Security & Firewalls

ID #1008 Macht eine Firewall auf einem Server sinn?

Dazu gibt es zwei unterschiedliche Antworten:

a) Nein, denn wenn man seinen Server im Griff hat, gibt es keine unnötige offene Ports.

b) Ja, wenn man sich nicht so gut auskennt und wirklich nur die nötigen Ports erlauben will.

PS: Man beachte, daß hier nicht von einer Desktop-/Personal-Firewall die Rede ist, wie sie auf jedem Windows-Rechner installiert sein sollte.

Ergänzung: (aufgrund u.g. Kommentar)
Eine Firewall auf dem Server verhindert nur in seltenen Fällen, daß nach einem Einbruch Ports nach aussen geöffnet werden. Es wäre nämlich ein schlechter Hacker/Rootkit, wenn nicht einmal die iptables entsprechend an die eigene Backdoor angepaßt werden würden.

Womit wir bei der Sicherheit von Vorgelagerten Firewalls wären, wie sie früher als DMZ (demilitarisierte Zone) bekannt waren und heute von vielen Providern angeboten werden. Diese haben drei Vorteile:

  1. Man kann sich nicht endgültig aus dem Server aussperren, da die Firewall-Einstellungen jederzeit erreichbar sind.
  2. Sie können den Upload (Daten vom Server nach draussen) auf fremden Ports blocken.
  3. Sie können von Hackern nicht erreicht werden.
 

sozial Bookmarking
Bookmarken bei YIGG Bookmarken bei Mister-Wong Bookmarken bei Icio Bookmarken bei del.icio.us Bookmarken bei Technorati Bookmarken bei Furl Bookmarken bei Spurl Bookmarken bei Yahoo Bookmarken bei Google

huschi, zuletzt 2006-02-14 12:12     Artikel ausdrucken Artikel weiterempfehlen Als PDF-Datei anzeigen

Dieser Inhalt ist unter der Creative-Commons Lizenz lizensiert.

Probleme bitte im Server-Support-Forum diskutieren.

überflüssig 1 2 3 4 5 wertvoll  
Durchschnittliche Bewertung:   2.75 von 5 (4 Bewertungen)

Artikel kommentieren

Kommentar von Vil (2038-01-19 04:14:07):
Man sollte die Frage vielleicht umformulieren in:

"Macht eine Firewall auf seinem Server Sinn, wenn der Server nicht bereits durch eine dedizierte Firewall "davor" geschützt wird?"

Nehmen wir an, dass der Server /nicht/ durch eine vorgelagerte, dedizierte Firewall geschützt wird.

Zu Antwort a) "Nein, denn wenn man seinen Server im Griff hat, gibt es keine unnötige offene Ports":

1. Man könnte diesen Satz dann etwas zynisch umformulieren in "Nein, denn wenn der Server nicht gehackt wird und fehlerfrei arbeitet (man ihn also 'im Griff hat'), gibt es keine unnötigen offenen Ports".

/Wenn/ die Annahme tatsächlich wahr ist, ist die Aussage gut und schön. In der Praxis besteht allerdings das Problem dafür zu sorgen, dass die Annahme auch tatsächlich wahr ist und auch wahr bleibt, und es stellt sich daher wiederum die Frage, ob der Einsatz einer Firewall auf einem Server sinnvoll ist ("wie kann ich meinen Server im Griff halten?").

Mit anderen Worten: Antwort (a) beantwortet die Frage leider nicht wirklich.

2. Antwort (a) setzt implizit voraus, dass eine Firewall lediglich vor (ungewollt/unwissend) offenen Ports schützt bzw. die Netzwerksicherheit eines Servers lediglich vom (Nicht-)Vorhandensein offener Ports bestimmt wird. Das ist in der Praxis leider nicht so.

Eine Firewall auf dem Server selbst kann durchaus sinnvoll sein, z.B.:
a) Schutz gegen Angriffe auf den TCP/IP-Stack oder Syn-Flooding
b) Verhindern, dass gehackte Serverapplikationen dafür verwendet werden können, um Backdoors laufen zu lassen, durch die sich Angreifer von außen mit dem Server verbinden können (Verhindern ungewollter eingehender Verbindungen; z.B. Backdoor-Telnet-Server lauscht auf Port 6666)*
c) Verhindern, dass Schadprogramme über nicht erlaubte Ports "nach Hause telefonieren" können (Verhidnern ausgehender Verbindungen; z.B. Connect vom gehackten Server ins IRC-Netzwerk).


*ein Grund dafür: oft laufen Webapplikationen nicht als Root-User bzw. mit Root-Rechten, d.h. bei einem erfolgreichen Angriff auf eine Webapplikation hat ein Angreifer daher i.d.R. nicht automatisch Root-Rechte. Diese Root-Rechte sind allerdings erforderlich, um die Firewall-Regeln auf einem Server zu ändern. Daher muss der Angreifer noch eine weitere Hürde nehmen, z.B. Anpassung seines Angriffs oder der von ihm verwendeten Schadsoftware, damit die wenigen freigeschalteten Ports (eingehend und ausgehend) verwendet werden (bspw. durch Tunneling); alternativ kann ein Angreifer versuchen, durch eine andere Schwachstelle im Server Root-Rechte zu erhalten (bspw. durch Angriffe, die einen lokalen Systembenutzer voraussetzen, um eine Schwachstelle auszunutzen).

Kommentar von Ben. (2012-12-07 08:56:41):
Diese Frage wird immer wieder gestellt und führt zu Diskussionen.

Die Antworten die hier gegeben werden reichen mir aber nicht aus. Moderne Firewalls sind nicht nur für das Schliessen von Ports zuständig. Sie können den Paketfluss steuern, Bandbreiten reservieren etc.

Ich bin der Meinung meine Server im Griff zu haben, setze aber aus den oben genannten Gründen durchaus komplexe Firewallregeln auf den Servern ein.

Meine Antwort lautet daher: Eine auf den Anwendungszweck ausgerichtete Firewall macht immer Sinn.