Absicherung des Remote Desktop Ports mit iptables

Aus LOMSO
Zur Navigation springen Zur Suche springen
Du bist hier : Wiki home -> Events -> Linuxeinsteiger -> Absicherung des Remote Desktop Ports mit iptables




Artikel im alten Wiki


Absicherung von Ports mit iptables

Hintergrund

http://de.wikipedia.org/wiki/Iptables

Verwendet man den entfernten Desktop in Ubuntu, werden die Daten unverschlüsselt über den Port 5900 ausgetauscht. Mit SSH kann man diese Daten leicht verschlüsseln.

Ungeachtet der Verschlüsselung der Datenübertragung ist weiterhin ein Zugriff zum Desktop über den Port 5900 unverschlüsselt möglich, was für einen Angriff auf den PC ausgenutzt werden kann.


Skript: iptables.local.sh

#!/bin/sh -e
## Mini-Firewall mit iptables
# Absicherung von Port 5900, wenn der Remotezugriff auf den Desktop freigeschaltet werden soll
# Ort des Skriptes auf dem PC: /etc/local/iptables.local.sh
# Aufruf z.B. durch eine Zeile in /etc/rc.local
# Name: iptables.local.sh
logger echo "Set iptables"
# lösche alle Einträge iptables -F
logger echo "Set iptables close Remote Desktop Ports"
# für IFACE muss das zu sperrende Interface eingetragen werden, eth0, wlan0, ...
IFACE=eth0
# Remote Desktop Port
DPORT=5900

iptables -A INPUT -i $IFACE -p tcp --dport $DPORT -j DROP
iptables -A INPUT -i $IFACE -p udp --dport $DPORT -j DROP
iptables -A OUTPUT -o $IFACE -p tcp --dport $DPORT -j DROP
iptables -A OUTPUT -o $IFACE -p udp --dport $DPORT -j DROP
exit 0

Dieses Skript schließt den Port 5900 und muss an das verwendete Netzwerkinterface (eth0, eth1, usw.) angepasst werden. Meist ist das

'eth0' für kabelgebundene Netzwerkkarten 
'wlan0' für WLAN Karten/Sticks 

Den genauen Namen kann man mit

sudo ifconfig

ermitteln. Der Name des Interface wird in IFACE=name eingetragen. Das Skript benötigt zum Ausführen Root-Rechte. Alle anderen Einträge in 'iptables' werden gelöscht. Wird 'iptables' bereits eingesetzt, ist dieses Skript nicht zu verwenden, bzw. anzupassen.

Installation, als Root

Den Folder

/etc/local/

anlegen und das Skript hinein kopieren, Rechte zur Ausführung setzen (chmod 700). In dem File

/etc/rc.local

vor die Zeile 'exit 0'

/etc/local/iptables.local.sh

einfügen.


Damit wird beim Start des PC iptables gesetzt und der Port 5900 geschlossen.

Will man ohne Neustart sofort arbeiten, das Skript einfach ausführen, als Root. Die Funktion des SSH-Tunnels, der diesen Port weiterleitet, ist davon nicht betroffen.

Anmerkung

Eine Verschlüsselung und Absicherung des Desktop-Zugriffs ist auch im lokalen Netz sinnvoll. Einmal weiß man nie, welcher PC sich mal als Gast (Besuch) im lokalen Netz befindet, zum Anderen kann es leicht vorkommen, dass man sein Notebook mitnimmt und in einem anderen Netz betreibt, dessen Sicherheit nicht bekannt ist. Angriffe auf einen offenen Port 5900, und damit auf den eigenen Desktop, erfolgen in Minuten.