Hallo, was haltet Ihr den von einen Firewall auf einem Rechner mit nur einer Netzwerkkarte ? -- Helmut -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Hy Helmut, als Firewall mit ISDN & Netzwerkkarte ist das schon noch OK. Mit nur einer Netzwerkkarte braucht man dann auch keine Firewall an der Stelle. Gruß Mario Helmut Fahrion schrieb:
Hallo,
was haltet Ihr den von einen Firewall auf einem Rechner mit nur einer Netzwerkkarte ?
--
Helmut
-- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
-- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Helmut Fahrion wrote:
Hallo,
was haltet Ihr den von einen Firewall auf einem Rechner mit nur einer Netzwerkkarte ?
Ein Witz? Ein Firewall kann seine Aufgabe nur wahrnehmen, wenn _aller_ Traffic durch ihn hindurch _muß_. Das geht mit nur _einer_ Netzwerkkarte nicht. -- Dirk Taggesell CyberSolutions GmbH <A HREF="http://www.cys.de/"><A HREF="http://www.cys.de/</A">http://www.cys.de/</A</A>> -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Hi,
Ein Witz? Glaub ich nicht
Ein Firewall kann seine Aufgabe nur wahrnehmen, wenn _aller_ Traffic durch ihn hindurch _muß_. Das geht mit nur _einer_ Netzwerkkarte nicht.
Das stimmt nicht ganz. Nehmen wir mal an, der Rechner hängt an einem Netz an dem er nicht als Gateway/Router/wasweissich benutzt wird. Es gibt auf diesem Rechner möglicherweise sensible Daten, die geschützt werden müssen. Der Einsatz einer Firewall ist dann zum Beispiel sinnvoll, den Zugriff nur bestimmten Rechnern zu ge- währen oder evtl. Einbruchsversuche zu loggen. CU Philip -- LIVE LONG AND IN PEACE -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
was haltet Ihr den von einen Firewall auf einem Rechner mit nur einer Netzwerkkarte ?
Ein Witz?
Ein Firewall kann seine Aufgabe nur wahrnehmen, wenn _aller_ Traffic durch ihn hindurch _muß_. Das geht mit nur _einer_ Netzwerkkarte nicht.
In sehr vielen Netzen wird mit 2 Router und einem Firewall gearbeitet. Der Firewall kann auch nur "single"-attched sein, sprich eine Netzwerkkarte haben. Es kann also auch bei einem Rechner mit einer Karte sinn machen, einen Firewall zu installieren. Es kann trotzdem aller Traffic durch ihn hindurch müssen (alles eine Frage des Routing). Gruss, Remo ----------------------------------------------------- Fatum favet volenti. (anon) ----------------------------------------------------- Remo Pini T: +41 1 350 28 88 Pini Computer Trading N: +41 79 216 15 51 <A HREF="http://www.rpini.com/\\\\\\\\\\\\"><A HREF="http://www.rpini.com/\\\\\\\\\\\\</A">http://www.rpini.com/\\\\\\\\\\\\</A</A>> Email: rp@rpini.com ----------------------------------------------------- -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Remo Pini wrote:
was haltet Ihr den von einen Firewall auf einem Rechner mit nur einer Netzwerkkarte ?
Ein Witz?
Ein Firewall kann seine Aufgabe nur wahrnehmen, wenn _aller_ Traffic durch ihn hindurch _muß_. Das geht mit nur _einer_ Netzwerkkarte nicht.
In sehr vielen Netzen wird mit 2 Router und einem Firewall gearbeitet. Der Firewall kann auch nur "single"-attched sein, sprich eine Netzwerkkarte haben. Es kann also auch bei einem Rechner mit einer Karte sinn machen, einen Firewall zu installieren. Es kann trotzdem aller Traffic durch ihn hindurch müssen (alles eine Frage des Routing).
Das ist ein ziemlich blauäugiges Konzept. Ich habe mir gerade noch etwas Argumentationshilfe von Peter Simons, unserem Firewall-Experten geholt, wobei sich folgende Schlußfolgerung ergab (ich zitiere): Das Szenario ist wie folgt: Außenwelt | +---+----+ | router | +---+----+ | +----------+---------+-------+-------+ Ethernet | | | | | | | | +----------+ +------+ +--+---+ +-+----+ | Firewall | | Host | | Host | | Host | +----------+ +------+ +------+ +------+ IMHO ist auf den ersten Blick ersichtlich, was daran falsch ist. Es ist nicht erzwungen, daß Traffic zwischen den Hosts durch den Firewall muß. Es ist weiterhin nicht erzwungen, daß Traffic zwischen einem Host und der Außenwelt durch den Firewall muß. Zwar kann man jetzt per Konvention allen Traffic auf den Firewall routen, aber es muß lediglich ein Hacker Zugriff auf den Router bekommen, die Routen ändern und sofort ist das gesamte Netz nach außen offen. Gegen diese Bedrohung wird sicherlich als Gegenargument gebracht werden, daß man den Router halt "sicher" machen muß. Das ist aber unsinnig, denn genau das ist ja die Aufgabe einer Firewall: Man hat - -einen- Rechner, der so sicher wie möglich ist, und der die restlichen Rechner schützt. In diesem Szenario wäre der Router der eigentliche Firewall und die "Firewall" wäre nur ein Proxy-Server. Oder sowas. Weiterhin ist die Gefahr da, daß ein User auf einem der Hosts die entsprechenden Privilegien erlangt, seine eigene Default-Route umbiegt und dann direkt auf den Router geht -- wieder ohne den Firewall. Neee... so ein Netzaufbau -kann- funktionieren, aber es widerspricht IMHO dem Prinzip eines Firewalls. Zitat Ende. -- Dirk Taggesell CyberSolutions GmbH <A HREF="http://www.cys.de/"><A HREF="http://www.cys.de/</A">http://www.cys.de/</A</A>> -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
<br> >> In sehr vielen Netzen wird mit 2 Router und einem Firewall gearbeitet. Der<br> >> Firewall kann auch nur "single"-attched sein, sprich eine Netzwerkkarte<br> >> haben. Es kann also auch bei einem Rechner mit einer Karte sinn machen,<br> >> einen Firewall zu installieren. Es kann trotzdem aller Traffic durch ihn<br> >> hindurch müssen (alles eine Frage des Routing).<br> ><br> >Das ist ein ziemlich blauäugiges Konzept. Ich habe mir gerade<br> >noch etwas<br> >Argumentationshilfe von Peter Simons, unserem Firewall-Experten<br> >geholt, <br> >wobei sich folgende Schlußfolgerung ergab (ich zitiere):<br> ><br> >Das Szenario ist wie folgt:<br> ><br> ><br> > Außenwelt<br> > |<br> > +---+----+<br> > | router |<br> > +---+----+<br> > |<br> > +----------+---------+-------+-------+ Ethernet<br> > | | | |<br> > | | | |<br> > +----------+ +------+ +--+---+ +-+----+<br> > | Firewall | | Host | | Host | | Host |<br> > +----------+ +------+ +------+ +------+<br> ><br> <br> Die übliche Konfiguration ist jedoch (ich habe von ZWEI routern geredet):<br> <br> <font face="Courier New, Courier">> "Internet"<br> > |<br> > +---+----+<br> > | router | (Router 1)<br> > +---+----+<br> > |<br> > |<br> > +---+---+ | +---+---+<br> > | FW |---+---| WWW.. | "Extranet"<br> > +---+---+ | +---+---+<br> > |<br> > +---+----+<br> > | router | (Router 2)<br> > +---+----+<br> > |<br> > +---------+---------+ "Intranet"<br> > | | |<br> > | | |<br> >+---+---+ +---+---+ +---+---+<br> >| Host | | Host | | Host |<br> >+-------+ +-------+ +-------+<br> <br> </font>Der Router 1 ist so konfiguriert, dass er von extern nur zum Firewall und (evtl) zum externen Services-Server (WWW, FTP, ....) routet (und zwar nur bestimmte Ports).<br> Der Firewall akzeptiert vom Router 1 nur bestimmten Verkehr (WWW, ...) zum Services-Server (WWW, ...)<br> Der Router 2 akzeptiert keinen externen Verkehr ausser bestimmte Ports vom Firewall (SMTP, DNS, ...)<br> <br> Ein Hacker muss nun<br> 1. den Router 1 knacken und dessen Routing ändern (wie er das allerdings machen soll, ohne darauf Telnetten zu können ist mir im Moment rätselhaft).<br> 2. den FW knacken (über einen well-known Port, weil alle anderen nicht akzeptiert werden)<br> 3. den Router 2 knacken und dessen Routing ändern (wie er das allerdings machen soll, ohne darauf Telnetten zu können ist mir im Moment rätselhaft).<br> <br> Das diese Konzept nicht allzu blauäugig ist, zeigt sich daran, dass es recht oft eingesetzt wird. Natürlich ist das Konzept mit einer Dual-attached FW (theoretisch) besser, noch besser ist allerdings das mit 2 FW...<br> <br> Gruss,<br> Remo Pini<br> <div>-----------------------------------------------------</div> <div>Fatum favet volenti. (anon)</div> <div>-----------------------------------------------------</div> <div>Remo Pini T: +41 1 350 28 88</div> <div>Pini Computer Trading N: +41 79 216 15 51</div> <div> <a href="http://www.rpini.com/%A0%A0%A0%A0%A0%A0%A0%A0%A0%A0%A0%A0" EUDORA=AUTOURL><A HREF="http://www.rpini.com/\\\\\\\\\\\\</a">http://www.rpini.com/\\\\\\\\\\\\</a</A>> Email: rp@rpini.com</div> -----------------------------------------------------
participants (5)
-
dirk.taggesell@cys.de -
hefa@artis.de -
nolte@vsa.de -
rp@rpini.com -
webmaster@senne-online.de