Benötige ich eine Firewall auf einem kleinen Gerät mit nur einem offenen Port?

tag-icon tag-icon linux networking firewall raspberry-pi
Benötige ich eine Firewall auf einem kleinen Gerät mit nur einem offenen Port?

Ich habe vor, einen Raspberry Pi zu bauen, der nur einem Zweck dient.

  • Es ist nur ein Port offen
  • Jeder sollte in der Lage sein, eine Verbindung zu diesem Port herzustellen
  • Die Anwendung, die diesen Port abhört, hat keine Root-Rechte
  • Es routet nicht. D.h. es sind keine anderen PCs über diesen Raspberry Pi erreichbar
  • Keine ausgehenden Verbindungen. D.h. der Raspberry Pi verbindet sich nicht aktiv mit einem anderen PC
  • Ich werde Port-Scans durchführen, um sicherzustellen, dass keine anderen Ports geöffnet sind

Benötige ich also eine Firewall, die auf diesem Gerät läuft?

Antwort1

Nun, ich würde trotzdem die (natürlich vorhandene) Netfilter-Firewall einrichten – wenn Sie sich in einem öffentlichen Netzwerk befinden.

Ich würde nämlich alle anderen Datenverkehrstypen wie ICMP usw. blockieren. Darüber hinaus erkennen die meisten Port-/Systemscanner Systemtypen anhand aller Arten von Fehlerantworten („Port nicht erreichbar“) usw., sodass Sie die Angriffsfläche definitiv verringern. Ihr Ziel ist es, so wenig Informationen wie möglich über Ihr System preiszugeben.

Darüber hinaus werden ICMP-Antworten („Ping“) zurückgegeben, wenn Sie diese nicht aktiv blockieren. Und ich denke, das möchten Sie auch nicht (zumindest ich).

Antwort2

Die Firewall-Aufgabe wird unter Linux von netfilter/iptables übernommen.

Eine Firewall führt also einfach dazu, dass eine Iptables-Konfiguration alle eingehenden TCP-Verbindungen abbricht. (Und möglicherweise ausgehende Verbindungen blockiert.)

Ich persönlich würde eine solche Firewall-Konfiguration nicht erstellen. Es ist nicht notwendig, wenn Sie wissen, dass Sie nur eine einzige Serveranwendung ausführen.

Laufen

netstat -ltw

um zu sehen, ob Sie nur eine Anwendung haben, die TCP-Verbindungen abhört. Vielleicht sind einige Serveranwendungen vorinstalliert, die Sie entfernen möchten.

-l means listen
-t means tcp
-w means raw (will show the ping server)

Sie sollten auch Ihre Bind-IP-Adresse überprüfen. Möglicherweise möchten Sie nur Clients im selben LAN akzeptieren und Clients aus dem Internet (ja, Internet) ignorieren.

verwandte Informationen