Guten Tag


Ich hab mir dieses WE eine Maschine mit IPCop aufgesetzt, gefällt mir ziemlich. Nur meine Frage ist es von Vorteil wenn ich jetzt auf diesen PC noch einen Samba-, FTP-, Mail- und Apache-Server installiere? Oder soll ich lieber einen 2te PC in die DMZ reintun? Finde es einfach bisschen Resourcen verschwendung einen P3 nur als Router und Firewall am laufen zu halten.


Danke im Vorraus für Antworten.

Das hängt von Deinen Anforderungen ab.

Aber ansonsten - ja, für einen privat-Menschen ist es im Normalfall Verschwendung, eine ded. PC als Firewall und Router zu haben - es gibt genügend OutOfTheBox-Geräte, die alle notwendigen Funktionen bieten...

Ich mag diese Geräte nicht. ;)
Mich interessiert mehr ob die Sicherheit gross leidet, ich meine pro Server mach ich min.1 Tor auf... Naja würde ja gerne einen anderen PC nehmen aber der P3 ist der schwächste der noch läuft.

Die Sicherheit leidet nur bei falscher Konfiguration. Und die wiederum hängt von Deinen Anforderungen ab... Wenn der Apache z.B. oder Samba nur intern verfügbar ist - kein Problem. Wenn extern auch - "Oberacht Kinders!!!"

Welche Services würdest Du denn extern anbieten wollen?

Der Webserver sollte von aussen erreichbar sein und der FTP wollte ich eingentlich auch extern zugänglich machen. Der rest wäre nur intenr zu erreichen. Aber ich hab haemmungen nen FTP so aufem FW zu haben. :ugly:
Und PHP etc. aufem Apache beruhigt mich auch nicht.

hi,

ich hab das seit jahren so.
ftp allerdings zu.
aber selbst das sollte nicht so das problem sein.
guck halt, das du aktuelle software nutzt und gut ist.
fix die löcher, die kommen - fäddich
bei mir ist es so, dass selbst wenn wer auf der firewall root rechte bekommen sollte, dann war es das schon, da er nicht weiter kommt - hab sonst keine server im netz.

gruss

c.

hi,

ich hab das seit jahren so.
ftp allerdings zu.
aber selbst das sollte nicht so das problem sein.
guck halt, das du aktuelle software nutzt und gut ist.
fix die löcher, die kommen - fäddich
bei mir ist es so, dass selbst wenn wer auf der firewall root rechte bekommen sollte, dann war es das schon, da er nicht weiter kommt - hab sonst keine server im netz.

gruss

c.

Naja ok, ich hab in der DMZ noch nen Gamingserver am laufen, das wäre gleich alles noch an Servern. Aber was mich einfach stört wäre es wenn er den Router unter kontrolle hätte, könnte der Angreiffer über Monate meinen Traffic mitlesen. Ok eMails sind eh verschlüsselt und sonst wird er auch nicht viel finden. Und den FTP missbrauchen ist auch unlogisch, da ich die Logs täglich sehe und es doch komisch wäre wenn plötzlich ein paar GB mehr auf der HD sind.

In eine DMZ kommen doch nur Sachen, auf die von beiden Netzen (sicheres und unsicheres Netzwerk) zugegriffen werden muss. Also ich würde sowas lassen. Firewall und Applikationsserver haben getrennt zu sein. Aber das ist eine Frage der persönlichen Philosophie. In Unternehmensnetzen ist sowas ein Unding, in privaten Netzen durchaus üblich. Ich habe es bei mir privat auch getrennt.

Hallöchen...

Er (also der Angreifer) könnte aber einen IRC-Server draus machen und Du könntest für Folgeschäden haftbar gemacht werden (siehe Rootserver-Thread) :) - einen solchen Fall hatte ich erst kürzlich, als ein Admin meinte, ein nicht gewarteter Webserver im internen (!) Netz sei kein Sicherheitsrisiko - schwerer Irrtum...

Ich für meinen Teil halte es für nicht besonders sicher geschweige denn sinnvoll, weitere Serverdienste auf einer Firewall anzubieten, auch wenn sie nur von intern erreichbar sind.

Wenn auf dem Rechner Squid läuft, halte ich einen P3 nicht für Verschwendung sondern für angemessen.

Grüße
Marc

Hallöchen...

Er (also der Angreifer) könnte aber einen IRC-Server draus machen und Du könntest für Folgeschäden haftbar gemacht werden (siehe Rootserver-Thread) :) - einen solchen Fall hatte ich erst kürzlich, als ein Admin meinte, ein nicht gewarteter Webserver im internen (!) Netz sei kein Sicherheitsrisiko - schwerer Irrtum...

Ich für meinen Teil halte es für nicht besonders sicher geschweige denn sinnvoll, weitere Serverdienste auf einer Firewall anzubieten, auch wenn sie nur von intern erreichbar sind.

Wenn auf dem Rechner Squid läuft, halte ich einen P3 nicht für Verschwendung sondern für angemessen.

Grüße
Marc

@ Blazilla

Naja DMZ ist aber für solche Dinge entwickelt worden. Aber ich mache es jetzt so, ich schmeisse die restlichen Server auf den Gamingserver und statt denn halt noch mit nem Riegel Ram aus. Dann sollte das gehen.

@ Sargnagel

Gutes Arrgument, hast mich überzeugt.:o
Ja der Proxy ist am laufen. ^^

Alle Dienste, die ich für Bekannte nach außen anbiete sind nur über ein VPN zu erreichen.
Ich könnte mich nie dazu überwinden ins Internet einen Apache lauschen zu lassen. Um diesen auf dauer sicher zu halten wäre mir das ein zu großer Aufwand. Da verzichte ich liebe auf PHP etc. und bleibe bei einem kleinen httpd.

Aber das VPN kannst du sicher betreiben?

Aber das VPN kannst du sicher betreiben?

Ich fühle mich damit sicherer als die Dienste für meine Bekannten direkt ins Internet anzubieten. Und ich weiß, dass alle Daten, die übertragen werden verschlüsselt sind ;)

es gibt extra angepasste distris für sowas,benhur z.b bietet sowas kostenlos an,router, apache ftp ,dyndns etc, man kann auch jede linux-distri nehmen...sicherheit ist schon gegeben bei richtiger einstellung

hi,

die frage ist doch, wem du diese dienste anbieten willst ? nur den nutzern im lokalen netz oder nach außen...
auf meiner firewall sieht es so aus (ich nutze die dienste ausschließlich intern):


Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN
tcp 0 0 10.1.1.1:80 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:8080 0.0.0.0:* LISTEN
tcp 0 0 10.1.1.1:8080 0.0.0.0:* LISTEN
tcp 0 0 10.1.1.1:8081 0.0.0.0:* LISTEN
tcp 0 0 10.1.1.1:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 10.1.1.1:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 10.1.1.1:22 10.1.1.2:41122 VERBUNDEN
udp 0 0 0.0.0.0:1024 0.0.0.0:*
udp 0 0 10.1.1.1:1025 0.0.0.0:*
udp 0 0 10.1.1.1:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*

(lediglich den port 1024 krieg ich nicht beschränkt ...)

Für dienste nach außen würde ich natürlich einen dedizierten rechner in meine dmz stellen.

gruß,
matze

Bei mir sieht das ganz anders aus. :)


tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:8005 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:5801 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:46730 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 192.168.20.2:139 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:5901 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:2000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6001 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:7634 0.0.0.0:* LISTEN
tcp 0 0 192.168.20.2:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:4662 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:22 0.0.0.0:* LISTEN
tcp 0 0 192.168.20.2:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN
tcp 0 0 192.168.20.2:3128 0.0.0.0:* LISTEN
tcp 0 0 192.168.20.2:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:32666 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8443 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
tcp 0 0 192.168.20.2:445 0.0.0.0:* LISTEN
udp 0 0 0.0.0.0:2049 0.0.0.0:*
udp 0 0 0.0.0.0:33283 0.0.0.0:*
udp 0 0 192.168.20.2:137 0.0.0.0:*
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 192.168.20.2:138 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
udp 0 0 0.0.0.0:32666 0.0.0.0:*
udp 0 0 0.0.0.0:161 0.0.0.0:*
udp 0 0 192.168.20.2:1194 0.0.0.0:*
udp 0 0 192.168.20.2:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 0.0.0.0:4665 0.0.0.0:*
udp 0 0 0.0.0.0:3130 0.0.0.0:*
udp 0 0 0.0.0.0:4672 0.0.0.0:*
udp 0 0 0.0.0.0:67 0.0.0.0:*
udp 0 0 0.0.0.0:3401 0.0.0.0:*
udp 0 0 0.0.0.0:37194 0.0.0.0:*
udp 0 0 0.0.0.0:38633 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
udp 0 0 192.168.62.1:123 0.0.0.0:*
udp 0 0 192.168.20.2:123 0.0.0.0:*
udp 0 0 127.0.0.1:123 0.0.0.0:*
udp 0 0 0.0.0.0:123 0.0.0.0:*


Ich würde mir wünschen das man bei mer Daemons das Interface angeben kann, an das sie sich binden sollen. Leider geht das nicht bei allen. Was auf meiner Kiste läuft? Samba, Apache, Squid, MySQL, NTP, NFS, Cyrus IMAP, Postfix, DHCP, DNS, OpenVPN, Panda SambaSecure, VNC, aMule.