firewall für banking

28/05/2014 - 14:00 von casibu | Report spam
hallo,

ich will für das online-banking ein Rechner nutzen, der nichts
reinlassen soll. ich habe dazu ein FW script, und wollte mal Eure
Meinung dazu hören, ob ich das so lassen kann. der Rechner erhàlt per
dhcp seine IP, die aber immer Unteschiedlich sein kein, weil ich auch
mal per wlan, vpn, oder im lan zuhause den Rechner nutze. Wollte das nur
mal erwàhnen.

Hier das Script:

# Alle Regeln auf abweisen setzen
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Loopback Interface erlauben
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

# abgehende DNS-Anfragen erlauben
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

# abgehenden HTTP- und HTTPS-Traffic erlauben
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

# Antwort-Pakete erlauben
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# forwarding deaktivieren?
echo 0 > /proc/sys/net/ipv4/ip_forward


Beim Forwarding von Paketen bin ich mir allerdings noch unklar, ob es
ein Vorteil hat es zu deaktivieren?









-

VFEmail.net - http://www.vfemail.net
ONLY AT VFEmail! - Use our Metadata Mitigator to keep your email out of the NSA's hands!
$24.95 ONETIME Lifetime accounts with Privacy Features!
15GB disk! No bandwidth quotas!
Commercial and Bulk Mail Options!


Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Archive: https://lists.debian.org/5385CE09.9030004@mail-on.us
 

Lesen sie die antworten

#1 Michael Stummvoll
28/05/2014 - 14:10 | Warnen spam
Hi,

Heisst das, du willst fürs Online-Banking ein dediziertes Geràt
verwenden, das auch sonst nix anderes macht? Das ist schonmal ein
löblicher Ansatz, hier ein paar Anmerkungen meinerseits:

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT



Im Idealfall brauch deine Online-Banking-Seite garkein normales HTTP.
Das hàngt aber natürlich konkret davon ab, wie die Seite implementiert
ist. Dinge, die mir ansonsten noch so spontan einfallen:

- Nur die IP-Adressen vom Router und der Banking-Website erlauben im
Filter.
- DNS-Traffic deaktivieren, stattdessen lieber die IP der Seite direkt
in der Hosts-Datei eintragen.
- Deine CA-Liste aussortieren, so dass du nur noch das von deiner Bank
drin hast.
- Deinen Browser absichern: Bei Iceweasel: Noscript, Ghostery, Adblock,
Requestpolicy, etc. Ansonsten vielleicht in Erwàgung ziehen ob ein
Nicht-Mainstream-Browser noch einen Sicherheitsgewinn darstellen
könnte

Liebe Grüße,
Micha


Zum AUSTRAGEN schicken Sie eine Mail an
mit dem Subject "unsubscribe". Probleme? Mail an (engl)
Archive: https://lists.debian.org/

Ähnliche fragen