R. C. Graulich schrieb:
Hallo,
Am Sonntag, 23. Dezember 2007 schrieb Steffen Dettmer:
* R. C. Graulich wrote on Sun, Dec 23, 2007 at 19:21 +0100:
Ich plane ein mittelgroßes Netz (50++ homogene Clients), derzeit allein mit w2k3-Server, um eine DMZ mit interner und externer Firewall zu erweitern. wie dick ist der uplink?
Falsche Frage;-) es handelt sich um aDSL 6000. Mehr ist nicht drin.
Für die externe Firewall stehen mir alternativ ein einfacher Router (D-Link) und/oder ein älterer PC mit OSS-10.3 (Oss ist mir lediglich vertrauter als slackware/Debian) zur Verfügung. Der Router kann DynDNS und hat eine komfortabel konfigurierbare Firewall. Was würdet ihr vorziehen und warum? Ist mit "Firewall" hier lediglich ein Paketfilter gemeint? Wird Masquerading verwendet? Wenn ja, könnte der D-Link Router ja eventuell tatsächlich reichen; portforwarding ähnliche Sonderregeln, die man für die DMZ braucht, müsste er natürlich unterstützen. Wenn er reicht, würde ich ihn nehmen, weil einfacher.
Masquerading steht noch nicht genau fest. Hängt vom Proxy ab, und davon, ob auch "fremde" Benutzer mit ihren Notebooks ohne Domainen Account in das Internet dürfen.
wenn Fremde reindürfen...vergiss alles, was du über Sicherheit geschrieben hast! entweder extra Netz.. oder ist eh alles zu spät...
Für die Interne Firewall soll ein relativ schneller PC als Gateway, ebenfalls mit OSS 10.3 eingesetzt werden. FÜr einen Paketfilter an einer nicht allzufetten Leitung (wenns um ein paar wenige MBit geht) braucht man vermutlich gar nicht unbedingt einen schnellen PC. Kommt aber auf vieles an. Könnte mir vorstellen, dass ein aktuelles Firewallscript schnell automatisch (mehr oder weniger ungewollt) Tausende von Regeln erzeugt. Wenn man mehrere MBit VPN mit starker Verschlüsselung machen möchte, sollte die Rechenleistung natürlich auch nicht zu knapp sein.
na ja ist doch egal, wieviel Regeln, wenn immer die dritte Regel trifft! Für ein Paketfilter reicht eigentlich (fast) alles, was an Hardware da ist (wenn sie nich aus dem Museum kommt...)
VPN wird bestenfalls von mir zur gelegentlichen Fernwartung des W2k3 Servers genutzt. Der gewollte Zugriff von außen ist ansonsten eher die Ausnahme. Eigentlich wird nur die Fernwartung (vpn/ssh) benötigt.
Der Apache2 in der DMZ ist für eine noch zu schaffende Groupwarelösung angedacht und dient ansonsten kleinen Entwicklungsprojekten. Er könnte natürlich auch im LAN stehen, doch sollen hier die Schülern das Konzept einer DMZ kennenlernen.
na ja .. eigentlich mache ich eine DMZ, um von aussen ereichbar zu sein....gut ja Veranstaltungskalender usw. geht da...
..... Ich würde das ältere dann als Firewall verwenden. Meist meint man ja damit eher einfache Paketfilter. Dafür braucht man bei kleineren uplinks (wenige MBit) keine besonders grosse CPU. Wenn man verschlüsseln muss und/oder ein sehr komplexes Setup hat, würde ich natürlich unbedingt einen Performance-Test machen (die Scripte dann natürlich unbedingt aufheben).
Was sind eure Erfahrungen? Je einfacher, desto besser die Chancen, dass etwas funktioniert. Keep it simple, stupid.
Ja, das sehe ich eigentlich auch so und wenn ich es auch nirgends so sehe ...
Ehmm openvpn auf p2/500Mhz mit 128 MB RAM schafft die 800Kbis upload (hier) locker...mit mehreren Nutzern...also: ein IPCOP mit Openvpn, squid drauf...
Das gilt auch für die Konfiguration. Wenige Dienste, einfache Regeln usw. Wird ja schnell unübersichtlich. Manchmal werden Sachen einfach, wenn man statt 2 auch mal 3 oder 4 Netzwerkkarten einbaut (da kann man die Zugriffsbereiche segmentieren, ohne intelligenten Switches programmieren zu müssen etc).
Das währe machbar und doch nicht nötig. Könnte mal erforderlich sein, wenn wirklich alle Schüler mit ihren eigenen Notebooks über das Schulnetz in das Internet wollten.
wenn du alle möglichen Trojaner in deinem Netz loslassen können darfst... nur zu ... nicht dass es so kommen muss..aber du hast es gewollt! sonst muss das alles in ein anderes Netz....
Als Paketfilter müsste ich auch gar nicht unbedingt SuSE nehmen wollen. Lieber was kleines. Da gibts ja etliche Projekte. Würde das Filesystem vielleicht sogar auf DVD brennen (man kann ja ne RW nehmen), schwieriger zu manipulieren, wenn gehackt, da gabs Projekte, hab leider gerade keinen Namen im Kopf. Vielleicht geht das auch mit http://leaf.sourceforge.net/ oder OpenWRT.
Da hatte ich auch schon drüber nachgedacht, falls es eine reine Firewall werden sollte.
die Frage ist eher... wie gut du http/https filtern musst ...eigentlich ja (Jugendschutzgesetz)..praktisch: keine Ahnung...
Hat man mehrere einfache und von einander unabhängige Teile (z.B. Router/Firewalls/Server), kann man die oft einfacher administrieren. Man updated dann nur den Paketfilter usw. Sonst (all-in-one) hat man vielleicht das Problem, dass man den Paketfilter nicht aktualisieren kann, weil das neue PHP dann die Anwendung XYZ nicht mehr richtig ausführt (gut ist, wenn mans voher weiss, weil man es wirklich getestet hat :)). Daher finde ich die Idee mit den dedizierten (ggf. virtuellen) Servern gut. Wenn am Ende die Anwendung XYZ dann heute noch auf SuSE 8.2 laufen muss, störts ja kaum, wenn man der Firewall trauen kann, weil da alle patches (und möglichst wenig) drauf sind.
Das stimmt natürlich und wehe man übersieht dann den einen oder anderen Patch im alltäglichen Stress der Nichtigkeiten.
ach was... die Hälfte aller Patches interessiert dich gar nicht... wobei... man kann das manchmal auch im Hintergund laufen lassen (bei Susi)
Wenn es um ein "normales Netz" geht, reicht das oft vermutlich schon. Für höheren Schutzbedarf muss man zusehen, dass keine Verbindung direkt nach aussen oder gar umgekehrt möglich ist. Ob die DMZ unter diese Regel fällt oder nicht und wie im Detail, muss man sehen. Intern müsste dann jedenfalls *alles* über einen entsprechenden Proxy.
Ein Proxy erscheint mir sehr wahrscheinlich. Derzeit teste ich gerade, ob der eine gewisse Performancesteigerung bringt. Ich erwarte das, weil die üblichste Nutzung so aussieht: 30 Clients starten dieselben Abfragen (Google, Wiki, etc.) nahezu gleichzeitig, weil alle Schüler in etwa die gleiche Aufgabe abarbeiten.
squid als Filter...
Ob man da Virenscan mit einbaut oder nicht, muss man sehen (das ständige geupdate ist zumindestens theoretisch eine ziemliche Sicherheitsgefahr).
Virenscannern traue ich per se nicht. Die zerschossen mir regelmäßig wichtige Systemkomponenten (winlogon.exe, winvnc.exe, etc.) und jeder traut den Dingern mehr als dem eigenen Verstand ...
ach ja ? Hier ist das noch nie passiert..
Bei HTTP und Mail ist ein Proxy noch eher einfach (kommt natürlich sehr drauf an, wieviel funktionieren muss und was man verbieten möchte etc).
Da bin ich der Auffassung, dass Zensur nicht stattfinden sollte. Also per se ist alles erlaubt. Unsere Schüler sollen ja aufgeklärte Erwachsene werden und lernen, mit dem Internet sinnvoll umzugehen. Der Proxy macht nur als Cache Sinn, da die DSL-Leitung eher als dünn denn als dick zu bezeichnen ist.
Dein Wort in Staatsanwalts Gehörgang.... besonders wenn eDonkey oder so was auf den mitgebrachten Rechnern läuft.... oder ein Botnet.
Für Mail kann man einen kleinen Mailserver nehmen (was evtl. gegen zu kleine Linuxe wie OpenWRT sprechen könnte). Na ja, und dann muss man sehen, was für Protokolle man wie filtern können muss. Manchmal ist sowas wie SOCKS akzeptabel, manchmal nur für bestimmte Benutzer (wenn man sich den am Paketfilter anmelden kann, was mit Boardmitteln vermutlich erstmal nicht mehr) oder für bestimmte PC (also IPs, geht evtl. in einem einfachen Windows-Netz, da hat ja oft jeder "seinen" PC).
Mail ist kein so dringlicher Service. Aus (fernmelde-)rechtlichen Gründen wird es in absehbarer Zeit erstmal keine eigenen Mail-Dienste im LAN geben.
fernmelderechtlichen Gründen ??? also - bei Mail ist nun das Allereinfachste es so zu regeln , dass es KEIN privates Postfach ist...
(die kurze Antwort ist also "hängt davon ab",
ja, die Antwort habe ich oft selbst parat. ;-) Dennoch ist so ein Brainstorming hilfreich, da man sich über seine eigenen Ziele mal selbst klarer werden kann. Wie gesagt, mit Kollegen kann ich Fragen zur IT-Struktur kaum erörtern.
aber das ist wohl wenig hilfreich :))
Im Gegenteil Danke!
na dann los... typischerweise fangen wir erst mal und und überlegen nach längerer Zeit, was wir überhaupt wollen... Jedenfalls meine Erfahrung in kleineren Unternehmen.... Gruss Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org