Original geschrieben von Arjan
Guten Morgen allerseits,
komme erst heute zum antworten.
Also, wieviel Paranoia jeder für sich verwirklicht, muss natürlich jeder für sich entscheiden.
Ich verstand den OP so: Er will ein für ihn neues System ausprobieren. Die "gängigen Dienste" aufsetzen, wird ihm bei seiner geschilderten Linuxerfahrung nicht die grössten Probleme bereiten. Da ist es gleich, wo er sie hinsetzt.
Ich beziehe mich hier immer nur auf OBSD: Für die pf wird er etwas Umstellungsaufwand haben.
Stichwort Firewall: per Definition ist eine Firewall ein Gesamtkonzept für die gewünschten Sicherheitsanforderungen. Also Gedanken machen: Wie gross ist mein Netz, welche Dienste brauch ich, welche Hardware kann und will ich einsetzen, daraus resultierend dass Netzdesign.
Ein Packetfilter ist dann Bestandteil der realen Umsetzung dieser Anforderungen.
Eine Firewall ist nur ein Bestandteil eines allgemeinen Sicherheitskonzepts. Und wo du diese obengenannte Definition gefunden hast (es sei denn, du hast sie selber formuliert
, weiß ich nicht.
Ich kann dir nur diese Links empfehlen:
http://www.securityfocus.org
http://de.wikipedia.org/wiki/Firewall
Eine Firewall ist auf den ersten Blick (vereinfacht also) nichts anderes, als eine bestimmte Art (also nach festen Regeln), die verschiedenen Netzwerke zu trennen.
Sie ist sowohl physikalisch als auch softwareseitig aufzufassen.
Und ein "Netzdesign" (so wie ich dich verstanden habe) ist eben nichs anderes als der Entwurf eines Netzes im Allgemeinen, denn nicht nur das Anbringen von Firewalls z.B. ist alles. Man muss ja erst einmal ein Netzwerk haben, das man schützen will, d.h. die Planung der Sicherungssysteme (darunter auch Firewalls) geht Hand in Hand mit dem Entwerfen des Netzwerks selber.
Dies kann sehr schnell zu Ei-Henne-Problem führen!
Das beantwortet IMHO auch die Frage nach den o.g kommerziellen Teilen - passen sie in das Konzept und kann ich sie mir leisten, verwende ich sie - oder auch nicht.
Das hängt unter anderem davon ab, wie er sein Netzwerk sieht und wie groß sein Netzwerk überhaupt ist.
Wenn er nur privat was für sich macht und nur wenige Hosts schützen möchte/muss, dannn reicht meistens ein Paketfilter, der an der "vordersten Front" (also Richtung Internet) die Pakete filtert. Im Innern des Netzes braucht er dann normalerweise nicht filtern, es sei denn, es gibt auch andere Leute die sein Netzwerk nützen und er möchte nicht, dass sie alle Dienste (und sonstiges) erreichen bzw. nur unter bestimmten Bedingungen.
Wenn er aber ein großes (immer relativ gesehen) Netz verwaltet, dann muss er vielleicht darüber nachdenken, wie er seine Sicherheitsstrategie auf die einzelnen Hosts verteilt. Damit meine ich aber nicht, dass er überall Zonealarm auf den Windozes (falls vorhanden) installiert
Denkbar wäre eine Segmentierung nach Dienste-Zugriff, d.h. er entwirft Policies auf der Firewall, die bestimmten Hosts im Innern nur bestimmte Dienste gewährt. Es gäbe natürlich auch die Möglichkeit einer IP-Adress-Segmentierung im Innern. dadurch wird das Netzwerk überschaubarer, als wenn es einfach ganz im 192.168.X.X-Bereich verschwinden würde
Dazu hat man soviel geschrieben und ich möchte hier nicht längere Ausführungen zu dem Thema Netztopologie geben
Nochmal zur privaten Paranoia, weil es mir grad einfällt:
es gibt schon allerhand Leute, die per Flatrate und /oder
DSL-"Stand"-Leitung rund um die Uhr am Netz hängen, da hätte das Wort Paranoia für mich eine andere Bedeutung als jetzt bei einem Dial-in per Modem - da habe ich gar keine Bedenken, so wie jetzt mal schnell mit W2k vorbei zu gucken.
Vergiss aber nicht, dass 95% der Angriffe erst gar nicht bemerkt werden. Dies ist weder ein Scherz von mir, noch habe ich vor, deine Ansichten zu kritisieren. Und da du Win2K fährst, brauchst du auch keinen Hacker mehr, um Probleme zu kriegen, denn du hast für deinen eigenen Cracker/Nach-hause-telefonieren-Maschine/No-privacy bereits bezahlt
Und hier der Link zur PDF-Datei in der steht, das 95% der Hacks gar nicht erst bemerkt werden: elina.htlw16.ac.at/~hoerandl/folien/Linux-fw2.sdd.pdf
Ist aus der Linux-Welt, doch das wird dich wohl nicht daran hindern, es zu lesen
PS: Mir wäre es angenehm, wenn ich das Wort "Zonealarm" hier nicht mehr lesen müsste.
Alarme hatten wir früher in der "Zone" genügend.
Da wir hier auf Open-Source schwören, brauchen wir weder Angst zu haben, über andere Sachen (Programme auch) nachzudenken, noch lassen wir uns von irgendjemanden dazu bringen, irgendetwas NICHT hinzuschreiben.
Sonst hätte ich z.B. "vorschlagen" können, nie wieder das Wort Win2K oder Linux zu benutzen, was ja ein totaler Quatsch wäre.
Poste und lass posten!
Gruss
PPS: an den OP: nutze die Möglichkeiten!!