AJAX Dock Cart for VirtueMart

Willkommen, Gast
Benutzername: Passwort: Angemeldet bleiben:
Passwort vergessen? Benutzername vergessen? Registrieren
openSmartpad.org
Maemo
Netzwerk

minimale sicherung durch firewall
(1 Leser) (1) Gast
Thema beantworten
Neues Thema
  • Seite:
  • 1

THEMA: minimale sicherung durch firewall

minimale sicherung durch firewall 31 Jul 2010 21:52 #1

  • Thomas
  • ( Admin )
  • OFFLINE
  • OpenSmartPad
  • Beiträge: 1197
  • Karma: 75
Das Nokia N900 ist ja eigentlich von Haus aus schon sicher, dennoch kann man sicher noch sicherer machen
Um nun eine minimale Sicherheit durch eine Firewall zu bekommen, braucht man eigentlich nur ein neues File anlegen und einige Zeilen hineinschreiben.
Ich weiss nicht genau, in welches Verzeichnis man diese Datei am besten schreibt, aber ich denke im /usr/bin ordner könnte sie gut aufgehoben sein.
Korrigiert mich bitte, falls es nicht so ist.
Also hier mal Schritt für Schritt:
cd /usr/bin
mk iptables.sh
 

In die nun erstellte Datei schreiben wir entweder anhand des mc oder des vi nun folgende Zeilen:
 
#!/bin/sh
iptables -F
iptables -A INPUT -p all -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
 

Für diejenigen, die SSH nutzen wollen, die sollten vielleicht noch diese Zeile ergänzen:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Wobei --dport 22 der Port für ssh ist, wer einen anderen nutzt hier einfach die portnummer tauschen.
Danach speichern wir die Datei und machen sie ausführbar anhand von
chmod +x iptables.sh

Nun sollte durch aufruf von ./iptables.sh eine kleine Firewall auf dem N900 laufen.

Diese Seite kostet viel Arbeit und Geld. Solltest Du von uns geholfen bekommen haben, dann freuen wir uns auf deine Spende.
Antwort Zitieren
Banner

Aw: minimale sicherung durch firewall 02 Aug 2010 20:54 #2

  • Duffman
  • ( Benutzer )
  • OFFLINE
  • Senior Boarder
  • Beiträge: 749
  • Karma: 22
Oder vielleicht als Start/Stop-Skript in /etc/init.d erstellen und noch eine case-Anweisung mit start, stop einbauen.
D'OH
Duffman
Antwort Zitieren

Aw: minimale sicherung durch firewall 02 Aug 2010 21:43 #3

  • Duffman
  • ( Benutzer )
  • OFFLINE
  • Senior Boarder
  • Beiträge: 749
  • Karma: 22
Habe das Skript ein wenig erweitert und noch ein Logging eingebaut (1. Version).

Dazu muss allerdings das Paket sysklogd installiert sein, damit das Skript nach /var/log/syslog loggen kann.


Das firewall Skript:
 
#!/bin/bash
###################################################################################################
## NAME
##     firewall - n900 firewall
##
## SYNTAX
##     firewall [-?] <start|stop|restart>
##
## ARGUMENTS
##     -? ................. Show this help
##     start .............. Start the firewall on all interfaces
##     stop ............... Stop the firewall on all interfaces
##     restart ............ Restart the firewall on all interfaces (stop & start)
##
## DESCRIPTION
##     This script activates the whole firewall of the n900 (by default).
##
## AUTHOR
##     Duffman, Germany
##
###################################################################################################

 
 
#--------------------------------------------------------------------------------------------------
# Statische Variablen festlegen
#--------------------------------------------------------------------------------------------------

# Interfaces zuweisen
INET_IFACE=wlan0	# Internet-Interface (extern)

# Definiere einige Befehle
ECHO=$(which echo)
IPTABLES=$(which iptables)
MODPROBE=$(which modprobe)
RMMOD=$(which rmmod)
 
 
#--------------------------------------------------------------------------------------------------
# Funktionen
#--------------------------------------------------------------------------------------------------

# Automatisches Logging aktivieren
function logging {
  # Logging der eingehenden Pakete
  $IPTABLES -A INPUT -i $INET_IFACE -j LOG --log-prefix "INPUT($INET_IFACE): " 
 
  # Logging der durchgereichten Pakete
  $IPTABLES -A FORWARD -i $INET_IFACE -j LOG --log-prefix "FORWARD($INET_IFACE): " 
 
  # Logging der ausgehenden Pakete
  $IPTABLES -A OUTPUT -o $INET_IFACE -j LOG --log-prefix "OUTPUT($INET_IFACE): " 
}
 
# Leere die Ketten
function flush_chains {
  $IPTABLES -F
  $IPTABLES -X  # benutzerdefinierte Ketten loeschen
}
 
# Startet die gesamte Firewall 
function start_firewall {
  # Module laden
  $MODPROBE xt_state			# wird fuer -m state beim Verbindungszustand benoetigt
  $MODPROBE nf_conntrack_ipv4		# gehoert zum Modul nf_conntrack bzw. ip_conntrack (alter Name)
  $MODPROBE ip_conntrack		# die Anzahl an Bytes fuer Verbindungen kann in /proc/net/ip_conntrack nachgeschaut werden
  $MODPROBE ipt_LOG			# fuer das Logging und deren Ausgabe im Logfile
  #$MODPROBE ipt_recent			# speichert Informationen in /proc/net/ipt_recent/*

  # Verwerfe erstmal alles
  $IPTABLES -P INPUT DROP
  $IPTABLES -P OUTPUT DROP
  $IPTABLES -P FORWARD DROP
 
  # Kernelparameter fuer das IP-Forwarding setzen
  $ECHO "1" > /proc/sys/net/ipv4/ip_forward
 
  # Akzeptiere alle Pakete, die Teil einer aufgebauten Verbindung sind
  $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  $IPTABLES -A FORWARD -m state --state ESTABLISHED -j ACCEPT
  $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
  # Loopback erlauben
  $IPTABLES -A INPUT -i lo -j ACCEPT
  $IPTABLES -A OUTPUT -o lo -j ACCEPT
 
  # SSH-Verbindungen auf Port 22 erlauben
  # $IPTABLES -A INPUT -i $INET_IFACE -p tcp --dport 22 -m hashlimit --hashlimit 1/min --hashlimit-mode srcip \
  #   --hashlimit-name SSH -m state --state NEW -j ACCEPT

  $IPTABLES -A INPUT -i $INET_IFACE -p tcp --dport 22 -m state --state NEW -j ACCEPT
 
  # Abgehende TCP-Verbindungen erlauben 
  $IPTABLES -A OUTPUT -o $INET_IFACE -p tcp -m state --state NEW -j ACCEPT
 
  # Ping-Befehl auf dem Interface $INT_IFACE (Internet) erlauben (eingehenden ping erlauben)
  $IPTABLES -A INPUT -i $INET_IFACE -p icmp --icmp-type echo-request -m state --state NEW -j ACCEPT
 
  # Ping-Befehl vom Interface $INET_IFACE (Internet) erlauben (ausgehenden ping erlauben)
  $IPTABLES -A OUTPUT -o $INET_IFACE -p icmp --icmp-type echo-request -m state --state NEW -j ACCEPT
 
  # Updates ueber die source.list per http erlauben
  $IPTABLES -A OUTPUT -o $INET_IFACE -p tcp --dport 80 -m state --state NEW -j ACCEPT
 
  # Erlaube neue DNS-Anfragen 
  $IPTABLES -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
  $IPTABLES -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
 
  # ICMP destination-unreachable Meldungen erlauben
  $IPTABLES -A INPUT -i $INET_IFACE -p icmp --icmp-type destination-unreachable -m state --state RELATED -j ACCEPT
}
 
# Deaktiviere alle IPTABLES-Regeln (Firewall ausschalten)
function stop_firewall {
  # Alle vorhandenen Regeln loeschen (Funktion flush_chains aufrufen)
  flush_chains
 
  # Default-Policy herstellen und alle Pakete erlauben
  $IPTABLES -P INPUT ACCEPT
  $IPTABLES -P FORWARD ACCEPT
  $IPTABLES -P OUTPUT ACCEPT
 
  # Forwarding deaktivieren
  $ECHO "0" > /proc/sys/net/ipv4/ip_forward
}
 
#-------------------------------------------------------------------------------}                                                                               
                                                                                
#-------------------------------------------------------------------------------
# Hauptteil                                                                     
#-------------------------------------------------------------------------------
case "$1" in                                                                    
  start)                                                                        
    start_firewall                                                              
    logging                                                                     
    ;;                                                                          
  stop)                                                                         
    stop_firewall                                                               
    ;;                                                                          
  restart)                                                                      
    $0 stop                                                                     
    $0 start                                                                    
    ;;                                                                          
  *)                                                                            
    # Gibt die Usage (siehe Skriptanfang) aus                                   
    awk '/^##($|[^#])+/ {print substr($0,4)}' $0                                
    exit 0                                                                      
    ;;                                                                          
esac    
 


Man könnte nun eventuell noch ein app für die Firewall erstellen, damit man diese einfacher manuell ein und ausschalten kann.

Bei Problemen sollte man auf jeden Fall immer mal ins syslog schauen!
D'OH
Duffman
Letzte Änderung: 02 Aug 2010 21:44 von Duffman.
Antwort Zitieren

Online Banking 04 Nov 2010 12:14 #4

  • AnDyGrAmMeu
  • ( Benutzer )
  • OFFLINE
  • OSP-VIP
  • Beiträge: 502
  • Karma: 45
Entschuldigt bitte das ich etwas von eurem Thema abweiche, aber ihr kennt euch damit recht gut aus denke ich mal.

Wie sieht das mit dem Risiko mit online Banking aus?
Also ich würde jetzt mal sagen das es genau so riskant ist wie mitm Computer, vielleicht sogar etwas sicherer.
Liege ich damit richtig das es schwerer wäre mit nem linux handy opfer zu werden als mit nem Windows Rechner?

Wie ist das eigentlich mit diesem Tor Web anyminizer, ist damit die ip echt nicht zurück verfolgbar bzw wird dann vom tor server die ip an gezeigt?

Wäre nett wenn mich da jemand aufklären könnte...
Antwort Zitieren

Aw: Online Banking 04 Nov 2010 18:36 #5

  • DerDude
  • ( Benutzer )
  • OFFLINE
  • Junior Boarder
  • Beiträge: 183
  • Karma: 12
Könnte ein Mod diesen Post vllt abtrennen? ist schon ein eigenes Thema wert.
Für Onlinebanking ist ein Windowsrechner die unsicherste Lösung, damit ist so ziemlich alles besser als ein MS-PC. Wenn dann noch das WLAN WEP oder gar nicht verschlüsselt ist könnteste das Geld auch gleich mir überweisen, ich kann besseres damit anfangen
Ich bin kein Spezialist, aber mir ist kein Virus oder Trojaner bekannt, der Meego angreift, ergo ist es von der Softwareseite sicher. Meego unterstützt ja auch unterschiedliche Sicherungsprotokolle was die http-Seite angeht, also die Internetübertragung selbst ist auch zertifiziert.
Bleibt nur noch die Funkübertragung selbst: Kabelgebunden ist schlecht möglich, also sollte es ein sicheres WLAN sein, WPA2 am besten, kein WEP oder offenes. Wenn du noch den Besitzer kennst, um so besser. ALso keine öffentliche Punkte nutzen, dann seh ich keine Bedenken, wenn du auf der richtigen Website bist Also keine Links in E-Mehls öffnen sondern die Seite immer manuell eintippen und eine TAN nie doppelt eingeben müssen und dann hast du alles beachtet
Korrigiert mich, wenn ich was vergessen hab.
Antwort Zitieren

Aw: Online Banking 04 Nov 2010 23:05 #6

  • AnDyGrAmMeu
  • ( Benutzer )
  • OFFLINE
  • OSP-VIP
  • Beiträge: 502
  • Karma: 45
Mir fällt nichts zum Korrigieren ein (:
Gut W-Lan ist ein Schwachpunkt aber das Risiko ist schon sehr gering. Meistens sind die Opfer ja echt Leute die nach der 20tan eingabe noch nichts merken (:

Wie sieht das eigentlich mit Gprs und umts aus? Ist doch beinahe unmöglich so eine Verbindung an zu zapfen oder nicht?
Antwort Zitieren

Aw: Online Banking 04 Nov 2010 23:17 #7

  • Free-MG
  • ( Moderator )
  • OFFLINE
  • OSP-Supporter
  • Beiträge: 731
  • Karma: 83
AnDyGrAmMeu schrieb:
Wie sieht das eigentlich mit Gprs und umts aus? Ist doch beinahe unmöglich so eine Verbindung an zu zapfen oder nicht?


Da irrst Du!

Ich zu meinem Teil mache das mit Online Banking so, ich baue einen ssh tunnel zu meinem "home server" auf, für einen VNC client auf dem N900, dann Verbinde ich mich mit VNC (über den ssh tunnel) auf meinem homeserver der mit FreeBSD läuft, und von da aus "benutze" ich Online Banking, das ssh passwort hat viele Sonderzeichen, und das VNC pw ist vorhanden , port 22 ist auch geändert.

So habe ich vertrauen dazu. Ich habe mir das über VNC echt langsam vorgestellt, aber es geht erstaunlich schnell.
N900 is not a fashion - N900 is a Lifestyle!
Nokia N900 Video HowTo's Maemo/MeeGo:Kernel-Flash, Flash, Nemo / MeeGo Intern installieren EMMC
Nokia N9 neu installieren: Hier lang
Letzte Änderung: 04 Nov 2010 23:20 von Free-MG.
Antwort Zitieren

Aw: Online Banking 05 Nov 2010 01:16 #8

  • Thomas
  • ( Admin )
  • OFFLINE
  • OpenSmartPad
  • Beiträge: 1197
  • Karma: 75
also gprs und umts sind so das ziemlich am besten abhörbare was es gibt. alles was sich an daten frei durch die luft schaufelt ist mehr oder weniger leicht an zu zapfen. was das entschlüsseln angeht ist es nur eine frage der zeit. was man codieren kann kann man auch garantiert wieder entcodierden, die frage bleibt dabei nur wie lange es dauert. allgemein kann man aber sagen was internet telefonie netzwerk und so weiter angeht, also ich sag mal kommunikationswege auf verschiedensten arten, ist irgendwo anzapfbar und somit abhörbar, je nachdem wie gut verschlüsselt etwas ist.

Diese Seite kostet viel Arbeit und Geld. Solltest Du von uns geholfen bekommen haben, dann freuen wir uns auf deine Spende.
Antwort Zitieren

Aw: minimale sicherung durch firewall 10 Dez 2010 11:13 #9

  • italycoco
  • ( Benutzer )
  • OFFLINE
  • Junior Boarder
  • Beiträge: 349
  • Karma: 3
hab das hier im net gefunden

postheadericon Nokia Forensics: Sensible Daten auf dem N900
29. November 2010 | Autor: Jake

Auch das N900 speichert mehr als der normale Verbraucher denkt. Es werden zwar keine ungewollten Daten ins Internet versendet, jedoch kann noch auf Informationen zugegriffen werden, die schon längst gelöscht sind.

Mit dieser Thematik hat sich Marco Rogge befasst.

In seinem Blog für IT-Sicherheitsberatung, hat Herr Rogge in einem PDF Informationen zu dem N900 mit dem Betriebssystem Maemo veröffentlicht, die mehr als sensibel sind.

Laut Herrn Rogge ist es möglich, auch auf bereits gelöschte Daten wie eingegangene und ausgegangene Telefonate, SMS und ganze E-Mails zurück zu greifen.

Die gut strukturierte PDF-Datei kann direkt bei ihm auf dem Blog eingesehen werden:

* Nokia Forensics (PDF)

muss ich mir sorgen machen
bin fast 24std lang online mit inet und aim bekomm auch über icq am tag 7-10 fremdeinladungen auf russisch oder so trotz ablehnung sind die manchmal in meinen telefonbuch was muss ivh befürchten

www.maemo-experts.info/2010/11/29/sensib...f-dem-n900/#more-764
Antwort Zitieren

Aw: minimale sicherung durch firewall 10 Dez 2010 18:07 #10

  • DerDude
  • ( Benutzer )
  • OFFLINE
  • Junior Boarder
  • Beiträge: 183
  • Karma: 12
italycoco schrieb:
muss ich mir sorgen machen
Hmm, weiß nicht? Hast du Angst vor der aktuellen Terrorbedrohung in Deutschland? Rennst du mit Alufolie aufm Kopf rum, damit dich keiner Abhören kann? Dann ja.
Ansonsten gilt das, was für jeden Nutzer gilt: Formatiere deinen PC, bevor du ihn verkaufst. Und das N900 ist ein PC, Flashen ist beim Verkauf Pflicht. Sowas ist und bleibt selbstverständlich und dann passiert auch nix. Das sollte seit mindestens 5,6 Jahren bekannt sein, egal, bei welchem Handy.
bin fast 24std lang online mit inet und aim bekomm auch über icq am tag 7-10 fremdeinladungen auf russisch oder so trotz ablehnung sind die manchmal in meinen telefonbuch was muss ivh befürchten

Das ICQ-Problem ist ein ganz anderes, hat aber andere ICQ-Programme zum Vorbild. Sowas passiert auch gerne mal mit Kopeke, Pidgin oder ähnlichen Messengern auf unterschiedlichen Betriebssystemen. Rauslöschen und gut is.
Letzte Änderung: 10 Dez 2010 18:09 von DerDude.
Antwort Zitieren

Aw: minimale sicherung durch firewall 10 Dez 2010 18:23 #11

  • Free-MG
  • ( Moderator )
  • OFFLINE
  • OSP-Supporter
  • Beiträge: 731
  • Karma: 83
naja, mit einfach Formatieren und Rauslöschen
ist es auch nicht getan, für einen Otto normal
verbraucher reicht das, aber....anderes Thema
N900 is not a fashion - N900 is a Lifestyle!
Nokia N900 Video HowTo's Maemo/MeeGo:Kernel-Flash, Flash, Nemo / MeeGo Intern installieren EMMC
Nokia N9 neu installieren: Hier lang
Letzte Änderung: 10 Dez 2010 18:23 von Free-MG.
Antwort Zitieren

Aw: minimale sicherung durch firewall 11 Dez 2010 12:48 #12

  • Thomas
  • ( Admin )
  • OFFLINE
  • OpenSmartPad
  • Beiträge: 1197
  • Karma: 75
ich funke ja ungern dazwischen, aber hat das forensic nicht nen eigenen thread, und schweift des ned von der firewall sache ab?

Diese Seite kostet viel Arbeit und Geld. Solltest Du von uns geholfen bekommen haben, dann freuen wir uns auf deine Spende.
Antwort Zitieren

Aw: minimale sicherung durch firewall 17 Mai 2011 16:21 #13

  • ipz90
  • ( Benutzer )
  • OFFLINE
  • Fresh Boarder
  • Beiträge: 91
  • Karma: 4
hat schon mal jemand versucht, die Firewall/den Paketfilter automatisch starten zu lassen?
Funktioniert dass mit so einem Startskript?
www.meego.de/forum/sonstiges/207-autostart-nach-dem-booten.html
Antwort Zitieren
Thema beantworten
Neues Thema
  • Seite:
  • 1
openSmartpad.org
Maemo
Netzwerk
Powered by Kunena
Ladezeit der Seite: 0.97 Sekunden