Hallo zusammen, ch betreibe bei uns in der Firma eine Linux-Firewall um das LAN an's WAN anzubinden. Aus Sicherheitsgründen habe ich alle Ports größer 1024 gesperrt. Nun hängt jedoch noch der Sohn meiner Chefin mit im Netzt und der möchte natürlich gerne diverse Spiele über's Internet machen und da ich bis vor all zu langer Zeit selbst noch die Zeit zm spielen hatte kann ich das auch gut verstehen. Natürlich möchte ich jedoch auch nicht die Sicherheit der Firma gefärden. Gibt es eine Möglichkeit diese Spiele zu erlauben und trotzdem kein unnötiges Sicherheitsrisiko einzugehen? Besteht evtl. die Möglichkeit dies Games über einen Proxy zu betreiben, ähnlich wie ICQ halbwegs sicher betrieben wird? Viele Grüße Sven
On Tuesday 20 July 2004 11:51, Sven Gehr wrote:
Gibt es eine Möglichkeit diese Spiele zu erlauben und trotzdem kein unnötiges Sicherheitsrisiko einzugehen? Besteht evtl. die Möglichkeit dies Games über einen Proxy zu betreiben, ähnlich wie ICQ halbwegs sicher betrieben wird?
Das Stichwort heißt "stateful filtering", d.h., Du brauchst überhaupt keine Verbindungsanfragen von außen zu erlauben sondern der Paketfilter merkt sich "Aha, hier wird eine Verbindung von intern aufgebaut - alle Pakete die im Rahmen dieser Verbindung wieder zurückkommen lasse ich rein". Wie das mit Linux (ipchains, iptables) geht, kann ich Dir leider nicht sagen, da ich ipf (NetBSD) verwende. Aber daß es geht, das weiß ich. ;-) Martin
Am Dienstag, 20. Juli 2004 11:51 schrieb Martin Schmitz:
On Tuesday 20 July 2004 11:51, Sven Gehr wrote:
Gibt es eine Möglichkeit diese Spiele zu erlauben und trotzdem kein unnötiges Sicherheitsrisiko einzugehen? Besteht evtl. die Möglichkeit dies Games über einen Proxy zu betreiben, ähnlich wie ICQ halbwegs sicher betrieben wird?
Das Stichwort heißt "stateful filtering", d.h., Du brauchst überhaupt
Wenn du auf der Firewall SuSEfirewall einsetzt, sollte das eigentlich sowieso schon gehn. Fragt sich aber ob das so sinnvoll ist, daß der Junior im Firmennetz sitzt und zockt... bye, MH
On Tuesday 20 July 2004 11:51, Sven Gehr wrote:
Gibt es eine Möglichkeit diese Spiele zu erlauben und trotzdem kein unnötiges Sicherheitsrisiko einzugehen? Besteht evtl. die Möglichkeit dies Games über einen Proxy zu betreiben, ähnlich wie ICQ halbwegs sicher betrieben wird?
Was spricht dagegen allen anderen per IPTABLES Zugriff auf die Highports zu verweigern und NUR dem Junior per IP den Zugriff zu erlauben. Dafür müsstest Du die SuSEFirewall um Dein Script erweitern. Ich glaube am Ende der Datei kann man auf seine eigenen Scripte verweisen.
Das Stichwort heißt "stateful filtering", d.h., Du brauchst überhaupt keine Verbindungsanfragen von außen zu erlauben sondern der Paketfilter merkt sich "Aha, hier wird eine Verbindung von intern aufgebaut - alle Pakete die im Rahmen dieser Verbindung wieder zurückkommen lasse ich rein". Wie das mit Linux (ipchains, iptables) geht, kann ich Dir leider nicht sagen, da ich ipf (NetBSD) verwende. Aber daß es geht, das weiß ich. ;-)
Da hat er recht, IPTABLES kann stateful filtering. :) Gruß Alex
Am Dienstag, 20. Juli 2004 11:51 schrieb Sven Gehr:
Hallo zusammen,
ch betreibe bei uns in der Firma eine Linux-Firewall um das LAN an's WAN anzubinden. Aus Sicherheitsgründen habe ich alle Ports größer 1024 gesperrt. Nun hängt jedoch noch der Sohn meiner Chefin mit im Netzt und der möchte natürlich gerne diverse Spiele über's Internet machen und da ich bis vor all zu langer Zeit selbst noch die Zeit zm spielen hatte kann ich das auch gut verstehen. Natürlich möchte ich jedoch auch nicht die Sicherheit der Firma gefärden.
Gibt es eine Möglichkeit diese Spiele zu erlauben und trotzdem kein unnötiges Sicherheitsrisiko einzugehen? Besteht evtl. die Möglichkeit dies Games über einen Proxy zu betreiben, ähnlich wie ICQ halbwegs sicher betrieben wird?
Da sehe ich Probleme. Je nach Spiel gibt es Probleme mit der Firewall und ein Proxy verlangsamt die Reaktionszeit. Ist aber stark vom jeweiligen Game abhängig (Shooter, Strategie, etc). Die meisten Gamer in meinem Bekanntenkreis verzichten aus Performancegründen auf all die kleinen Sicherheitsprogramme und installieren im Fall der Fälle lieber mal neu. Such Dir über Google mal ein paar Online-Spiele-Seiten raus, indem Du mal speziell nach den Spielen des Kiddis suchst. Meist gibt es da auch technische Foren, die durchaus auch kompetente Leute besuchen und nicht nur unwissende Kids. Grüße René
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 René Falk wrote: | Am Dienstag, 20. Juli 2004 11:51 schrieb Sven Gehr: | | | [firewall & spiele] | | [rtt] Die Verzögerung der RTT durch eine Firewall ist imho vernachlässigbar. Das Sperren der High-Ports kann man diskutieren. Die Frage ist, was damit erreicht werden soll: Ausgehende Verbindungen sperren mag gegen Trojaner helfen, die "nach Hause telefonieren"; aber diese können genau so gut über Port 80 und einen Proxy kommunizieren oder ICMP, DNS, was weiss ich. Gegen eingehende Verbindungen schützt dich soweit erstmal dein NAT, da brauchen wir noch gar nicht über Stateful Inspection reden. Mach dir Gedanken was du haben willst und warum und welche Ports zu sperren willst und entscheide dann. Gruß, - -- *Benjamin Schweizer* | dsb AG -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFA/PI2YZjnj8Rsf/kRAqRAAJ9aTlIb+LF1R3rc3rN2W/sGXnABrACeKdN3 dH4ai2uOMFwDqeZpClEQlqE= =v8XI -----END PGP SIGNATURE-----
Hallo, Sven Gehr wrote:
ch betreibe bei uns in der Firma eine Linux-Firewall um das LAN an's WAN anzubinden. Aus Sicherheitsgründen habe ich alle Ports größer 1024 gesperrt.
Soweit ich das Linux-IP-Masquerading-Konzept bisher verstanden habe, ist das gar nicht nötig. Ports auf denen nichts horcht, müssen nicht explizit geschlossen werden. Oder gibt es einen anderen Grund, warum du explizit alles über diese Ports verbietest?
Nun hängt jedoch noch der Sohn meiner Chefin mit im Netzt und der möchte natürlich gerne diverse Spiele über's Internet machen [...]
Gibt es eine Möglichkeit diese Spiele zu erlauben und trotzdem kein unnötiges Sicherheitsrisiko einzugehen? Besteht evtl. die Möglichkeit dies Games über einen Proxy zu betreiben, ähnlich wie ICQ halbwegs sicher betrieben wird?
Ich kenne kein Spiel, das von sich aus mit Proxy's umgehen kann. Allerdings findet man hin und wieder mal einen Socks-Wrapper für ein Spiel, dass es erlaubt, einen Socks-Proxy für den Internetzugang zu nutzen. Wobei das dann auch wieder erfordert, dass du die Blokade von Traffic über die hohen Ports entfernst. Was evtl. für dein Konzwpt wichtig ist: Kaum ein Spiel erfordert zwingend, dass man irgend welche Ports an den Spielrechner weiterleitet. Mitspielen kann man für gewöhnlich immer. Nur wenn der Rechner selbst als Spiele-Host auftreten soll, müssen Portforwardings eingerichtet werden. Spiele die auch zum Teilnehmen Portforwardings brauchen gehören eingestampft und die Entwickler bei Wasser und Brot weggesperrt, dann wurde nämlich schlicht und ergreifend beim Netcode müll fabriziert. Was du allerdings tun solltest: Entweder des Sohnemannes Rechner vom Firmennetzwerk abschotten oder die Herrschaft über den Rechner übernehmen (Virenscanner installieren und aktuell halten, sowie dafür sorgen das der User den nicht abstellen kann). Sonst surft der dir noch einen Trojaner ins Netz. HTH, Damian Philipp
Am Dienstag, 20. Juli 2004 12:38 schrieb Damian Philipp:
Hallo,
Sven Gehr wrote:
ch betreibe bei uns in der Firma eine Linux-Firewall um das LAN an's WAN anzubinden. Aus Sicherheitsgründen habe ich alle Ports größer 1024 gesperrt.
Soweit ich das Linux-IP-Masquerading-Konzept bisher verstanden habe, ist das gar nicht nötig. Ports auf denen nichts horcht, müssen nicht explizit geschlossen werden. Oder gibt es einen anderen Grund, warum du explizit alles über diese Ports verbietest?
Weil man sich zum Zeitpunkt (A) nicht zu 250% sicher sein kann, daß nicht zu irgendeinem späteren Zeitpunkt (B) irgendein Programm auf einem der hohen Ports lauscht, ohne daß man davon weiß? Was du auf jeden Fall tun solltest, schon allein um dich vor späteren eventuellen Repressalien zu schützen: 1. Setze ein Schriftstück auf, in dem du ausdrücklich auf die Tatsache hinweist, daß du für die Sicherheit des Firmennetzes keine Verantwortung mehr annehmen kannst, sobald Sohnemann da irgendwelche nicht freigegebene Software mit Kontakt zum Internet betreibt. Lege dieses Schriftstück deiner Chefin vor. Lass sie es durchlesen und die Kenntnisnahme unterschreiben. Hefte es gut weg. 2. Setze ein ähnliches Schriftstück auf, in dem der Junior bzw. der Erziehungsberechtigte alle Verantwortung für eventuell durch den Betrieb von nicht Geschäftsbezogener Software enstehende Schäden übernimmt. Ebenfalls abzeichnen lassen und wegheften. bye, MH
Hallo, Mathias Homann wrote:
Am Dienstag, 20. Juli 2004 12:38 schrieb Damian Philipp:
Soweit ich das Linux-IP-Masquerading-Konzept bisher verstanden habe, ist das gar nicht nötig. Ports auf denen nichts horcht, müssen nicht explizit geschlossen werden. Oder gibt es einen anderen Grund, warum du explizit alles über diese Ports verbietest?
Weil man sich zum Zeitpunkt (A) nicht zu 250% sicher sein kann, daß nicht zu irgendeinem späteren Zeitpunkt (B) irgendein Programm auf einem der hohen Ports lauscht, ohne daß man davon weiß?
Aber normalerweise weis man doch, was man auf seinerm Firewall-Rechner installiert, oder? Damian Philipp
Hallo zusammen, ersteinma Dank für die vielen Antworten. Ich denke ich werde eine Kombination aus eueren Vorschlägen ableiten. a) Ich werde einen SOCKS-Server aufsetzen. Dann kann er halt nur die Spiele spielen die selbigen benutzen können. b) Ich werde hier nur die Ports öffnen die SOCKS braucht. c) Ich werde mir ein entsprechendes Schriftstück unterschreiben lassen. Viele Grüße Sven
participants (7)
-
Alex Ascherl
-
Benjamin Schweizer; dsb AG
-
Damian Philipp
-
Martin Schmitz
-
Mathias Homann
-
René Falk
-
Sven Gehr