Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

Het grote "Beveiliging van desktop PC aan kabelmodem&qu

Anoniem
None
17 antwoorden
  • Ok, over 4 dagen krijgen wij Chello.

    Nu wil ik mijn PC graag een beetje beveiligen, ik ben voorlopig niet van plan fulltime Apache etc. te gaan draaien, maar wie heeft handige tips voor een relatieve beveiligings N00B.

    Wat draait er nu:
    LPR-NG: Ik wil niet dat buitenstaanders kunnen connecten en printen naar mijn PC. Is configgen in /etc/lprng/lpr.perms voldoende?
    SMTP (Postfix): mag alleen naar geconnect worden vanaf localhost. Is "inet_interfaces = localhost" in /etc/postfix/main.cf voldoende?

    Wat wil ik:
    ik wil sshd gaan draaien, en misschien nog heel beperkt wat imap stuff
    Uiteindelijk ook Apache, evt. via dyndns maar dan zal ik aan de iptables moeten is het niet?

    Of wordt het dringend aangeraden überhaupt een firewall op te zetten?

    Anyway, elke hint of ervaringstip is welkom!
  • Ik zou zeggen:
    -iptables opzetten voor verkeer van buiten naar binnen
    -netstat -a doen en kijken wat je open hebt staan en afsluiten wat wel of niet nodig is in je xinet of inet.conf
    -chkrootkit draaien / cronnen en die je elke woensdag van de week de output laten mailen.
    -je systeem goed up2date houden..als je een service hebt openstaan die exploits bevat..kan je de lul worden

    Volgens mij als je dit allemaal doet ben je al redelijk secuur. :)

    M.
  • Goed tip nr1, installeer iptables. Over iptables valt veel te vertellen en je vraag is daar te ruim voor, maar de wensen over intern wel verbinden met … en extern niet kun je met iptables voor elkaar krijgen.

    Op beveiligings niveau moet je ervoor zorgen dat je wat programma's installeerd welke een goed overzicht geven wat er allemaal op je systeem gebeurd. Niets is veilig, maar hoe meer je in de gaten houd hoe sneller je doorhebt dat er iets niet in orde is.
  • alleen iptables installeren is niet voldoende
    je zult de boel met een masquerading firewall nog een beetje dicht moeten spijkeren
    (als je een fixed ip hebt kun je beter SNAT gebruiken overigens)

    /me is daar de laatste paar weken een beetje mee bezig geweest…
    het begint er nu op te lijken

    van buiten af alles (behalve ssh) dicht
    voor het binnennetwerk is alles toegestaan (jah, fully trusted network

    ik wil de config wel ff posten als daar behoefte toe is, maar dat zal ik dus pas doen als het klaar is

    /me gaat nu nog wel wat intrusion detection en portscan detectors installeren

    (nee, niet paranoia, 't is gewoon een spelletje)
  • Nou chello werkt (als root intypen [b:2b7d65fb34]dhcpcd eth0[/b:2b7d65fb34]) was voldoende :-) en ik ben een beetje in iptables aan het duiken.

    Ik heb nu dit[code:1:2b7d65fb34]# Mijn firewall probeerseltje

    iptables=/sbin/iptables
    chello=eth0


    # Eerst alles leegmaken
    $iptables -F
    $iptables -X firewall

    # firewall target definiëren
    # alles loggen en daarna droppen
    $iptables -N firewall
    $iptables -A firewall -j LOG –log-level info –log-prefix "Firewall:"
    $iptables -A firewall -j DROP


    # accepteer alle packets van localhost
    $iptables -A INPUT -s 127.0.0.1 -j ACCEPT

    # en van locale machines
    $iptables -A INPUT -s 192.168.1.1/24 -j ACCEPT


    ## TCP

    # sta ftp data toe over alle interfaces
    $iptables -A INPUT -p tcp –tcp-flags ! SYN,RST,ACK SYN \
    –sport 20 –dport 1024:65535 -j ACCEPT

    # de rest dicht, in elk geval over eth0, waar Chello binnenkomt
    $iptables -A INPUT -p tcp -i $chello –tcp-flags SYN,RST,ACK SYN -j firewall


    ## UDP

    # accepteer DHCP verkeer (udp) over eth0
    $iptables -A INPUT -p udp -i $chello –dport 67:68 –sport 67:68 -j ACCEPT

    # verder udp maar ff dicht
    #$iptables -A INPUT -p udp -i $chello -j firewall
    #(werkt niet, nog even uitvissen)[/code:1:2b7d65fb34]Mijn setupje is dat chello de default gateway is, en een andere locale PC hangt aan eth1, maar daar draait alleen een X server op. Die hoeft verder niet met het Internet te kunne praten (NAT is dus niet nodig daggik).

    Ik snap nog niet alles, zoals wanneer ik de laatste udp regel toevoeg lukt browsen niet meer. Heeft dat met DNS te maken? Elke tip is welkom!

    Verder vraag ik me af: wat is slimmer REJECT of DROP. bij de laatste krijg je timeouts (als je bijv. probeert te telnetten vanaf een andere PC op indernet), als je REJECT gebruikt krijg je gelijk 'Connection refused'. Wat is beter?
  • Wat ik persoonlijk een erg goede firewall vind is:

    http://www.nedlinux.nl/~bart/?page=3

    Hierop is mijn firewall ook gebaseerd, ik gebruik ook Chello.

    Kijk anders gewoon even op die pagina naar het 2e voorbeeld, dan kom je al een heel eind. Dit als je geen zin hebt om alles te lezen.

    Succes!

    P.S. Denk ook nog even aan de "hosts.deny" en "hosts.allow" in /etc.
    Ook kan "/etc/securetty" handig zijn om in te stellen waarvandaan
    root allemaal mag inloggen.
  • Als je met de laatste regel die bedoelt, die nu gecomment is, dan zit het waarschijnlijk hier in dat die regel alle voorgaande regels weer overruled. Het moet wel kunnen om eerst aan te geven dat wat je toestaat, en vervolgens de rest droppen en te loggen. Misschien dat die voorgaande rule ook aan je firewall-chain (of een andere zelf te definieren chain) moet worden gehangen.

    Wat ik zelf doe, is de policy van alle verkeer op drop zetten, en vervolgens regels opstellen wat wel mag.

    Ik heb verder geen netwerk, maar ik vraag me wel af wat nu de meest verstandige manier is. Zoals ik het doe, werkt het perfect, maar in een netwerk kan het wel eens minder handig zijn, misschien.
  • DROP dan laat ie het pakketje meteen vallen… daar reageert ie nog niet eens op

    REJECT zorgt ervoor dat de computer een pakketje terugzend van : Nee, we motte je nie ;)
  • [quote:f89c067c30="Bint"]DROP dan laat ie het pakketje meteen vallen… daar reageert ie nog niet eens op

    REJECT zorgt ervoor dat de computer een pakketje terugzend van : Nee, we motte je nie ;)[/quote:f89c067c30]Dat snap ik :-) maar welke van de 2 is nu slimmer? Wat is beter om te doen, vanuit security oogpunt?
  • ik kon dit vinden, dat is misschien wel verstandig om te lezen:

    http://www.der-keiler.de/Newsgroups/comp.os.linux.security/2002-01/0767.html
  • Perfect! Via die link kwam ik hier: http://logi.cc/linux
    eject_or_deny.php3

    en dat was precies wat ik zocht.
  • [quote:8ef04552ce="knopper"]Wat ik persoonlijk een erg goede firewall vind is:

    http://www.nedlinux.nl/~bart/?page=3

    Hierop is mijn firewall ook gebaseerd, ik gebruik ook Chello.

    Kijk anders gewoon even op die pagina naar het 2e voorbeeld, dan kom je al een heel eind. Dit als je geen zin hebt om alles te lezen.

    Succes!

    P.S. Denk ook nog even aan de "hosts.deny" en "hosts.allow" in /etc.
    Ook kan "/etc/securetty" handig zijn om in te stellen waarvandaan
    root allemaal mag inloggen.[/quote:8ef04552ce]
    Goed artikel zeg! Dank voor de tip.
  • wat een beetje googlen al niet kan doen ;)
  • [quote:5fa4c8f483="wbsoft"]…

    [code:1:5fa4c8f483]# Mijn firewall probeerseltje

    iptables=/sbin/iptables
    chello=eth0

    # Eerst alles leegmaken
    $iptables -F
    $iptables -X firewall

    # firewall target definiëren
    # alles loggen en daarna droppen
    $iptables -N firewall
    $iptables -A firewall -j LOG –log-level info –log-prefix "Firewall:"
    $iptables -A firewall -j DROP


    # accepteer alle packets van localhost
    $iptables -A INPUT -s 127.0.0.1 -j ACCEPT

    # en van locale machines
    $iptables -A INPUT -s 192.168.1.1/24 -j ACCEPT


    ## TCP

    # sta ftp data toe over alle interfaces
    $iptables -A INPUT -p tcp –tcp-flags ! SYN,RST,ACK SYN \
    –sport 20 –dport 1024:65535 -j ACCEPT

    # de rest dicht, in elk geval over eth0, waar Chello binnenkomt
    $iptables -A INPUT -p tcp -i $chello –tcp-flags SYN,RST,ACK SYN -j firewall


    ## UDP

    # accepteer DHCP verkeer (udp) over eth0
    $iptables -A INPUT -p udp -i $chello –dport 67:68 –sport 67:68 -j ACCEPT

    # verder udp maar ff dicht
    #$iptables -A INPUT -p udp -i $chello -j firewall
    #(werkt niet, nog even uitvissen)[/code:1:5fa4c8f483]

    Mijn setupje is dat chello de default gateway is, en een andere locale PC hangt aan eth1, maar daar draait alleen een X server op. Die hoeft verder niet met het Internet te kunne praten (NAT is dus niet nodig daggik).
    [/quote:5fa4c8f483]
    als alleen de pc die aan chello hangt op internet moet, dan hoeft nat idd niet (zorg dus dat ipv4_forward _uit_ blijft)

    [quote:5fa4c8f483]
    Ik snap nog niet alles, zoals wanneer ik de laatste udp regel toevoeg lukt browsen niet meer. Heeft dat met DNS te maken? Elke tip is welkom!
    [/quote:5fa4c8f483]
    dns lookup gaat via udp, als je dat dus allemaal blokt dan werkt dat idd niet :D
    voor dns moet je poort 53 openzetten
    zelf heb ik poort 123 ook open, maar ik weet even niet meer waarvoor dat is
    verder is er nog een tweetal udp poorten nodig voor icq/irc en meer van dat soort dingen

    [quote:5fa4c8f483]
    Verder vraag ik me af: wat is slimmer REJECT of DROP. bij de laatste krijg je timeouts (als je bijv. probeert te telnetten vanaf een andere PC op indernet), als je REJECT gebruikt krijg je gelijk 'Connection refused'. Wat is beter?[/quote:5fa4c8f483]
    drop
    de andere kant krijgt dan een keiharde timeout
    meestal betekent dat dat de scan na 75 seconden gewoon canceled wordt :D

    overigens is het erg onhandig om ALLES te loggen
    dat gaat je kilometers logfiles opleveren

    btw: ftp is normaal poort 21

    overigens: moet je niet op imcp filteren?
  • Ja, maar met een drop, kan een kwaadwillende het idee krijgen dat er een "speciale, belangrijke service"achter hangt ;)
  • Top Vulnerabilities to Unix Systems

    U1 Remote Procedure Calls (RPC)
    U2 Apache Web Server
    U3 Secure Shell (SSH)
    U4 Simple Network Management Protocol (SNMP)
    U5 File Transfer Protocol (FTP)
    U6 R-Services – Trust Relationships
    U7 Line Printer Daemon (LPD)
    U8 Sendmail
    U9 BIND/DNS
    U10 General Unix Authentication – Accounts with No
    Passwords or Weak Passwords

    dus, veel succ6 ;)
  • [quote:12a0221d55="Bint"]Ja, maar met een drop, kan een kwaadwillende het idee krijgen dat er een "speciale, belangrijke service"achter hangt ;)[/quote:12a0221d55]

    LOL, dat idee krijgen 'ze' toch sowieso wel :P

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.