"Robert Schott" <rs@roottec.com> schrieb:
War vielleicht etwas verwirrend ausgedrückt. Drei NICs auf dem Fli und das entsprechend konfiguriert. => Poor mans DMZ + => Poor mans intrusion detection per IPtables von der DMZ aus. Wer hat das schon zum laufen gebracht und verwendet das? Das war die Frage.
Ist zwar nicht ganz so sicher wie mit zwei eigenständigen FW dennoch besser als alles in einem Segment. In den DMZ Ast würde ich die relativ gefährlichen Cafe Rechner hängen. Die sollten wohl kaum auf die/den Abrechnungsrechner gelangen.
Hmm - eine eMail an mich oder an die Liste aber doch bitte nicht beides. Aber noch einmal für alle: a) Ich weiss nicht, ob man hier so viel einsparen würde, wenn man eine FW einspart. b) Diese "poor mans DMZ" würde ich nie als DMZ bezeichnen. Du hast weiterhin nur eine FW! Du hast dann zwar getrennte Netze, aber das spielt keine besondere Rolle. c) Hier ist vielleicht eine andere Firewall wie die sentry firewall besser geeignet als das FLI4L. FLI4L unterstützt so in der 08/15 Config auf jeden Fall nur 2 Netzwerkkarten (bei DSL). Wobei ich fli4l nur von der graphischen Config unter Windows her kenne :) Ich würde mir hier gut überlegen, was ich hier wie schützen will und kann. Was für Rechner will ich zum Beispiel schützen? Und vor was will ich diese schützen? (Hintergrund: Firewall ist nur eine Sache! Was ist mit den Browsern? eMail Programmen? ....) Was für Zugang erlaubt ihr im öffentlichen Bereich? - Disketten / CD-ROM vorhanden? - Anschlüsse aussen frei? (Bei SCSI immer gern gesehen!) - BIOS mit Startreihenfolge? Ich kann mir zum Beispiel einen Linux Client vorstellen, der ohne Diskettenlaufwerk und CD-ROM Laufwerk auskommen würde. Die User haben kaum Rechte. Danke KDE3 bootet der auch bis in die GUI rein incl. Anmeldung als "guest". Config-Dateien werden immer neu geschrieben beim reboot / ausloggen .... Damit der User nicht irgendwelche eigenen Binaries für Angriffe nutzen kann, kann ich hingehen und dem User ein Homeverzeichnis geben, von dem eine Binaries gestartet werden können (Mount option!) und das evtl. durch quota abgeschirmt ist, so dass nur Config-Dateien hinpassen! Es ist hier sehr viel denkbar! Dann hat man halt eine "Surfstation", mit denen die Leute ins Netz gehen können, aber die anderen Rechner im eigenen Netz sind relativ sicher. Desweiteren ist es ja in einem Raum der relativ abgesichert ist, d.h. es ist oft jemand anwesend und so. Also sollte niemand einfach so seinen Laptop anschliessen können! (Sowas zu vermeiden ist ehh unsinn. Genauso klaue ich dir schnell den Verwaltungsrechner oder so! Ist kein grosser Schritt mehr!) Oder wenn wichtige Daten vorhanden sind: Warum diese nicht verschlüsselt ablegen? Dann kann die jeder klauen und kann damit ehh nichts anfangen! Das Sicherheitskonzept sollte doch deutlich mehr enthalten, als mal eben so eine DMZ für Arme! Das wird oft lediglich eine Farce! Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53