Hi! Ich hab Suse Firewall2 per Yast konfiguriert mit aktiviertem IP-Forwarding. Smtp, Pop und Webserver von aussen erreichbar. (Ich hatte vorher Personal-Firewall mit "Reject All incoming connections" und IP-Forwarding) Muss ich mich jetzt da näher einlesen oder kann man das als "sicher" bezeichnen?
Am Freitag, 2. Mai 2003 10:42 schrieb Martin Hochreiter:
Hi!
Ich hab Suse Firewall2 per Yast konfiguriert mit aktiviertem IP-Forwarding. Smtp, Pop und Webserver von aussen erreichbar. (Ich hatte vorher Personal-Firewall mit "Reject All incoming connections" und IP-Forwarding) Muss ich mich jetzt da näher einlesen oder kann man das als "sicher" bezeichnen?
Hmmm, DIE Frage ist wirklich schwierig, weil IMHO eine "aufgesetzte" Firewall noch nicht viel Wert ist, vor allem wenn Du einige Serverdienste anbietest (ähhmm, bist Du sicher das die Dienste alle brauchst). Ich würde (und bin auch grad dabei) mir etwas zulegen das mir die Logs der Firewall auswertet um einen Einbruchversuch zu erkennen bzw. um dadurch die Wahrscheinlichkeit einen Einbruchversuch zu erknenn (wesentlich?) zu erhöhen. Weil: das Lesen der Firewall Logs ist für mich zumindest net wirklich aufschlussreich, einen Angriff aus eine mMuster heruas zu detektieren unmöglich. Gruss Michael
* On Fri, 02 May 2003 at 10:42 +0200, Martin Hochreiter wrote:
Ich hab Suse Firewall2 per Yast konfiguriert mit aktiviertem IP-Forwarding. Smtp, Pop und Webserver von aussen erreichbar. (Ich hatte vorher Personal-Firewall mit "Reject All incoming connections" und IP-Forwarding) Muss ich mich jetzt da näher einlesen oder kann man das als "sicher" bezeichnen?
"Sicher" ist genau eines: Alle Kabel abziehen, Funkanbindungen ausbauen, im Garten eine tiefe Grube graben, rein mit dem Rechner und mit Beton auffüllen. Alles andere ist nur trügerische Sicherheit. Für alle Situationen, wo das nicht praktikabel ist, hilft einlesen in die Materie, verstehen der Regeln die von der SuSEfirewall generiert werden, regelmäßige Updates der Software - nicht nur auf den paketfilternden Rechner, sondern auch auf den anderen Rechnern im Netz, vor allem den von aussen erreichbaren. Logfiles überwachen nicht vergessen. Mach mal einen Portscan von aussen, schau ob auch wirklich alles dicht ist, was nicht explizit gebraucht wird. Alle Dienste abschalten, die nicht gebraucht werden, oder die Bindungen zum externen Interface entfernen. ... und, und, und ... /apm -- GPG welcome, request public key: mailto:adalbert+key@lopez.at
On Fri, May 02, 2003 at 10:42:51AM +0200, Martin Hochreiter wrote:
Ich hab Suse Firewall2 per Yast konfiguriert mit aktiviertem IP-Forwarding. Smtp, Pop und Webserver von aussen erreichbar. (Ich hatte vorher Personal-Firewall mit "Reject All incoming connections" und IP-Forwarding) Muss ich mich jetzt da näher einlesen oder kann man das als "sicher" bezeichnen?
Ein System wird als "sicher" bezeichnet, wenn es die definierte Security Policy vollständig erfüllt. Um ein System als "sicher" zu bezeichnen, mußt Du seinen Zustand also gegen die Security Policy evaluieren. Dazu mußt Du erst einmal eine solche Policy haben. Eine Firewall ist eines von mehreren Werkzeugen, die man verwendet kann, um die Einhaltung einer solchen Policy zu erzwingen. Ohne eine Policy ist eine Firewall ein nutzloses Spielzeug, weil (siehe oben) man nichts hat, relativ zu dem man "Sicherheit" definieren kann. Bleibt die Frage, wie Deine Security Policy lautet, d.h. welche Angriffe auf Dein System nimmst Du an, was sind die Folgeschäden solcher Angriffe und dann daraus folgend: Welche Maßnahmen zur Abwehr dieser Angriffe und zur Linderung möglicher Folgeschäden ergreifst Du? Sind diese Maßnahmen geeignet zur Abwehr der Angriffe (sind die Maßnahmen wirksam?)? Und schließlich Auswertung des Return: Ist das verbleibende Restrisiko versicherbar? Ist die Summe aus Maßnahmenkosten und Versicherung kleiner als die Schäden, die durch den Angriff entstehen? Kristian
participants (4)
-
Adalbert Michelic
-
Kristian Koehntopp
-
Martin Hochreiter
-
Michael Karges