Abgleitung in security Diskussion

kith

unfuck me!
Teammitglied
wenn man es ganz genau nimmt, wuerde ich nicht einmal dns auf der firewall installieren. andererseitz nehme ich mal an, das es fuer deinen hausgebrauch ist, wo man das ganze nicht sooo ernst nehmen muss.
persoenlich wuerde ich einfach alles auf dem router installieren (ausser vmware, benutz ich nicht), und den zweiten rechner zum spielen/entwickeln/was-auch-immer benutzen.
das sicherste ist, sich einfach mit der materie ausseinanderzusetzen und die risiken selbst abzuwaegen.
 
...jaja, Netzwerkdesign hat halt doch was Filosofisches.

Vom Design her hat Arjan recht , ein Gateway ist ein Gateway und nur ein Gateway.

Andererseits ist es, wenn Du dich mit den Firewall Rules verkasperst, egal ob der Mailserver 2km hinter dem Gateway steht oder ob der Mailserver auf dem Gateway selbst installiert ist.

Bei BSD hast du die Moeglichkeit alle boesen Dienste (kleiner als Port 1024) in einem Jail zu installieren, bei OBSD laeuft zb. Postfix per default in nem Jail.

Wenn Stromkosten keine Rolex spielen dann jeder Dienst auf einer Kiste in nem seperaten Subnetz (*g* das war jez auch wieder Design Filosofisch), was natuerlich *sofuerdaheimrum* nicht so Sinnvoll ist.
 
Hallo sehr interessante Philosophien :-)
Hier noch meine Meinung:

Ich würde OBSD als Gateway benutzen und höchstens als weiteren Dienst zum PF noch den Proxy dort betreiben.

Als Zweitserver würde ich FreeBSD nehmen, alle weitern Dienste darauf Betreiben.
Als Meinserver würde ich Qmail verwenden.
 
boah, ich bin dieses "eine firewall ist eine firewall und da darf nur eine firewall laufen, weil sie ausschliesslich eine firewall ist" echt leid (okay okay meine schuld, haette wissen muessen, dass wieder so ein kommentar kommt).

arjan
dein zitat ist leicht aus dem zusammenhang gerissen, da ich mich denke ich eindeutig auf den hausgebrauch bezogen habe. es gibt leute die koennen mit zone alarm wunderbar leben.

schon mal eine firewall ohne dienste gesehen (ich meine nicht die bei dir zuhause)? checkpoint, raptor, nokia IPSO etc sind also alles gar keine firewall? die bieten doch auch dienste an?

was hat das mit dem dual-postfix proxy auf sich? was passiert wenn ich den externen postfix exploite? inwiefern schuetzt mich der interne noch?

bei "ernsten" enviroments wuerde ich auch keinen proxy auf dem router installieren. da wuerde ich das ding dann eher in die 2. (oder 3.) stufe verschieben.

am ende denke ich geht es darum:
sind die objekte die ich schuetzen will einen zweiten rechner (auf dem ich dienste installieren kann) wert?

fuer mich persoenlich - nein.
 
Zuletzt bearbeitet:
Original geschrieben von kith
[schnipp]
am ende denke ich geht es darum:
sind die objekte die ich schuetzen will einen zweiten rechner (auf dem ich dienste installieren kann) wert?

fuer mich persoenlich - nein.
Full ACK - ich bin mittlerweile der Meinung, dass die Paranoia, die sich gerade im Home-Bereich entwickelt, in keinem Verhältnis zur potentiellen Gefahr steht.
Man kann halt auch übertreiben ;)

Gruß
 
Paranoia

@saintjoe

Stimmt.

Ich glaube (nein, ich bin mir fast sicher), dass das ganze Zeug mit "ich muss mich schützen" etwas vom James Bond hat (gepaart mit der für alle Humanoiden typischen Eigenschaft, sich abgrenzen zu wollen).

Irgendwie ist dies mehr Spiel als Ernst.

Na ja, vielleicht war es von Anfang an nicht ernst gemeint.

Die Verkäufer von ZoneAlarm und ähnlichen Sachen haben auf alle Fälle ein Happy-Hour :)

Regards

ColdWisdom
 
Zuletzt bearbeitet:
Guten Morgen allerseits,

komme erst heute zum antworten.

Also, wieviel Paranoia jeder für sich verwirklicht, muss natürlich jeder für sich entscheiden.

Ich verstand den OP so: Er will ein für ihn neues System ausprobieren. Die "gängigen Dienste" aufsetzen, wird ihm bei seiner geschilderten Linuxerfahrung nicht die grössten Probleme bereiten. Da ist es gleich, wo er sie hinsetzt.
Ich beziehe mich hier immer nur auf OBSD: Für die pf wird er etwas Umstellungsaufwand haben.

Stichwort Firewall: per Definition ist eine Firewall ein Gesamtkonzept für die gewünschten Sicherheitsanforderungen. Also Gedanken machen: Wie gross ist mein Netz, welche Dienste brauch ich, welche Hardware kann und will ich einsetzen, daraus resultierend dass Netzdesign.
Ein Packetfilter ist dann Bestandteil der realen Umsetzung dieser Anforderungen.

Das beantwortet IMHO auch die Frage nach den o.g kommerziellen Teilen - passen sie in das Konzept und kann ich sie mir leisten, verwende ich sie - oder auch nicht.

Nochmal zur privaten Paranoia, weil es mir grad einfällt:
es gibt schon allerhand Leute, die per Flatrate und /oder
DSL-"Stand"-Leitung rund um die Uhr am Netz hängen, da hätte das Wort Paranoia für mich eine andere Bedeutung als jetzt bei einem Dial-in per Modem - da habe ich gar keine Bedenken, so wie jetzt mal schnell mit W2k vorbei zu gucken.


PS: Mir wäre es angenehm, wenn ich das Wort "Zonealarm" hier nicht mehr lesen müsste.

Alarme hatten wir früher in der "Zone" genügend. :D


Gruss :cool:


PPS: an den OP: nutze die Möglichkeiten!!
 
Firewall

@Arjan

Original geschrieben von Arjan
Guten Morgen allerseits,

komme erst heute zum antworten.

Also, wieviel Paranoia jeder für sich verwirklicht, muss natürlich jeder für sich entscheiden.

Ich verstand den OP so: Er will ein für ihn neues System ausprobieren. Die "gängigen Dienste" aufsetzen, wird ihm bei seiner geschilderten Linuxerfahrung nicht die grössten Probleme bereiten. Da ist es gleich, wo er sie hinsetzt.
Ich beziehe mich hier immer nur auf OBSD: Für die pf wird er etwas Umstellungsaufwand haben.


Stichwort Firewall: per Definition ist eine Firewall ein Gesamtkonzept für die gewünschten Sicherheitsanforderungen. Also Gedanken machen: Wie gross ist mein Netz, welche Dienste brauch ich, welche Hardware kann und will ich einsetzen, daraus resultierend dass Netzdesign.
Ein Packetfilter ist dann Bestandteil der realen Umsetzung dieser Anforderungen.



Eine Firewall ist nur ein Bestandteil eines allgemeinen Sicherheitskonzepts. Und wo du diese obengenannte Definition gefunden hast (es sei denn, du hast sie selber formuliert ;), weiß ich nicht.

Ich kann dir nur diese Links empfehlen:

http://www.securityfocus.org

http://de.wikipedia.org/wiki/Firewall

Eine Firewall ist auf den ersten Blick (vereinfacht also) nichts anderes, als eine bestimmte Art (also nach festen Regeln), die verschiedenen Netzwerke zu trennen.

Sie ist sowohl physikalisch als auch softwareseitig aufzufassen.

Und ein "Netzdesign" (so wie ich dich verstanden habe) ist eben nichs anderes als der Entwurf eines Netzes im Allgemeinen, denn nicht nur das Anbringen von Firewalls z.B. ist alles. Man muss ja erst einmal ein Netzwerk haben, das man schützen will, d.h. die Planung der Sicherungssysteme (darunter auch Firewalls) geht Hand in Hand mit dem Entwerfen des Netzwerks selber.

Dies kann sehr schnell zu Ei-Henne-Problem führen!



Das beantwortet IMHO auch die Frage nach den o.g kommerziellen Teilen - passen sie in das Konzept und kann ich sie mir leisten, verwende ich sie - oder auch nicht.



Das hängt unter anderem davon ab, wie er sein Netzwerk sieht und wie groß sein Netzwerk überhaupt ist.

Wenn er nur privat was für sich macht und nur wenige Hosts schützen möchte/muss, dannn reicht meistens ein Paketfilter, der an der "vordersten Front" (also Richtung Internet) die Pakete filtert. Im Innern des Netzes braucht er dann normalerweise nicht filtern, es sei denn, es gibt auch andere Leute die sein Netzwerk nützen und er möchte nicht, dass sie alle Dienste (und sonstiges) erreichen bzw. nur unter bestimmten Bedingungen.

Wenn er aber ein großes (immer relativ gesehen) Netz verwaltet, dann muss er vielleicht darüber nachdenken, wie er seine Sicherheitsstrategie auf die einzelnen Hosts verteilt. Damit meine ich aber nicht, dass er überall Zonealarm auf den Windozes (falls vorhanden) installiert ;)

Denkbar wäre eine Segmentierung nach Dienste-Zugriff, d.h. er entwirft Policies auf der Firewall, die bestimmten Hosts im Innern nur bestimmte Dienste gewährt. Es gäbe natürlich auch die Möglichkeit einer IP-Adress-Segmentierung im Innern. dadurch wird das Netzwerk überschaubarer, als wenn es einfach ganz im 192.168.X.X-Bereich verschwinden würde ;)

Dazu hat man soviel geschrieben und ich möchte hier nicht längere Ausführungen zu dem Thema Netztopologie geben :)



Nochmal zur privaten Paranoia, weil es mir grad einfällt:
es gibt schon allerhand Leute, die per Flatrate und /oder
DSL-"Stand"-Leitung rund um die Uhr am Netz hängen, da hätte das Wort Paranoia für mich eine andere Bedeutung als jetzt bei einem Dial-in per Modem - da habe ich gar keine Bedenken, so wie jetzt mal schnell mit W2k vorbei zu gucken.



Vergiss aber nicht, dass 95% der Angriffe erst gar nicht bemerkt werden. Dies ist weder ein Scherz von mir, noch habe ich vor, deine Ansichten zu kritisieren. Und da du Win2K fährst, brauchst du auch keinen Hacker mehr, um Probleme zu kriegen, denn du hast für deinen eigenen Cracker/Nach-hause-telefonieren-Maschine/No-privacy bereits bezahlt :)

Und hier der Link zur PDF-Datei in der steht, das 95% der Hacks gar nicht erst bemerkt werden: elina.htlw16.ac.at/~hoerandl/folien/Linux-fw2.sdd.pdf

Ist aus der Linux-Welt, doch das wird dich wohl nicht daran hindern, es zu lesen ;)




PS: Mir wäre es angenehm, wenn ich das Wort "Zonealarm" hier nicht mehr lesen müsste.

Alarme hatten wir früher in der "Zone" genügend. :D






Da wir hier auf Open-Source schwören, brauchen wir weder Angst zu haben, über andere Sachen (Programme auch) nachzudenken, noch lassen wir uns von irgendjemanden dazu bringen, irgendetwas NICHT hinzuschreiben.

Sonst hätte ich z.B. "vorschlagen" können, nie wieder das Wort Win2K oder Linux zu benutzen, was ja ein totaler Quatsch wäre.



Poste und lass posten!




Gruss :cool:


PPS: an den OP: nutze die Möglichkeiten!!

[/B]

Regards

ColdWisdom
 
Zuletzt bearbeitet:
...wobei ich die einzusetzende hard/software nicht unbedingt nur von der groesse eines netzes, sondern primaer vom wert der zu schuetzenden objekte abhaengig machen wuerde.
 
Original geschrieben von kith
...wobei ich die einzusetzende hard/software nicht unbedingt nur von der groesse eines netzes, sondern primaer vom wert der zu schuetzenden objekte abhaengig machen wuerde.


Selbstverständlich :)

Wenn eine Sache keinen Wert für einen darstellt, dann wird man sich überhaupt keine Mühe machen, es (vor wem auch immer) zu schützen.

Regards

ColdWisdom
 
Original geschrieben von ColdWisdom
Selbstverständlich :)

Wenn eine Sache keinen Wert für einen darstellt, dann wird man sich überhaupt keine Mühe machen, es (vor wem auch immer) zu schützen.

Regards

ColdWisdom

Full ACK

Aus diesem Grund verbrate ich auch eben gerade mal mit ner W2k-Solo-Maschine einen 100-Freistunden-Account von AOL.
Da ist nichts weiter drauf, also nichts zu schützen, Dienste sind soweit alle abgeschalten, telefonieren tut das Teil erst ab SP3, soweit ich weiss (es könnte eh nichts echtes melden).

Gruss :cool:
 
Original geschrieben von Arjan
Full ACK

Aus diesem Grund verbrate ich auch eben gerade mal mit ner W2k-Solo-Maschine einen 100-Freistunden-Account von AOL.
Da ist nichts weiter drauf, also nichts zu schützen, Dienste sind soweit alle abgeschalten, telefonieren tut das Teil erst ab SP3, soweit ich weiss (es könnte eh nichts echtes melden).

Gruss :cool:

Wenn du keine privaten eMails verschickst oder auch nix über z.B. amazon bestellst oder deine Sparkassen-Daten nicht abrufst, ist es wirklich egal ;)

Gruß

CW
 
habe mir mal erlaubt das hierher zu tun, wobei ich einen post von arjan versehentlich nicht mitverschoben habe. *sorry*
 
Original geschrieben von kith
habe mir mal erlaubt das hierher zu tun, wobei ich einen post von arjan versehentlich nicht mitverschoben habe. *sorry*

Würdest Du es bitte in die richtige Reihe bringen?

Bin nämlich eben gerade :confused:

Danke
 
Original geschrieben von ColdWisdom
Wenn du keine privaten eMails verschickst oder auch nix über z.B. amazon bestellst oder deine Sparkassen-Daten nicht abrufst, ist es wirklich egal ;)

Gruß

CW

Online-Banking wäre wirklich das letzte, was mir jemals einfallen könnte.
IMHO will amazon ja auch erstmal meine Kontodaten - sorry, da haben die einen Kunden weniger.

Gruss :cool:
 
@arjan
wenn du den thread "2 Server mit OpenBSD und SuSE Linux" nochmal anschaust wirst du vielleicht festellen, dass es da einen post von dir gibt der auch eher in diesen thread gehoeren wuerde (mitlerweile sogar drei ;)).
 
Zurück
Oben