Ein offener Port ist nicht grundsätzlich unsicher. Aber je mehr offene Ports mit dahinter lauschenden Server-Softwares man hat, desto größer wird die Wahrscheinlichkeit sein, dass man irgendwo eine Konfiguration falsch gemacht hat oder dass ein Exploit für die nicht rechtzeitig genug aktualisierte Software gefunden wird.

    Die Faustregel, offene Ports unbedingt zu schließen, ist daher eigentlich für die unerfahrenen Nutzer gedacht, die z.B. auf ihren Windows-Kisten gar keinen Server drauf laufen haben wollen, aber unbemerkt aufgrund der Standardinstallation dennoch reichlich Server betreiben, über die sie grundsätzlich angreifbar wären. Ist halt ein simpler Risiko-Grundsatz: Wenn ein offener Port und der damit verbundene Server mir nicht bekannt sind, und ich dessen Funktionen auch nicht benötige, dann minimiere ich das Risiko, indem ich den Server stoppe (was den Port automatisch schließt) - oder wenn das nicht so einfach geht (wer kennt schon Windows genau?) wird der Zugriff aus dem Netz wenigstens (als Notlösung) durch eine Firewall unmöglich gemacht.

    - Sven Rautenberg

    --
    "Love your nation - respect the others."
    1. Tach,
      wow, vielen vielen dank für diese umfangreiche Antwort... Hat mir wirklich einiges klarer gemacht, und lässt mich die Konfiguration von Serversoftware und Firewall ganz neu überdenken.

      Herzlichen dank für die Antwort!

      Einen schönen Nachmittag noch,
      werbeklaus