Mailinglist Archive: opensuse-de (3763 mails)

< Previous Next >
Re: OT: T-DSL ans Firmennetz, und die Folgen
  • From: Matthias Houdek <linux@xxxxxxxxx>
  • Date: Wed, 8 Sep 2004 12:48:24 +0200
  • Message-id: <200409081248.24043.linux@xxxxxxxxx>
Am Mittwoch 08 September 2004 09:37 schrieb Dr. Thorsten Brandau:
> Matthias Houdek wrote:
> > Er trennt zumindest erst einmal das Internet von meiner Firewall. Und
> > ich hab eine Vorwarnzeit, wenn das Teil geknackt wurde (also Pakete
> > an der Firewall ankommen, die dort nicht ankommen dürften). z.B.
> > könnten dann
>
> das IM PRINZIP das eine tolle loesung ist - voellig klar. ABER: gerade
> da i.d.R. bei (guenstigen) dial-ups mit firewall die zugangsdaten eben
> dort liegen und verhaeltnismaessig leicht zugaenglich sind, halte ich
> es fuer ein schlecht kalkulierbares risiko einen solchen einzusetzen.
> wie leicht sind zugangsdaten dann bekannt, und z.B. im ausland
> funktionieren die DSL zugangsdaten prima, auch wenn der heimische
> rechner online ist. nach den neuen AGBs von T-online kann das auch
> ziemlich teuer werden.

OK, ist ein Argument. Hab jetzt mehr an Standleitung gedacht (bei
Firma ...).

> > schon mal automatisch weitere Schranken hochfahren (Einwahl von außen
>
> wie machst du das? wuerde mich mal interessieren...

Da der vorgelagerte Paketfilter (meinetwegen auch als Linux-Host)
eigentlich nur auf fest vorbestimmten Ports mit der eigentlichen Firewall
kommunizieren dürfte (alles andere solten die Forward-Regeln dort gleich
ausfiltern, es dürften eh nur geforwardete Pakete kommen), ist jegliche
andere Kommunikation ein relativ sicheres Indiz für einen Einbruch in den
ersten Rechner. Kommen also plötzlich Portscans oder Verbindungswünsche
vom vorgelagerten Router, so kann das über IPTables geloged und durch
Überwachung der Logfiles entsprechend gehandelt werden.

> > Der Mehraufwand ist für eine Firma praktisch gleich Null, aber es ist
> > ein nicht zu unterschätzender Sicherheitsgewinn. (Wir sprechen hier
> > über einen Firmenzugang, keine Lösung für privat)
>
> s.o. gerade bei firmennetzen halte ich es fuer einen essentiellen
> sicherheitsverlust, wenn zugangsdaten von ISPs bekannt werden.

ACK, wenn die dort gespeichert werden müssen.

> >>der proxy sollte aber auch gleich
> >>mailfunktionalitaet bieten. evtl. auch webserver, damit man
> >> potentiell nach aussen webdienste anbieten kann.
> >
> > Möglich, aber dann würde ich auf jeden Fall eine echte DMZ aufbauen
> > und diesen Rechner über einen abgesetzten Firewall-Router mit dem LAN
> > verbinden.
>
> nun, da du dein netz so aufgemalt hattest bin ich davon ausgegangen das
> du von einer DMZ sprichst. die sollte fuer eine sichere konfiguration
> schon sein, und nur dort nach aussen zugaegnliche prozesse und dienste
> angeboten werden.

Naja so richtig DMZ ist es noch nicht, da der Rechner ja direkt mit dem
LAN verbunden ist.

> > Andere Accounts sind ja wohl das Mindeste. Das setze ich mal
> > stillschweigend voraus, dass mit normalen Useraccounts kein
> > Systemzugriff auf die sicherheitsrelevanten möglich ist und auch die
> > root-Passwörter dort andere sind.
>
> das sollte man aber durchaus nochmals betonen - faulheit ist eine
> betraechtliche motivation. und wie einfach ist es, den YP auf der
> firewall mitlaufen zu lassen ;-)

Autsch. Na, wer so was macht, der sollte sich gleich erschießen lassen.

> > Steht das nicht in meinem nächsten Satz?
>
> stimmt, aber da hatte ich es schon getippt <8-}
>
> > Installier mal ettercap, häng dich mit dem Rechner in ein geswitchtes
> > Netz und staune, was damit alles möglich ist (Stickworte:
> > Arp-Spoofing und Apr-Poisoning, Man in the Middle-Attacs). Einziger
> > halbwegs brauchbarer Schutz dagegen sind managbare Switches, die pro
> > Port nur eine MAC-Adresse lernen können. Aber da bist du mal ganz
> > schnell mit 6-8 Hundertern pro Switch (!) dabei.
>
> mmh. das ist wohl wahr. grundsaetzlich aber ein nicht-triviales
> problem, das nur schwer komplett abzusichern ist. ich halte einen
> managbaren switch aber durchaus fuer eine praktikable loesung und
> 0,6-0,8 kEUR ist keine grosse sache. da sind die rechner die man zum
> aufbau braucht teurer ;-)

s/kEUR/TEURO/ (früher hat man doch auch TDM geschrieben, und es passt so
schön ;-)

> > BTW: Deine Shift-Taste scheint zu klemmen.
>
> stimmt.

Immer noch!

--
Gruß
MaxX
Hinweis 1: PMs an diese Adresse werden automatisch vernichtet.
Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu

< Previous Next >