hi,
ursprünglich dachte ich ja, ich könne einen rechner als firewall konfigurieren, mit den angaben, die im kofler drinstehen und diesen dann quasi "vor" die jetzige firewall (redhat) hängen - dann dem jetzigen firewallrechner die funktion der firewall "wegnehmen" und alles, was der redhat bisher machte (routing etc.) dort belassen. je mehr ich lese, je mehr fürchte ich, da einem irrtum zu erliegen.
stimmt meine annahme, dass ich tatsächlich *nur* die firewall auf einen extra-rechner (unter suse 7.3) installieren kann und den rest auf dem redhat lasse (nachdem ich dort die firewall ausgesondert und auskommentiert habe)?
(ich habe den verdacht, ich muss/darf mich sonst mit dem ipfwadm näher befassen - mir *Reicht* ip-tables/ip-chains:( )

fragende grüße

Hm, ich blicke bei deinen Ausführungen noch nicht so ganz durch...

Du hast bisher Routing/Firewall auf einem System.
Nun willst du ein seperates Firewall-System.

Deine Frage: Geht das einfach so? (bisherige Firewall abschalten und neuen Rechner vor dem bisherigen reinhängen)


Prinzipiell: Ja!


Falls du jedoch z.B. Masquerading auf dem Router laufen hast, dann kannst du nicht mehr anhand den Ziel-IPs im internen Netz filtern.
Etc.


Sprich: Mache mehr Angaben, was der Router / die Firewall alles machen soll, dann kann ich / können wir genauer beurteilen, ob es tatsächlich geht.



Gruß, Thomas.

Hi...
Wenn ich das richtig verstehe, willst du zwei Rechner direkt hintereinander schalten (der erste als Firewall, der zweite als Router?) und dahinter dann dein lokales Netz?
Meinst du mit Router evtl. den Rechner, der zwei Netzwerke verbindet? Falls ja, dann wird es dir einigermassen schwer fallen, VOR diesen noch eine Firewall zu klemmen. Denn die liefe dann wahrscheinlich nicht im LAN sondern VOR dem auesseren Interface des Routers (sprich DSL oder ISDN).
Fuer solche Vorhaben sind mir keine Firewalls bekannt... wer dennoch sowas kennt, moege sich bitte bei mir melden :).
Falls du mit "vor dem Router" zwischen dem lokalen Netz und dem Router (also dem Rechner, der die Verbindung nach aussen herstellt) meinst, so sollte das eigentlich funktionieren.
Aber dann musst du dich evtl. auch mit ipmasqadm auseinandersetzen - oder du steigst um auf OpenBSD und loest das ganze elegant mit einer Bridge und integriertem Paketfilter. Die ist dann sozusagen unsichtbar (keine IP-Adressen!), aber wohl auch etwas umstaendlicher zu erklaeren ;). Siehe http://www.pir.net/pir/ipf/ipf-howto.html#TOC_49 .
So, damit viel
Spass,
emwe

Hm, du hast völlig Recht, NACH dem Router reinschalten dürfte kaum möglich sein, hab' ich glatt übersehen :D

Thomas.

moin,
danke erst mal für eure infos - mal schauen, wie weit "wir" kommen:)

Thomas schrieb:

Falls du jedoch z.B. Masquerading auf dem Router laufen hast,
dann kannst du nicht mehr anhand den Ziel-IPs im internen Netz
filtern.

klingt mir inzwischen logisch:)


Sprich: Mache mehr Angaben, was der Router / die Firewall alles
machen soll, dann kann ich / können wir genauer beurteilen, ob
es tatsächlich geht.

ich versuchs, ok? (so ist das mit leuten, die (noch) wenig ahnung haben;)...)
es gibt hier ein netz, was über einen router mehr pc´s mit i-net verbindet als wir ip-adressen verwenden, die "draussen" gültig sind - also gehe ich mal von maskerading aus. und wenn ich den beitrag von *emwe* richtig dazulese, dann ist es wohl nötig, den zukünftigen firewallrechner auch zum router zu machen - sonst wird das tatsächlich nix. die bisherigen "sonstigen" funktionen des rechners abc beinhalten nach meinem stand der infos u.a. ein DNS-modul, samba (zum drucken? ja, aba auch zum fileteilen, wenn ich das richtig sehe...), ein faxmodul und qmail sowie proxy- (squid, wwwoffle) und internet-funktionen (apache, wu-ftpd) - das ganze dann via isdn (fritzcard) als netzanbindung. genug infos? oder zumindest "richtige"?

ich will den rechner na klar erstmal "trocken" (d.h. nur mit i-net-anschluss) vorbereiten auf seine zukünftige nutzung - ist es möglich, einen einzelplatzrechner zu einem (ja dann vorgeblichen?) router zu machen?? er hat doch dann ganix, was er zu routen hätte? sobald ich ihn ans (intra-)netz gehängt habe, macht er aba doch sofort seinen "job" und - nach allem, was ich bisher las - "verbietet" erst mal alles, was kommt - und das, wo dis netz (bzw. die dran arbeitenden) na klar arbeitsfähig bleiben will. heißt dann wohl, ich simuliere etwas, *Bevor* ich den rechner seiner zukünftigen funktion zuführe.
so far so good? hat das jetze irgendwem weitergeholfen?





Aber dann musst du dich evtl. auch mit ipmasqadm auseinandersetzen - oder du steigst um auf OpenBSD und loest das ganze elegant mit einer Bridge und integriertem Paketfilter. Die ist dann sozusagen unsichtbar (keine IP-Adressen!), aber wohl auch etwas umstaendlicher zu erklaeren ;). Siehe http://www.pir.net/pir/ipf/ipf-howto.html#TOC_49 .


die url war mir zu englisch<seufz> und mich jetze zusätzlich mit openBSD zu befassen scheint mir zu aufwendig. da lerne ich lieber noch "eben schnell", wie ich das routing integriere und das bisherige routing/maskerading und ipfwadm beim alten rechner "rausnehme"...

für weiterführende hinweise bin ich jederzeit dankbar... (jetze habe ich vor, erstmal mittels der bisher vorhandenen infos iptables auf dem suse 7.3 (im netz hängend) ans laufen zu bekommen (wo z.b. bringe ich ihm bei, dass er erst mal *alles* ablehnen soll??) und dann weiterzusehen...(grundsätzlich denke ich aber, den rechner am schluss mit minimalconfig neu zu installieren (yast?), dann firewall und routing dort zu konfigurieren und alle übrigen funktionen auf dem bisherigen rechner zu lassen) jetze besser formuliert?

fragende grüße
vero07

Also, ich würde das ganze so machen:


.................................................. ........................Services (DNS, Apache, ...)
.................................................. ....................../
[INTERNET] -- ROUTER -- FIREWALL
.................................................. ......................\
.................................................. ........................Interne Netze


So kannst du alles (sowohl intern also auch was von extern kommt) kontrollieren, wenn jemand die Services angreift, wird nicht gleich alles lahmgelegt (wenn z.B. Apache auf dem Router laufen würde, wäre durch einen Angriff evtl. eine Trennung deines Netzes vom Rest der Welt möglich).

Jo, überlegs dir, ob das für dich brauchbar ist.


Mit IPTables alles sperren:

iptables -P INPUT -j REJECT
iptables -P OUTPUT -j REJECT
iptables -P FORWARD -j REJECT


Warnung: Auch deine interne Socket-Kommunikation wird unterbrochen!!!


Thomas.

wenn ich es *so* (wie unten) machen würde, spare ich mir allerdings, genauer herauszufinden, welche dienste in welcher form unter suse laufen müssten, die jetze unter redhat klaglos tun, was sie sollen:
......................../
[INTERNET] -- ROUTER -- FIREWALL
.............................
............................\..................... .........................Services (DNS, Apache, ...)/
.................................................. ........................Interne Netze

auch wenn es vermutlich stimmt, dass mich ein angriff dann eher lahmlegen würde, andererseits könnte er das doch nur, wenn die firewall versagt -sonst nich, weil sonst blockt doch die schon vorher ab?
ich hoffe, ich habe deine zeichnung richtig verstanden, hm?

gruß
vero07

Deine Zeichnung ist wohl etwas "ent"rückt worden... :D

Ich meine nur, dass wenn deine Services wie bisher auf dem Router, sprich zwischen internem Netz und Internet laufen, dann wäre das interne Netz durch einen erfolgreichen Angriff auf einen der Services möglicherweise vom Internet getrennt.

Wenn es sich um eine Sicherheitslücke in einem der Services handelt, dann kann auch die Firewall nichts ausrichten, da ja "reguläre" Daten an die Services geschickt werden, die dann aber einen Bufferoverflow oder ähnliches bewirken.

Immer auf Nummer Sicher gehen!


Thomas.

Hallo.
Ich finde die Aufteilung von TThomas schon vernuenftig. Die Services auf einen anderen Rechner auszulagern bringt eigentlich nur dann den richtigen Sicherheitsgewinn, wenn dieser Rechner (der durch die vielen zur Verfuegung gestellten Server/Programme sehr anfaellig fuer Attacken ist), von den verwundbaren Clients abgeschottet ist.
Das gilt in diesem strengen Sinn aber nur, falls dieser Server auch Dienste nach aussen ins Internet anbieten soll. Samba kann auf eine Anbindung nach draussen verzichten (wozu auch?), das einzige was mir einfaellt waeren der Fax-Server (der wahrscheinlich wegen der ISDN-Karte sowieso auf dem jetzigen Rechner bleibt?), der Apache und der Mailserver. Diese brauchen Zugriff ins Internet und sind deshalb von dort angreifbar. Den Faxserver lassen wir also auf dem Rechner mit der ISDN-Karte, der auch gleichzeitig als Firewall dienen soll. Dann wuerde ich, aus den oben genannten Gruenden, den Mail-/Webserver in eine sog. DMZ, also demilitarized zone - also ein abgetrenntes Netz, dass keinen oder eingeschraenkten Zugang zum inneren Netz hat - packen.
Denn auf diesen Rechner hat derjenige, der aus dem Internet dessen Dienste nutzt ja unmittelbar Zugang (per Portforwarding, Socks, o.ae.). Falls dieser Rechner nun erfolgreich kompromittiert wuerde, so waeren automatisch auch alle von ihm erreichbaren anderen Rechner in Gefahr. Steht dieser jedoch in einem abgetrennten Netzsegment, so kann ein evtl'er erfolgreicher Einbruchsversuch dann an der Firewall scheitern, die den Zugriff von diesem Rechner auf die Clients auf das Notwendigste beschraenkt.
Natuerlich erfordert das mehr Hardware (Netzwerkkarte und Crossoverkabel, ca. 50 Euro insgesamt ;)), aber es stellt eine deutlich sicherere Loesung dar.
Spass beim Planen,
emwe

TThomas:
Zu deinem "The main failure ..." kann ich folgendes sagen: wir haben einen Dateiserver in einer Schule aufgestellt und Konten fuer alle Lehrkraefte eingerichtet. Jetzt kam ich heute dahin und ein Lehrer meinte zu mir: "Naja, jetzt hat der mich heute schon wieder nach einem Passwort gefragt, das ich da setzen soll. Ich denk da halt immer, ich nehm meinen Vornamen, den vergess ich halt net so schnell."
Da muss man sich als "BoeserSchwarzerMann" eigentlich keine Gedanken ueber Buffer Overflows oder IP-Spoofing machen...
Spass,
emwe

Hm, das meinte ich ja, die Clients kommen nur über die Firewall an die Services und umgekehrt. Mit IPTables könnte man dann ja schon recht einfach z.B. über einige wenige Regeln und Statefull Inspection abwickeln.

So sollte eine recht hohe Sicherheit erreicht werden.


Thomas.

ups - ich habe das eine oder andere verstanden<freu> - irgendwie bin ich so weit, dass ich sinnvollerweise jetze doch erst mal ne hübsche zeichnung mache und die dann in dieses thema einstelle, hm? als anhang, ums "entrücken" zu vermeiden - irgendwelche vorschläge- falls mein zeichenprogramm mir ne wahl lässt, was sich dann anbietet?
gruß und dann wohl eher bis morgen...

hi,
da bin ich wieder:)
mit zeichnung - mal sehen, ob dis auf anhieb klappt. fehlen tut mir ne vorstellung, wo ich jetze den firewallrechner unterbringen sollte, um eine höchstmögliche sicherheit zu erreichen, obwohl ich sorgfältig nochmal alles gelesen habe, was hier dazu bisher gepostet ist:(
wenn ich das richtig blicke, sollte der lingo mal auf alle fälle in ein anderes subnetz (192.168.9.1?) - er verliert ja davon keine funktionsfähigkeit:) - aba geht das so einfach? ehe ich mir ein rtfm einfange, werde ich mich nochmal in die tiefen der manuals (oder des koflers) begeben...
der netzzugang soll zukünftig über den firewallrechner laufen aba die services auch - heisst dann wohl die isdn-card raus aus dem lingo und rein in den firewalli - und entweder auf allen rechnern manuell den gateway ändern oder irgendwie die jetzige 192.168.0.1 "befreien"...
nun ja... ich lese esrt mal und hoffe auf weitere unterstützung;) - danke schon mal im voraus:)

Hallo.
Deine Zeichnung ist jetzt doch sehr professionell :). Also: mit "anderem Netzsegment" meine ich, dass du eine zweite Netzwerkkarte zusaetzlich in die Firewall (Lingo) einbaust. In den kommt dann auch die ISDN-Karte. Wenn die anderen ueber diesen Rechner ins Internet wollen, muessen sie wohl oder uebel dessen IP als Default-Gateway eintragen.
Die erste Netzwerkkarte bleibt im Hub, sie stellt die Verbindung zu den Arbeitsstationen her.
Die zweite Netzwerkkarte verwendest du, um den Rechner, auf dem du die Services wie Samba/Mail/... auslagern willst, per Crosslink-Kabel mit Lingo zu verbinden. Fuer diesen Rechner, der die Services bereitstellt, legst du Filterregeln auf Lingo fest, und beschraenkst den Zugriff der Arbeitsstationen auf diesen Rechner auf die notwendigen Ports. Genauso verfaehrst du in Richtung 'neuer Rechner->Internet'.
Dann ist dieser neue Rechner vom 'allgemeinen' Netz getrennt - falls er geknackt wird, sind die Arbeitsstationen nicht unmittelbar in Gefahr.
Ich hoffe das macht es klarer...
emwe

hi emwe,
erstmal danke für das lob:)
was ich will, ist m.e. was anderes als was du bechreibst: ich soll services auslagern, oder? und wollen tu ich die firewall auslagern - und "updaten" - d.h. mit iptables statt ipfwadm arbeiten.
und "kofler" (standardwerk, habe ich mir mitteilen lassen:)) empfiehlt ja auch einen extra-rechner als firewall-rechner.

.
mit "anderem Netzsegment" meine ich, dass du eine zweite Netzwerkkarte zusaetzlich in die Firewall (Lingo) einbaust. In den kommt dann auch die ISDN-Karte. Wenn die anderen ueber diesen Rechner ins Internet wollen, muessen sie wohl oder uebel dessen IP als Default-Gateway eintragen.
Die erste Netzwerkkarte bleibt im Hub, sie stellt die Verbindung zu den Arbeitsstationen her.

das ist doch aba jetze schon so: netzwerkkarte als verbindung zum hub und isdn-karte als verbindung ins i-net


Die zweite Netzwerkkarte verwendest du, um den Rechner, auf dem du die Services wie Samba/Mail/... auslagern willst, per Crosslink-Kabel mit Lingo zu verbinden.

samba soll bleiben, wo´s ist - die services auch - nur die firewall soll "umziehen" bzw. "erneuert" werden - zu diesem zweck soll der "neue" rechner incl. routing-funktion ins/ans vorhandene netz - das hatten wir weiter vorn schon "geklärt" (nur *mit* routingübernahme möglich) <schiefgrins>...


Dann ist dieser neue Rechner vom 'allgemeinen' Netz getrennt - falls er geknackt wird, sind die Arbeitsstationen nicht unmittelbar in Gefahr.
Ich hoffe das macht es klarer...

hm - beim antworten fällt mir auf - dis könnte zumindest bewirken, dass ich in der testphase das vorhandene netz "angreifbar" machen würde... trotzdem habe ich insgesamt den eindruck, wir schreiben aneinander vorbei(von verschiedenen fällen:(
neuer versuch?;) schön wäre das - ich bin zwar inzwischen etwas sicherer geworden, benötige dennoch deine/eure hilfe - *SO* sicher bin ich nun auch wieder noch nich;)...
gruß
emwe [/B][/QUOTE]

Hmja.
Kann schon sein, dass ich etwas uebereifrig, auf Sicherheit bedacht war - und an deiner Frage vorbeigeantwortet hab :).
Also - fuer dich kommt so etwas wie eine DMZ erstmal gar nicht in Betracht?
Ok, dann wirds einfacher: den jetzigen Rechner Lingo erleichterst du um die ISDN-Karte bzw. deaktivierst sie und kaufst der neuen Firewall eine eigene. Dann verbindest du die neue Firewall mit dem Hub und per ISDN-Karte mit dem Inet, stellst darauf (mit iptables) eine neue Firewall zusammen und deaktivierst die Firewall auf Lingo.
Dann arbeitet Lingo als "normaler" Server im Bueronetz, und der neue uebernimmt die Firewall-/Routingfunktionen.
Dann musst du bei allen Rechnern den Default-Gateway umstellen (auf die IP der neuen Firewall). Saemtliche Dienste laufen weiterhin auf Lingo.
Das ist zwar nicht wirklich "sicher", aber schnell und relativ einzurichten. Schade, so eine DMZ ist eine feine Sache - ueberlegs dir, wenn du mal wieder Zeit hast ;).
Spass,
emwe

Hu ihr beiden!

Da ihr euch ja mittlerweile auf eine Fahrtrichtung geeinigt habt, ziehe ich mich nun aus der Diskussion zurück und widme mich ganz meinen Prüfungen...


Gut-Netzbau!


Thomas.

Hmja.
Also - fuer dich kommt so etwas wie eine DMZ erstmal gar nicht in Betracht?

wer hat das gesagt/geschrieben? ich habe vieleicht (noch?) zuwenig ahnung und bisher nur das netz so aufgemalt, wie es ist, *aba* - wenn ich das richtig weiß, dann könnte ich doch mittels der vorhandenen rechner *plus* dem neuen sowas aufbauen, oder? ich überschlafs mal eine installation lang und versuche mich dann mal an einem neuen bildchen, hm? vieleicht per pm oder so?


Ok, dann wirds einfacher: den jetzigen Rechner Lingo erleichterst du um die ISDN-Karte bzw. deaktivierst sie und kaufst der neuen Firewall eine eigene. Dann verbindest du die neue Firewall mit dem Hub und per ISDN-Karte mit dem Inet, stellst darauf (mit iptables) eine neue Firewall zusammen und deaktivierst die Firewall auf Lingo.

*ja* - so ungefähr dachte ich mir das dann nach eurer geschätzten mithilfe auch erst mal - dann lerne ich iptables kennen und (hoffentlich) schätzen und alles weitere wartet dann noch etwas


Das ist zwar nicht wirklich "sicher", aber schnell und relativ einzurichten.

relativ einfach? unkompliziert? irgendwie so? zum thema "nicht wirklich sicher" - ist doch aba sicherer als die firewall weiterlaufen zu lassen, deren einrichter inzwischen insolvenz anmeldete, denke ich...


Schade, so eine DMZ ist eine feine Sache - ueberlegs dir, wenn du mal wieder Zeit hast ;).

s.o. - ich betrachte das als angebot, mich bald noch mal melden zu dürfen, hm?;)

einstweilen danke
und bis denne

Ja, Angebot angenommen :).
Der Anbieter/Hersteller eurer bisherigen Firewall hat Konkurs angemeldet? War das eine Windows-basierte Loesung (Achtung! Seitenhieb!)?
Ja, da hatte sich wohl ein Wort geweigert, sich in den Satz einzugliedern. Aber wie du richtig geraten hast, war es 'unkompliziert'.
Spass,
emwe