Mailinglist Archive: opensuse-de (3763 mails)
| < Previous | Next > |
Re: OT: T-DSL ans Firmennetz, und die Folgen
- From: Matthias Houdek <linux@xxxxxxxxx>
- Date: Wed, 8 Sep 2004 08:24:23 +0200
- Message-id: <200409080824.24001.linux@xxxxxxxxx>
Am Dienstag 07 September 2004 17:45 schrieb Dr. Thorsten Brandau:
> Matthias Houdek wrote:
> > Der Hauptvorteil eines Proxies liegt aber in seiner
> > Firewall-Funktionalität (Achtung: Paketfilter != Firewall). Wenn ein
>
> <grmpf> firewall funktionalität? naja. wichtig ist ja auch, das ein
> potentieller angreifer das netz dahinter nicht "sieht". und was man
> nicht sieht, kann man auch nur schlecht angreifen.
Eine Firewall ist wesentlich mehr als nur ein bisschen Paketfilterung. Und
ein Proxy war, ist und bleibt nun mal als trennendes Element auf
Anwendungsebene ein wichtiges Element in einer Firewall. Natürlich darf
ich den Proxy nicht umgehbar machen, d.h. es darf kein Routing daneben
geben. ;-)
> die anonymyizer funktion von z.B. squid ist uebrigens auch noch ganz
> nett.
>
> > Eine brauchbare Firewall-Konfiguration sieht z.B. so aus
> > (Minimalkonfiguration, mehr ist immer möglich, weniger wird deutlich
> > unsicherer und ist höchstens bei Privat noch vertretbar):
> > [Zone 3] | [Zone 2] |
> > --------------- ------------
> > | Proxy mit | | Firewall |
> > LAN -------------| Paketfilter |-----------------| mit |--- ...
> > 192.168.100.0/24 | zum LAN | 192.168.10.0/24 | IP-Tables |
> > --------------- -------------
> > lokales Netz | DMZ (bedingt sicher) | äußeres Netz
> > (sicher) | hier evtl. auch Web-Server, | (unten gehts
> > | Mailserver, ... | weiter)
> >
> > [Zone 1] |
> > -----------------
> > | DSL-Router |
> > ... ------------| (Hardware- |---------------
> > 192.168.0.0/24 | router mit | / ins Internet
> > | Packetfilter) | /---------------->
> > -----------------
> > äußeres Netz | "die Böse Welt da draußen ;-)"
>
> also den DSL hardwarerouter halte ich fuer uebertrieben, auch und
> gerade aus sicherheitstechnischen gruenden. die haben sich als
> allzuleicht kompromittierbar herausgestellt.
Er trennt zumindest erst einmal das Internet von meiner Firewall. Und ich
hab eine Vorwarnzeit, wenn das Teil geknackt wurde (also Pakete an der
Firewall ankommen, die dort nicht ankommen dürften). z.B. könnten dann
schon mal automatisch weitere Schranken hochfahren (Einwahl von außen
völlig verbieten, was bisher vielleicht für den Außendienst über IPSec
noch erlaubt war, Pakete mitsniffen, damit der Admin gleich sieht, was
gerade so läuft, ...)
Der Mehraufwand ist für eine Firma praktisch gleich Null, aber es ist ein
nicht zu unterschätzender Sicherheitsgewinn. (Wir sprechen hier über
einen Firmenzugang, keine Lösung für privat)
Noch ein Hinweis zu den Sicherheitszonen:
Zone 1: unsicher, praktisch gleich dem Internet zu betrachten
Zone 2: bedingt sicher, hier sollten aber keine sicherheitsrelevanten
Dienste laufen.
Zone 3: sicher, hier laufen alle wichtigen lokalen Dienste, dieser Bereich
bedaf der optimalen Absicherung.
> einen sauberen linux
> dialup, am besten gebootet von einer CD erscheit mir hier in jedem fall
> sinnvoller (stichwort: IPCOP).
Das wäre eine Lösung für die Firewall.
> der proxy sollte aber auch gleich
> mailfunktionalitaet bieten. evtl. auch webserver, damit man potentiell
> nach aussen webdienste anbieten kann.
Möglich, aber dann würde ich auf jeden Fall eine echte DMZ aufbauen und
diesen Rechner über einen abgesetzten Firewall-Router mit dem LAN
verbinden.
> als alternative konfiguration, die nicht wesentlich unsicherer ist,
> waere proxy, dialup und firewall auf einem rechner zu integrieren und
> dahinter ein separates netzwerk zu spannen (z.B. mit anderen accounts
> etc.).
Andere Accounts sind ja wohl das Mindeste. Das setze ich mal
stillschweigend voraus, dass mit normalen Useraccounts kein Systemzugriff
auf die sicherheitsrelevanten möglich ist und auch die root-Passwörter
dort andere sind.
> wenn man am firewall dann auch alle ports dichtmacht, ist der
> schon ziemlich sicher fuer die meisten anwendungen...
Steht das nicht in meinem nächsten Satz?
(aber diese Variante ist wesentlich unsicherer (s.o., Stichwort
Vorwarnzeit z.B.)).
> > Als Sparvariante könnte man IP-Tables auch auf dem Proxy laufen
> > lassen, aber wenn der kompromittiert ist, ist es auch das LAN, da er
> > direkt im LAN hängt.
>
> mmh. nicht unbedingt, wenn die accounts sauber getrennt sind. generell
> sollte man zumindest an dieser stelle einen switch verwenden, und
> keinen hub, damit der firewall nicht auf passwoerter am netz lauschen
> kannn.
Installier mal ettercap, häng dich mit dem Rechner in ein geswitchtes Netz
und staune, was damit alles möglich ist (Stickworte: Arp-Spoofing und
Apr-Poisoning, Man in the Middle-Attacs). Einziger halbwegs brauchbarer
Schutz dagegen sind managbare Switches, die pro Port nur eine MAC-Adresse
lernen können. Aber da bist du mal ganz schnell mit 6-8 Hundertern pro
Switch (!) dabei.
BTW: Deine Shift-Taste scheint zu klemmen.
--
Gruß
MaxX
Hinweis 1: PMs an diese Adresse werden automatisch vernichtet.
Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
> Matthias Houdek wrote:
> > Der Hauptvorteil eines Proxies liegt aber in seiner
> > Firewall-Funktionalität (Achtung: Paketfilter != Firewall). Wenn ein
>
> <grmpf> firewall funktionalität? naja. wichtig ist ja auch, das ein
> potentieller angreifer das netz dahinter nicht "sieht". und was man
> nicht sieht, kann man auch nur schlecht angreifen.
Eine Firewall ist wesentlich mehr als nur ein bisschen Paketfilterung. Und
ein Proxy war, ist und bleibt nun mal als trennendes Element auf
Anwendungsebene ein wichtiges Element in einer Firewall. Natürlich darf
ich den Proxy nicht umgehbar machen, d.h. es darf kein Routing daneben
geben. ;-)
> die anonymyizer funktion von z.B. squid ist uebrigens auch noch ganz
> nett.
>
> > Eine brauchbare Firewall-Konfiguration sieht z.B. so aus
> > (Minimalkonfiguration, mehr ist immer möglich, weniger wird deutlich
> > unsicherer und ist höchstens bei Privat noch vertretbar):
> > [Zone 3] | [Zone 2] |
> > --------------- ------------
> > | Proxy mit | | Firewall |
> > LAN -------------| Paketfilter |-----------------| mit |--- ...
> > 192.168.100.0/24 | zum LAN | 192.168.10.0/24 | IP-Tables |
> > --------------- -------------
> > lokales Netz | DMZ (bedingt sicher) | äußeres Netz
> > (sicher) | hier evtl. auch Web-Server, | (unten gehts
> > | Mailserver, ... | weiter)
> >
> > [Zone 1] |
> > -----------------
> > | DSL-Router |
> > ... ------------| (Hardware- |---------------
> > 192.168.0.0/24 | router mit | / ins Internet
> > | Packetfilter) | /---------------->
> > -----------------
> > äußeres Netz | "die Böse Welt da draußen ;-)"
>
> also den DSL hardwarerouter halte ich fuer uebertrieben, auch und
> gerade aus sicherheitstechnischen gruenden. die haben sich als
> allzuleicht kompromittierbar herausgestellt.
Er trennt zumindest erst einmal das Internet von meiner Firewall. Und ich
hab eine Vorwarnzeit, wenn das Teil geknackt wurde (also Pakete an der
Firewall ankommen, die dort nicht ankommen dürften). z.B. könnten dann
schon mal automatisch weitere Schranken hochfahren (Einwahl von außen
völlig verbieten, was bisher vielleicht für den Außendienst über IPSec
noch erlaubt war, Pakete mitsniffen, damit der Admin gleich sieht, was
gerade so läuft, ...)
Der Mehraufwand ist für eine Firma praktisch gleich Null, aber es ist ein
nicht zu unterschätzender Sicherheitsgewinn. (Wir sprechen hier über
einen Firmenzugang, keine Lösung für privat)
Noch ein Hinweis zu den Sicherheitszonen:
Zone 1: unsicher, praktisch gleich dem Internet zu betrachten
Zone 2: bedingt sicher, hier sollten aber keine sicherheitsrelevanten
Dienste laufen.
Zone 3: sicher, hier laufen alle wichtigen lokalen Dienste, dieser Bereich
bedaf der optimalen Absicherung.
> einen sauberen linux
> dialup, am besten gebootet von einer CD erscheit mir hier in jedem fall
> sinnvoller (stichwort: IPCOP).
Das wäre eine Lösung für die Firewall.
> der proxy sollte aber auch gleich
> mailfunktionalitaet bieten. evtl. auch webserver, damit man potentiell
> nach aussen webdienste anbieten kann.
Möglich, aber dann würde ich auf jeden Fall eine echte DMZ aufbauen und
diesen Rechner über einen abgesetzten Firewall-Router mit dem LAN
verbinden.
> als alternative konfiguration, die nicht wesentlich unsicherer ist,
> waere proxy, dialup und firewall auf einem rechner zu integrieren und
> dahinter ein separates netzwerk zu spannen (z.B. mit anderen accounts
> etc.).
Andere Accounts sind ja wohl das Mindeste. Das setze ich mal
stillschweigend voraus, dass mit normalen Useraccounts kein Systemzugriff
auf die sicherheitsrelevanten möglich ist und auch die root-Passwörter
dort andere sind.
> wenn man am firewall dann auch alle ports dichtmacht, ist der
> schon ziemlich sicher fuer die meisten anwendungen...
Steht das nicht in meinem nächsten Satz?
(aber diese Variante ist wesentlich unsicherer (s.o., Stichwort
Vorwarnzeit z.B.)).
> > Als Sparvariante könnte man IP-Tables auch auf dem Proxy laufen
> > lassen, aber wenn der kompromittiert ist, ist es auch das LAN, da er
> > direkt im LAN hängt.
>
> mmh. nicht unbedingt, wenn die accounts sauber getrennt sind. generell
> sollte man zumindest an dieser stelle einen switch verwenden, und
> keinen hub, damit der firewall nicht auf passwoerter am netz lauschen
> kannn.
Installier mal ettercap, häng dich mit dem Rechner in ein geswitchtes Netz
und staune, was damit alles möglich ist (Stickworte: Arp-Spoofing und
Apr-Poisoning, Man in the Middle-Attacs). Einziger halbwegs brauchbarer
Schutz dagegen sind managbare Switches, die pro Port nur eine MAC-Adresse
lernen können. Aber da bist du mal ganz schnell mit 6-8 Hundertern pro
Switch (!) dabei.
BTW: Deine Shift-Taste scheint zu klemmen.
--
Gruß
MaxX
Hinweis 1: PMs an diese Adresse werden automatisch vernichtet.
Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
| < Previous | Next > |