Absicherung Heimnetzwerk
Hallo, nachdem der Ruf meiner Freundin nach einem lokalen Webserver zum Testen immer lauter wird (ihre Windowspartition ist fürs Internet gesperrt und die Umbooterei zu Linux kostet halt immer Zeit) will ich gleich mal einen größeren Umschwung machen und den neuen Rechner alls Allgemeinsklaven (LAMP, Samba, Datensicherung, CUPS, Mail, etc.) konfigurieren. Allerdings stellt sich mir jetzt die Frage, wie ich das am besten nach außen absichere. Bis jetzt habe ich einen fli4l-Router am Laufen, der zwar wunderbar routet, allerdings soll es da ja mit der Sicherheit nicht allzu dolle sein. War bis jetzt egal, da keine Dienste im Netz verfügbar waren. Nun schwanke ich zwischen einer Lösung ala Astaro oder doch dem selbstgestrickten Minimalsystem. Vielleicht hat ja jemand von Euch ein paar Tips oder Hinweise, die mir die Entscheidung erleichtern, verfügbare Hardware wäre ein Pentium 200 MHz mit 128 MB RAM und einer 2 GB Platte (was eigentlich gegen die Astaro-Variante spricht, aber ansonsten machte das Ganze auf mich einen ganz brauchbaren Eindruck). Rüdiger
On Friday 31 January 2003 18:21, Ruediger Nitzsche wrote:
Allerdings stellt sich mir jetzt die Frage, wie ich das am besten nach außen absichere. Bis jetzt habe ich einen fli4l-Router am Laufen, der zwar wunderbar routet, allerdings soll es da ja mit der Sicherheit nicht allzu dolle sein. War bis jetzt egal, da keine
Wieso soll der mit der Sicherheit "nicht allzu dolle sein"? Was erwartest du von einem Linux-basierten Router mit Masquerading und Paketfilter?
Dienste im Netz verfügbar waren. Nun schwanke ich zwischen einer Lösung ala Astaro oder doch dem
Astaro kenne ich nicht.
selbstgestrickten Minimalsystem. Vielleicht hat ja jemand von Euch ein paar Tips oder Hinweise, die mir die Entscheidung erleichtern, verfügbare Hardware wäre ein Pentium 200 MHz mit 128 MB RAM und einer 2 GB Platte (was eigentlich gegen die Astaro-Variante spricht, aber ansonsten machte das Ganze auf mich einen ganz brauchbaren Eindruck).
Eine Alternative wäre noch IP Cop: http://ipcop.org/cgi-bin/twiki/view/IPCop/WebHome Ingo -- Diese Nachricht wurde mit einer Taschenlampe in das offen liegende Ende eines Glasfaserkabels gemorst.
Ingo Janzer schrieb am Freitag, 31. Januar 2003 18:33:
On Friday 31 January 2003 18:21, Ruediger Nitzsche wrote:
Allerdings stellt sich mir jetzt die Frage, wie ich das am besten nach außen absichere. Bis jetzt habe ich einen fli4l-Router am Laufen, der zwar wunderbar routet, allerdings soll es da ja mit der Sicherheit nicht allzu dolle sein.
Wieso soll der mit der Sicherheit "nicht allzu dolle sein"? Was erwartest du von einem Linux-basierten Router mit Masquerading und Paketfilter?
Ich erwarte möglichst keine Angriffsflächen, auch wenn es für den Hausgebrauch wahrscheinlich ziemlicher Overkill ist und Kernel und DNS von fli4l wurden in einigen Diskussionen im Usenet von Leuten in Zweifel gezogen, die ich als äußerst kompetent einschätze (Lutz Donnerhacke z.B.). Wahrscheinlich werde ich aber wirklich selber anfangen zu basteln, der Lerneffekt ist da immer noch am größten und darum geht es mir auch bei der Sache. Rüdiger
Hallo Ruediger, * Ruediger schrieb am 31.01.2003:
Ingo Janzer schrieb am Freitag, 31. Januar 2003 18:33:
On Friday 31 January 2003 18:21, Ruediger Nitzsche wrote:
Allerdings stellt sich mir jetzt die Frage, wie ich das am besten nach außen absichere. Bis jetzt habe ich einen fli4l-Router am Laufen, der zwar wunderbar routet, allerdings soll es da ja mit der Sicherheit nicht allzu dolle sein.
Wieso soll der mit der Sicherheit "nicht allzu dolle sein"? Was erwartest du von einem Linux-basierten Router mit Masquerading und Paketfilter?
Ich erwarte möglichst keine Angriffsflächen, auch wenn es für den Hausgebrauch wahrscheinlich ziemlicher Overkill ist und Kernel und
Würde ich nicht sagen, dass das Overkill ist. Du brauchst nur ungewollt Mitglied einer DoS-Attacke zu sein, das wäre sehr, sehr peinlich. Ausserdem ist dies auch die ergiebigste Angriffsfläche für die "bösen Jungs", heute in der Zeit von Breitbandzugängen. Es gibt keinen nennenswerten Grund, *keine* Firewall zu installieren. Läuft sie einmal richtig sauber, läuft sie immer, und sie stört Dich nicht. Und Du kannst beruhigt ausser Haus gehen, ohne Dir Sorgen um Deine Daten zu machen :-)) [...]
Wahrscheinlich werde ich aber wirklich selber anfangen zu basteln, der Lerneffekt ist da immer noch am größten und darum geht es mir auch bei der Sache.
Stimmt. Allerdings sollte man trotzdem noch nachfragen, sonst verbeisst man sich und ***. Gruesse, Thomas
Hallo Rüdiger Am Freitag, 31. Januar 2003 18.21 schrieb Ruediger Nitzsche:
Nun schwanke ich zwischen einer Lösung ala Astaro oder doch dem selbstgestrickten Minimalsystem.
Ich hatte am Anfang eine selbstgestrickte (SuSE 7.3 mit iptables), danach Astaro für 6 Monate (ohne reboot...) und jetzt eine IPCop im Betrieb. Die Astaro bietet mehr Optionen, braucht aber auch mehr Aufwand bis es mal läuft. Die aktuelle ist ein 266 MHz AMD mit 128MB + 4 GB Platte (wegen Proxy). Habe 3 Netzwerkkarten drin, so dass der Webserver nicht im LAN drinnen ist. Würde aber bei deinem Plan nicht so gut funktionieren, da du ja einen ALL-IN-ONE bauen willst. Sonst bin ich mit IPCop am Meisten zufrieden. Habe testmässig auch schon mal mit Mandrake Firewall 8.2 gespielt, lief jedoch nicht alles auf Anhieb und da hab ich wieder aufgegeben, wobei diese jedoch um einiges professioneller ist! Gruss Dani
Hallo, am 31 January 2003 um 17:21 schrieb Ruediger Nitzsche:
Pentium 200 MHz mit 128 MB RAM und einer 2 GB Platte (was eigentlich gegen die Astaro-Variante spricht, aber ansonsten machte das Ganze auf mich einen ganz brauchbaren Eindruck).
also probier mal Astaro. Ich persoenlich mit relativ begeistert davon. Ich habe die Privat im einsatz und ausserdem einem lizensiert fuer einen Bekannten (Firma). Ip-Cop ist natuerlich deutlich eingeschraenkter, sollte jedoch fuer die reine Sicherheit ausreichen. Was mich ein wenig stoert, ist die in meinen Augen sehr langsame Entwicklung. Und Bitte, Bitte, Bitte verwende NICHT Smoothwall. Der Typ, die Mannschaft ist sowas von zum kotzen. Ich hatte das Privat und fuer unsere Firma (arbeite in London, dachte mir, ne englische Firma kann ja nicht schaden). Der groesste Flop aller Zeiten.... (google nach smoothwall und fuck suchen). cu stonki -- Deutsche ProFTPD Doku: www.proftpd.de Renamer for KDE: www.krename.net Barcode Solution for KDE: www.kbarcode.net
On Saturday 01 February 2003 00:13, Thomas Preissler wrote:
Ich erwarte möglichst keine Angriffsflächen, auch wenn es für den Hausgebrauch wahrscheinlich ziemlicher Overkill ist und Kernel und
Würde ich nicht sagen, dass das Overkill ist. Du brauchst nur ungewollt Mitglied einer DoS-Attacke zu sein, das wäre sehr, sehr peinlich. Ausserdem ist dies auch die ergiebigste Angriffsfläche für die "bösen Jungs", heute in der Zeit von Breitbandzugängen.
Es gibt keinen nennenswerten Grund, *keine* Firewall zu installieren. Läuft sie einmal richtig sauber, läuft sie immer, und sie stört Dich nicht. Und Du kannst beruhigt ausser Haus gehen, ohne Dir Sorgen um Deine Daten zu machen :-))
Das habe ich ja auch gar nicht angezweifelt. Meine Frage zielte lediglich darauf, warum fli4l nicht gut genug sein soll (nutze ich nämlich selber :-) ). Der Overkill bezog sich darauf, den Kernel selber zu basteln und damit die vermeintlichen Schwächen des fli4l-Kernels zu umgehen. Ingo -- Diese Nachricht wurde mit einer Taschenlampe in das offen liegende Ende eines Glasfaserkabels gemorst.
Am Sam, 2003-02-01 um 14.42 schrieb Ingo Janzer:
On Saturday 01 February 2003 00:13, Thomas Preissler wrote:
Ich erwarte möglichst keine Angriffsflächen, auch wenn es für den Hausgebrauch wahrscheinlich ziemlicher Overkill ist und Kernel und
Würde ich nicht sagen, dass das Overkill ist. Du brauchst nur ungewollt Mitglied einer DoS-Attacke zu sein, das wäre sehr, sehr peinlich. Ausserdem ist dies auch die ergiebigste Angriffsfläche für die "bösen Jungs", heute in der Zeit von Breitbandzugängen.
Es gibt keinen nennenswerten Grund, *keine* Firewall zu installieren. Läuft sie einmal richtig sauber, läuft sie immer, und sie stört Dich nicht. Und Du kannst beruhigt ausser Haus gehen, ohne Dir Sorgen um Deine Daten zu machen :-))
Das habe ich ja auch gar nicht angezweifelt.
Meine Frage zielte lediglich darauf, warum fli4l nicht gut genug sein soll (nutze ich nämlich selber :-) ).
Das würde mich auch interesieren.
Der Overkill bezog sich darauf, den Kernel selber zu basteln und damit die vermeintlichen Schwächen des fli4l-Kernels zu umgehen.
Ingo
-- Diese Nachricht wurde mit einer Taschenlampe in das offen liegende Ende eines Glasfaserkabels gemorst. -- Frank Richter
richter
Frank Richter schrieb am Samstag, 1. Februar 2003 15:34:
Am Sam, 2003-02-01 um 14.42 schrieb Ingo Janzer:
Meine Frage zielte lediglich darauf, warum fli4l nicht gut genug sein soll (nutze ich nämlich selber :-) ).
Das würde mich auch interesieren.
Google mal nach fli4l und Donnerhacke, da gab es einen Monsterthread zu dem Thema in de.comp.security.firewall (176 Beiträge), darauf habe ich mich bezogen. Gruß Rüdiger
Stefan Onken schrieb am Samstag, 1. Februar 2003 11:19:
am 31 January 2003 um 17:21 schrieb Ruediger Nitzsche:
Pentium 200 MHz mit 128 MB RAM und einer 2 GB Platte (was eigentlich gegen die Astaro-Variante spricht, aber ansonsten machte das Ganze auf mich einen ganz brauchbaren Eindruck).
also probier mal Astaro. Ich persoenlich mit relativ begeistert davon. Ich habe die Privat im einsatz und ausserdem einem lizensiert fuer einen Bekannten (Firma).
Auf was für einem Rechner hast Du die denn laufen? Auf deren Homepage stand was von 400 MHz für einen vernünftigen Betrieb, oder gilt das nur beim Einsatz von VPN?
Und Bitte, Bitte, Bitte verwende NICHT Smoothwall. Der Typ, die Mannschaft ist sowas von zum kotzen. Ich hatte das Privat und fuer unsere Firma (arbeite in London, dachte mir, ne englische Firma kann ja nicht schaden). Der groesste Flop aller Zeiten....
Das hatte ich auch nicht vor, habe damals bei Heise mitgekriegt, was da abgelaufen ist, klang sehr arrogant und ignorant, deshalb lasse ich da sowieso die Hände von. Rüdiger
Hallo, am 01 February 2003 um 14:46 schrieb Ruediger Nitzsche:
Auf was für einem Rechner hast Du die denn laufen? Auf deren Homepage stand was von 400 MHz für einen vernünftigen Betrieb, oder gilt das nur beim Einsatz von VPN? naja, schon "besser" als Deiner. Aber probieren kann man ja.. firewall:/proc # less cpuinfo model name : Pentium II (Deschutes) cpu MHz : 448.806 cache size : 512 KB
firewall:/proc # less meminfo total: used: free: shared: buffers: cached: Mem: 130236416 120487936 9748480 0 67121152 25509888 Swap: 268427264 12464128 255963136 MemTotal: 127184 kB "w" gibt eine max load im Moment von 0.17 raus.
Das hatte ich auch nicht vor, habe damals bei Heise mitgekriegt, was da abgelaufen ist, klang sehr arrogant und ignorant, deshalb lasse ich da sowieso die Hände von. In Realitaet ist das noch schlimmer. Ich habe sogar mal mit ihm telefoniert.... Also Pol Pot war ausgeglichen dagegen...
cu stonki -- Deutsche ProFTPD Doku: www.proftpd.de Renamer for KDE: www.krename.net Barcode Solution for KDE: www.kbarcode.net
participants (6)
-
Daniel Berger
-
Frank Richter
-
Ingo Janzer
-
Ruediger Nitzsche
-
Stefan Onken
-
Thomas Preissler