Am Mittwoch 08 September 2004 09:37 schrieb Dr. Thorsten Brandau:
Matthias Houdek wrote:
Er trennt zumindest erst einmal das Internet von meiner Firewall. Und ich hab eine Vorwarnzeit, wenn das Teil geknackt wurde (also Pakete an der Firewall ankommen, die dort nicht ankommen dürften). z.B. könnten dann
das IM PRINZIP das eine tolle loesung ist - voellig klar. ABER: gerade da i.d.R. bei (guenstigen) dial-ups mit firewall die zugangsdaten eben dort liegen und verhaeltnismaessig leicht zugaenglich sind, halte ich es fuer ein schlecht kalkulierbares risiko einen solchen einzusetzen. wie leicht sind zugangsdaten dann bekannt, und z.B. im ausland funktionieren die DSL zugangsdaten prima, auch wenn der heimische rechner online ist. nach den neuen AGBs von T-online kann das auch ziemlich teuer werden.
OK, ist ein Argument. Hab jetzt mehr an Standleitung gedacht (bei Firma ...).
schon mal automatisch weitere Schranken hochfahren (Einwahl von außen
wie machst du das? wuerde mich mal interessieren...
Da der vorgelagerte Paketfilter (meinetwegen auch als Linux-Host) eigentlich nur auf fest vorbestimmten Ports mit der eigentlichen Firewall kommunizieren dürfte (alles andere solten die Forward-Regeln dort gleich ausfiltern, es dürften eh nur geforwardete Pakete kommen), ist jegliche andere Kommunikation ein relativ sicheres Indiz für einen Einbruch in den ersten Rechner. Kommen also plötzlich Portscans oder Verbindungswünsche vom vorgelagerten Router, so kann das über IPTables geloged und durch Überwachung der Logfiles entsprechend gehandelt werden.
Der Mehraufwand ist für eine Firma praktisch gleich Null, aber es ist ein nicht zu unterschätzender Sicherheitsgewinn. (Wir sprechen hier über einen Firmenzugang, keine Lösung für privat)
s.o. gerade bei firmennetzen halte ich es fuer einen essentiellen sicherheitsverlust, wenn zugangsdaten von ISPs bekannt werden.
ACK, wenn die dort gespeichert werden müssen.
der proxy sollte aber auch gleich mailfunktionalitaet bieten. evtl. auch webserver, damit man potentiell nach aussen webdienste anbieten kann.
Möglich, aber dann würde ich auf jeden Fall eine echte DMZ aufbauen und diesen Rechner über einen abgesetzten Firewall-Router mit dem LAN verbinden.
nun, da du dein netz so aufgemalt hattest bin ich davon ausgegangen das du von einer DMZ sprichst. die sollte fuer eine sichere konfiguration schon sein, und nur dort nach aussen zugaegnliche prozesse und dienste angeboten werden.
Naja so richtig DMZ ist es noch nicht, da der Rechner ja direkt mit dem LAN verbunden ist.
Andere Accounts sind ja wohl das Mindeste. Das setze ich mal stillschweigend voraus, dass mit normalen Useraccounts kein Systemzugriff auf die sicherheitsrelevanten möglich ist und auch die root-Passwörter dort andere sind.
das sollte man aber durchaus nochmals betonen - faulheit ist eine betraechtliche motivation. und wie einfach ist es, den YP auf der firewall mitlaufen zu lassen ;-)
Autsch. Na, wer so was macht, der sollte sich gleich erschießen lassen.
Steht das nicht in meinem nächsten Satz?
stimmt, aber da hatte ich es schon getippt <8-}
Installier mal ettercap, häng dich mit dem Rechner in ein geswitchtes Netz und staune, was damit alles möglich ist (Stickworte: Arp-Spoofing und Apr-Poisoning, Man in the Middle-Attacs). Einziger halbwegs brauchbarer Schutz dagegen sind managbare Switches, die pro Port nur eine MAC-Adresse lernen können. Aber da bist du mal ganz schnell mit 6-8 Hundertern pro Switch (!) dabei.
mmh. das ist wohl wahr. grundsaetzlich aber ein nicht-triviales problem, das nur schwer komplett abzusichern ist. ich halte einen managbaren switch aber durchaus fuer eine praktikable loesung und 0,6-0,8 kEUR ist keine grosse sache. da sind die rechner die man zum aufbau braucht teurer ;-)
s/kEUR/TEURO/ (früher hat man doch auch TDM geschrieben, und es passt so schön ;-)
BTW: Deine Shift-Taste scheint zu klemmen.
stimmt.
Immer noch! -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu