cgicloud
Goto Top

IP Adresse über DHCP obwohl lokale Firewall droppen sollte

Hallo zusammen,

wie ist es möglich, dass Debian eine IP Adresse über DHCP zugewießen bekommt, obwohl bei iptables die Chain in- und output auf drop gesetzt wurde und sonst keine Regeln definiert sind?

Content-Key: 337827

Url: https://administrator.de/contentid/337827

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: 132895
132895 14.05.2017 aktualisiert um 09:52:57 Uhr
Goto Top
Die Verhaltensweise ist absolut normal so, denn der DHCP Daemon erstellt einen RAW-Socket mit dem er die UDP Pakete des DHCP-Requests an iptables vorbei handelt. Er umgeht iptables also.
Der Grund ist das der Kernel selbst erst UDP Pakete verarbeiten kann wenn das Interface eine IP-Adresse hat.
Willst du kein DHCP, DHCP deaktivieren/abschalten oder eine netfilter wie ebtables nutzen.

Gruß
Mitglied: cgicloud
cgicloud 14.05.2017 aktualisiert um 10:14:39 Uhr
Goto Top
Wenn das dann mal nur vom DHCP Daemon so gehandhabt wird... Oder fallen dir noch mehr Dienste ein die "vor" iptables agieren?

Eine Firewall sollte aus meiner Sicht IMMER als erstes die Pakete in Empfang nehmen.

Danke schau ich mir an face-smile
Mitglied: 132895
132895 14.05.2017 aktualisiert um 10:26:32 Uhr
Goto Top
Zitat von @cgicloud:

Na wenn das dann mal nur vom DHCP Daemon so gehandhabt wird... Oder fallen dir noch mehr Dienste ein die "vor" iptables agieren?
Da müsste ich erst mal wühlen ...
Eine Firewall sollte aus meiner Sicht IMMER als erstes die Pakete in Empfang nehmen.
Nun, optimalerweise ja, aber ohne IP geht das hier schlecht, denn iptables arbeitet auf einem anderen Layer, es kommt hier also auch auf den verwendeten Kernel mit dessen Möglichkeiten an.
Wie immer, andere Filtersoftware andere Möglichkeiten.

Wenn du aber Dienste auf deiner Firewall anlässt die du dort nicht haben willst bzw. auf Interfaces lauschen lässt wo sie nicht lauschen sollen bis du selber schuld face-smile.
Denn geforwardeten DHCP-Traffic von anderen Devices im Netz kannst du ja problemlos damit wegfiltern.

Primär ist also der der Benutzer die Schwachstelle wenn es um die Konfiguration einer Firewall geht, sie kann dir also nicht deine Fehler abnehmen und den hast du begangen indem du einen Dienst auf Interfaces aktiviert gelassen hast der dort nach deiner Meinung eben nicht hin gehört. Deswegen sollten auf einer FW so wenig Dienste wie möglich aktiv sein um die mögliche Angriffsfläche klein zu halten.
Mitglied: fredmy
fredmy 14.05.2017 um 11:26:03 Uhr
Goto Top
Hallo,
MAC-ID auch geblockt ?
Die meisten Chains greifen erst mit IPs... die gibt es aber nch nicht.
Du kannst MAC blocken (mühsam), dann gibt auch keine IP vom DHCP.

Steht meist auch im kernel.log, was da passiert, bevor die (normalerweise IP)basierte Firewall zuschlagen kann.
Fred
Mitglied: falscher-sperrstatus
falscher-sperrstatus 14.05.2017 um 11:31:21 Uhr
Goto Top
Darum sollte man sich nicht auf "IM" System integrierte Firewalls verlassen. Denn das System hat - eben,wie du - immer Vorrechte. Entweder so, oder manipulierend. Sprich, wenn das System korrumpiert ist, wird es auch die Firewall manipulieren.

VG
Mitglied: LordGurke
LordGurke 14.05.2017 aktualisiert um 13:00:21 Uhr
Goto Top
Zitat von @falscher-sperrstatus:
wenn das System korrumpiert ist, wird es auch die Firewall manipulieren.

Du meinst "kompromittiert". Korrumpieren kann man nur Politiker face-wink


Was das droppen von RAW-Sockets angeht: Man kann in iptables mit einigem Aufwand auch in den RAW-Tables arbeiten - aber ob das funktioniert ist auch nicht sicher und der einfachste Weg wäre, das System so zu konfigurieren, dass es kein DHCP nutzt face-wink
Mitglied: falscher-sperrstatus
falscher-sperrstatus 14.05.2017 um 13:58:58 Uhr
Goto Top
Zitat von @LordGurke:

Zitat von @falscher-sperrstatus:
wenn das System korrumpiert ist, wird es auch die Firewall manipulieren.

Du meinst "kompromittiert". Korrumpieren kann man nur Politiker face-wink


Hi,

[2] Integrität oder Authentizität von elektronischen Daten schwächen. Herkunft: vom lateinischen corrumpere → la für „verderben“ oder „verschlechtern“ sowie „verführen“ oder „verleiten“; zu rumpere → la für „(zer)brechen“

Könnte ich auch meinen, ja. mMn ist es aufgrund der unbestimmtheit der Menge möglicher Problemquellen deckungsgleich - können darüber aber gerne philosophieren.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.05.2017 um 06:30:58 Uhr
Goto Top
Moin,

Bei lokalen Firewalls hastvDu generell das Probelm, daß im wesentlichen darauf ankommt, an welcher Stelle im Netzwerkstack diese greift. Es gibt Protokolle, die vr dem Filter zum zug kommen und andere, die erst danach die Pakete bekommen. Wen Du wirklich alle eventualitäten abfangen willst, mußt Du einen externen Filter verwenden.

Ansonsten mußt Du jeweils prüfen, ob Du mit Deinem Filter überhaupt "tief genug" kommst, um die "niederen" Protokolle zu filtern.

lks
Mitglied: 117471
117471 17.05.2017 um 08:57:03 Uhr
Goto Top
Hallo,

iptables ist keine Firewall, sondern ein Paketefilter.

Eine Firewall wäre das Gesamtkonzept. Also z.B. der PC aus Sicht seiner Funktionalität.

BTW: Heißt das Ding jetzt nicht ipchains?

Gruß,
Jörg
Mitglied: 132895
132895 17.05.2017 aktualisiert um 09:26:26 Uhr
Goto Top
Zitat von @117471:
BTW: Heißt das Ding jetzt nicht ipchains?
Das war mal vor langer langer Zeit als der Kernel sich Version 2.2.x nannte ..
https://www.netfilter.org/
Mitglied: 117471
117471 17.05.2017 um 10:44:20 Uhr
Goto Top
Hallo,

ich werde alt - oder?

Gruß,
Jörg
Mitglied: Lochkartenstanzer
Lochkartenstanzer 17.05.2017 um 11:10:47 Uhr
Goto Top
Zitat von @117471:

ich werde alt - oder?

Naja, solange du nicht versucht Deine Linux-Filter mit ipfwadm zu konfiurieren, kannst Du nicht so alt sein. face-smile

lks
Mitglied: 132895
132895 17.05.2017 aktualisiert um 12:16:04 Uhr
Goto Top
Zitat von @117471:
ich werde alt - oder?
Keine Angst, das werden wir alle face-smile, so Gott will.
Mitglied: 117471
117471 17.05.2017 um 18:25:49 Uhr
Goto Top
Huhu,

hier neben mir steht 'ne Slakware-CD mit Kernel 1.2.13, in der noch der Original-Kassenzettel steckt - ich glaube, die compiliert immer noch... face-smile

Gruß,
Jörg