Netcup Firewall & Log-Files Auswertung

  • Guten Morgen,


    ich hätte 2 Fragen bezüglich meines vServers.


    Heute habe ich mich mit der Netcup Firewall beschäftigt. Die eingehenden Pakete habe ich alle auf verweigern gestellt und meine wichtigsten Ports freigegeben.
    SSH, HTTP, HTTPS, POP3, POP3S, IMAP, IMAPS, SMTP, SMTPS, FTP, SVN und den Ping. Ähnlich wie in dem Beispiel im Netcup Wiki.


    In meinem IspCP hab ich aber in der Port-Liste noch weitere z.B. Amavis, MySQL, DNS, Postgrey und und und
    Was soll ich denn mit diesen Ports machen?


    Wie sollte ich meine ausgehenden Pakete am besten konfigurieren? Ebenfalls standard auf verweigern und entsprechend freigeben, welche es benötigen? Da stellt sich dann auch die Frage, welche Dienste ich überhaupt dort eintragen soll? Die gleichen wie bei den eingehenden Paketen?


    Ich habe abgesehen Subversions nichts sonderliches auf dem Server laufen. Lediglich IspCP mit ein paar Webseiten und E-Mail.


    Zum Anderen habe ich mir seit ich den Server habe einmal im Monat ein bis zwei Stunden Wartung vorgenommen und zieh das auch brav durch. Da aktualisiere ich dann die Dienste und versuche mich in den Log-Files durchzusehen, ob irgendetwas merkwürdig ist.
    Wie sollte ich da am geschicktesten Vorgehen. Je länger die Log-Files werden, umso schwerer wird es für mich, zumal mir viele Zeilen davon nicht allzuviel sagen und ich nur selten Angriffe von einfachen fehlgeschlagenen Logins eines Users unterscheiden kann. Einzig in der Auth-Log find ich mich halbwegs zurecht. In den E-Mail Logs stehen z.B. zig Zeilen, dass für POP3 das Maximum Connection Limit erreicht wurde?
    Sollte ich einfach sämtliche Logfiles im Log Ordner herunterladen, den Ordner auf dem Server dann löschen, sodass er die Files wieder dann von vorne beginnt und alles wieder sauber ist? Wie werte ich die Logfiles am besten aus? Gibts da Tools dafür, wo ich die Dateien einlesen kann?


    Ich arbeite komplett unter Kubuntu Linux.


    Eine weitere Frage stellt sich, was wäre wenn der Server dann doch mal ernsthaft kompromittiert ist und ich den Server neu aufsetzten muss? Ich erweitere jedes Monat mein Backup des Servers über OpenVCP. Zusätzlich sicher ich meine Homepage Daten und Datenbank.
    Aber sollte ich da überhaupt ein älteres Server-Backup zurückspielen? Sollte ich überhaupt ältere Homepage-Daten zurückspielen? Auch diese könnten doch theoretisch befallen sein? Und vor allem wie bekomm ich meine ganzen IspCP Einstellungen wieder oder müsste ich jeden Kunden, jeden Reseller neu anlegen? Da wär ich ja zig Stunden beschäftigt?
    Wie macht ihr das?
    Ich komm mir trotz allem, was ich mir die letzten Jahre angeeignet habe und bis heute auch sauber läuft wie es soll, etwas hilflos vor. Ein solches Szenario sollte ich einfach mal in einer Virtuellen Umgebung am heimischen PC durchspielen das weiß ich aber bis heute nahm ich mir LEIDER noch nicht die Zeit dazu.


    Ich freu mich über eure Ratschläge.


    Lg
    5ky


    PS. In der Regelliste währ noch ein Bezeichnungs- bzw. Kommentarfeld super, damit man der Regel gleich eine Bezeichnung geben kann. Port 80 ist ja eigentlich jedem Bekannt aber z.b. 3690?

  • Zitat

    Amavis, MySQL, DNS, Postgrey

    Sofern diese nicht "von außen" benötigt werden, was ja in 99% der Fälle der Fall ist, einfach dicht machen und gut. Du musst nur aufpassen das Postfix und Apache/PHP auf Postgrex, Amavis und MySQL via 127.0.0.1 zugreifen und nicht via öffentlicher IP. Sonst könnte es passieren das es nicht mehr funktioniert.


    Zu den Logs: Das mit dem Connection Limit ist "normal". Da versucht halt ein Bot die Passwörter zu knacken. Da solltest Du dich vielleicht mal mit Fail2Ban (mit VCP Script) oder DenyHosts beschäftigen. Ansonsten kümmert sich normal Logrotate alle 24 Stunden darum dass die Logs gesplittet werden. Ist das bei Dir nicht der Fall, sollteste das mal einrichten. Das erleichtert einiges.


    Löschen würde ich den Ordner allerdings nicht. Da hängen viele spezielle Berechtigungen drin. Da die meisten Dienste nicht als root laufen haben die dann auch nicht das Recht den /log-Ordner neu anzulegen und es werden keine Logs mehr aufgezeichnet. Wie gesagt. Die sauberste Methode ist da logrotate.


    Zur Sache mit dem kompromittieren: Ja die Sache ist nicht wirklich einfach. Wenn ein Profi am Werk war, sodass man in den Logs nicht mehr sehen kann wie der jenige eingestiegen ist bleibt einem nix anderes übrig als jedes einzelne Script auf dem Server zu prüfen. Eigentlich ein Horror-Szenario. Sofern man nicht 100% gewährleisten kann das ein Backup sauber ist, wird einem nichts anderes übrig bleiben als alles neu und sauber einzurichten.


    Deswegen lieber eine Stunde mehr als zu wenig in die Absicherung stecken, damit sowas erst gar nicht passiert. :)


    Zu dem Port Kommentarfeld: Am besten im Entsprechenden Thread zum neuen VCP posten oder via Email an den Support schreiben. Sonst läufst Du Gefahr das Dein Vorschlag unter geht. :D Ich fände ein Kommentarfeld auch gut.


    Zu 3690: Ist SVN eigentlich SSL verschlüsselt oder schickt man da alle Daten plain durchs Netz? Ich habe SVN/CVS bisher nur via SSH verwendet.

  • Normalerweise sind die Daten unverschlüsselt, nur fürs Passwort kann svnserve CRAM-MD5. Man kann svnserve auch mit SASL-support bauen, dann kann er auch Daten verschlüsseln, das habe ich selbst aber noch nie benutzt. Ich würde entweder SSH oder WebDAV (apache mit mod_dav_svn) über https nehmen, dann kann man sicher sein, dass wirklich alles verschlüsselt ist.

  • Hey,


    danke für eure Antworten.
    Mein SVN benutze ich ebenfalls über https.


    Wie sieht es eigentlich mit den Ausgehenden Regeln aus. Da hab ich jetzt noch gar nichts gemacht. Kann ich hier alle mal auf Blockieren stellen? Oder eben auch die vom Eingang freigeben?


    Du schreibst, dass ich wegen Postfix und Apache aufpassen muss, da diese auf z.B. MySQL über localhost zugreifen. Scheint ohne Änderungen zu klappen alles. Meine CMS-basierten Webseiten laufen alle und mein PhpMyAdmin läuft auch. Somit sollte alles passen oder wie bemerk ich sonst, dass über Postgrey oder Amavis kein Zugriff stattfindet?


    LG
    5ky

  • Wenn nach dem setzen der Regeln in INPUT und dem ändern der Standard Policy auf DROP noch alles geht ist alles in Ordnung. :)


    OUTPUT würde ich allerdings nicht komplett droppen.
    Dann können Deine Dienste nicht mehr auf Anfragen antworten und das wäre ja irgendwie doof. :D


    OUTPUT kannst Du in 80% der Fälle komplett offen lassen.
    Ansonsten kann der Server ja nicht auf Anfragen Anworten oder selbst Verbindungen herstellen. (zB beim Mails versenden)