Am Dienstag 07 September 2004 17:45 schrieb Dr. Thorsten Brandau:
Matthias Houdek wrote:
Der Hauptvorteil eines Proxies liegt aber in seiner Firewall-Funktionalität (Achtung: Paketfilter != Firewall). Wenn ein
<grmpf> firewall funktionalität? naja. wichtig ist ja auch, das ein potentieller angreifer das netz dahinter nicht "sieht". und was man nicht sieht, kann man auch nur schlecht angreifen.
Eine Firewall ist wesentlich mehr als nur ein bisschen Paketfilterung. Und ein Proxy war, ist und bleibt nun mal als trennendes Element auf Anwendungsebene ein wichtiges Element in einer Firewall. Natürlich darf ich den Proxy nicht umgehbar machen, d.h. es darf kein Routing daneben geben. ;-)
die anonymyizer funktion von z.B. squid ist uebrigens auch noch ganz nett.
Eine brauchbare Firewall-Konfiguration sieht z.B. so aus (Minimalkonfiguration, mehr ist immer möglich, weniger wird deutlich unsicherer und ist höchstens bei Privat noch vertretbar): [Zone 3] | [Zone 2] | --------------- ------------ | Proxy mit | | Firewall | LAN -------------| Paketfilter |-----------------| mit |--- ... 192.168.100.0/24 | zum LAN | 192.168.10.0/24 | IP-Tables | --------------- ------------- lokales Netz | DMZ (bedingt sicher) | äußeres Netz (sicher) | hier evtl. auch Web-Server, | (unten gehts | Mailserver, ... | weiter)
[Zone 1] | ----------------- | DSL-Router | ... ------------| (Hardware- |--------------- 192.168.0.0/24 | router mit | / ins Internet | Packetfilter) | /----------------> ----------------- äußeres Netz | "die Böse Welt da draußen ;-)"
also den DSL hardwarerouter halte ich fuer uebertrieben, auch und gerade aus sicherheitstechnischen gruenden. die haben sich als allzuleicht kompromittierbar herausgestellt.
Er trennt zumindest erst einmal das Internet von meiner Firewall. Und ich hab eine Vorwarnzeit, wenn das Teil geknackt wurde (also Pakete an der Firewall ankommen, die dort nicht ankommen dürften). z.B. könnten dann schon mal automatisch weitere Schranken hochfahren (Einwahl von außen völlig verbieten, was bisher vielleicht für den Außendienst über IPSec noch erlaubt war, Pakete mitsniffen, damit der Admin gleich sieht, was gerade so läuft, ...) Der Mehraufwand ist für eine Firma praktisch gleich Null, aber es ist ein nicht zu unterschätzender Sicherheitsgewinn. (Wir sprechen hier über einen Firmenzugang, keine Lösung für privat) Noch ein Hinweis zu den Sicherheitszonen: Zone 1: unsicher, praktisch gleich dem Internet zu betrachten Zone 2: bedingt sicher, hier sollten aber keine sicherheitsrelevanten Dienste laufen. Zone 3: sicher, hier laufen alle wichtigen lokalen Dienste, dieser Bereich bedaf der optimalen Absicherung.
einen sauberen linux dialup, am besten gebootet von einer CD erscheit mir hier in jedem fall sinnvoller (stichwort: IPCOP).
Das wäre eine Lösung für die Firewall.
der proxy sollte aber auch gleich mailfunktionalitaet bieten. evtl. auch webserver, damit man potentiell nach aussen webdienste anbieten kann.
Möglich, aber dann würde ich auf jeden Fall eine echte DMZ aufbauen und diesen Rechner über einen abgesetzten Firewall-Router mit dem LAN verbinden.
als alternative konfiguration, die nicht wesentlich unsicherer ist, waere proxy, dialup und firewall auf einem rechner zu integrieren und dahinter ein separates netzwerk zu spannen (z.B. mit anderen accounts etc.).
Andere Accounts sind ja wohl das Mindeste. Das setze ich mal stillschweigend voraus, dass mit normalen Useraccounts kein Systemzugriff auf die sicherheitsrelevanten möglich ist und auch die root-Passwörter dort andere sind.
wenn man am firewall dann auch alle ports dichtmacht, ist der schon ziemlich sicher fuer die meisten anwendungen...
Steht das nicht in meinem nächsten Satz? (aber diese Variante ist wesentlich unsicherer (s.o., Stichwort Vorwarnzeit z.B.)).
Als Sparvariante könnte man IP-Tables auch auf dem Proxy laufen lassen, aber wenn der kompromittiert ist, ist es auch das LAN, da er direkt im LAN hängt.
mmh. nicht unbedingt, wenn die accounts sauber getrennt sind. generell sollte man zumindest an dieser stelle einen switch verwenden, und keinen hub, damit der firewall nicht auf passwoerter am netz lauschen kannn.
Installier mal ettercap, häng dich mit dem Rechner in ein geswitchtes Netz und staune, was damit alles möglich ist (Stickworte: Arp-Spoofing und Apr-Poisoning, Man in the Middle-Attacs). Einziger halbwegs brauchbarer Schutz dagegen sind managbare Switches, die pro Port nur eine MAC-Adresse lernen können. Aber da bist du mal ganz schnell mit 6-8 Hundertern pro Switch (!) dabei. BTW: Deine Shift-Taste scheint zu klemmen. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu