Absicherung des Remote Desktop Ports mit iptables
Du bist hier : | Wiki home -> Events -> Linuxeinsteiger -> Absicherung des Remote Desktop Ports mit iptables |
Absicherung von Ports mit iptables
Hintergrund
http://de.wikipedia.org/wiki/Iptables
Verwendet man den entfernten Desktop in Ubuntu, werden die Daten unverschlüsselt über den Port 5900 ausgetauscht. Mit SSH kann man diese Daten leicht verschlüsseln.
Ungeachtet der Verschlüsselung der Datenübertragung ist weiterhin ein Zugriff zum Desktop über den Port 5900 unverschlüsselt möglich, was für einen Angriff auf den PC ausgenutzt werden kann.
Skript: iptables.local.sh
#!/bin/sh -e ## Mini-Firewall mit iptables # Absicherung von Port 5900, wenn der Remotezugriff auf den Desktop freigeschaltet werden soll # Ort des Skriptes auf dem PC: /etc/local/iptables.local.sh # Aufruf z.B. durch eine Zeile in /etc/rc.local # Name: iptables.local.sh logger echo "Set iptables" # lösche alle Einträge iptables -F logger echo "Set iptables close Remote Desktop Ports" # für IFACE muss das zu sperrende Interface eingetragen werden, eth0, wlan0, ... IFACE=eth0 # Remote Desktop Port DPORT=5900 iptables -A INPUT -i $IFACE -p tcp --dport $DPORT -j DROP iptables -A INPUT -i $IFACE -p udp --dport $DPORT -j DROP iptables -A OUTPUT -o $IFACE -p tcp --dport $DPORT -j DROP iptables -A OUTPUT -o $IFACE -p udp --dport $DPORT -j DROP exit 0
Dieses Skript schließt den Port 5900 und muss an das verwendete Netzwerkinterface (eth0, eth1, usw.) angepasst werden. Meist ist das
'eth0' für kabelgebundene Netzwerkkarten 'wlan0' für WLAN Karten/Sticks
Den genauen Namen kann man mit
sudo ifconfig
ermitteln. Der Name des Interface wird in IFACE=name eingetragen. Das Skript benötigt zum Ausführen Root-Rechte. Alle anderen Einträge in 'iptables' werden gelöscht. Wird 'iptables' bereits eingesetzt, ist dieses Skript nicht zu verwenden, bzw. anzupassen.
Installation, als Root
Den Folder
/etc/local/
anlegen und das Skript hinein kopieren, Rechte zur Ausführung setzen (chmod 700). In dem File
/etc/rc.local
vor die Zeile 'exit 0'
/etc/local/iptables.local.sh
einfügen.
Damit wird beim Start des PC iptables gesetzt und der Port 5900 geschlossen.
Will man ohne Neustart sofort arbeiten, das Skript einfach ausführen, als Root. Die Funktion des SSH-Tunnels, der diesen Port weiterleitet, ist davon nicht betroffen.
Anmerkung
Eine Verschlüsselung und Absicherung des Desktop-Zugriffs ist auch im lokalen Netz sinnvoll. Einmal weiß man nie, welcher PC sich mal als Gast (Besuch) im lokalen Netz befindet, zum Anderen kann es leicht vorkommen, dass man sein Notebook mitnimmt und in einem anderen Netz betreibt, dessen Sicherheit nicht bekannt ist. Angriffe auf einen offenen Port 5900, und damit auf den eigenen Desktop, erfolgen in Minuten.