Jan
23
Es existieren Siturationen, bei denen ein Port auf dem Server nicht für die Öffentlichkeit sichtbar sein muss. Ein offener Port kann eine Angriffsquelle und Sicherheitslücke darstellen. Ein Beispiel ist sehr gut bei dem Monitoring Tool namens "munin" zu sehen. Nach der Installation unter Debian/Ubuntu mittels "apt-get install munin-node munin", wird der Port 4949 für die Öffentlichkeit geöffnet. Das Monitoring Tool besitzt standardmäßig eine Whilelist an erlaubten IP-Adressen um die Daten abzurufen, jedoch muss der Port nicht unnötigt für alle geöffnet sein.
Sicherheitshalber sollten Ports nur für bestimmte Server oder feste IP-Adressen verfügbar sein.
Hinweis: Wenn ein Port geschlossen wird, sind Dienste die an diesem Port lauschen, nicht mehr von extern erreichbar. Daher müssen, falls benötigt, Ausnahmen für die entsprechende Firewall definiert sein.
Dieses Beispiel bezieht sich auf die klassischen IPTables unter Ubuntu/Debian mit IPv6. Bitte denkt daran die Ports auch für IPv6 zu schließen.
Schließen eines offenen Ports mittels iptables (IPv4)
iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 4949 -j DROP
Öffnen des Ports für bestimmte IP-Netze (IPv4)
iptables -I INPUT -p udp -s 192.168.122.0/24 --dport 4949 -j ACCEPT
Herausfinden geöffneter IPv6 Ports
netstat -lnptu -A inet6
Port unter IPv6 schließen (Protokoll tcp, udp)
ip6tables -A INPUT -p tcp --dport 4949 -j DROP ip6tables -A INPUT -p udp --dport 4949 -j DROP
Ein weiterführender Artikel zum Thema "IPv6 iptables Firewall" ist bei df.eu zu finden.