Port Freigabe - eine grundsätzlich blöde Frage
Wir diskutieren in meiner Firma schon länger ob wir von intern nach außen alle Ports öffnen sollten und es fallen irgendwie keine wirklichen Argumente warum die Firewall auch von innen geschlossen sein soll. Was haltet ihr von dem Thema? lg
Martin Hochreiter wrote:
Wir diskutieren in meiner Firma schon länger ob wir von intern nach außen alle Ports öffnen sollten und es fallen irgendwie keine wirklichen Argumente warum die Firewall auch von innen geschlossen sein soll.
Das kommt auf euer Sicherheitsbedürfnis an im Verhältnis zur Unbequemlichkeit, wenn Anwendungen immer einzeln Ports zugewiesen bekommen. Bei mir zuhause habe ich alle Ports nach außen offen, aber da bin ich auch der einzige Anwender, und ich kenne die Risiken. In der Firma sind die Ports nur einzeln geöffnet, und meist dann auch nur für den Server, der die Anwendung hosted. Intelligente Trojaner tunneln ohnehin über http und verschlüsseln ihre Information trickreich, aber dumme Trojaner werden von Portblocks und Regeln auf dem Squid entdeckt und geblockt. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Das kommt auf euer Sicherheitsbedürfnis an im Verhältnis zur Unbequemlichkeit, wenn Anwendungen immer einzeln Ports zugewiesen bekommen.
Bei mir zuhause habe ich alle Ports nach außen offen, aber da bin ich auch der einzige Anwender, und ich kenne die Risiken. In der Firma sind die Ports nur einzeln geöffnet, und meist dann auch nur für den Server, der die Anwendung hosted.
Intelligente Trojaner tunneln ohnehin über http und verschlüsseln ihre Information trickreich, aber dumme Trojaner werden von Portblocks und Regeln auf dem Squid entdeckt und geblockt.
Sandy
Sicherheitsbedürfnis ... nun wir sind eine Fachhochschule die IT Security und Telekommunikationsstudenten hat, daher brauchen die natürlich relativ viele Dinge (bzw. Ports). Allerdings mit ist gegen eine vollständige Öffnung nur folgendes eingefallen: * Trojaner auf internen Rechnern holen sich Daten von extern * Das Bandbreitenmanagement vom Proxy wird ausgehebelt (dies könnte allerdings die FW erledigen) * Messagingdienste (die sehr oft Proxyauth nicht können) können nicht über den Proxy (und dem Unterricht wird mehr Gehör geschenkt ....) * Grundsätzlich ist es aber egal ob ich einen Port von überall nach überall freigebe oder gleich alle, denn per SSH kann ich ja Tunneln über welch Port auch immer (wenn die Gegenstelle darauf getrimmt ist) und mir die Daten holen die ich brauche ... * Wir verlieren die Beziehung User zu aufgerufener Internetseite im Proxylog, d.h. wir können nicht mehr nachvollziehen wer etwas "Böses" getan hat Aber sonst .... lg
Martin Hochreiter schrieb:
Sicherheitsbedürfnis ... nun wir sind eine Fachhochschule die IT Security und Telekommunikationsstudenten hat, daher brauchen die natürlich relativ viele Dinge (bzw. Ports).
Hallo Martin, eigentlich beginnt man bei IT-Security-Themen nicht mit der Technik sondern bei der Organisation. D.h. die Geschäftsleitung legt fest, was erlaubt ist und was nicht und dann sorgt die IT-Abteilung für die Umsetzung. Vor allem wird dabei festgelegt, was schützenswert ist und welche gesetzlichen Rahmenbedingungen einzuhalten sind. Das sollten Dir Deine IT-Security-Studenten spätestens ab dem 2. Semester haarklein vorbeten können. Gewöhnlich wird dieser Prozeß auch dokumentiert, dann weiß man auch später noch warum und wieso. Grob gesprochen wird aus dem Kernnetz in aller Regel kein Port direkt freigeschaltet; wenn irgendwelche Stundenten Experimentierraum benötigen, kann man dafür Rechner vor die Firewall bzw. in eine DMZ stellen, schließlich sind Studenten in aller Regel keine Rentner und können daher auch zu Fuß dorthin gehen. Die prinzipielle Möglichkeit intelligenter Trojaner ist sicher keine gute Begründung für die Öffnung von Ports, höchstens Ansporn, diese erst gar nicht ins Netz zu lassen, bzw. ihnen jegliche Möglichkeit der weiteren Verbreitung zu nehmen. Gruß Reinhard
Am Monday 06 November 2006 12:29 schrieb Martin Hochreiter:
Wir diskutieren in meiner Firma schon länger ob wir von intern nach außen alle Ports öffnen sollten und es fallen irgendwie keine wirklichen Argumente warum die Firewall auch von innen geschlossen sein soll.
Wenn man nur bestimmte Ports (Dienste) erlaubt und dieses kommuniziert ist z.B. ein verbotenes tunneln ein Verstoß gegen diese Regeln. Desweiteren ist ein Log für den Versuch auf gesperrten Ports Verbindungen aufzubauen ein zusätzlicher Indikator für Sicherheitsprobleme bei den LAN-Clients. Man sieht relativ schnell wenn einer ein Filesharing Programm anwirft oder einen Skype Client in Betrieb nimmt. Mit einen HTTP-Proxy und einer Zwangsumleitung für SMTP-Versand auf den eigenen email-Server kann man zusätzliche Sicherheit schaffen. Es ist eine Frage des Konzeptes. Der Aufwand ausgehenden Verkehr nach Ports zu filtern ist sehr gering. Der Nutzen ist meiner Ansicht nach sehr hoch.
participants (4)
-
Martin Hochreiter
-
Reinhard Haller
-
Sandy Drobic
-
Thomas Winter