Page 1 of 2 12 LastLast
Results 1 to 10 of 11

Thread: Wie kann ich meine DNS Abwicklung am sichersten gestalten

  1. #1
    Join Date
    Sep 2008
    Location
    Switzerland
    Posts
    31

    Default Wie kann ich meine DNS Abwicklung am sichersten gestalten

    Hallo um ans Internet konventionnell zu gelangen werden port http und DNS benoetigt, meine frage:
    Fuer DNS port, waers richtig eine Routerfirewall mit IP Filtern zu versehen die jehweils zu den zu der Konektion benoetigten DNS Server in inbound und outbound pointieren wuerden?

    Wie macht mann denn so ein Vorgang damit die DNS Abwicklung am sichersten gelingen kann?

    (Meine DNS server hab ich mit $ cat /etc/resolv.conf

    herausgekriegt)

    Muss der outbound sowie auch der inbound mit IP filtern versehen werden; - oder genugt es nur den outbound damit zu versehen und zu oeffnen?

    (Eigentlich habe ich null Ahnung)

  2. #2
    Join Date
    Mar 2008
    Location
    Bochum, Germany
    Posts
    3,587

    Default Re: Wie kann ich meine DNS Abwicklung am sichersten gestalten

    * Dagalbert,

    Du bist mit Deinem Rechner hinter einem Router im Sinne von DSL-Router?
    Dann lass das einfach. Stop die Firewall Deines PC und lass die Einstellungen Deines Routers (bis auf das Passwort und ggf. UPnP) auf Default.

    Alles andere ist in der Regel Beschäftigungstherapie.

    Gruß
    Uwe


  3. #3
    Join Date
    Dec 2008
    Location
    Hamburg
    Posts
    458

    Default Re: Wie kann ich meine DNS Abwicklung am sichersten gestalten

    Hallo zusammen,

    Quote Originally Posted by Dagalbert View Post
    Wie macht mann denn so ein Vorgang damit die DNS Abwicklung am sichersten gelingen kann?
    Wovor genau hast Du Angst?

    Liebe Grüße

    Erik

  4. #4
    Join Date
    Sep 2008
    Location
    Switzerland
    Posts
    31

    Default Re: Wie kann ich meine DNS Abwicklung am sichersten gestalten

    Wenn ich sagen darf, vor Metasploit Angriffen

  5. #5
    repi NNTP User

    Default Re: Wie kann ich meine DNS Abwicklung am sichersten gestalten

    Am 24.05.2011 03:36, schrieb Dagalbert:
    >
    > Hallo um ans Internet konventionnell zu gelangen werden port http und
    > DNS benoetigt, meine frage:
    > Fuer DNS port, waers richtig eine Routerfirewall mit IP Filtern zu
    > versehen die jehweils zu den zu der Konektion benoetigten DNS Server in
    > inbound und outbound pointieren wuerden?
    >
    > Wie macht mann denn so ein Vorgang damit die DNS Abwicklung am
    > sichersten gelingen kann?
    >
    > (Meine DNS server hab ich mit $ cat /etc/resolv.conf
    >
    > herausgekriegt)
    >
    > Muss der outbound sowie auch der inbound mit IP filtern versehen
    > werden; - oder genugt es nur den outbound damit zu versehen und zu
    > oeffnen?
    >
    > (Eigentlich habe ich null Ahnung)
    >
    >

    Was verstehst Du unter "konventionell ins Internet zu gelangen"?


  6. #6
    Join Date
    Mar 2008
    Location
    Bochum, Germany
    Posts
    3,587

    Default Re: Wie kann ich meine DNS Abwicklung am sichersten gestalten

    * Dagalbert wrote, On 05/25/2011 01:36 AM:
    > Wenn ich sagen darf, vor Metasploit Angriffen


    Halte ich für übertrieben.

    Selbst wenn: Angenommen Du betreibst einen Linux-PC hinter einem stinknormalen DSL-Router. Der macht NAT und setzt Deine interne IP auf eine private um. Alle Ports von außen sind normalerweise zu. Der Router lässt nur rein, was der Client im LAN angefordert hat.
    Wenn Du keine Dienste hinter Deinem Router betreibst und sie per Port-Forwarding nach außen "freigibst", gibt es auch keinen Zugriff von außen auf den PC im LAN und damit keine Exploit-Tests.

    Uwe


  7. #7
    Join Date
    Sep 2008
    Location
    Switzerland
    Posts
    31

    Default Re: Wie kann ich meine DNS Abwicklung am sichersten gestalten

    Quote Originally Posted by repi View Post
    Am 24.05.2011 03:36, schrieb Dagalbert:
    >
    > Hallo um ans Internet konventionnell zu gelangen werden port http und
    > DNS benoetigt, meine frage:
    > Fuer DNS port, waers richtig eine Routerfirewall mit IP Filtern zu
    > versehen die jehweils zu den zu der Konektion benoetigten DNS Server in
    > inbound und outbound pointieren wuerden?
    >
    > Wie macht mann denn so ein Vorgang damit die DNS Abwicklung am
    > sichersten gelingen kann?
    >
    > (Meine DNS server hab ich mit $ cat /etc/resolv.conf
    >
    > herausgekriegt)
    >
    > Muss der outbound sowie auch der inbound mit IP filtern versehen
    > werden; - oder genugt es nur den outbound damit zu versehen und zu
    > oeffnen?
    >
    > (Eigentlich habe ich null Ahnung)
    >
    >

    Was verstehst Du unter "konventionell ins Internet zu gelangen"?

    hhm damit ist gemeint nur traffic auf dem port http 80 und http 443 das basische halt (ohne FTP UPnP und was es sonst noch so gibt, Netzwerke mach ich zum beispiel nicht da ich denke das ich noch genug damit zu lernen hab auf einer normalen Verbidung mit ifup

  8. #8
    Join Date
    Sep 2008
    Location
    Switzerland
    Posts
    31

    Default Re: Wie kann ich meine DNS Abwicklung am sichersten gestalten

    Quote Originally Posted by buckesfeld View Post
    * Dagalbert wrote, On 05/25/2011 01:36 AM:
    > Wenn ich sagen darf, vor Metasploit Angriffen


    Halte ich für übertrieben.

    Selbst wenn: Angenommen Du betreibst einen Linux-PC hinter einem stinknormalen DSL-Router. Der macht NAT und setzt Deine interne IP auf eine private um. Alle Ports von außen sind normalerweise zu. Der Router lässt nur rein, was der Client im LAN angefordert hat.
    Wenn Du keine Dienste hinter Deinem Router betreibst und sie per Port-Forwarding nach außen "freigibst", gibt es auch keinen Zugriff von außen auf den PC im LAN und damit keine Exploit-Tests.

    Uwe
    Ja stimmt die ganze Server, Opendesktop, Remote, Sync usw. Sache hab ich aus meinem Komputer geloescht...
    Ich benutze NAT weiss aber nicht so recht ob es am richtigen funktionnieren ist da ich NAT benutze aber die ports nicht tunnele - gemeint ist, dass bei mir diese Ports am Rechner die gleich identischen sind wie auf der Router-Firewall...

    ist den meine Vorgehensweise korrekt?

    Ich glaub ich hab von euch schon mal gehoert es sei ueberfluessig NAT und TOR Proxy gleichzeitig zu benutzen, jedoch wenn ich Flash Contents visualisieren will, anstatt nur TORBUTTON zu deaktivieren hab ich dann NAT schon parat, richtig nett waers schon zu wissen ob dieser Vorgang richtig ist...

  9. #9
    Join Date
    Dec 2008
    Location
    Hamburg
    Posts
    458

    Default Re: Wie kann ich meine DNS Abwicklung am sichersten gestalten

    Hallo zusammen, hallo Uwe,

    Quote Originally Posted by buckesfeld View Post
    * Dagalbert wrote, On 05/25/2011 01:36 AM:
    > Wenn ich sagen darf, vor Metasploit Angriffen


    Halte ich für übertrieben.
    Ich auch, aber aus anderen Gründen.

    Quote Originally Posted by buckesfeld View Post
    Selbst wenn: Angenommen Du betreibst einen Linux-PC hinter einem stinknormalen DSL-Router. Der macht NAT und setzt Deine interne IP auf eine private um. Alle Ports von außen sind normalerweise zu. Der Router lässt nur rein, was der Client im LAN angefordert hat.
    Das wäre schön, wenn es so wäre. Ich zitiere aus Lutz Donnerhacke, Firewall-FAQ:

    "Adressumsetzung (NAT) wurde entwickelt, um Kommunikation zwischen Anwendungen auch dann zu ermöglichen, wenn die Adressen der Gegenstellen nicht direkt gegenseitig erreichbar sind.

    Die meisten Anwendungen verwenden nicht allein eine Verbindung, die von dem Surfersystem zum jeweiligen Server aufgebaut wird, sondern eine Vielzahl von unterstützenden Diensten und damit auch unterschiedlichen Protokollen. Die Richtung dieser unterstützenden Verbindungen ist dabei oft auch vom Server zum Client(Surfer).

    Erreicht einen NAT-Router ein Paket für eine umgesetze Adresse, so wird er versuchen, irgendwie den eigentlichen Empfänger zu erraten und das Paket zuzustellen. Das gilt insbesondere dann, wenn der NAT-Router keine intime Protokollkenntnis der Anwendung hat. Oft besteht keine Chance für den NAT-Router, selbst bei Kenntnis des Protokolls, den Empfänger sicher zu ermitteln. Dann wird mittels einer Heuristik der Empfänger erraten. Dies gilt insbesondere bei verschlüsselten Verbindungen und verbindungslosen Protokollen.

    Ein NAT-Router ist deswegen keine Sicherheitskomponente. "

    Siehe: Lutz Donnerhacke: de.comp.security.firewall FAQ

    Überhaupt empfehle ich das Dokument als Einstieg in das Thema "Firewalling". Lutz Donnerhacke räumt da mit einigen hartnäckigen Gerüchten auf, was denn Firewalls angeblich so alles leisten, und erklärt sehr schön und knackig, was sie wirklich sind.

    Quote Originally Posted by buckesfeld View Post
    Wenn Du keine Dienste hinter Deinem Router betreibst und sie per Port-Forwarding nach außen "freigibst", gibt es auch keinen Zugriff von außen auf den PC im LAN und damit keine Exploit-Tests.
    Wer hat schon keine Dienste auf dem Rechner aktiviert. Sobald Du mehr als einen im Netz hast, hast Du mindestens ein NFS-Server oder der Rechner tanzt Samba. Dann kommt noch CUPS in der Regel hinzu. Vielleicht noch Mysql und einen Indianer ...

    Deshalb braucht es auch eine Firewall. Allerdings nicht auf dem zu schützenden Rechner. Dazu auch wieder ein Zitat von Donnerhacke, das ich einfach liebe:

    "Warum will man mich in de.comp.security.firewall verarschen? Newsgruppen dienen doch dazu, einander zu helfen!

    Die Leute, die in dieser Newsgruppe miteinander reden, haben zum Teil äußerst unterschiedliche Vorkenntnisse. Absolute Neulinge treffen hier auf erfahrene Sicherheitsexperten. Letztere werden von einem nicht enden wollenden Strom von Anfängern immer wieder mit den gleichen Fragen konfrontiert.

    Mit der Zeit sind dann die schon länger mitdiskutierenden Fachleute genervt, insbesondere wenn deutlich wird, daß ein Frager zu wenig eigene Anstrengungen unternimmt, um die von ihm gewünschte Information zu recherchieren. Dies führt gelegentlich bei den Experten bzw. Expertinnen zu einer sarkastisch wirkenden Schreibweise.

    Vom Fragenden ganz unbeabsichtigt liest sich der Beitrag eines Anfängers aus der Sicht einer Fachperson leider nicht selten so: "Mein Haus steht an einer öffentlichen Straße. Ich möchte nicht, daß man das Haus von dort aus sehen kann. Ich habe gehört, daß man mit Hilfe von Taschenlampen auch bei ausgeschalter Sonne, Mond und Beleuchtung mein Haus sehen kann. Wie kann ich mich nun schützen?"

    Die Antwort, die Du hören willst lautet: 'Es gibt da extrem coole Folien mit dem Aufdruck `Das ist kein Haus.`, die man in die Fenster kleben kann. Kostenlos und besonders bunt sind die von Zonealarm.'"

    Das gilt imho für alle Firewalls, die auf dem zu schützenden Rechner laufen ob unter Windows oder auch unter Linux. Deshalb gehört die Firwall zwischen den Router und den Rechner. Meist ist sie heute Teil des Geräts, das wir fälschlich als Router bezeichnen. Der Router ist eigentlich nur die Software, die die Pakete von einem Netz ins andere weiterleiten. Heute sind in den Geräten aber noch eine Reihe weiterer Server wie DHCP und DNS integriert und fast immer auch eine Firewall. Empfohlene Einstellung für den Anfang:

    Port 0 - 1023 außen nach innen access reject

    Dann sind erstmal alle Well known ports geschlossen. Dann kann man sich noch die Mühe machen, alle für Exploits bekannte andere Ports zu schließen. Aber das halte ich für ein Netz, in dem nur Linux läuft, für übertrieben.

    Wogegen übrigens alle Firewalls machtlos sind, sind getunnelte Angriffe. Folgendes Szenario: Es gibt in einem Browser, nennen wir ihn mal Zwischennetzforscher , eine Lücke, mit Hilfe derer ich mit einer präparierten Webseite den Browser dazu veranlassen kann, Kontakt mit einer anderen Seite aufzunehmen, ohne dass der User das merkt und von dort ein Plugin herunterzuladen, das alle meine Formulardaten, die ich so eintrage, an einen Server schickt. Warum kann das keine Firewall verhindern?

    1. Schritt: Aufruf der präparierten Webseite

    Dein Zwischennetzforscher nimmt Kontakt über Port 80 mit einem Server im Netz auf. Dazu öffnet er einen seiner Ports für die Rückantwort. Das wird jede Firewall der Welt durchlassen, es sei denn, der Chef will nicht, dass Du während der Arbeit surfst.

    2. Schritt: Kontaktaufnahme mit dem Download-Server

    Über welchen Port wird das wohl geschehen? Wieder über den Zielport 80. Auch das wird die Firewall wieder zulassen. Für die sieht das nicht anders aus als der Aufruf einer harmlosen Webseite. Also wird der Verkehr zugelassen und der Download klappt. Das Plugin ist auf dem Rechner und installiert.

    3. Schritt: Versand der Formulardaten

    Nun liest das Plugin fröhlich alles mit, was ich so in Formulare eintippere und schickt das wieder über Zielport 80 an den Datenbankserver, der das auswertet. Auch das lässt die Firewall durch, denn auch das sieht aus wie normaler Verkehr im Web. Allenfalls könnte sich die Firewall wundern, dass das plötzlich so viel ist, was da an Zielport 80 geht immer auf denselben Server. Aber die Firewall ist ein Computerprogramm und Computerprogramme wundern sich über gar nichts. Deshalb machen sie ja auch nie, was wir wollen, sondern nur das, was wir sagen. Und die Regel für die Firewall lautet: Zielport 80? Durchlassen!

    Das Problem ist, dass Firewalls als Portfilter eben nicht die Pakete nach Inhalt untersuchen, sondern nur Ports filtern. Zwar muss eigentlich hinter Port 80 ein Webserver laufen. Aber das ist eine Konvention und kein technisches Muss. Ich kann jeden Dienst an jeden der 65.516 Ports binden, die zur Verfügung stehen. (Die ersten zwanzig sind Steuerports, mit denen das imho nicht geht.) Eine reine Portfirewall wird keinen Unterschied bemerken, weil sie nicht in die Pakete reinguckt, sondern nur sieht, welche Adresse auf dem Paket steht, so wie der Postbote auch den Inhalt des Postpakets (hoffentlich) nicht kennt.

    Gegen solche Angriffe hilft nur ein Proxy-Server. Proxy-Server packen die Pakete komplett aus. Damit ist auch eine Inhaltsprüfung möglich. Ich kann hier also definieren, welche Pakete an den Zielport 80 gehen dürfen und welche von dort kommen können. So kann ich sehr fein einstellen, was ich erlaube und was nicht. Viel Spaß dabei. Das geht dann so weit, dass ich den Download bestimmter Dateitypen verhindern kann, während ich andere zulasse. Neben der vielen Arbeit, die das macht, hat das noch einen Nachteil: Das Netz wird langsamer, denn das Prüfen kostet Zeit. So lange die Prüfung nicht abgeschlossen ist, kann der Inhalt nicht ausgeliefert werden. Und ein dritter Nachteil ist, dass nicht alle Dienste über den Proxy geleitet werden können. Brauche ich einen dieser Dienste, dann kann ich mir den Proxy fast schon wieder sparen, denn dann kann er auch mit http oder anderen in der Firewall erlaubten Protokollen umgangen werden.

    Für den Privatgebrauch halte ich Proxies für den Overkill. Da empfehle ich eine wie oben gesagt konfigurierte Firewall und die Nutzung von brain 1.0 (siehe: was ist brain 1.0 ?) als Proxy. In Firmenumgebungen kann das ganz anders aussehen, muss es aber nicht. Da kommt es immer darauf an, was denn so gemacht wird.

    Eine Bemerkung kann ich mir nicht verkneifen: Das "konvetionelle Internet" ist dann doch eher Email und ftp und nicht http und www. Ich z. B. hatte meine erste Email-Adresse damals noch über das Fido-Gateway in dem Jahr als Tim Berners-Lee die Urversion von html veröffentlichte. Oh Mann, bin ich alt.

    Liebe Grüße

    Erik

  10. #10
    Join Date
    Mar 2008
    Location
    Bochum, Germany
    Posts
    3,587

    Default Re: Wie kann ich meine DNS Abwicklung am sichersten gestalten

    * Dagalbert wrote, On 05/26/2011 02:06 AM:
    > hhm damit ist gemeint nur traffic auf dem port http 80 und http 443 das
    > basische halt (ohne FTP UPnP und was es sonst noch so gibt, Netzwerke
    > mach ich zum beispiel nicht da ich denke das ich noch genug damit zu
    > lernen hab auf einer normalen Verbidung mit ifup


    Da müsstest Du nur etwas konfigurieren, wenn Du
    a) einen Webserver auf Deinem PC betreiben und ihn von außen erreichbar machen willst oder
    b) wenn Du eine Psycho-Firewall konfigurieren möchtest, die jeden Traffic, also ein- und ausgehend reglementieren möchtest. Das ist normalerweise Hobby oder Paranoia.

    In der Standardeinstellung kannst Du von einem normalen PC auf Webserver im Internet zugreifen, ohne dass Du da irgendwas machen musst.

    Gruß
    Uwe

Page 1 of 2 12 LastLast

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •