Am Dienstag, 5. August 2008 09:33:36 schrieb Fred Ockert:
Dr. A. Krebs schrieb:
...
Hallo!
ich habe auch Fritzbox als Zugang von/nach außen, dahinter ein MiniLAN, zus. 1-2 Rechner, Printserver, Netzdrucker. OpenSuSE 11.0 (64bit), automatisch eingerichtete Firewall2.
Als interessierter Newbie tue ich mich schwer, die angesprochenen Konfigurationen einzurichten. Immerhin scheinen diese Punkte auch für Spezialisten nicht ganz einfach zu sein:
Alos... erst einmal gehen wir davon aus aus, dass die meisten (alle?) "Büchsen" so eingestellt sind, dass sie alles rauslassen und nichts rein! d.h. aber auch eigentlich - keine Fernverwaltung vom Provider... hmmm. Auch das "raus" erscheint mir inakzeptabel. Warum sollte man Information über sich frei herausgeben?
- welche Programme benötigen welchen Port? da musst du wissen! nein: ich wähle zwar die Programme, da hast Du Recht. Aber ich weiß i.a. eben _nicht_, welche Ports ein Progs. normalerweise nutzt.
Klar, 22, 25, 80, 110, aber bei anderen Progs. weiß ich nicht, ob diese "Quellen" oder "Senken". Danke da an eben nmap, avirmail, (k)clamav, etc. Plaudertaschen a la Skype sind mir eh' suspekt- vgl. z.B.: <http://www.heise.de/security/Spekulationen-um-Backdoor-in-Skype--/news/meldung/113281>, <http://www.wireless-forum.ch/forum/viewtopic.php?p=91807>?
Du hast doch solche Software, die von aussen erreichbar sein will selbst installiert !! ehm... Skype ? ssh (22), smtp(25), http (80), https (443).. also Mailserver, Webserver usw.
aber die Standardports stehen alle in /etc/services
- wie kann ich z.B. bestimmte Ports freigeben?
"Blechbüchsenmenü" -> genaueres siehe Handbuch.. jeder dritte Hersteller nennt den gleichen Fakt anders..
was nun - Ports pauschal öffnen (wenn ja: warum) oder Portforward auf eine definierte Maschine ? [s.o.: "bestimmte..."]
- wie kann ich Datenflüsse beobachten, insbesondere auch unerwünschte Zugriffe und Zugriffsversuche feststellen?
in der Blechbüchse ? Für mich ist das ganze System hinter der Anschlußdose gemeint, also Fritz!box, Printserver, Rechner,.... grundsätzlich möchte ich bestimmen, was rein, und was raus geht.
- schwierig - wenn überhaupt! Also Auswirkungen auf dein Netz feststellen...(Logs) ..oder eine andere loggende Firewall dahinter.. (IPCop ?)
... etc. pp.
Ich frage mich, ob es vielleicht gute Howtos gibt, die sowas leisten. Also _nicht_ die Manpages von nmap, Wireshark, die Bedienungsanleitung meiner Fritz!box, etc.
punktuell ja...
Sondern gut verständliche und leicht nachvollziehbare Anleitungen, die den Gesamtkomplex Sicherheit eines LAN am Netz thematisieren. Dachte da eigentlich an Grundlagen, "man-nehme", "wenn-dann-Checklisten", etc. wenn das Verständnis der grundlegenden Fragen sichergestellt ist, traue ich mir die eine oder andere Einstellung zu. Klaro.
Einzige Prämisse. Transparenz nur für mich. Nach außen (möglichst) unsichtbar.
na ja .. da gibt es viele dicke Bücher ...konkret ist nicht/kann nicht sein -> jeder hat da andere Sachen stehen...
Wenn jemand sowas kennt, würde das vermutlich nicht nur mir helfen.
Tjä ... deswegen wurde ja auch die DMZ erfunden, um das interne Netz nicht nach aussen sichtbar werden zu lassen...
Meine Überlegung nochmal etwas detailliert: 1.) Eine Checkliste könnte die Struktur eines (W)LAN/Netztes abbilden "welche Geräte sind angeschlossen?" 2.) Fragen könnten Sicherheitsbedürfnisse abfragen: MUSS, KANN, SOLL; Schutzbedarf, Wert von Daten, etc. 3.) Programme würden dann vom dem Tool überprüft, ob diese im Rahmen der o.g. Punkte "passen", Hinweise gegeben. 4.) Zuletzt würden Einstellungen ("Ports offen oder zu?") getroffen. 5.) Überprüfung des Systems: welche Werkzeuge, welche Einstellungen,... Selbsttest, Test "von außen" Das könnte auch als so eine Art "guided tour" gestaltet werden. Hinweise zur Relevanz einzelner Einstellparameter würden dem weniger kenntnisreichen helfen. Vielleicht so ähnlich wie: http://localhost:631/ ? Ist vielleicht zu anspruchsvoll im Ansatz, und letztlich verdient niemand an der Sicherheit eines einzelnen Systems, womögliches eines Systems eines Einzelanwenders. Es sei denn, eine Firma böte sowas als Dienstleistung an. Könnte ja eine Marktnische sein!?
Danke erstmal!
Axel
P.S.: mein Beitrag soll kein thread-hijacking sein, dachte, es könnte Michaels ursprüngliche Frage ganz gut ergänzen!
Ja ja ..es beschreibt ja das "Problem" - aber die Universallösung gibt es wohl nur in der Religion..wenn überhaupt..
Fred
Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org