26 Apr
2002
26 Apr
'02
07:31
Peter Kuechlerschrieb: > Am Fre, 2002-04-26 um 07.30 schrieb Konrad Neitzel: > > 1) Keine DMZ (D.h. von aussen zugängliche Server sind innerhalb des > > lokalen Netzes? Und als Server soll gar IIS eingesetzt werden?) > Nein. Sie wollen den inneren der beiden Firewallrechner auf Windows > umstellen. Hmmm ... also weiterhin eine DMZ. > > 2) Die Firewall / Router zum Netz soll auf Windows liegen? > Nein, vom internen Netz in die DMZ. > An die innere Firewall, die den Abschluss des LAN an die DMZ > darstellt, werden höhere Anforderungen gestellt als an die Jo. Die innere ist wichtiger! > äussere. Neben Funktionen Portfilter, NAT und ggf. > Applikationsfirewall kommen zusätzlich die Dienste Proxy und > Zugriffsadministration hinzu. Wärend der Dienst Proxy > unkritisch ist, erfordert die Zugriffsadministration > sorgfältige Überlegungen: Ähm - Firewall = Firewall != Proxy Ich hasse diese Multifunktionsgeräte. Natürlich kann die Firewall auch zugleich ein Arbeitsplatz und eine Spielkonsole sein, aber das ist nicht Sinn der Sache! Proxy ist ein Server in der DMZ. So und nicht anders. Die Firewall erlaubt dann z.B. Zugriff von den Clients auf diesen Proxy. Was da als Proxy läuft ist mir total egal. Ich würde mir aber zweimal überlegen, ob und wie ich da über das Active Directory die Zugriffe steuern will. Ich würde dann ja Zugriff aus der DMZ in mein sicheres Netz nehmen. Ist dies wirklich so gewollt? > 2. Man verwendet als innere Firewall eine Linuxfirewall, die lediglich > einfachste Dienste und Ports filtert, wie die äussere > Linuxfirewall und setzt einen eigenen ISA-Server auf, der die > genannten Anforderungen erfüllt. Dies wäre mein Lösungsvorschlag. Man kann hier vieles machen. Mich würde nicht wundern, wenn der squid sich auch über pam authentifizieren kann. Und auf das Active Directory kann ich dann vielleicht via LDAP zugreifen. PAM Module für LDAP existieren ja. Hier wären aber Zugriffe von der DMZ auf die internen Bereiche. Das ist etwas, das mir immer Bauchschmerzen bereitet. Angenommen es taucht ein Buffer Overflow auf. Wenn ich es schaffe in die DMZ einzudringen, dann schaffe ich es, dir dein Active Directory lahmzulegen. > Macht das sinn? Firewall = Firewall und restliche Dienste landen in der DMZ. Dies ist meine Vorgehensweise und ich denke, damit bin ich bisher gut gefahren. > Wenn ihr der Meinung seit, ich soll die Jungs lieber laufen > lassen, dann widme ich mich eben dem schnitzen von > Zahnstochern oder so.... Ich wäre vorsichtig, wenn die da Mist machen! Da würde ich mich lieber ganz raushalten. Wobei hier ein klarer Mittelweg zu finden ist: - Du hast auf jeden Fall die Pflicht, auf Lücken hinzuweisen, wenn Du welche erkennst. - Du hast auch die Pflicht, deinen Vorgesetzten zu gehorchen. Und wenn der Vorgesetzte Dir befiehlt, alle Daten zu löschen, dann musst Du das (nach einem Protest!) natürlich auch machen. Ansonsten ist es eine Arbeitsverweigerung -> fristlose Kündigung. - Wenn es nicht Dein Aufgabengebiet ist, würde ich mir zwei mal überlegen, ob ich es zu meinem Aufgabengebiet machen möchte. Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53