Hi, ist wahrscheinlich etwas OT aber vielleicht kann mir jemand trotzdem einen Tip geben. Eine Kirchengemeinde, die ich als Hobby ein wenig berate (www.emmaus.de) plant einen DSL - Anschluß zu benutzen. Dort ist es wichtig, daß per NAT zwei Bereiche getrennt sind, wo der eine eher sicherheitsrelevante Rechner hat, der andere einen Rechnerpool als Internetcafe. Das Linux so etwas kann ist mir wohl bekannt, nur da dort kein KnowHow zu Linux vorhanden ist, überlegen die, ob sie einen DSL-Router mit integrierter NAT Firewall anschaffen. Können solche Router nur NAT, oder auch gewisse Ports für einen der beiden Netzwerkstränge ausschalten? Ist so etwas sinnvoll, oder sollte man doch lieber eine Linuxfirewall einsetzen? Vielen Dank Volker PS: Da OT könnt Ihr auch gern per PM antworten. -- Volker Kroll 4mino AG Chief System Developer Chausseestr. 52 b volker.kroll@4mino.de D-10115 Berlin Tel.: +49-30-2888490-0 Fax.: +49-30-2888490-99
Volker Kroll <volker.kroll@4mino.de> schrieb:
Eine Kirchengemeinde, die ich als Hobby ein wenig berate (www.emmaus.de) plant einen DSL - Anschluß zu benutzen. Dort ist es wichtig, daß per NAT zwei Bereiche getrennt sind, wo der eine eher sicherheitsrelevante Rechner hat, der andere einen Rechnerpool als Internetcafe. Das Linux so etwas kann ist mir wohl bekannt, nur da dort kein KnowHow zu Linux vorhanden ist, überlegen die, ob sie einen DSL-Router mit integrierter NAT Firewall anschaffen. Können solche Router nur NAT, oder auch gewisse Ports für einen der beiden Netzwerkstränge ausschalten? Ist so etwas sinnvoll, oder sollte man doch lieber eine Linuxfirewall einsetzen?
Ich habe die Anforderung in Sache Sicherheitsrelevante Bereiche nicht ganz verstanden, aber ich hoffe, dass dies nicht ganz so wichtig ist. In Sache Router kann ich nur wärmstens empfehlen: FLI4L! www.fli4l.de müsste die Homepage sein! Und das Beste daran: Du musst gar kein Linux haben und kennen um es zu nutzen. Du kannst es auch ziehen und unter Windows entpacken. Dann noch das schöne Windows-Programm zur Konfig und schon hast Du unter Windows ein Tool, mit dem Du auf Diskette einen Router erstellst. Dass auf der Diskette ein Linux ist, ist Dir dann schon fast egal :-)) Wir haben mehrere FLI4L ROuter aufgebaut und es ist wirklich einfach und leistungsfähig. Es gibt auch Module für DHCP und SQUID und was es sonst so nette Dinge gibt, Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Hallo, * Am 05.06.2002 postete Konrad Neitzel:
Volker Kroll <volker.kroll@4mino.de> schrieb:
[Router für Kirchengemeinde] [fli4l]
ich möchte Konrad da gerne zustimmen. Ich würde auch fli4l verwenden, da das eigentlich kaum Wünsche offen läßt. Für eine antsändige Firewallkonfiguration ist auch gesorgt, allerdings sollte man da auch Wissen mitbringen. Sehr schön sind die "Client Anwendungen" (imonc). Ich kann mir daher kaum vorstellen, daß es sinnvoll ist, einen Hardwarerouter hinzustellen. Mit viel Bastelarbeit bekommt man ja auch einen sehr kleinen Rechner hin. Viele Beispiele kann man sich auf der fli4l-Homepage ansehen. Das wichtigste Kriterium ist IMO aber, daß man Änderungen vornehmenen kann. Zum Beispiel, wenn neue Features für fli4l kommen. Ist man da mit einem Hardware-Router nicht sehr begrenzt? Also besser ne alte Kiste hin, Diskette bauen und das Ding ist sogar vor den Auswirkungen eines Stromausfalls relativ sicher. -- Gruß Alex -- ...bei Föhn bis 15°C. Wenn er durchbrennt wird's noch wärmer. [Wettervorhersage in SWR3 am 5.11.2000 um 22.04h]
Hi Leute,
----- Original Message ----- From: "Alex Klein" <suse-linux@alexklein.info> To: <Suse-linux@suse.com> Sent: Wednesday, June 05, 2002 6:38 PM Subject: Re: OT: DLS-Router
Hallo,
* Am 05.06.2002 postete Konrad Neitzel:
Volker Kroll <volker.kroll@4mino.de> schrieb:
[Router für Kirchengemeinde] [fli4l]
ich möchte Konrad da gerne zustimmen. Ich würde auch fli4l verwenden, da das eigentlich kaum Wünsche offen läßt. Für eine antsändige Firewallkonfiguration ist auch gesorgt, allerdings sollte man da auch Wissen mitbringen.
Sehr schön sind die "Client Anwendungen" (imonc). Ich kann mir daher kaum vorstellen, daß es sinnvoll ist, einen Hardwarerouter hinzustellen. Mit viel Bastelarbeit bekommt man ja auch einen sehr kleinen Rechner hin. Viele Beispiele kann man sich auf der fli4l-Homepage ansehen.
Das wichtigste Kriterium ist IMO aber, daß man Änderungen vornehmenen kann. Zum Beispiel, wenn neue Features für fli4l kommen. Ist man da mit einem Hardware-Router nicht sehr begrenzt?
Also besser ne alte Kiste hin, Diskette bauen und das Ding ist sogar vor den Auswirkungen eines Stromausfalls relativ sicher.
Die Sache mit dem fli4l ist zwar ganz gut und schön, aber sie hat auch Schattenseiten: man sollte schon irgendwo eine alte Kiste stehen haben, falls nicht ist man kostenmäßig mit einer Hardwarelösung besser dran (4Port-Router gibt es schon ab 100 Euro). In Punkto Features hat der fli4l sicher eine Menge zu bieten (Samba, DHCP, DNS, Paketfilter...) aber mal im Ernst, ist es nicht sinnvoller einen dedizierten Router zu haben, als eine eierlegende Wollmilchsau, die umsomehr Sicherheitslöcher hat umsomehr Features dazukommen (vgl. Redmond)? Ein weiterer Minuspunkt ist, das der fli in Punkto Clientzahl doch etwas begrenzt ist. Ein Hardwarerouter kann ein komplettes Teilnetz mit bis zu 253 Clients bedienen (rein rechnerisch, wenn das Netz als solches nicht vorher schlapp macht). Fazit: Fli4l für kleine Netze (IMHO bis 8 oder 10 Clients), wenn ein alter Rechner vorhanden ist, sonst Hardwarelösung! Gruß Guido
"Guido Schiffer" <guido_schiffer@web.de> schrieb:
Die Sache mit dem fli4l ist zwar ganz gut und schön, aber sie hat auch Schattenseiten: man sollte schon irgendwo eine alte Kiste stehen haben, falls nicht ist man kostenmäßig mit einer Hardwarelösung besser dran (4Port-Router gibt es schon ab 100 Euro).
Das ist richtig. Aber ein 4Port Router für 100 Euro bietet wirklich nicht sehr viel! Da würde ich doch schon etwas mehr ausgeben wollen. Aber auch 250 EUR sind nicht gerade viel und dafür kann das Teil dann schon etwas mehr!
In Punkto Features hat der fli4l sicher eine Menge zu bieten (Samba, DHCP, DNS, Paketfilter...) aber mal im Ernst, ist es nicht sinnvoller einen dedizierten Router zu haben, als eine eierlegende Wollmilchsau, die umsomehr Sicherheitslöcher hat umsomehr Features dazukommen (vgl. Redmond)? Ein weiterer Das sind aber optionale Dinge. Wer da natürlich alles drauf setzt, der muss auch mit den Konsequenzen leben. Aber FLI4L ist erst einmal ein Router mit Firewall. Eine Lösung sollte immer minimal gehalten werden, das ist richtig! Also so viel wie nötig und so wenig wie möglich. Aber die Erweiterbarkeit sehe ich eher als Vorteil, denn dies hast Du bei den hardwareroutern nicht (Oder sie setzen ebenfalls auf Linux oder so, so dass es eine vergleichbare Lösung ist!)
Minuspunkt ist, das der fli in Punkto Clientzahl doch etwas begrenzt ist. Ein Hardwarerouter kann ein komplettes Teilnetz mit bis zu 253 Clients bedienen (rein rechnerisch, wenn das Netz als solches nicht vorher schlapp macht). Ähm - das kann ich so jetzt nicht nachvollziehen. Und zwar absolut nicht!
Wie kommst Du zu dieser Aussage? Ein Hardwarerouter wie eine FLI4L Lösung können beide deutlich mehr! Was beide auf jeden Fall können müssen ist ein simples routen eines lokalen Netzes. Und dies kann natürlich auch ein Netzwerk mit einer Maske von 255.0.0.0 sein, so dass Du hier extrem viele Rechner haben kannst! Was ein solches Netz für einen Sinn macht oder eben nicht, das steht auf einem anderen Blatt. FLI4L lässt sich aber auch erweitern zu einem richtigen Router! Dies ist mit Linux nun einmal möglich. FLI4L mag das vielleicht nicht in seiner 08/15 Config bieten, aber es ist durchaus denkbar, dass man hier mit mehreren Netzwerkkarten arbeitet und man komplexere Routingtabellen hat!
Fazit: Fli4l für kleine Netze (IMHO bis 8 oder 10 Clients), wenn ein alter Rechner vorhanden ist, sonst Hardwarelösung!
Hier würde ich gerne Argumente hören! Ich kann mir viele Argumente denken z.B. die Untersuchung der Leistungsfähigkeit! (So ist ein Rechner mit billig-Netzwerkkarten garantiert kein leistungsfähiger Router, der 3 oder 4 Netzwerkkarten mit annähernd 200 MBit/s voll auslasten kann. Die Hardware setzt hier einfach zu viele Limits. Aber die Anzahl der Clients ist dem Router erst einmal relativ egal! Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
"Robert Schott" <rs@roottec.com> schrieb:
Wie sieht es mit DMZ Support aus? Können muss der das ja. Keine Frage. Aber hat das jemand hier in der Liste auch schon jemand damit lauffähig implementiert?
Ähm - was verstehst Du unter "DMZ Support"? Firewall ist Firewall IMHO. Was muss eine Firewall denn können, damit eine DMZ unterstützt wird? Du kannst natürlich mit zwei Firewalls auch eine DMZ implementieren. Aber es liegt an Dir, die Firewallregeln entsprechend zu setzen. So habe ich zumindest die ganzen Firewall Dinge, die ich so gelesen habe, verstanden. Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Ähm - was verstehst Du unter "DMZ Support"? Firewall ist Firewall IMHO. Was muss eine Firewall denn können, damit eine DMZ unterstützt wird?
Du kannst natürlich mit zwei Firewalls auch eine DMZ implementieren. Aber es liegt an Dir, die Firewallregeln entsprechend zu setzen.
So habe ich zumindest die ganzen Firewall Dinge, die ich so gelesen habe, verstanden.
War vielleicht etwas verwirrend ausgedrückt. Drei NICs auf dem Fli und das entsprechend konfiguriert. => Poor mans DMZ + => Poor mans intrusion detection per IPtables von der DMZ aus. Wer hat das schon zum laufen gebracht und verwendet das? Das war die Frage. Ist zwar nicht ganz so sicher wie mit zwei eigenständigen FW dennoch besser als alles in einem Segment. In den DMZ Ast würde ich die relativ gefährlichen Cafe Rechner hängen. Die sollten wohl kaum auf die/den Abrechnungsrechner gelangen. Robert
"Robert Schott" <rs@roottec.com> schrieb:
War vielleicht etwas verwirrend ausgedrückt. Drei NICs auf dem Fli und das entsprechend konfiguriert. => Poor mans DMZ + => Poor mans intrusion detection per IPtables von der DMZ aus. Wer hat das schon zum laufen gebracht und verwendet das? Das war die Frage.
Ist zwar nicht ganz so sicher wie mit zwei eigenständigen FW dennoch besser als alles in einem Segment. In den DMZ Ast würde ich die relativ gefährlichen Cafe Rechner hängen. Die sollten wohl kaum auf die/den Abrechnungsrechner gelangen.
Hmm - eine eMail an mich oder an die Liste aber doch bitte nicht beides. Aber noch einmal für alle: a) Ich weiss nicht, ob man hier so viel einsparen würde, wenn man eine FW einspart. b) Diese "poor mans DMZ" würde ich nie als DMZ bezeichnen. Du hast weiterhin nur eine FW! Du hast dann zwar getrennte Netze, aber das spielt keine besondere Rolle. c) Hier ist vielleicht eine andere Firewall wie die sentry firewall besser geeignet als das FLI4L. FLI4L unterstützt so in der 08/15 Config auf jeden Fall nur 2 Netzwerkkarten (bei DSL). Wobei ich fli4l nur von der graphischen Config unter Windows her kenne :) Ich würde mir hier gut überlegen, was ich hier wie schützen will und kann. Was für Rechner will ich zum Beispiel schützen? Und vor was will ich diese schützen? (Hintergrund: Firewall ist nur eine Sache! Was ist mit den Browsern? eMail Programmen? ....) Was für Zugang erlaubt ihr im öffentlichen Bereich? - Disketten / CD-ROM vorhanden? - Anschlüsse aussen frei? (Bei SCSI immer gern gesehen!) - BIOS mit Startreihenfolge? Ich kann mir zum Beispiel einen Linux Client vorstellen, der ohne Diskettenlaufwerk und CD-ROM Laufwerk auskommen würde. Die User haben kaum Rechte. Danke KDE3 bootet der auch bis in die GUI rein incl. Anmeldung als "guest". Config-Dateien werden immer neu geschrieben beim reboot / ausloggen .... Damit der User nicht irgendwelche eigenen Binaries für Angriffe nutzen kann, kann ich hingehen und dem User ein Homeverzeichnis geben, von dem eine Binaries gestartet werden können (Mount option!) und das evtl. durch quota abgeschirmt ist, so dass nur Config-Dateien hinpassen! Es ist hier sehr viel denkbar! Dann hat man halt eine "Surfstation", mit denen die Leute ins Netz gehen können, aber die anderen Rechner im eigenen Netz sind relativ sicher. Desweiteren ist es ja in einem Raum der relativ abgesichert ist, d.h. es ist oft jemand anwesend und so. Also sollte niemand einfach so seinen Laptop anschliessen können! (Sowas zu vermeiden ist ehh unsinn. Genauso klaue ich dir schnell den Verwaltungsrechner oder so! Ist kein grosser Schritt mehr!) Oder wenn wichtige Daten vorhanden sind: Warum diese nicht verschlüsselt ablegen? Dann kann die jeder klauen und kann damit ehh nichts anfangen! Das Sicherheitskonzept sollte doch deutlich mehr enthalten, als mal eben so eine DMZ für Arme! Das wird oft lediglich eine Farce! Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Rehi Konrad, eigentlich will ich hier keinen Glaubenskrieg lostreten. Mich hat halt nur interessiert, ob das Fli4l einfach so 'out of the box' kann. Ich hörte dass das Ding ziehmlich viel Schnickschnack bereithält.. Außerdem: a) Ich war nicht der eigentliche Originator des Threads. b) Sicherheit ist nicht pauschal sondern von Fall zu Fall zu entscheiden. c) Gebe ich Recht, dass es immer eine Frage dessen ist wieviel Aufwand man selbst betreiben möchte. Sicherheit ist nicht mit einem Satz, nicht auf einer Seite, nicht auf einer Floppy oder auf einem Checkpoint FW1 unter- zubringen. Sicherheit ist relativ - eigentlich eher eine Illusion die es nicht gibt. In meinen Augen ist es eine endlose Geschichte die unendlich viele Facetten bereithält. Wer sagt es gibt die 100% Lösung der hat entweder keine Ahnung oder ist ignorant. Das Thema ist vergleichbar damit ein Haus einbruchsicher zu machen. Es bleibt dem Eigentümer oder Nutzer überlassen wieviel Aufwand der betreiben will, um die Kiste dicht zu bekommen. Möglicherweise aber gehört Sicherheit nur peripher hierher in die Liste und wäre besser anderswo zu diskutieren. Und: Es gibt haufenweise Docs zu dem Thema verstreut im Netz, wenn man gewillt ist, sich da reinzuarbeiten. Hier wiederum der Verweiß auf Punkt c). Robert
"Robert Schott" <rs@roottec.com> schrieb:
eigentlich will ich hier keinen Glaubenskrieg lostreten. Hast Du auch in keiner Weise.
Mich hat halt nur interessiert, ob das Fli4l einfach so 'out of the box' kann. Ich hörte dass das Ding ziehmlich viel Schnickschnack bereithält..
Ich nehme an, dass dies nicht geht. Zumindest habe ich es so noch nicht gesehen. Mir ging es auch nur darum: a) die Alternative Sentry firewall aufzuzeigen b) zu sagen, dass es hier vielleicht eine bessere total anders geneigte Möglichkeit gibt, die mehr Sicherheit mit weniger Aufwand realisiert. Und wenn es nach mir geht, dann kann man diese Sicherheitspunkte durchaus einmal näher beleuchten, nur bisher weiss ich so gut wie gar nichts von dem, was Du realisieren musst. Daher habe ich mir irgendwelche Szenarien aus dem Daumen gelutscht, um ein paar Annäherungspunkte zu liefern. Ob dies auf diese Liste gehört oder nicht, ist schwer zu entscheiden und ich denke, dass dieses Punkte sind, die viele aus der Liste interessieren könnten. Aber das sollten wir nicht noch zum Diskussionspunkt machen :) Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Am Donnerstag, 6. Juni 2002 08:29 schrieb Robert Schott:
Die Sache mit dem fli4l
Wie sieht es mit DMZ Support aus? Können muss der das ja. Keine Frage. Aber hat das jemand hier in der Liste auch schon jemand damit lauffähig implementiert?
Kannst Du hier ein bischen konkreter werden, wie es die Gemeindebrüder haben möchten? Wenn ich Dich richtig verstanden habe, soll einmal das Internetkaffee und dann noch die Verwaltung zugang zum Internet haben. Ich denke bei Euch ist es so wie überall in den Gemeinden, das auf einem PC (mangels Geld) in der Verwaltung, alle Daten über die Mitglieder, einschl. der Buchhaltung gespeichert werden. Dieser soll nun vor der "bösen Internetwelt" mit all seinen Hackern u.s.w geschützt werden?! Dies geht doch, aber was hat das mit DMZ zu tun. So wie ich das bisher verstanden habe kann ich zwichen zwei Firewalls eine DMZ einrichten, aber das hat mit der Unterstützung der Firewall nichts zu tun. Oder was verstehst Du darunter? cu Thomas PS In unserer Gemeinde sollte man den PC besser vor dem Kirchenvostand schützen als vorm WWW :-)) -- www.thofi-lich.de
Hi Liste,
----- Original Message ----- From: "Konrad Neitzel" <neitzel@softmediatec.de> To: <Suse-linux@suse.com> Sent: Wednesday, June 05, 2002 12:59 PM Subject: Re: OT: DLS-Router
Volker Kroll <volker.kroll@4mino.de> schrieb:
Eine Kirchengemeinde, die ich als Hobby ein wenig > berate (www.emmaus.de) plant einen DSL - Anschluß zu benutzen. Dort ist es wichtig, daß per NAT zwei Bereiche getrennt sind, wo der eine eher sicherheitsrelevante Rechner hat, der andere einen Rechnerpool als Internetcafe. Das Linux so etwas kann ist mir wohl bekannt, nur da dort kein KnowHow zu Linux vorhanden ist, überlegen die, ob sie einen DSL-Router mit integrierter NAT Firewall anschaffen. Können solche Router nur NAT, oder auch gewisse Ports für einen der beiden Netzwerkstränge ausschalten? Ist so etwas sinnvoll, oder sollte man doch lieber eine Linuxfirewall einsetzen?
Ich habe die Anforderung in Sache Sicherheitsrelevante Bereiche nicht ganz verstanden, aber ich hoffe, dass dies nicht ganz so wichtig ist.
In Sache Router kann ich nur wärmstens empfehlen: FLI4L!
www.fli4l.de müsste die Homepage sein!
Und das Beste daran: Du musst gar kein Linux haben und kennen um es zu nutzen. Du kannst es auch ziehen und unter Windows entpacken. Dann noch das schöne Windows-Programm zur Konfig und schon hast Du unter Windows ein Tool, mit dem Du auf Diskette einen Router erstellst. Dass auf der Diskette ein Linux ist, ist Dir dann schon fast egal :-))
Wir haben mehrere FLI4L ROuter aufgebaut und es ist wirklich einfach und leistungsfähig.
Es gibt auch Module für DHCP und SQUID und was es sonst so nette Dinge gibt,
Und hier ein Modul für dyndns: http://www.dummzeuch.de/opt_dyndns/deutsch.html Gruß Guido
On Wed, 2002-06-05 at 11:56, Volker Kroll wrote:
Fragen zu einem DSL Router
Vielen Dank für die vielen Antworten (auch per PM). Ich weiß nicht, wie die Gemeinde es jetzt wirklich machen wird, aber vermutlich werden sie keinen Hardwarerouter einsetzen. FLI oder eine fertige Linuxbüchse, die uns angeboten wurde, werden wohl das Rennen machen :-) Vielen Dank für die vielen kompetenten Kommentare Volker (aus dem unendlich warmen Berlin) -- Volker Kroll 4mino AG Chief System Developer Chausseestr. 52 b volker.kroll@4mino.de D-10115 Berlin Tel.: +49-30-2888490-0 Fax.: +49-30-2888490-99
participants (6)
-
Alex Klein
-
Guido Schiffer
-
Konrad Neitzel
-
Robert Schott
-
Thomas Fick
-
Volker Kroll