Hallo allerseits, angeregt durch einen anderen Therad auf der Liste kam mir die Frage ob es überhaupt nötig ist, die openSUSE Firewall zu nutzen, wenn man hinter einem (blechbüchsen)Router sitzt? Welche Vor-/Nachteile würden denn durch die nichtbenutzung entstehen? Grüße Michael
Am Montag 04 August 2008 schrieb M. Skiba:
Hallo allerseits,
angeregt durch einen anderen Therad auf der Liste kam mir die Frage ob es überhaupt nötig ist, die openSUSE Firewall zu nutzen, wenn man hinter einem (blechbüchsen)Router sitzt?
Wenn die Router-Firewall dicht ist und im internen Netz keine Gefahr droht, bringt die Firewall auf dem Rechner keine weiteren Vorteile.
Welche Vor-/Nachteile würden denn durch die nichtbenutzung entstehen?
Mit hast Du halt ne doppelte Absicherung. Die andere Frage ist, sind denn überhaupt Ports nach außen hin geöffnet? Ich für meinen Teil konfiguriere meine Rechner so, dass sie von sich aus dicht sind, erst wenn nmap nichts mehr von nem Rechner sieht, bin ich zufrieden, die Firewall auf dem Rechner spare ich mir dann, die am Router reicht mir dann. -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Montag, 4. August 2008 schrieb M. Skiba:
Hallo allerseits,
angeregt durch einen anderen Therad auf der Liste kam mir die Frage ob es überhaupt nötig ist, die openSUSE Firewall zu nutzen, wenn man hinter einem (blechbüchsen)Router sitzt? Ob es nötig ist, hängt einfach von Deinen Ansprüchen ab:
z.B: - Du nutzt die interne Firewall, weil Du der Blechbüchse nichts traust - Du nutzt die interne Firewall, weil Du in der Blechbüchse oder sonstwo in Deinem Netz ein WLAN hast und Deine Rechner vor Zugriffen vom WLAN schützen möchtest (geht auch mit bestimmten Fritzbox-Konfigurationen...) ! - Du möchtest bestimmte Dienste von außen öffnen, aber dies dann genauer bestimmen, beispielsweise einen Port nur für Zugriffe von bestimmten Adressen freischalten. Generell gilt: Du kannst mit der openSUSE Firewall bzw. mit iptables viele und sehr feine Einstellungen vornehmen, die ein Standard-Router nicht anbietet. Ich würde also bei Bedarf den Router für die grobe Einstellung nehmen und dann evtl. noch die interne Firewall für die Feinheiten dazu. Wenn Du die Feinheiten nicht brauchst und auch Dein internes Netz nicht zusätzlich (WLAN oder Übergriffe von anderen internen Rechnern) schützen musst, ist eine interne Firewall allerdings nur Verschwendung von Rechenleistung und sorgt für zusätzliches Kopfzerbrechen für SMB/Windows-Freigaben, CUPS und Ähnliches. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Mon, Aug 04, 2008 at 08:54:56PM +0200, Martin Hofius wrote:
Generell gilt: Du kannst mit der openSUSE Firewall bzw. mit iptables viele und sehr feine Einstellungen vornehmen, die ein Standard-Router nicht anbietet.
Und sie funktioniert! Das tun viele Firewalls auf Feld-Wald-und-Wiesen Routern nicht. Noch ein Punkt ist das loggen der Aktionen. Wenn die Firewall auf diversen Routern ueberhaupt ein sinnvolles Loggen beherrscht, kommt man oft an das Logfile nur ueber das Setup ran. Die brauchbaren Routerfirmwares (ddwrt, openwrt) benutzen iptables als Filter, womit sich die Katze in den Schwanz beisst, denn das steckt auch beim opensuse Firewall unter der Haube. Bei meinem Geraet ist die Firewall aus und alle Rechner im Netz haben ihren lokalen, eigenen Firewall laufen. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
M. Skiba schrieb:
Hallo allerseits,
angeregt durch einen anderen Therad auf der Liste kam mir die Frage ob es überhaupt nötig ist, die openSUSE Firewall zu nutzen, wenn man hinter einem (blechbüchsen)Router sitzt?
unabhängig von den Antoworten anderer.... deine Frage macht nur dann Sinn, wenn du mehr erzählst! -wieviele Rechner hängen hinter dem Router ? - welche Netzstruktur ? ( mit oder ohne DMZ) -welche Dienste laufen auf den Maschinen dahinter -wozu brauchst du denn überhaupt die Firewall (hier ganz konkrete Antworten) - letztendlich .. was ist das für eine Blechbüchse ?... brauchst du etwas, was die nicht kann ? (im simpelsten Fall : ausführliches Loggen...)
Welche Vor-/Nachteile würden denn durch die nichtbenutzung entstehen?
siehe oben .. als reiner Heimanwender mit nur einem Rechner (!) ist es eigentlich so gut wie egal... hast du Wlan an gilt die Blechbüchsenfirewall natürlich nicht (!) für den Zugriff vom Wlan auf deinen Rechner ...
Grüße Michael
Gruss Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 5. August 2008 07:57:33 schrieb Fred Ockert:
deine Frage macht nur dann Sinn, wenn du mehr erzählst! -wieviele Rechner hängen hinter dem Router ? Nur das Familiennetz mit 3 Rechnern
- welche Netzstruktur ? ( mit oder ohne DMZ) Ohne DMZ
-welche Dienste laufen auf den Maschinen dahinter Datenbank, gelegentlich Webserver, gelegentlich SSH.
-wozu brauchst du denn überhaupt die Firewall (hier ganz konkrete Antworten) Das ist die Frage die ich mir auch stelle, prinzipiell zum Schutz des PCs von Außen. Auch gegen Netzintern Gefahren, da es ein gemischtes Ethernet/wlan Netz ist. (Wobei auf meinem Hauptrechner kein Wlan ist, nur auf dem Laptop)
- letztendlich .. was ist das für eine Blechbüchse ?... brauchst du etwas, was die nicht kann ? (im simpelsten Fall : ausführliches Loggen...) Ein NETGEAR-Router, geloggt werden können da nur aufgerufene Seiten, jedoch keine Potenziellen Angriffe. Aber ich schätze da kann man nichts machen.
P.S.: Der einzige Nachteil den ich bei der Firewall festgestellt habe ist, das ich zwar die Ports beim Router-Forwarde, aber vergesse sie in der Feuerwand freizuschalten :D P.P.S.: Ein anderer angesprochener Punkt war das mit dem Daten raus gehen. Gibt es da eine Möglichkeit einzusehen, welche Programme alles Daten nach draußen senden? (Und gibt es ne Möglichkeit die über die OS Firewall zu blockieren?) Grüße Michael
M. Skiba schrieb:
Am Dienstag, 5. August 2008 07:57:33 schrieb Fred Ockert:
deine Frage macht nur dann Sinn, wenn du mehr erzählst! -wieviele Rechner hängen hinter dem Router ? Nur das Familiennetz mit 3 Rechnern
- welche Netzstruktur ? ( mit oder ohne DMZ) Ohne DMZ
-welche Dienste laufen auf den Maschinen dahinter Datenbank, gelegentlich Webserver, gelegentlich SSH.
na ja.. eigentlich gehören Webserver & Co in die DMZ..
-wozu brauchst du denn überhaupt die Firewall (hier ganz konkrete Antworten) Das ist die Frage die ich mir auch stelle, prinzipiell zum Schutz des PCs von
na ja... "Blechbüchse" lässt keinen rein und alles raus ..ist bei 99% aller (Heim)besitzer auch gut und richtig so
Außen. Auch gegen Netzintern Gefahren, da es ein gemischtes Ethernet/wlan Netz ist. (Wobei auf meinem Hauptrechner kein Wlan ist, nur auf dem Laptop)
- steht eher die Frage ( hat aber nix mit Firewall zu tun) ist das Wlan sicher? (Zugang)
- letztendlich .. was ist das für eine Blechbüchse ?... brauchst du etwas, was die nicht kann ? (im simpelsten Fall : ausführliches Loggen...) Ein NETGEAR-Router, geloggt werden können da nur aufgerufene Seiten, jedoch keine Potenziellen Angriffe. Aber ich schätze da kann man nichts machen.
Tjä ... tu (z.B.) OpenWRt drauf und du kannst Logging einstellen...
P.S.: Der einzige Nachteil den ich bei der Firewall festgestellt habe ist, das ich zwar die Ports beim Router-Forwarde, aber vergesse sie in der Feuerwand freizuschalten :D
wie freischalten ?? ... Portforward ist freischalten! oder wolltest du ssh Port pauschal für alle Rechner freischalten ? ( über NAT allgemein mag ich hier nicht reden...)
P.P.S.: Ein anderer angesprochener Punkt war das mit dem Daten raus gehen. Gibt es da eine Möglichkeit einzusehen, welche Programme alles Daten nach draußen senden? (Und gibt es ne Möglichkeit die über die OS Firewall zu blockieren?)
ordentlicher Router und loggen !... aber lass dir reichlich Plattenplatz! und nimm dir viiiiiel Auswertezeit! sicher kannst du blockieren... du kannst aber auch dabei ne Menge falsch machen in den Regeln (falsche Reihenfolge z.B. - die erste zutreffende Regel gilt..) und wenn ACCEPT versehentlich vor DROP oder REJECT in der Regelkette steht... tjä Du kannst deine Webservermaschine auch als BastionHost laufen lassen ... alle "Blechbüchsenports" 1:65353 einfach auf den BastionHost forwarden und dann dort weiterbehandeln...vergiss aber den Gedanken " ...mit wenigen Klicks machbar..."
Grüße Michael
Grüsse + FF Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 4. August 2008 18:33:14 schrieb M. Skiba:
Hallo allerseits,
angeregt durch einen anderen Therad auf der Liste kam mir die Frage ob es überhaupt nötig ist, die openSUSE Firewall zu nutzen, wenn man hinter einem (blechbüchsen)Router sitzt?
Welche Vor-/Nachteile würden denn durch die nichtbenutzung entstehen?
Grüße Michael
Hallo! ich habe auch Fritzbox als Zugang von/nach außen, dahinter ein MiniLAN, zus. 1-2 Rechner, Printserver, Netzdrucker. OpenSuSE 11.0 (64bit), automatisch eingerichtete Firewall2. Als interessierter Newbie tue ich mich schwer, die angesprochenen Konfigurationen einzurichten. Immerhin scheinen diese Punkte auch für Spezialisten nicht ganz einfach zu sein: - welche Programme benötigen welchen Port? - wie kann ich z.B. bestimmte Ports freigeben? - wie kann ich Datenflüsse beobachten, insbesondere auch unerwünschte Zugriffe und Zugriffsversuche feststellen? ... etc. pp. Ich frage mich, ob es vielleicht gute Howtos gibt, die sowas leisten. Also _nicht_ die Manpages von nmap, Wireshark, die Bedienungsanleitung meiner Fritz!box, etc. Sondern gut verständliche und leicht nachvollziehbare Anleitungen, die den Gesamtkomplex Sicherheit eines LAN am Netz thematisieren. Wenn jemand sowas kennt, würde das vermutlich nicht nur mir helfen. Danke erstmal! Axel P.S.: mein Beitrag soll kein thread-hijacking sein, dachte, es könnte Michaels ursprüngliche Frage ganz gut ergänzen! -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Dr. A. Krebs schrieb:
Am Montag, 4. August 2008 18:33:14 schrieb M. Skiba:
Hallo allerseits,
angeregt durch einen anderen Therad auf der Liste kam mir die Frage ob es überhaupt nötig ist, die openSUSE Firewall zu nutzen, wenn man hinter einem (blechbüchsen)Router sitzt?
Welche Vor-/Nachteile würden denn durch die nichtbenutzung entstehen?
Grüße Michael
Hallo!
ich habe auch Fritzbox als Zugang von/nach außen, dahinter ein MiniLAN, zus. 1-2 Rechner, Printserver, Netzdrucker. OpenSuSE 11.0 (64bit), automatisch eingerichtete Firewall2.
Als interessierter Newbie tue ich mich schwer, die angesprochenen Konfigurationen einzurichten. Immerhin scheinen diese Punkte auch für Spezialisten nicht ganz einfach zu sein:
Alos... erst einmal gehen wir davon aus aus, dass die meisten (alle?) "Büchsen" so eingestellt sind, dass sie alles rauslassen und nichts rein! d.h. aber auch eigentlich - keine Fernverwaltung vom Provider...
- welche Programme benötigen welchen Port?
da musst du wissen ! Du hast doch solche Software, die von aussen erreichbar sein will selbst installiert !! ehm... Skype ? ssh (22), smtp(25), http (80), https (443).. also Mailserver, Webserver usw. aber die Standardports stehen alle in /etc/services
- wie kann ich z.B. bestimmte Ports freigeben? "Blechbüchsenmenü" -> genaueres siehe Handbuch.. jeder dritte Hersteller nennt den gleichen Fakt anders..
was nun - Ports pauschal öffnen (wenn ja: warum) oder Portforward auf eine definierte Maschine ?
- wie kann ich Datenflüsse beobachten, insbesondere auch unerwünschte Zugriffe und Zugriffsversuche feststellen?
in der Blechbüchse ? - schwierig - wenn überhaupt! Also Auswirkungen auf dein Netz feststellen...(Logs) ..oder eine andere loggende Firewall dahinter.. (IPCop ?)
... etc. pp.
Ich frage mich, ob es vielleicht gute Howtos gibt, die sowas leisten. Also _nicht_ die Manpages von nmap, Wireshark, die Bedienungsanleitung meiner Fritz!box, etc.
punktuell ja...
Sondern gut verständliche und leicht nachvollziehbare Anleitungen, die den Gesamtkomplex Sicherheit eines LAN am Netz thematisieren.
na ja .. da gibt es viele dicke Bücher ...konkret ist nicht/kann nicht sein -> jeder hat da andere Sachen stehen...
Wenn jemand sowas kennt, würde das vermutlich nicht nur mir helfen.
Tjä ... deswegen wurde ja auch die DMZ erfunden, um das interne Netz nicht nach aussen sichtbar werden zu lassen...
Danke erstmal!
Axel
P.S.: mein Beitrag soll kein thread-hijacking sein, dachte, es könnte Michaels ursprüngliche Frage ganz gut ergänzen!
Ja ja ..es beschreibt ja das "Problem" - aber die Universallösung gibt es wohl nur in der Religion..wenn überhaupt.. Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 5. August 2008 09:33:36 schrieb Fred Ockert:
Dr. A. Krebs schrieb:
...
Hallo!
ich habe auch Fritzbox als Zugang von/nach außen, dahinter ein MiniLAN, zus. 1-2 Rechner, Printserver, Netzdrucker. OpenSuSE 11.0 (64bit), automatisch eingerichtete Firewall2.
Als interessierter Newbie tue ich mich schwer, die angesprochenen Konfigurationen einzurichten. Immerhin scheinen diese Punkte auch für Spezialisten nicht ganz einfach zu sein:
Alos... erst einmal gehen wir davon aus aus, dass die meisten (alle?) "Büchsen" so eingestellt sind, dass sie alles rauslassen und nichts rein! d.h. aber auch eigentlich - keine Fernverwaltung vom Provider... hmmm. Auch das "raus" erscheint mir inakzeptabel. Warum sollte man Information über sich frei herausgeben?
- welche Programme benötigen welchen Port? da musst du wissen! nein: ich wähle zwar die Programme, da hast Du Recht. Aber ich weiß i.a. eben _nicht_, welche Ports ein Progs. normalerweise nutzt.
Klar, 22, 25, 80, 110, aber bei anderen Progs. weiß ich nicht, ob diese "Quellen" oder "Senken". Danke da an eben nmap, avirmail, (k)clamav, etc. Plaudertaschen a la Skype sind mir eh' suspekt- vgl. z.B.: <http://www.heise.de/security/Spekulationen-um-Backdoor-in-Skype--/news/meldung/113281>, <http://www.wireless-forum.ch/forum/viewtopic.php?p=91807>?
Du hast doch solche Software, die von aussen erreichbar sein will selbst installiert !! ehm... Skype ? ssh (22), smtp(25), http (80), https (443).. also Mailserver, Webserver usw.
aber die Standardports stehen alle in /etc/services
- wie kann ich z.B. bestimmte Ports freigeben?
"Blechbüchsenmenü" -> genaueres siehe Handbuch.. jeder dritte Hersteller nennt den gleichen Fakt anders..
was nun - Ports pauschal öffnen (wenn ja: warum) oder Portforward auf eine definierte Maschine ? [s.o.: "bestimmte..."]
- wie kann ich Datenflüsse beobachten, insbesondere auch unerwünschte Zugriffe und Zugriffsversuche feststellen?
in der Blechbüchse ? Für mich ist das ganze System hinter der Anschlußdose gemeint, also Fritz!box, Printserver, Rechner,.... grundsätzlich möchte ich bestimmen, was rein, und was raus geht.
- schwierig - wenn überhaupt! Also Auswirkungen auf dein Netz feststellen...(Logs) ..oder eine andere loggende Firewall dahinter.. (IPCop ?)
... etc. pp.
Ich frage mich, ob es vielleicht gute Howtos gibt, die sowas leisten. Also _nicht_ die Manpages von nmap, Wireshark, die Bedienungsanleitung meiner Fritz!box, etc.
punktuell ja...
Sondern gut verständliche und leicht nachvollziehbare Anleitungen, die den Gesamtkomplex Sicherheit eines LAN am Netz thematisieren. Dachte da eigentlich an Grundlagen, "man-nehme", "wenn-dann-Checklisten", etc. wenn das Verständnis der grundlegenden Fragen sichergestellt ist, traue ich mir die eine oder andere Einstellung zu. Klaro.
Einzige Prämisse. Transparenz nur für mich. Nach außen (möglichst) unsichtbar.
na ja .. da gibt es viele dicke Bücher ...konkret ist nicht/kann nicht sein -> jeder hat da andere Sachen stehen...
Wenn jemand sowas kennt, würde das vermutlich nicht nur mir helfen.
Tjä ... deswegen wurde ja auch die DMZ erfunden, um das interne Netz nicht nach aussen sichtbar werden zu lassen...
Meine Überlegung nochmal etwas detailliert: 1.) Eine Checkliste könnte die Struktur eines (W)LAN/Netztes abbilden "welche Geräte sind angeschlossen?" 2.) Fragen könnten Sicherheitsbedürfnisse abfragen: MUSS, KANN, SOLL; Schutzbedarf, Wert von Daten, etc. 3.) Programme würden dann vom dem Tool überprüft, ob diese im Rahmen der o.g. Punkte "passen", Hinweise gegeben. 4.) Zuletzt würden Einstellungen ("Ports offen oder zu?") getroffen. 5.) Überprüfung des Systems: welche Werkzeuge, welche Einstellungen,... Selbsttest, Test "von außen" Das könnte auch als so eine Art "guided tour" gestaltet werden. Hinweise zur Relevanz einzelner Einstellparameter würden dem weniger kenntnisreichen helfen. Vielleicht so ähnlich wie: http://localhost:631/ ? Ist vielleicht zu anspruchsvoll im Ansatz, und letztlich verdient niemand an der Sicherheit eines einzelnen Systems, womögliches eines Systems eines Einzelanwenders. Es sei denn, eine Firma böte sowas als Dienstleistung an. Könnte ja eine Marktnische sein!?
Danke erstmal!
Axel
P.S.: mein Beitrag soll kein thread-hijacking sein, dachte, es könnte Michaels ursprüngliche Frage ganz gut ergänzen!
Ja ja ..es beschreibt ja das "Problem" - aber die Universallösung gibt es wohl nur in der Religion..wenn überhaupt..
Fred
Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Dr. A. Krebs schrieb:
Am Dienstag, 5. August 2008 09:33:36 schrieb Fred Ockert:
Dr. A. Krebs schrieb:
zuerst: einige kleine Übertreibungen sind extra eingebaut...
Hallo!
ich habe auch Fritzbox als Zugang von/nach außen, dahinter ein MiniLAN, zus. 1-2 Rechner, Printserver, Netzdrucker. OpenSuSE 11.0 (64bit), automatisch eingerichtete Firewall2.
Als interessierter Newbie tue ich mich schwer, die angesprochenen Konfigurationen einzurichten. Immerhin scheinen diese Punkte auch für Spezialisten nicht ganz einfach zu sein: Alos... erst einmal gehen wir davon aus aus, dass die meisten (alle?) "Büchsen" so eingestellt sind, dass sie alles rauslassen und nichts rein! d.h. aber auch eigentlich - keine Fernverwaltung vom Provider... hmmm. Auch das "raus" erscheint mir inakzeptabel. Warum sollte man Information über sich frei herausgeben?
- ist aber auch bei SuSe Standard... - was gibst du Preis ?? ..wobei ich davon ausgehe, dass alles was rausgeht, von Dir wissentlich initiert worden ist! - Broadcasts UND lokale Netze werden eh nicht weitergeleitet .. also was geht da noch raus, was du nicht willst? - da ist Windoofs geschwätziger...
- welche Programme benötigen welchen Port? da musst du wissen! nein: ich wähle zwar die Programme, da hast Du Recht. Aber ich weiß i.a. eben _nicht_, welche Ports ein Progs. normalerweise nutzt.
Klar, 22, 25, 80, 110, aber bei anderen Progs. weiß ich nicht, ob diese "Quellen" oder "Senken". Danke da an eben nmap, avirmail, (k)clamav, etc. Clamav ? steht in der Clamd.conf (oder wie die heisst)
fast immer Zielports...die Quellports sind normalerweise (meist) HighPorts....von Firefox: 1178 an google.com:80 oder so ähnlich!
Plaudertaschen a la Skype sind mir eh' suspekt- vgl. z.B.: <http://www.heise.de/security/Spekulationen-um-Backdoor-in-Skype--/news/meldung/113281>, <http://www.wireless-forum.ch/forum/viewtopic.php?p=91807>?
aber gutes Beispiel für jederzeit aus dem Internet erreichbar sein!
Du hast doch solche Software, die von aussen erreichbar sein will selbst installiert !! ehm... Skype ? ssh (22), smtp(25), http (80), https (443).. also Mailserver, Webserver usw.
aber die Standardports stehen alle in /etc/services
- wie kann ich z.B. bestimmte Ports freigeben? "Blechbüchsenmenü" -> genaueres siehe Handbuch.. jeder dritte Hersteller nennt den gleichen Fakt anders..
was nun - Ports pauschal öffnen (wenn ja: warum) oder Portforward auf eine definierte Maschine ? [s.o.: "bestimmte..."]
- wie kann ich Datenflüsse beobachten, insbesondere auch unerwünschte Zugriffe und Zugriffsversuche feststellen? in der Blechbüchse ? Für mich ist das ganze System hinter der Anschlußdose gemeint, also Fritz!box, Printserver, Rechner,.... grundsätzlich möchte ich bestimmen, was rein, und was raus geht.
Huch... das ist ja im Prinzip das Gleiche, wie " das ganze Internet" überwachen... ich hoffe für dich, dass du z.B. deinem Printserver verboten hast, laufend nach Updates zu schauen! und natürlich deinem Kopierer auch (!!) sowas wird gern vergessen.... fehlt nür noch, dass die FritzBox auch fliegen soll und Kaffeekochen...;-)
- schwierig - wenn überhaupt! Also Auswirkungen auf dein Netz feststellen...(Logs) ..oder eine andere loggende Firewall dahinter.. (IPCop ?)
... etc. pp.
Ich frage mich, ob es vielleicht gute Howtos gibt, die sowas leisten. Also _nicht_ die Manpages von nmap, Wireshark, die Bedienungsanleitung meiner Fritz!box, etc. punktuell ja...
Sondern gut verständliche und leicht nachvollziehbare Anleitungen, die den Gesamtkomplex Sicherheit eines LAN am Netz thematisieren. Dachte da eigentlich an Grundlagen, "man-nehme", "wenn-dann-Checklisten", etc. wenn das Verständnis der grundlegenden Fragen sichergestellt ist, traue ich mir die eine oder andere Einstellung zu. Klaro.
Einzige Prämisse. Transparenz nur für mich. Nach außen (möglichst) unsichtbar. du entscheidest doch, welche Geräte du kaufst/installierst...was die tun/nicht tun ...
alternativ ... richtige Hardware kaufen (?!)... ehmm CISCO ..die nehmen richtig Geld ! Steht aber auch wieder die Frage, was man will
na ja .. da gibt es viele dicke Bücher ...konkret ist nicht/kann nicht sein -> jeder hat da andere Sachen stehen...
Wenn jemand sowas kennt, würde das vermutlich nicht nur mir helfen. Tjä ... deswegen wurde ja auch die DMZ erfunden, um das interne Netz nicht nach aussen sichtbar werden zu lassen...
Meine Überlegung nochmal etwas detailliert: 1.) Eine Checkliste könnte die Struktur eines (W)LAN/Netztes abbilden "welche Geräte sind angeschlossen?"
selber schreiben -> Bild ?
2.) Fragen könnten Sicherheitsbedürfnisse abfragen: MUSS, KANN, SOLL; Schutzbedarf, Wert von Daten, etc.
voll daneben ( Datenschutz hat nix mit Firewall zu tun!) nicht wirklich Firewalls sind eher mit einer Betretensberechtigung vergleichbar....zumal die Firewall die Pakete nach "Verpackung" differenziert - nicht nach INHALT !!
3.) Programme würden dann vom dem Tool überprüft, ob diese im Rahmen der o.g. Punkte "passen", Hinweise gegeben.
eierlegende Wollmilchsau gibt es nicht!
4.) Zuletzt würden Einstellungen ("Ports offen oder zu?") getroffen.
siehe Anfang ...
5.) Überprüfung des Systems: welche Werkzeuge, welche Einstellungen,... Selbsttest, Test "von außen"
Test von aussen ist gut ...gibt Firmen ..mit Einschränkung Webtools oder do_it_yourself ..
Das könnte auch als so eine Art "guided tour" gestaltet werden. Hinweise zur Relevanz einzelner Einstellparameter würden dem weniger kenntnisreichen helfen.
na ja ...ist zu sehr Einzelfallabhängig...
Vielleicht so ähnlich wie: http://localhost:631/ ?
na ja ... CUPS führt dich aber nur zu EINEM Ziel....
Ist vielleicht zu anspruchsvoll im Ansatz, und letztlich verdient niemand an der Sicherheit eines einzelnen Systems, womögliches eines Systems eines Einzelanwenders.
Es sei denn, eine Firma böte sowas als Dienstleistung an. Könnte ja eine Marktnische sein!?
gibts eine Menge Firmen -> google : penetration Tests usw.
Danke erstmal!
Axel
P.S.: mein Beitrag soll kein thread-hijacking sein, dachte, es könnte Michaels ursprüngliche Frage ganz gut ergänzen! Ja ja ..es beschreibt ja das "Problem" - aber die Universallösung gibt es wohl nur in der Religion..wenn überhaupt..
Fred Axel
ansonsten fällt mit GSHB (Frundschutzhandbuch) vom BSI ein oder auch bei serNet.de verinice als Software, die dir beim Auflisten hilft! Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (6)
-
Axel.Krebs@t-online.de -
Fred Ockert -
Heinz Diehl -
M. Skiba -
Manfred Tremmel -
Martin Hofius