On Sunday 31 December 2000 18:05, Frank Becker wrote:
Ach und Vorsicht. Wirklich sicher ist weder wwwoffle noch squid.
Also wirklich sicher sind Deine Daten erst, wenn Du sie geloescht, den Datenträger pulverisiert und gut durchgeschüttelt in einem grossen Betonblock eingegossen auf dem Meeresgrund versenkst.
Mal im Ernst: Security ist keine binäre Entscheidung a'la "X ist sicher, Y nicht.", security ist immer ein Kompromiss zwischen Abschottung von der Welt und noch mit dem System arbeiten können. Weder SOCKS, noch ein Proxy machen das System sicherer!! Beide sind dazu da den Internet-Transfer über den Firewall/Gateway zu schleusen.
Wenn Du so normal denkst, wie Du es als Privatperson tun solltest, wirst Du einfach einen alten Rechner zum Gateway machen, X und gcc & Co. weglassen, squid drauflegen, per ipchains die schlimmsten Ports abfiltern (siehe IPChains- und Firewall-HOWTO) und ab und zu mal die Log-Dateien prüfen.
Wenn Du paranoid bist, wie es grosse Firmen sein sollten: Bau Dir eine 1-Disketten-Maschine, die nix anderes als Gateway (Ethernet und ISDN-Treiber) und Firewall (IPChains) ist (Achtung: SuSE ist dafür ungeeignet, da es zu viele sehr seltsame Paket-Abhängigkeiten gibt). In der DMZ baust Du Dir den Proxy auf (nur Proxy, keine internen Daten!). Und schottest die DMZ nochmal durch einen 1-Disketten-Firewall (2x Ethernet) vom internen Netz ab.
Achja, und die Syslogs sollten nicht nur auf Dateien, sondern auch auf einen Drucker gehen (am besten einen alten Nadeldrucker, die neueren Geräte fangen ja leider erst an, wenn eine ganze Seite im Druckerspeicher liegt.
Aber für richtig echte Security solltest Du die ISDN-Verbindung weglassen...
Konrad