Sikkerhed/firewall/iptables i server 10.04

[thomasjohansen]

Måske et lidt dumt spørgsmål fra en garvet IT gut som mig, og snart en 3-4 års ubuntu erfaring oveni.

Men er lige blevet i tvivl omkring sikkerheden i en ren installation af en 10.04 server.

Baggrunden er at en supporter som lige skulle kigge min mailserver igennem og rette et par postfix problemer jeg ikke selv kunne løse, spurgte mig ganske forarget:
"kører du ikke med firewall!"

og mit svar var jooh.

Bagefter kiggede jeg lidt på ufw og kunne se at den ikke kørte. Men er ufw ikke bare et administrations modul til iptabels?

Iptables var også tom.

Mailserveren er selvfølgelig bag en router, men der er da et par porte der er routet videre til mailserveren.


Og så kommer mit store spørgsmål.

Er en ren server 10.04 et sikkerhedsproblem?

Jeg er selvfølgelig ikke i tvivl om at jeg nok bør få konfigureret iptables/ufw til kun at være åben på respektive porte fra de respektive steder, better safe than sorry, men man har jo fået pivet ørene fulde om hvor sikker en ubuntu generelt er, og jeg troede at firewall'en fra start var konfigureret til at være så lukket som muligt.

[lath]

Måske et lidt dumt spørgsmål fra en garvet IT gut som mig, og snart en 3-4 års ubuntu erfaring oveni.

Men er lige blevet i tvivl omkring sikkerheden i en ren installation af en 10.04 server.

Baggrunden er at en supporter som lige skulle kigge min mailserver igennem og rette et par postfix problemer jeg ikke selv kunne løse, spurgte mig ganske forarget:
"kører du ikke med firewall!"

og mit svar var jooh.

Bagefter kiggede jeg lidt på ufw og kunne se at den ikke kørte. Men er ufw ikke bare et administrations modul til iptabels?

Iptables var også tom.

Mailserveren er selvfølgelig bag en router, men der er da et par porte der er routet videre til mailserveren.

Jeg vil lige rette en udbredt misforståelse.
Der er kun 1 firewall og den bor i kernen(=Linux).
ufw og iptables og andre lignende programmer (også firewall logging) er alle administrationsprogrammer til den firewall der er i kernen.
De programmer bruger noget der hedder netlink sockets til at lave deres arbejde, men det er en anden snak.

Og så kommer mit store spørgsmål.

Er en ren server 10.04 et sikkerhedsproblem?

Det tror jeg ikke, men for at minimere risiko vil jeg på server have lige nøjagtig de services der er brug for, og så ikke mere.
Dertil også gerne noget software der sender noget logging information til en anden maskine, som kan sende admin-mails ud, om ting der ikke virker.

Jeg er selvfølgelig ikke i tvivl om at jeg nok bør få konfigureret iptables/ufw til kun at være åben på respektive porte fra de respektive steder, better safe than sorry, men man har jo fået pivet ørene fulde om hvor sikker en ubuntu generelt er, og jeg troede at firewall'en fra start var konfigureret til at være så lukket som muligt.

Jeg ville aldrig have en maskine der er tilkoblet internettet uden at dens firewall er aktiv.
Du bør altid køre en firewall - i det mindste lukker en firewall for adgang til services, som er miskonfigureret til at holde en port åben et sted, hvor den burde være lukket af sikkerhedshensyn. Det kunne være at en database server kun må kunne tilgås lokalt, men ikke fra internettet, og så sorterer du bare trafik væk som kommer fra som passer med databasens TCP port nummer, og routerens MAC adresse - den regel kan du naturligvis også sætte op i routerens firewall. Jeg vil nok sætte den op begge steder, og sørge for en IP pakke logning på serveren og en admin-email, hvis der kom en IP pakke ude fra nettet igennem routeren for så er routeren miskonfigureret.

Så vidt jeg ved har Ubutnu ikke en en firewall der er så lukket som muligt, det er kun OpenBSD der har det, faktisk har OpenBSD kun installeret de mest nødvendige programmer til systemadministration og ingen servere.
Jeg mener at firewallen i Ubuntu er piv-åben som standard (ingen regler).

/Lars

[AJenbo]

Ubuntu server har som standard ingen servicer der lytter på nogen porte og Linux ignorere alt indgående trafik. Så fra start er den sikker men så snart du installere et program der lytter på netværket mindsker du sikkerheden, du kan så sætte firewallen til at blokere al trafik som du ikke ønsker, du kan for eksempel begrænse det til kun at måtte komme fra danmark, tdc, etc. Det kan også være en ide til at blokere alle porte du ikke skal bruge, i tilfælde af at du har installeret noget der lytter på de porte uden du ved det.

[thomasjohansen]

Super tak for grundige svar.

Så fik jeg manet lidt af min nyelige frygt i jorden:

Ubuntu server har som standard ingen servicer der lytter på nogen porte og Linux ignorere alt indgående trafik

Mente også det var sådan, ikke at det er det samme som at have en firewall til at ekskludere uønsket trafik.


I bund og grund så har jeg følgende porte åbne fra routeren til min server:

22, 25, 80, 110, 143, 236, 587.


22 til ssh, denne er dog blevet sat op med krypterings godkendelse
25 til smtp.
80 til webmail
110 til pop3 (bør nedlægges da den i bund og grund ikke bruges)
143 til imap (bør nedlægges da 587 til sikker imap er blevet oprettet)
236 til mapi
587 til sikker imap, hvilket gør at 143 bør nedlægges.


hmm kan se at jeg lige skal lave nogle små justeringer

og kigget på logging af indkommende internet trafik.

[AJenbo]

Hvis man sider og keder sig er det også en god ide at køre en port scan på en netværk, det kan gøres med system-administration-netværksværktøjer

[lath]

Hvis man sider og keder sig er det også en god ide at køre en port scan på en netværk, det kan gøres med system-administration-netværksværktøjer

Man kan også sætte et honey pot op, så er det nemmere at finde ud af hvornår en Windows maskine er blevet inficeret af malware.
Pointen er at der ikke er nogen der burde forbinde sig til et honey pot.

Der fås programmer der kan lege "jeg er en Windows service, som burde have et sikkerhedshul" - i virkeligheden er Linux programmet et honeypot der logger hvem, hvornår og med hvilke data nogen forbinder sig til programmet.

/Lars

[thomasjohansen]

Man kan også sætte et honey pot op, så er det nemmere at finde ud af hvornår en Windows maskine er blevet inficeret af malware.
Pointen er at der ikke er nogen der burde forbinde sig til et honey pot.

Interessant fra en it-administrators synspunkt, skal da prøves, nu da alle workstations er windows.

[AJenbo]

Der fås programmer der kan lege "jeg er en Windows service, som burde have et sikkerhedshul" - i virkeligheden er Linux programmet et honeypot der logger hvem, hvornår og med hvilke data nogen forbinder sig til programmet.

Tak, jeg har aldrig rigtig fået undersøgt præcist hvad en honeypot var, kunne være meget sjovt at sætte op her og der

[thomasjohansen]

Nyt underspørgsmål til denne post.


Iptables:

jeg har tidligere tilføjet et par regler i iptables for at bremse nogle af de login forsøg på ssh, som der kommer når man har en offentlig mailserver.

Men da jeg tjekkede her til morgen så var iptables helt tom igen.

Slettes reglerne ved reboot?
skal de gøres permanente på en eller anden måde?

Har har tilføjet disse:

Kode: Vælg alt

iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP

[AJenbo]

Hvis du manuelt skriver iptables regler skal du også selv sørge for at indlæse dem ved boot
http://www.debian-administration.org/articles/615