Hi @ll !

Man könnte sagen es brennt ;-) und auf die schnelle ist die Realisierung auf Linux sicher noch das beste:

Die Situation ist im Moment die eines LANs mit NT4 und W2k inkl. DC und Mailserver. Das LAN geht über einen fremdgewarteten *seufz!* DSL-Router ins Internet, der Mailserver mangels anderer Möglichkeiten über KEN-ISDN um Mails abzuholen - geht im Moment nicht anders.

Eilig ist jetzt die Mindestsicherung des ganzen, also ICS/NAT von KEN ganz deaktivieren ist klar, und das LAN noch irgendwie schützen, ich hoffe, ich denk mir das mit dem 'Zwischenserver' so richtig. Im Zweifelsfall müßte der dann über den Exklusivanschluß an den Router verfügen, um nicht mehr umgehbar zu sein, oder ?

Was ich also denke zu brauchen:
Einen Rechner, den ich 'zwischen' LAN und DSL-Router (Hardware, fremdgewartet) schalte und auf dem
a) eine allgemeine Firewall auch mit Zugriffssteuerung von aussen (wenn das hinter einem Router ohne NAT möglich ist) und
b) eine Authentifizierung der Internetzugriffe von LAN-Seite
(idealerweise auch noch ein Proxy, aber das ist nebensächlich)
laufen ...

- sind da noch grobe Denkfehler drin ?
- wie mach ich das als Linux-Fast-DAU möglichst einfach und effizient ? - und: BIS MORGEN!

DANKE !

P.S.
Bitte keine Kriteleien an der Hardwareausstattung, daran kann ich nichts ändern, leider

> Im Zweifelsfall müßte der dann über den Exklusivanschluß an den Router verfügen, um nicht mehr umgehbar zu sein, oder ?

das ist xtrem wichtig! sonst brauchst du dir keine mühe machen.


>Was ich also denke zu brauchen:
>Einen Rechner, den ich 'zwischen' LAN und DSL-Router (Hardware, fremdgewartet) schalte und auf dem
>a) eine allgemeine Firewall auch mit Zugriffssteuerung von aussen (wenn das hinter einem Router ohne NAT möglich ist) und
>b) eine Authentifizierung der Internetzugriffe von LAN-Seite
>(idealerweise auch noch ein Proxy, aber das ist nebensächlich)
>laufen ...

- sind da noch grobe Denkfehler drin ?
- wie mach ich das als Linux-Fast-DAU möglichst einfach und effizient ? - und: BIS MORGEN!


ich würd sagen wenns wirklich soooooo schnell gehen soll (das wird ne schlaflose nacht *ggg*)
nimm ne distri mit eingebauter und leicht zu konfigurierender FW; fällt mir gerade nur Suse ein. lass mich aber gerne verbessern.
und als proxy squid - mit gut kommentiertem conf-file

pudding

hi



Original geschrieben von Nooky

Eilig ist jetzt die Mindestsicherung des ganzen, also ICS/NAT von KEN ganz deaktivieren ist klar, und das LAN noch irgendwie schützen, ich hoffe, ich denk mir das mit dem 'Zwischenserver' so richtig. Im Zweifelsfall müßte der dann über den Exklusivanschluß an den Router verfügen, um nicht mehr umgehbar zu sein, oder ?

ja seh ich auch so.



Was ich also denke zu brauchen:
Einen Rechner, den ich 'zwischen' LAN und DSL-Router (Hardware, fremdgewartet) schalte und auf dem
a) eine allgemeine Firewall auch mit Zugriffssteuerung von aussen (wenn das hinter einem Router ohne NAT möglich ist) und
b) eine Authentifizierung der Internetzugriffe von LAN-Seite
(idealerweise auch noch ein Proxy, aber das ist nebensächlich)
laufen ...

punkt a wird wohl so nicht gehen.

ich würde an deiner stelle auch, so wie pudding vorgeschlagen hat, ne suse-version nehmen, z.b. die 8.0 dort ist die SuSEfirewall2 bei. die läßt sich recht zügig einrichten. ne gute anleitung findest du hier

http://www.robidu.de/linux/firewall/#wasn_das



Gruß HangLoose

Hi und dank für den ersten Rat :)
(keine Sorge um meinen Nachtschlaf, ich hab morgen auch noch 8 Stunden Büro ;-)) )

um iptables mach ich mir grade keine schlimmen sorgen, da hab ich morgen jede menge zu lesen, und bombensicher muss es ad hoc nicht sofort werden, das wird dann schon noch, nur stehen muss es möglichst morgen abend -

was ich jetzt noch nicht 100% überrissen hab, wo realisier ich das, dass nicht jede anwendung (z.b. trojaner), die raus will, auch raus kommt -> sprich: passworteingabe nötig zum passieren des sicherheitsrechners richtg. internet ?

als pferdefuss hängt noch mit dran, dass ich u.U. - stellt sich noch raus - nicht genug hardware hab um ne 'große' distri mit x usw. aufzusetzen ...

Original geschrieben von HangLoose




punkt a wird wohl so nicht gehen.


Gruß HangLoose

warum? bzw warum nicht?

sollte er nicht über den dsl-router auf "seinen" router zugreifen können. abgesehn von dem problem der womöglichen dynamischen IP seh ich kein problem.
aber ich hab auch fast 39° temperatur in sofern könnte ich auch was übersehen haben?

pudding

Original geschrieben von Nooky





was ich jetzt noch nicht 100% überrissen hab, wo realisier ich das, dass nicht jede anwendung (z.b. trojaner), die raus will, auch raus kommt -> sprich: passworteingabe nötig zum passieren des sicherheitsrechners richtg. internet ?

als pferdefuss hängt noch mit dran, dass ich u.U. - stellt sich noch raus - nicht genug hardware hab um ne 'große' distri mit x usw. aufzusetzen ...

das mit den anwendungen kannst du über die FW steuern.

von suse 8.0 aufwärts hab ich nicht den plan aber eigentlich brauchst du kein X dafür.

pudding

Original geschrieben von pudding
das mit den anwendungen kannst du über die FW steuern.



.... excuse me, ich hab mich noch nicht eingelesen - hab noch paar andere wichtige dinge zu erledigen atm -
wie kann ich das der fw erklären ?
mit fw ist doch sinngemäß iptables gemeint, oder ?

also. ja iptables ist gemeint.

du lässt von innen nach aussen nur die dienste zu die deine LAN-user auch nutzen dürfen sollen. z.B. http, ftp.
den rest sperrst du.
da du ja den proxy womöglich auch noch brauchst kannst du hierfür ein portforwarding für http auf den proxy machen.

geht alles auf einer kiste.
pudding

hi

also ich hab auf meinem router, auf dem auch die firewall läuft, auch die suse 8.0 und kein x drauf. das sollte also kein problem sein.


was ich jetzt noch nicht 100% überrissen hab, wo realisier ich das, dass nicht jede anwendung (z.b. trojaner), die raus will, auch raus kommt -> sprich: passworteingabe nötig zum passieren des sicherheitsrechners richtg. internet ?

bei der susefirewall2 regelst du das eigentlich über diese variable




FW_MASQ_NETS="<netzadr>/< netflag>,<zieladr>/< netflag>,<proto>,<ports> "

Zur Erläuterung:
<netzadr>/<netflag> definieren die Ausgangsnetze, die die Daten nach außen senden dürfen, und <zieladr>/<netflag> gibt die Zielnetzwerke an, zu denen Daten übermittelt werden.
<proto> gibt den Übertragungstyp (tcp oder udp ) an, der verwendet werden darf.
Mit dem Eintrag <ports> können Sie einen einzelnen Port oder einen ganzen Portbereich angeben, auf dem Zugriffe erfolgen dürfen.


beispiel => FW_MASQ_NETS="192.168.0.9/24,0/0,tcp,80 192.168.0.0/24,0/0,tcp,21"

aus deinem lan sind nur www und ftp verbindungen nach draußen erlaubt.

wobei ich mir hier nicht ganz sicher bin, ob das so auch funzt, da die firewall die anfragen masqueriert (wird das so geschrieben :confused:) und der router ebenfalls.


@pudding


warum? bzw warum nicht? sollte er nicht über den dsl-router auf "seinen" router zugreifen können.

anfragen an port 22 (wenn er ssh nutzen möchte) müssen vom router an die firewall *weitergeleitet* werden, das geht imho nur mit nat.


Gruß HangLoose

Original geschrieben von HangLoose


wobei ich mir hier nicht ganz sicher bin, ob das so auch funzt, da die firewall die anfragen masqueriert (wird das so geschrieben :confused:) und der router ebenfalls.


@pudding



anfragen an port 22 (wenn er ssh nutzen möchte) müssen vom router an die firewall *weitergeleitet* werden, das geht imho nur mit nat.


Gruß HangLoose

"maskieren" ist auch ein schönes deutsches wort....;)

ich kenn mich nicht aus mit dsl-routern, aber nem router sollte es doch eigentlich egal sein welches protokoll "gesprochen" wird.

pudding

maskieren ist auf jedenfall einfacher zu schreiben ;)


ich kenn mich mit hardware-routern auch nicht aus. das protokoll ist auch egal. das problem ist bloß, wenn eine ssh-anfrage aus dem i-net kommt, landet die am router-port 22. eigentlich soll diese anfrage aber beim firewall-rechner landen. das heißt der router müßte per nat die anfrage aus dem netz, an den port 22 vom firewall-rechner weiterleiten, da hier der ssh-dämon auf anfragen wartet.


übrigens gute besserung :)


Gruß HangLoose

1. danke

2. jetzt hab ichs glaub kapiert......
(aber hat nicht die firewall-kiste ne offizielle IP?)


pudding

im normalfall hast du ja nur eine und die kriegt dann der router.

Original geschrieben von Nooky
- wie mach ich das als Linux-Fast-DAU möglichst einfach und effizient ? - und: BIS MORGEN!
Ist nicht Dein Ernst oder?

Du schreibst, dass Du eigentlich von der Materie rund um Firewall wenig Ahnung hast aber willst Dir bis morgen eine Lösung gebastelt haben?
Ehrlich, ich verstehe ja Deinen zeitlichen Druck, aber das Vorhaben, eine hinreichend sichere Internetanbindung aufzubauen benötigt einiges an Detail-Know-How ... und das bekommt man leider nicht über Nacht. Dieses Know-How kann man sich leider auch nicht schenken lassen, auch wenn Du hier Lösungsvorschläge bekommst, mußt Du dennoch selbst entscheiden können, ob diese für Deine spezielle Situation vor Ort passen oder ob Du die Vorschläge weiter modifizieren mußt. In Deiner Umgebung trägst Du die Verantwortung für die Sicherheit und auch diese Verantwortung kann Dir hier niemand abnehmen.

Aus meiner Sicht hast Du folgende Möglichkeiten:
1. Du folgst den bisherigen Vorschlägen von HangLoose und Pudding und arbeitest Dich gleichzeitig in die Materie ein. Das wird jedoch bis morgen nichts werden sondern da benötigst Du die Zeit, um Dir das benötigte Know-How anzueignen.

2. Du beauftragst einen externen Berater, der Deine Umgebung untersucht, Dir eine sichere Lösung konzipiert und diese umsetzt. Das wird auch bis morgen nichts, kostet Geld aber geht sicherlich schneller und sicherer als eine "mal eben so hingefrickelte Lösung".

Harry

ich geb harry da prinzipiell recht, nur find ichs besser ne _vorübergehende_ !!!! einigermassen sichere lösung zu haben, als garkeine. da wir die hintergründe ja nicht genau kennen, ist auch recht schwer einzuschätzen über was für einen securitylevel es sich hier geht.
und ein iptables scrip (gibts ja z.b. auch im netz mit kommentar) dass einigermassen tut ist zumindest kein fehler. was man seinem chef darüber sagt, wie man eventuellen datenverlusten und mit seiner veranwortung umgeht steht
auf einem anderen stern.

pudding

@hangloose
jaja das fieber....;)

Ja genau. Die hier aufgezeigten Vorschläge sind ein guter Einstieg in das Thema und damit kann man im ersten Schritt schonmal einen gewissen Sicherheitslevel erreichen.

Ich war halt über die Aussage "bis morgen!" erstaunt, da dieser Anspruch für eine wirklich sichere Konfiguration etwas weit hergeholt ist. "bis morgen" kann man den Security-Level auf ein gewisses Niveau bringen jedoch muß man sich anschließend mit der Materie detailliert vertraut machen, um genau zu wissen, was man bisher getan hat, was passieren kann und was daher noch zu tun ist.

Die letzten Jahre meiner praktischen Tätigkeit haben in Bezug auf solche Ansprüche leider oft genug das Gegenteil in der Umsetzung gezeigt: Es gibt ein IT-Kommunikationsproblem und man benötigt eine Lösung ... auch oder gerade im Bereich Security. Also besorgt man sich eine Lösung, die das Problem funktional löst. Ob das dann auch eine sichere Lösung ist, wird in den wenigsten Fällen wirklich ernsthaft verifiziert. Und wenn das Problem funktional gelöst ist, dann interessiert oft die wirkliche Sicherheit nur noch am Rande und diese Problematik verschwindet nach und nach aus dem Blickwinkel der Betrachtung, denn es gibt ja noch andere Probleme zu lösen und die zur Verfügung stehende Zeit ist eine nicht unendlich dehnbare Resource, also fokussiert man sich auf die noch anstehenden Probleme.

Wie schon gesagt: Die bisherigen Beiträge sind ein guter Einstieg in das Thema für Nooky. Er sollte dabei auf jeden Fall den Umstand im Auge behalten, dass wirkliche Sicherheit nur dann zu erreichen ist, wenn man die eingesetzten Techniken auch beherrscht. Und an dieser Stelle gibt es ein zeitliches Resourcenproblem :D

Harry

*WOW*

erstmal ein supergroßes MERCI für den feuereifer, mit dem ihr mir hier unter die arme greift :) :) :)

@harry:

die materie firewall ist mir in grundzügen schon geläufig, nur die realisierung auf linux ist neu, ich hab mir erst vor rd. 2 monaten ernsthaft wieder linux angetan *ähem*

die lage ist halt im moment die, dass es ein ganz grundlegendes sicherheitsproblem gibt, das zumindest akzeptabel gelöst werden muss, und zwar schleunigst. von perfektion braucht noch länger keine rede sein. auf den linuxtrichter kam ich jetzt einerseits aus experimentierlust :D und andererseits aus der eile heraus: hardware ist zumindest irgendwas da und die software kann ich bedenkenlos einsetzen - keine lizenzprobleme

das betrifft mich auch nicht in erster linie selbst, ich fungiere da eher als "muse" ;-)


und ein iptables scrip (gibts ja z.b. auch im netz mit kommentar) dass einigermassen tut ist zumindest kein fehler
und genau auf sowas will ich aufbauen.
das kann ich einigermaßen, aus ner musterlösung ohne tieferes wissen was praktikables hinzaubern. verfeinern kann man dann ja immer noch ...

also nochmal DANKE DANKE DANKE und nur keine scheu für weitere vorschläge ;)

hi nooky


falls die suse-firewall nicht so dein fall sein sollte, findest du hier reichlich anregungen für ein eigenes script => http://www.linuxguruz.org/iptables/


Gruß HangLoose

weil ich gerade drüber gestolpert bin:

http://www.heise.de/ix/artikel/2002/11/048/

pudding