Hallo,
man sagt ja immer, Firewalls seien wichtig. Aber warum? Ich habe hier einen Suse RootServer, für meine Webseiten und meine DB usw. Was kann denn theoretisch passieren, wenn bestimmte Ports von außen erreichbar sind, auf denen aber niemand "hört"?
Danke
Server ohne Firewall. Was kann theoretisch passieren?
Bei einem alleinstehenden Rechner (das heißt ohne Netzwerk dahinter), auf dessen Dienste jeder Zugriff haben soll, mit einem perfekten Betriebssystem braucht man eine Firewall eigentlich nicht. Allerdings existiert letzteres nicht. Du solltest durchaus davon ausgehen, dass in den Diensten, die du laufen lassen willst, irgendwo ein Bug steckt (vom IP-Stack des Systems einmal abgesehen).
Sobald eine Sicherheitslücke in den Diensten, die Laufen ausgenutzt wurde, heißt es den Schaden, der angerichtet werden kann, zu minimieren. Dazu gehört u.a. dass man verhindert, dass der Angreifer beliebige Server-Dienste auf deinem Rechner starten kann - zum Beispiel ein Netzwerkprogramm, was auf Port blabliblub eine Root-Shell bereitstellt. Dies funktioniert aber nur dann, wenn dein Betriebsystem überhaupt erlaubt, dass eine Dienstanfrage (TCP- SYN) auf diesen Port erlaubt ist und darum ist eben das zu verhindern.
Ansonsten hängen die Schwachstellen deines Systems natürlich von den Diensten ab, die laufen. Bei einer Datenbank (MySQL ?) wäre zum Beispiel zu Bedenken, ob SQL-Injection möglich ist - da brauch der Angreifer sich nicht mal mehr Shellcode zu schreiben (bzw. aus dem Netz zu suchen) und sich auch keine Sorgen um Betriebsystem und CPU-Architektur zu machen.
Sobald eine Sicherheitslücke in den Diensten, die Laufen ausgenutzt wurde, heißt es den Schaden, der angerichtet werden kann, zu minimieren. Dazu gehört u.a. dass man verhindert, dass der Angreifer beliebige Server-Dienste auf deinem Rechner starten kann - zum Beispiel ein Netzwerkprogramm, was auf Port blabliblub eine Root-Shell bereitstellt. Dies funktioniert aber nur dann, wenn dein Betriebsystem überhaupt erlaubt, dass eine Dienstanfrage (TCP- SYN) auf diesen Port erlaubt ist und darum ist eben das zu verhindern.
Ansonsten hängen die Schwachstellen deines Systems natürlich von den Diensten ab, die laufen. Bei einer Datenbank (MySQL ?) wäre zum Beispiel zu Bedenken, ob SQL-Injection möglich ist - da brauch der Angreifer sich nicht mal mehr Shellcode zu schreiben (bzw. aus dem Netz zu suchen) und sich auch keine Sorgen um Betriebsystem und CPU-Architektur zu machen.
-
Dennis_neu
Danke
danke für die Antwort.
Auf dem Rootserver werden wahrscheinlich MySQL, Apache und sshd laufen. Mal angenommen, ein Hacker nutzt eine Sicherheitslücke darin aus, z.B. durch einen Buffer Overflow. Wenn der Dienst dann abstürzt, hätte der Hacker root-Rechte. Die Firewall nützt dann auch nix mehr.
Selbst wenn er ein ein Netzwerkprogramm, was auf Port blabliblub eine Root-Shell bereitstellt, starten könnte, würde dann Linux nicht nach dem root-Passwort fragen?
Auf dem Rootserver werden wahrscheinlich MySQL, Apache und sshd laufen. Mal angenommen, ein Hacker nutzt eine Sicherheitslücke darin aus, z.B. durch einen Buffer Overflow. Wenn der Dienst dann abstürzt, hätte der Hacker root-Rechte. Die Firewall nützt dann auch nix mehr.
Selbst wenn er ein ein Netzwerkprogramm, was auf Port blabliblub eine Root-Shell bereitstellt, starten könnte, würde dann Linux nicht nach dem root-Passwort fragen?
"Abstürzen" trifft es nicht ganz, aber du hast natürlich Recht, dass zumindest beim sshd der Angreifer dann Root-Rechte hätte. Bei MySQL und Apache stimmt das nur bedingt, weil diese in der Regel die SETUID nach den notwendigen Schritten (zum Beispiel Socket auf einem well-known Port öffnen) abwerfen.
Der Rechner alleine bringt ihm aber vorerst nur soviel, wie der Rechner eben zu bieten hat. Er könnte Interesse daran haben, auch weiterhin Zugriff auf den Rechner zu haben, um ihn später mal für ein anderes Unternehmen zu nutzen. Dafür würde er eine Hintertür einbauen, da er nicht davon ausgehen kann, dass du niemals bemerkst, dass jemand Zugriff auf deinen Rechner hatte.
Aber soviel ist allemal klar: Wenn in deinen sshd eingebrochen werden kann, hast du erstmal Probleme, vor der dich eine Firewall auch nicht schützen kann (es sei denn natürlich, dass du deinen sshd-Zugriff immer nur von bestimmten Address-Bereichen ausübst - in diesem Fall kannst du andere Addresse auf Port 22 rausfiltern).
Der Rechner alleine bringt ihm aber vorerst nur soviel, wie der Rechner eben zu bieten hat. Er könnte Interesse daran haben, auch weiterhin Zugriff auf den Rechner zu haben, um ihn später mal für ein anderes Unternehmen zu nutzen. Dafür würde er eine Hintertür einbauen, da er nicht davon ausgehen kann, dass du niemals bemerkst, dass jemand Zugriff auf deinen Rechner hatte.
Aber soviel ist allemal klar: Wenn in deinen sshd eingebrochen werden kann, hast du erstmal Probleme, vor der dich eine Firewall auch nicht schützen kann (es sei denn natürlich, dass du deinen sshd-Zugriff immer nur von bestimmten Address-Bereichen ausübst - in diesem Fall kannst du andere Addresse auf Port 22 rausfiltern).