Dr. A. Krebs schrieb:
Am Dienstag, 5. August 2008 09:33:36 schrieb Fred Ockert:
Dr. A. Krebs schrieb:
zuerst: einige kleine Übertreibungen sind extra eingebaut...
Hallo!
ich habe auch Fritzbox als Zugang von/nach außen, dahinter ein MiniLAN, zus. 1-2 Rechner, Printserver, Netzdrucker. OpenSuSE 11.0 (64bit), automatisch eingerichtete Firewall2.
Als interessierter Newbie tue ich mich schwer, die angesprochenen Konfigurationen einzurichten. Immerhin scheinen diese Punkte auch für Spezialisten nicht ganz einfach zu sein: Alos... erst einmal gehen wir davon aus aus, dass die meisten (alle?) "Büchsen" so eingestellt sind, dass sie alles rauslassen und nichts rein! d.h. aber auch eigentlich - keine Fernverwaltung vom Provider... hmmm. Auch das "raus" erscheint mir inakzeptabel. Warum sollte man Information über sich frei herausgeben?
- ist aber auch bei SuSe Standard... - was gibst du Preis ?? ..wobei ich davon ausgehe, dass alles was rausgeht, von Dir wissentlich initiert worden ist! - Broadcasts UND lokale Netze werden eh nicht weitergeleitet .. also was geht da noch raus, was du nicht willst? - da ist Windoofs geschwätziger...
- welche Programme benötigen welchen Port? da musst du wissen! nein: ich wähle zwar die Programme, da hast Du Recht. Aber ich weiß i.a. eben _nicht_, welche Ports ein Progs. normalerweise nutzt.
Klar, 22, 25, 80, 110, aber bei anderen Progs. weiß ich nicht, ob diese "Quellen" oder "Senken". Danke da an eben nmap, avirmail, (k)clamav, etc. Clamav ? steht in der Clamd.conf (oder wie die heisst)
fast immer Zielports...die Quellports sind normalerweise (meist) HighPorts....von Firefox: 1178 an google.com:80 oder so ähnlich!
Plaudertaschen a la Skype sind mir eh' suspekt- vgl. z.B.: http://www.heise.de/security/Spekulationen-um-Backdoor-in-Skype--/news/meldu..., http://www.wireless-forum.ch/forum/viewtopic.php?p=91807?
aber gutes Beispiel für jederzeit aus dem Internet erreichbar sein!
Du hast doch solche Software, die von aussen erreichbar sein will selbst installiert !! ehm... Skype ? ssh (22), smtp(25), http (80), https (443).. also Mailserver, Webserver usw.
aber die Standardports stehen alle in /etc/services
- wie kann ich z.B. bestimmte Ports freigeben? "Blechbüchsenmenü" -> genaueres siehe Handbuch.. jeder dritte Hersteller nennt den gleichen Fakt anders..
was nun - Ports pauschal öffnen (wenn ja: warum) oder Portforward auf eine definierte Maschine ? [s.o.: "bestimmte..."]
- wie kann ich Datenflüsse beobachten, insbesondere auch unerwünschte Zugriffe und Zugriffsversuche feststellen? in der Blechbüchse ? Für mich ist das ganze System hinter der Anschlußdose gemeint, also Fritz!box, Printserver, Rechner,.... grundsätzlich möchte ich bestimmen, was rein, und was raus geht.
Huch... das ist ja im Prinzip das Gleiche, wie " das ganze Internet" überwachen... ich hoffe für dich, dass du z.B. deinem Printserver verboten hast, laufend nach Updates zu schauen! und natürlich deinem Kopierer auch (!!) sowas wird gern vergessen.... fehlt nür noch, dass die FritzBox auch fliegen soll und Kaffeekochen...;-)
- schwierig - wenn überhaupt! Also Auswirkungen auf dein Netz feststellen...(Logs) ..oder eine andere loggende Firewall dahinter.. (IPCop ?)
... etc. pp.
Ich frage mich, ob es vielleicht gute Howtos gibt, die sowas leisten. Also _nicht_ die Manpages von nmap, Wireshark, die Bedienungsanleitung meiner Fritz!box, etc. punktuell ja...
Sondern gut verständliche und leicht nachvollziehbare Anleitungen, die den Gesamtkomplex Sicherheit eines LAN am Netz thematisieren. Dachte da eigentlich an Grundlagen, "man-nehme", "wenn-dann-Checklisten", etc. wenn das Verständnis der grundlegenden Fragen sichergestellt ist, traue ich mir die eine oder andere Einstellung zu. Klaro.
Einzige Prämisse. Transparenz nur für mich. Nach außen (möglichst) unsichtbar. du entscheidest doch, welche Geräte du kaufst/installierst...was die tun/nicht tun ...
alternativ ... richtige Hardware kaufen (?!)... ehmm CISCO ..die nehmen richtig Geld ! Steht aber auch wieder die Frage, was man will
na ja .. da gibt es viele dicke Bücher ...konkret ist nicht/kann nicht sein -> jeder hat da andere Sachen stehen...
Wenn jemand sowas kennt, würde das vermutlich nicht nur mir helfen. Tjä ... deswegen wurde ja auch die DMZ erfunden, um das interne Netz nicht nach aussen sichtbar werden zu lassen...
Meine Überlegung nochmal etwas detailliert: 1.) Eine Checkliste könnte die Struktur eines (W)LAN/Netztes abbilden "welche Geräte sind angeschlossen?"
selber schreiben -> Bild ?
2.) Fragen könnten Sicherheitsbedürfnisse abfragen: MUSS, KANN, SOLL; Schutzbedarf, Wert von Daten, etc.
voll daneben ( Datenschutz hat nix mit Firewall zu tun!) nicht wirklich Firewalls sind eher mit einer Betretensberechtigung vergleichbar....zumal die Firewall die Pakete nach "Verpackung" differenziert - nicht nach INHALT !!
3.) Programme würden dann vom dem Tool überprüft, ob diese im Rahmen der o.g. Punkte "passen", Hinweise gegeben.
eierlegende Wollmilchsau gibt es nicht!
4.) Zuletzt würden Einstellungen ("Ports offen oder zu?") getroffen.
siehe Anfang ...
5.) Überprüfung des Systems: welche Werkzeuge, welche Einstellungen,... Selbsttest, Test "von außen"
Test von aussen ist gut ...gibt Firmen ..mit Einschränkung Webtools oder do_it_yourself ..
Das könnte auch als so eine Art "guided tour" gestaltet werden. Hinweise zur Relevanz einzelner Einstellparameter würden dem weniger kenntnisreichen helfen.
na ja ...ist zu sehr Einzelfallabhängig...
Vielleicht so ähnlich wie: http://localhost:631/ ?
na ja ... CUPS führt dich aber nur zu EINEM Ziel....
Ist vielleicht zu anspruchsvoll im Ansatz, und letztlich verdient niemand an der Sicherheit eines einzelnen Systems, womögliches eines Systems eines Einzelanwenders.
Es sei denn, eine Firma böte sowas als Dienstleistung an. Könnte ja eine Marktnische sein!?
gibts eine Menge Firmen -> google : penetration Tests usw.
Danke erstmal!
Axel
P.S.: mein Beitrag soll kein thread-hijacking sein, dachte, es könnte Michaels ursprüngliche Frage ganz gut ergänzen! Ja ja ..es beschreibt ja das "Problem" - aber die Universallösung gibt es wohl nur in der Religion..wenn überhaupt..
Fred Axel
ansonsten fällt mit GSHB (Frundschutzhandbuch) vom BSI ein oder auch bei serNet.de verinice als Software, die dir beim Auflisten hilft! Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org