Wie sicher ist die Personal Firewall?
Ist die Suse 8.0 Personal Firewall in der Grundkonfiguration (mit aktiviertem IP-Forwarding) als relativ sicher anzusehen oder sollte unbedingt die Suse Firewall2 verwendet werden? lg martin
Martin Hochreiter wrote:
Ist die Suse 8.0 Personal Firewall in der Grundkonfiguration (mit aktiviertem IP-Forwarding) als relativ sicher anzusehen oder sollte unbedingt die Suse Firewall2 verwendet werden?
relativ sicher. Die SFW2 brauchst du wenn du z.B. einen lokalen Webserver oder andere Dienste laufen lassen willst. Peter
Am Mittwoch, 11. September 2002 14:11 schrieb Martin Hochreiter:
Ist die Suse 8.0 Personal Firewall in der Grundkonfiguration (mit aktiviertem IP-Forwarding) als relativ sicher anzusehen oder sollte unbedingt die Suse Firewall2 verwendet werden?
hallo Leute, ich habe jetzt meinen router soweit, dass ich von windowsclients ins internet kann. Wenn ich unter yast die firewall aktiviere geht nichts mehr. Frage ist nun: Ist es zu empfehlen, mein Netz mit 25 clients mit der firewall2 unter yast einzurichten? Folgende Dienste sollen laufen: pop3, smtp, httpd. Die Personal Firewall kann ich dazu nicht nehmen? Das Problem ist natürlich, alles muss schnell und sicher gehen, d. h. ich bekomme nicht die Zeit, um mich mit iptables vertraut zu machen. Weiss eine/r Rat? Hans
Hallo Hans, hi Liste,
Am Mittwoch, 11. September 2002 14:11 schrieb Martin Hochreiter:
Ist die Suse 8.0 Personal Firewall in der Grundkonfiguration (mit aktiviertem IP-Forwarding) als relativ sicher anzusehen oder sollte unbedingt die Suse Firewall2 verwendet werden?
hallo Leute, ich habe jetzt meinen router soweit, dass ich von windowsclients ins internet kann. Wenn ich unter yast die firewall aktiviere geht nichts mehr. Frage ist nun: Ist es zu empfehlen, mein Netz mit 25 clients mit der firewall2 unter yast einzurichten?
25 Clients? Ein Firmennetz?
Folgende Dienste sollen laufen: pop3, smtp, httpd. Die Personal Firewall kann ich dazu nicht nehmen? Das Problem ist natürlich, alles muss schnell und sicher gehen, d. h. ich bekomme nicht die Zeit, um mich mit iptables vertraut zu machen. Weiss eine/r Rat?
Alles muß schnell gehen? Dann solltest Du das alles sein lassen. Sicherheit, insbesondere unter Linux, ist keine Sache die schnell geht. Man muß sich schon damit beschäftigen, LogFiles auswerten, Newsgroups lesen etc. Bei einem Netzwerk mit 25 Clients, wo Du evtl. sogar noch die Verantwortung trägst, ist das umso wichtiger. Wenn Du nicht die Zeit hast, dann müßt ihr einen externen beauftragen - so ist es eben. Ebenfalls solltet ihr auch mal in Eurer Firma über Verantwortlichkeiten, Horror-Szenarios und Sicherheits-Policys reden... GreetingZ, Christian ______________________________ http://www.linuxarea.de - .linux related.
Hallo Christian
Am Mittwoch, 11. September 2002 14:11 schrieb Martin Hochreiter:
Ist die Suse 8.0 Personal Firewall in der Grundkonfiguration (mit aktiviertem IP-Forwarding) als relativ sicher anzusehen oder sollte unbedingt die Suse Firewall2 verwendet werden?
hallo Leute, ich habe jetzt meinen router soweit, dass ich von windowsclients ins internet kann. Wenn ich unter yast die firewall aktiviere geht nichts mehr. Frage ist nun: Ist es zu empfehlen, mein Netz mit 25 clients mit der firewall2 unter yast einzurichten?
25 Clients? Ein Firmennetz?
Folgende Dienste sollen laufen: pop3, smtp, httpd. Die Personal Firewall kann ich dazu nicht nehmen? Das Problem ist natürlich, alles muss schnell und sicher gehen, d. h. ich bekomme nicht die Zeit, um mich mit iptables vertraut zu machen. Weiss eine/r Rat?
Alles muß schnell gehen? Dann solltest Du das alles sein lassen. Sicherheit, insbesondere unter Linux, ist keine Sache die schnell geht. Man muß sich schon damit beschäftigen, LogFiles auswerten, Newsgroups lesen etc. Bei einem Netzwerk mit 25 Clients, wo Du evtl. sogar noch die Verantwortung trägst, ist das umso wichtiger.
Wenn Du nicht die Zeit hast, dann müßt ihr einen externen beauftragen - so ist es eben. Ebenfalls solltet ihr auch mal in Eurer Firma über Verantwortlichkeiten, Horror-Szenarios und Sicherheits-Policys reden...
FULL ACK Aber die Situation ist so, dass ich erst beweisen soll, geht das überhaupt mit Linux! Wenn es zufriedenstellend läuft, werde ich darauf hinweisen, wie die Sicherheitsrisiken sind. Es bleibt denen dann überlassen, ob sie sich über die Risiken hinwegsetzen wollen. Aber nun zu meinem Problem: Mit der Firewall2 bekomme ich folgendes log: ----------------------- Sep 11 14: 47 58 router kernel: SUSE-FW-unauthorized-TARGET IN=ippp0 OUT= MAC=SRC=195.20.224.234 DST=217.87.232.164 LEN=73 TOS=0x00 PREC=0x00 TTL=58 ID=6029 PROTO=UDP SPT=53 DPT=1025 LEN=53 --------------------------- Diese Meldung ist eine von vielen Meldungen gleichen Inhalts mit verschiedenen SRC-IP-Nr. aber gleichen DST-IP-Nr. Ich nehme an, das verschiedene DNS abgefragt werden, mit dem selben Resultat: unauthorized-TARGET 195.20.224.234 ist der DNS von puretec DST= ist meine dynamische IP-Nr. nehme ich an. Wie soll ich das verstehen: unauthorized Target. Was habe ich da falsch gemacht? hans
Am Donnerstag, 12. September 2002 10:46 schrieb hjschirmer:
Aber nun zu meinem Problem: Mit der Firewall2 bekomme ich folgendes log: -----------------------
Sep 11 14: 47 58 router kernel: SUSE-FW-unauthorized-TARGET IN=ippp0 OUT= MAC=SRC=195.20.224.234 DST=217.87.232.164 LEN=73 TOS=0x00 PREC=0x00 TTL=58 ID=6029 PROTO=UDP SPT=53 DPT=1025 LEN=53
--------------------------- Diese Meldung ist eine von vielen Meldungen gleichen Inhalts mit verschiedenen SRC-IP-Nr. aber gleichen DST-IP-Nr. Ich nehme an, das verschiedene DNS abgefragt werden, mit dem selben Resultat: unauthorized-TARGET
Offensichtlich erlaubst Du es nicht, dass DNS-Anfragen beantwortet werden, Du musst Eingehende UDP Pakete von Port 53 der IP 195.20.224.234 auf Ports > 1024 deines Rechners erlauben. Da ich nicht mit der SuSE Firewall II vertraut bin, kann ich die Konkreten Einstellungen auch nicht verraten (hab mein eigenes Script, liegt auf meiner Homepage zum Download), aber Du solltest Dir dringendst ein Buch zum Thema Firewall zulegen. Ohne das nötige Basiswissen wirst Du kaum beweisen können, das sich sowas unter Linux realisieren läst. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
hans schirmer wrote:
ich habe jetzt meinen router soweit, dass ich von windowsclients ins internet kann. Wenn ich unter yast die firewall aktiviere geht nichts mehr. Frage ist nun: Ist es zu empfehlen, mein Netz mit 25 clients mit der firewall2 unter yast einzurichten?
Folgende Dienste sollen laufen: pop3, smtp, httpd.
Bitte bei einer FW Frage dazuschreiben, ob du diese Dienste anbieten oder nur nutzen willst.
Die Personal Firewall kann ich dazu nicht nehmen?
Bei einfacher Nutzung durch die 25 Clients reicht die personal-Firewall. "less /etc/sysconfig/personal-firewall"
Das Problem ist natürlich, alles muss schnell und sicher gehen, d. h. ich bekomme nicht die Zeit, um mich mit iptables vertraut zu machen. Weiss eine/r Rat?
Zeit braucht man dafuer schon. "Schon mal im Schlaf probiert?" Gerade bei der FW2. Wenn du da nicht durchblickst und zuviel erlaubst, kannst du die auch gleich weglassen. Oder Know-How von aussen kaufen oder mieten. Peter
Danke Peter für Deine Antwort:
hans schirmer wrote:
ich habe jetzt meinen router soweit, dass ich von windowsclients ins internet kann. Wenn ich unter yast die firewall aktiviere geht nichts mehr. Frage ist nun: Ist es zu empfehlen, mein Netz mit 25 clients mit der firewall2 unter yast einzurichten?
Folgende Dienste sollen laufen: pop3, smtp, httpd.
Bitte bei einer FW Frage dazuschreiben, ob du diese Dienste anbieten oder nur nutzen willst.
Der Router soll die Dienste anbieten und die Clients sie nutzen. Aber ich verstehe die Frage nicht ganz richtig. Wie und wo muss ich diese Unterscheidung berücksichtigen? Hans
hjschirmer wrote:
hans schirmer wrote:
ich habe jetzt meinen router soweit, dass ich von windowsclients ins internet kann. Wenn ich unter yast die firewall aktiviere geht nichts mehr. Frage ist nun: Ist es zu empfehlen, mein Netz mit 25 clients mit der firewall2 unter yast einzurichten?
Folgende Dienste sollen laufen: pop3, smtp, httpd.
Bitte bei einer FW Frage dazuschreiben, ob du diese Dienste anbieten oder nur nutzen willst.
Der Router soll die Dienste anbieten und die Clients sie nutzen. Aber ich verstehe die Frage nicht ganz richtig.
Diagramm A) +--------+ +--------+ /-_-_--___-\ +--------+ | Client |-------| Router |-----| Internet |---| Server | +--------+ +--------+ \--__-__--_/ +--------+ Diagramm B) +--------+ | Client |-\ +--------+ | +--------+ /-_-_--___-\ +--------+ +-----| Router |-----| Internet |---| Client | +--------+ | +--------+ \--__-__--_/ +--------+ | Server |-/ +--------+ Peter
Hallo Peter,
hjschirmer wrote:
hans schirmer wrote:
ich habe jetzt meinen router soweit, dass ich von windowsclients ins internet kann. Wenn ich unter yast die firewall aktiviere geht nichts mehr. Frage ist nun: Ist es zu empfehlen, mein Netz mit 25 clients mit der firewall2 unter yast einzurichten?
Folgende Dienste sollen laufen: pop3, smtp, httpd.
Bitte bei einer FW Frage dazuschreiben, ob du diese Dienste anbieten oder nur nutzen willst.
Der Router soll die Dienste anbieten und die Clients sie nutzen. Aber ich verstehe die Frage nicht ganz richtig.
Diagramm B)
+--------+ | Client |-\ +--------+ | +--------+ /-_-_--___-\ +--------+ +-----| Router |-----| Internet |---| Client | +--------+ | +--------+ \--__-__--_/ +--------+ | Server |-/ +--------+
Dss muss es sein. Auf dem Server läuft noch ein Indianer fürs Intranet. Der Router läuft sendmail, fetchmail, DNS fürs Intranet. Hans
hjschirmer wrote:
hjschirmer wrote:
hans schirmer wrote:
ich habe jetzt meinen router soweit, dass ich von windowsclients ins internet kann. Wenn ich unter yast die firewall aktiviere geht nichts mehr. Frage ist nun: Ist es zu empfehlen, mein Netz mit 25 clients mit der firewall2 unter yast einzurichten?
Folgende Dienste sollen laufen: pop3, smtp, httpd.
Bitte bei einer FW Frage dazuschreiben, ob du diese Dienste anbieten oder nur nutzen willst.
Der Router soll die Dienste anbieten und die Clients sie nutzen. Aber ich verstehe die Frage nicht ganz richtig.
Diagramm B)
+--------+ | Client |-\ +--------+ | +--------+ /-_-_--___-\ +--------+ +-----| Router |-----| Internet |---| Client | +--------+ | +--------+ \--__-__--_/ +--------+ | Server |-/ +--------+
Dss muss es sein.
Auf dem Server läuft noch ein Indianer fürs Intranet. Der Router läuft sendmail, fetchmail, DNS fürs Intranet.
Dann muss es die SuSEfirewall2 sein. Mit der personal-firewall ist das nicht zu realisieren. Und die SFW2 ist fuer die Groesse auch geeignet. /usr/share/doc/packages/SuSEfirewall2/EXAMPLES Scenario 5 Wahrscheinlich bei dir noch ohne DMZ. Fuer die Freigabe der Dienste auf dem Router siehe Scenario 2. Peter
participants (6)
-
Christian
-
HansJuergenSchirmer@t-online.de
-
hjschirmer
-
Manfred Tremmel
-
Martin Hochreiter
-
Peter Wiersig