[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ weiter ]

Anleitung zum Absichern von Debian
Anhang F - Sicherheits-Update geschützt durch eine Firewall


Nachdem Sie eine standard Installation auf ein System gebracht haben, könnten immernoch Sicherheits-Lücken vorhanden sein, falls dem so ist könnte es Updates von Debian für die Release geben. Jedoch können Sie die Pakete jedoch nicht auf einem anderen System herunterladen können (oder security.debian.org zu lokalen Zwecken spiegeln können), müssen Sie es mit dem Internet verbinden, um ein Sicherheits Update zu durchzuführen.

Wenn Sie sich jedoch mit dem Internet verbinden, setzen Sie sich selbst aus. Wenn einer Ihrer lokalen Services angreifbar ist, könnten Sie kompromitiert werden, noch bevor das Update beendet ist! Sie mögen dies paranoid finden, aber eine Analyse vom Honeynet Project zeigt tatsächlich, dass ein System in weniger als drei Tagen kompromitiert werden sogar, sogar wenn das System gar nicht der Öffentlichkeit bekannt ist (d.h. nicht in DNS-Einträgen auftaucht).

Wenn Sie ein update auf dem System durchführen, das nicht von einem externen System (einer Firewall) geschützt ist, können Sie trotzdem eine lokale Firewall so konfigurieren, dass Sie nur das Sicherheits-Update selbst erlaubt. Schauen Sie sich das Beispiel untern an, um zu sehen, wie die lokalen Firewall Fähigkeiten aufgesetzt werden, um ein eingeschränktes Setup zu erreichen, in dem nur Verbindungen zu security.debian.org erlaubt werden, während der Rest geloggt wird.

FIXME: add IP address for security.debian.org (since otherwise you need DNS up to work) on /etc/hosts.

FIXME: test this setup to see if it works properly

FIXME: this will only work with http urls since ftp might need the ip_conntrack_ftp module, or use passive mode.

     # iptables -F
     # iptables -L
     Chain INPUT (policy ACCEPT)
     target     prot opt source               destination
     
     Chain FORWARD (policy ACCEPT)
     target     prot opt source               destination
     
     Chain OUTPUT (policy ACCEPT)
     target     prot opt source               destination
     # iptables -P INPUT DROP
     # iptables -P FORWARD DROP
     # iptables -P OUTPUT DROP
     # iptables -A OUTPUT -d security.debian.org -p 80 -j ACCEPT
     # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
     # iptables -A INPUT -p icmp -j ACCEPT
     # iptables -A INPUT -j LOG
     # iptables -A OUTPUT -j LOG
     # iptables -L
     Chain INPUT (policy DROP)
     target     prot opt source               destination
     ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
     ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
     LOG        all  --  anywhere             anywhere           LOG level warning
     
     Chain FORWARD (policy DROP)
     target     prot opt source               destination
     
     Chain OUTPUT (policy DROP)
     target     prot opt source               destination
     ACCEPT     80   --  anywhere             security.debian.org
     LOG        all  --  anywhere             anywhere           LOG level warning

[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ weiter ]

Anleitung zum Absichern von Debian

2.5 (beta) 20 septiembre 2003Sat, 17 Aug 2002 12:23:36 +0200

Javier Fernández-Sanguino Peña jfs@computer.org