Doppelte Paketfilter?

28/09/2010 - 14:54 von Bubi Meier | Report spam
Guten Tag,

ich bastele gerade einen Server für mein 'Heimnetzwerk' zusammen. Das
System auf dem Server ist Ubuntu 10.4. Bis jetzt sind da ein Samba, ein
Apache und ein ftps Server installiert und funktionieren auch
zufriedenstellend. Vermutlich werden da noch einige mehr dazukommen.

Nun hàngt im Netzwerk auch ein Gateway, und zwar ein Speedport 501. Dies
Geràt filtert selbst schon den (eingehenden) Internetverkehr, sodass man
die benutzen und weitergeleiteten Ports freigeben muss. Das klappt auch
alles sehr schön. Bis jetzt ist eigentlich nur der Apache und der ftps
freigelassen, also die Ports 21(ftp) ,80(http), 443(https) und einige
aus dem oberen Register für den passiven ftps sind 'offen'.
Es arbeiten die 'Standarddàmonen', also vsftpd, sshd, httpd usw., die
von der Standard-Ubuntu-Drstribution kommen.


Nun frage ich mich, ob ein zusàtzlicher Filter auf den Server wohl Sinn
macht. Können böse Menschen über die geöffneten Ports an sensiblere
kommen? Ich würde mal den ssh Server als den kritischsten Teil
betrachten wollen. Macht es Sinn, nochmal den 22er Port für die weite
Welt zu sperren, obwohl dieser schon vom Router verworfen wird?

-bm
 

Lesen sie die antworten

#1 Ansgar Strickerschmidt
28/09/2010 - 15:06 | Warnen spam
Also schrieb Bubi Meier:

Nun frage ich mich, ob ein zusàtzlicher Filter auf den Server wohl Sinn
macht. Können böse Menschen über die geöffneten Ports an sensiblere
kommen? Ich würde mal den ssh Server als den kritischsten Teil
betrachten wollen. Macht es Sinn, nochmal den 22er Port für die weite
Welt zu sperren, obwohl dieser schon vom Router verworfen wird?



Eher nicht... den würde ich persönlich sogar öffnen, für rein
zertifikatsbasiertes Einloggen aus der Ferne.
(Dazu gehört ein bisschen Gefummel in und unterhalb von /etc...)

Ich würde mir eher Sorgen um die wasserdichte Konfiguration des gewollten
Angebots machen.
Also regelmàßige Pflege des Apachen und seiner Skript-Erweiterungen
etc.pp. .
Auch FTP ist so eine Sache... wie hast Du das denn realisiert, dass da nur
bestimmte Ports im obere Bereich benutzt werden?

Ansgar

*** Musik! ***

Ähnliche fragen