On Monday 01 January 2001 18:18, Frank Becker wrote:
Konrad Rosenbaum (konrad.rosenbaum@gmx.net) schrieb auf LUG-DD
am Mon, 01 Jan, 2001; 11:28 +0100:
On Sunday 31 December 2000 18:05, Frank Becker wrote:
Hi,
Ach und Vorsicht. Wirklich sicher ist weder wwwoffle noch squid.
Also wirklich sicher sind Deine Daten erst, wenn Du sie geloescht, den
[...]
eingegossen auf dem Meeresgrund versenkst.
Ich kenne Leute, die squid oder wwwoffle auf z. B. einem Linux-Kernel als sicheren Proxy auf Anwendungsebene halten. Solch ein Proxy sollte aber einen eigenen TCP/IP Stack haben. Sonst stimme ich Dir mit dem Meeresgrund zu.
Das ist aus der Sicht eines Programmierers grosser Schrott: je mehr ein Programm selbst implementieren muss, umso mehr Fehler enthält es auch. Der TCP/IP Stack des Linux-Kernels ist (AFAIK) der am besten getestete IP-Stack weltweit - warum also etwas schlechteres selbst schreiben? Ausserdem ist es mit dem Stack alleine nicht getan, dann kommen noch die ganzen Filter- und Anti-Angriffs-Funktionen (IPChains, Syn-Flood-Protection, etc.).
Weder SOCKS, noch ein Proxy machen das System sicherer!! Beide sind dazu da den Internet-Transfer über den Firewall/Gateway zu schleusen.
SOCKS bietet z. B. die Möglichkeit der Authentifizierung, des Blockens bestimmter Hosts... Allein das macht es sicherer, IMHO.
Mit IPChains kannst Du auch die Hosts blocken. Und unsere Admins in Berlin haben glaub' ich einen Proxy (auf Linux), der vorher alle Nutzer authentifiziert (da es ansonsten ein Windoof-Netz ist: via auth_smb).
Wenn Du so normal denkst, wie Du es als Privatperson tun solltest, wirst Du
Was bedeutet normal denken?
Nicht so paranoid, wie man es sich als Security-Experte viel zu schnell angewöhnt...
einfach einen alten Rechner zum Gateway machen, X und gcc & Co. weglassen, squid drauflegen, per ipchains die schlimmsten Ports abfiltern (siehe IPChains- und Firewall-HOWTO) und ab und zu mal die Log-Dateien prüfen.
Ganz wichtig, alle nicht benötigten Dienste _abschalten_!
Die Programme gar nicht erst draufspielen, verschwenden eh' nur Speicherplatz.
Wenn Du paranoid bist, wie es grosse Firen sein sollten: Bau Dir eine 1-Disketten-Maschine, die nix anderes als Gateway (Ethernet und ISDN-Treiber) und Firewall (IPChains) ist (Achtung: SuSE ist dafür ungeeignet, da es zu
Da Du eine grosse Fa. angesprochen hast, halte ich auch einen einfachen Paketfilter für nicht wünschenswert. Es kommt natürlich immer darauf an...
Naja, IPTables soll schon einiges mehr an stateful-filtering mitbringen, was da sehr nützlich sein kann...
Achja, und die Syslogs sollten nicht nur auf Dateien, sondern auch auf einen Drucker gehen (am besten einen alten Nadeldrucker, die neueren Geräte fangen ja leider erst an, wenn eine ganze Seite im Druckerspeicher liegt.
Gut, vielleicht reicht es ja auch, einen Rechner per seriellem I/F das Speichern der Logs zu überlassen.
i.d.R. schon. Dann sollte das Dateisystem aber synchron gemountet sein und die Datei Appendonly usw. Also alles dafür tun, dass die Datei weder manipuliert noch gelöscht werden kann.
Ansonsten gilt: was einmal auf Papier ist kommt da so schnell nicht wieder runter...
Aber für richtig echte Security solltest Du die ISDN-Verbindung weglassen...
Ich denke mit ISDN-Verbindung meinst Du die ins Internet. ?
Ja.
Was, wenn Du aber Internet brauchst?
Dann bist Du automatisch nicht mehr sicher (nach aussen). Punkt.
Echte Sicherheit hast Du leider auch dann nicht, da Du dazu auch noch die Nutzer verbieten müsstest. Angeblich stammen ca. 80 % aller Angriffe von Innen.
Das ist dann eine Frage der Passworte und der internen security-Policy (Zugriffsrechte, Logs, Privilegien, etc.).
Konrad