nachdem meine neue firma die astaro firewall verwendet und am samstag, aus noch nicht geklaerten gruenden einige dienste nicht funktionierten hab ich mir mal die firewall naeher angeschaut... dabei stiess ich nach fuenf minuten auf folgende sachen:
(verwendet wird zur zeit 1.825... hoffe ich
zumindestens, da keinerlei informationen dahingehend rauszubekommen sind, dazu spaeter)
passwoerter werden bis max. 8 zeichen gespeichert... pam 'nen md5 beizubringen ist wohl in version 3.0 angedacht...
squid schmierte innerhalb 5min mehrfach mit 'nem segmentation-fault ab... sieht mir sehr nach 'nem BO aus, der vor einiger zeit entdeckt worden ist... welche dateien aktualisiert eigentlich der up2date?
btw aktualisiert der auch kernel? z.b. aktueller 2.4er kernel fehler der ein uebergehen von netfilter erlaubt...
mir fehlt irgendwie ein programm namens "lsof", das mir praktischerweise anzeigt welche dateien in benutzung sind...
uname und aehnliche programme die auf bestimmte versionen rueckschluesse erlauben sind konsequent weggelassen worden, warum gibt es keine option den "loginuser" zu aendern? oder sind default-user seit neustem sicherheits-unkritisch?
ext2-filesystem attribute koennen ebenfalls nicht gesetzt werden... z.b. ein +i fuer bereits gesicherte logs und ein +a fuer grad aktive...
die graphische darstellung zeigt lediglich den letzten tag an... fuer unstimmigkeiten waere vielleicht eine wochen oder monats uebersicht interresant...
die graphische darstellung ist ja recht nett, haengt sich aber gern auf wenn man die routen umstellt... schafft man es dann doch ueber ein paar umwege 'nen ssh-login zu erhalten schiesst man sich die maschine mit einem einfachen "reboot"-befehl dann endgueltig ab... (hilft nur noch reset)
ssh verwendet lediglich die version 1, aufgrund einiger implementierungsfehler wird inzwischen ueberall empfohlen auf ssh2 umzusteigen...
squid ist so konfiguriert das der daemon an allen adressen lauscht...
auch mit entsprechenden richtlinien in der squid.conf sollte der daemon nicht aussen erreichbar sein...
auf eine netfilter/ipchains regel allein wuerd ich mich nicht verlassen... und ein eintrag in die hosts.deny bzw hosts.allow
erhoeht die sicherheit um einen nicht zu verachtenden faktor... wenn man den squid allerdings an die interne netzwerkkarte bindet kann niemand direkt von aussen drauf zugreifen...
wie gesagt... des ist mir in den ersten 5-10 minuten aufgefallen... vielleicht ja eine kleine anregung das ganze in zukuenftigen versionen einzubauen...
-1
*english version*
i'm working for a new company which is using the astaro firewall. last saturday some services wasn't avaible, so i take a close look to the firewall... after 5 minutes i've found some missconfigurations and behaviors of the firewall i disklike... maybe some problems i found find a way in the next version of astaro linux...
my company is using v1.825 (hmmm i HOPE my company is using this version, 'cause information gathering is quite difficult,
but in all it's not perfekt... but more later)
only the first eight characters of a password are checked... maybe enabling md5-password-checking is concerned for v3.0? [;)]
squid crashed with "segmentation fault" within 5 minutes several time... maybe an older bug (Buffer Overflow) is causing that.
btw which files and services are updated by the service up2date? maybe you should integrate an kernel-update too!
'cause there is a bug in the kernel 2.4.x which allows bypassing netfilter rules under
curtain circumstances...
uname and other such programs, which allows information gathering for advanced hacking aren't installed, but there is no option, for changing the default user "loginuser".
maybe i missed some information, that default users aren't security holes.
the web-interface is just showing the last 24h... graphically, in some cases a weekly or monthly overview would be intresting too
the web-interface is looking nice too, but it crashed often if you change a route (yep, i've done this correctly), and even if you
got any chance to log in with ssh, you can't enter just "reboot" 'cause the firewall will never come up, until you press "reset".
what's 'bout remote administration? [;)]
why ssh is using version 1? all security-sites advice to use v2 'cause of some implementation errors in v1 and some additional security features in v2...
ext2 filesystem attributes couldn't set also... a +i for already backuped logfiles
and a +a for active-logfiles would be nice too.
the programm "lsof" would be nice, so i can see open files.
btw... i noticed squid is listining @ all devices, why? even the acl was set up right you have the chance to access the squid daemon through the internet...
netfilter/ipchains could be bypassed by some implementation errors by the kernel
set up some rules in /etc/hosts.allow and /etc/hosts.deny would be safe too,
but a simple bind to the internal interface, disables any connection direct from the external interface...
so... just tooked a look over your firewall
so long
-1
[ 15 October 2001: Message edited by: minuseins ]
This thread was automatically locked due to age.
Guest User!
You are not Sophos Staff.
