Konrad Rosenbaum (konrad.rosenbaum@gmx.net) schrieb auf LUG-DD am Mon, 01 Jan, 2001; 11:28 +0100:
On Sunday 31 December 2000 18:05, Frank Becker wrote:
Hi,
Ach und Vorsicht. Wirklich sicher ist weder wwwoffle noch squid.
Also wirklich sicher sind Deine Daten erst, wenn Du sie geloescht, den
[...]
eingegossen auf dem Meeresgrund versenkst.
Ich kenne Leute, die squid oder wwwoffle auf z. B. einem Linux-Kernel als sicheren Proxy auf Anwendungsebene halten. Solch ein Proxy sollte aber einen eigenen TCP/IP Stack haben. Sonst stimme ich Dir mit dem Meeresgrund zu.
Mal im Ernst: Security ist keine binäre Entscheidung a'la "X ist sicher, Y nicht.", security ist immer ein Kompromiss zwischen Abschottung von der Welt und noch mit dem System arbeiten können.
Sehe ich etwas anders. Für mich ist es die Entscheidung für eine bestimmte Strategie, die mir es erlaubt, mögliche Risiken besser abschätzen zu können. Z. B. kann ich mir eine Personal Firewall auf einer Win98 Kiste installieren oder Deinen etwas später beschriebenen Ansatz mit einem PaketFilter/Proxy. Sonst stimme ich Dir voll zu, ist keine (Ja|Nein) Entscheidung.
Weder SOCKS, noch ein Proxy machen das System sicherer!! Beide sind dazu da den Internet-Transfer über den Firewall/Gateway zu schleusen.
SOCKS bietet z. B. die Möglichkeit der Authentifizierung, des Blockens bestimmter Hosts... Allein das macht es sicherer, IMHO.
Wenn Du so normal denkst, wie Du es als Privatperson tun solltest, wirst Du
Was bedeutet normal denken?
einfach einen alten Rechner zum Gateway machen, X und gcc & Co. weglassen, squid drauflegen, per ipchains die schlimmsten Ports abfiltern (siehe IPChains- und Firewall-HOWTO) und ab und zu mal die Log-Dateien prüfen.
Ganz wichtig, alle nicht benötigten Dienste _abschalten_!
Wenn Du paranoid bist, wie es grosse Firen sein sollten: Bau Dir eine 1-Disketten-Maschine, die nix anderes als Gateway (Ethernet und ISDN-Treiber) und Firewall (IPChains) ist (Achtung: SuSE ist dafür ungeeignet, da es zu
Da Du eine grosse Fa. angesprochen hast, halte ich auch einen einfachen Paketfilter für nicht wünschenswert. Es kommt natürlich immer darauf an...
viele sehr seltsame Paket-Abhängigkeiten gibt). In der DMZ baust Du Dir den Proxy auf (nur Proxy, keine internen Daten!). Und schottest die DMZ nochmal durch einen 1-Disketten-Firewall (2x Ethernet) vom internen Netz ab.
Sonst wäre es ja keine DMZ, ;-)
Achja, und die Syslogs sollten nicht nur auf Dateien, sondern auch auf einen Drucker gehen (am besten einen alten Nadeldrucker, die neueren Geräte fangen ja leider erst an, wenn eine ganze Seite im Druckerspeicher liegt.
Gut, vielleicht reicht es ja auch, einen Rechner per seriellem I/F das Speichern der Logs zu überlassen.
Aber für richtig echte Security solltest Du die ISDN-Verbindung weglassen...
Ich denke mit ISDN-Verbindung meinst Du die ins Internet. ? Was, wenn Du aber Internet brauchst? Echte Sicherheit hast Du leider auch dann nicht, da Du dazu auch noch die Nutzer verbieten müsstest. Angeblich stammen ca. 80 % aller Angriffe von Innen.
Gruß,
Frank
P. S.: Ich bin zu faul mal bei NEC vorbei zu schauen, aber SOCKS ist IMHO keine M$ Erfindung.