Hallo Lug!
Ich habe fünf Netzwerkstücke: 1-Internet (Router, Firewall, VPN-Server) 2-Server (File/Datenbank/Mail/Web) darf zu allen Kontakt aufnehmen 3-Gruppe A: darf nur an den Server (Daus mit besonders wichtigen Anwendungen) 4-Gruppe B: darf nur an den Server und ins Internet (auch Daus) 5-Gruppe C: darf nur an den Server und ins Internet (Trojanerimporteure)
Die Gruppen können intern kommunizieren. Also brauche ich eine Kiste mit fünf Anschlüssen, die das alles verbindet und sich weigert, Pakete von 1<->3, 3<->4, 4<->5 und 3<->5 auszuliefern. Ein erweiterter Switch, oder? Gibt es so etwas oder gehe ich die Aufgabe falsch an? Zweck soll sein, daß dann nur noch der Server ein Sicherheitsproblem darstellt, da er mit Gruppe 3 zusammen den sicherheitsrelevantesten Teil bildet.
Thomas
am 11.03.2004, um 15:15:14 +0100 mailte Thomas Schmidt folgendes:
Hallo Lug!
Ich habe fünf Netzwerkstücke: 1-Internet (Router, Firewall, VPN-Server) 2-Server (File/Datenbank/Mail/Web) darf zu allen Kontakt aufnehmen 3-Gruppe A: darf nur an den Server (Daus mit besonders wichtigen Anwendungen) 4-Gruppe B: darf nur an den Server und ins Internet (auch Daus) 5-Gruppe C: darf nur an den Server und ins Internet (Trojanerimporteure)
Was ist Unterschied zwischen 4 und 5? Daus und Trojanerimporteure sind (für mich) dasselbe.
Die Gruppen können intern kommunizieren. Also brauche ich eine Kiste mit fünf Anschlüssen, die das alles verbindet und sich weigert, Pakete von 1<->3, 3<->4, 4<->5 und 3<->5 auszuliefern. Ein erweiterter Switch, oder? Gibt es so etwas oder gehe ich die Aufgabe falsch an? Zweck soll sein, daß dann nur noch der Server ein Sicherheitsproblem
Bietest Du Dienste im Internet an?
ja: Kiste mit 3 NICs, Internet, lokales netz, DMZ
nein, was ich eher vermute:
Kiste mit 2 NICs. Dadrauf iptables. Ins interne Netz die Server. Einen Rechner als Proxy (Squid). Mit dem kannst Du ACLs definieren, recht umfangreich. Keine Default-Route von den Clients nach draußen setzen.
Andreas
Hallo!
Am Donnerstag, 11. März 2004 15:37 schrieb Andreas Kretschmer:
am 11.03.2004, um 15:15:14 +0100 mailte Thomas Schmidt folgendes:
Ich habe fünf Netzwerkstücke: 1-Internet (Router, Firewall, VPN-Server) 2-Server (File/Datenbank/Mail/Web) darf zu allen Kontakt aufnehmen 3-Gruppe A: darf nur an den Server (Daus mit besonders wichtigen Anwendungen) 4-Gruppe B: darf nur an den Server und ins Internet (auch Daus) 5-Gruppe C: darf nur an den Server und ins Internet (Trojanerimporteure)
Was ist Unterschied zwischen 4 und 5? Daus und Trojanerimporteure sind (für mich) dasselbe.
Technisch keiner. Nur sollen die Daus vor den Trojanern geschützt werden, deshalb zwei Gruppen. Aber das muß nicht unbedingt sein.
Die Gruppen können intern kommunizieren. Also brauche ich eine Kiste mit fünf Anschlüssen, die das alles verbindet und sich weigert, Pakete von 1<->3, 3<->4, 4<->5 und 3<->5 auszuliefern. Ein erweiterter Switch, oder? Gibt es so etwas oder gehe ich die Aufgabe falsch an? Zweck soll sein, daß dann nur noch der Server ein Sicherheitsproblem
Bietest Du Dienste im Internet an?
Über VPN ja, über WWW eventuell. Von außen muß man auf den Server zugreifen können.
ja: Kiste mit 3 NICs, Internet, lokales netz, DMZ
Und was kommt zwischen DMZ und lokalem Netz? Der Server mit zwei Netzwerkkarten? Das würde gehen, dann wären also 4 und 5 in der DMZ, richtig?
Gibt es nicht eine fertige Kiste zu kaufen, die so etwas macht? Schließlich geht gar nichts mehr, wenn das ausfällt.
Thomas
am 11.03.2004, um 15:41:39 +0100 mailte Thomas Schmidt folgendes:
Bietest Du Dienste im Internet an?
Über VPN ja, über WWW eventuell. Von außen muß man auf den Server zugreifen können.
ja: Kiste mit 3 NICs, Internet, lokales netz, DMZ
Und was kommt zwischen DMZ und lokalem Netz?
Google mal nach DMZ und Firewall, es gibt massig Lesestoff dazu.
Andreas
Hallo Andreas!
Am Donnerstag, 11. März 2004 16:04 schrieb Andreas Kretschmer:
Und was kommt zwischen DMZ und lokalem Netz?
Google mal nach DMZ und Firewall, es gibt massig Lesestoff dazu.
Eine zweite Firewall brauche ich eigentlich nicht, weil ich ja gar keine Verbindung von ganz innen ins Internet haben möchte. Ich denke, am Besten ist ein Server mit zwei Netzwerkkarten. Da kommt jeder direkt dran und die Internetrechner haben direkte Verbindung zum Router.
Internet Trojanersammler Server Arbeitsplätze L_________I________I L_____I
Mal sehen, welche Distros eine Poet-Datenbank von sich aus anbieten, denn die brauche ich auf dem Server.
Vielen Dank! Thomas
Thomas Schmidt schrieb:
Hallo Andreas!
Am Donnerstag, 11. März 2004 16:04 schrieb Andreas Kretschmer:
Und was kommt zwischen DMZ und lokalem Netz?
Die Firewall.
Eine zweite Firewall brauche ich eigentlich nicht, weil ich ja gar keine Verbindung von ganz innen ins Internet haben möchte.
Brauchst Du auch nicht, es gibt auch einstufige Firewalls mit mehr als 2 Netzwerkkarten.
Ich denke, am Besten ist ein Server mit zwei Netzwerkkarten. Da kommt jeder direkt dran und die Internetrechner haben direkte Verbindung zum Router.
Der Router ist also extra. Ein Hardwarerouter? Übernimmt er die Firewallfunktion? Dann ist der Server die 2. Firewall.
Internet Trojanersammler Server Arbeitsplätze L_________I________I L_____I
Du willst also die Trojanersammler gleich opfern? ;-)
Wenn der Router ein PC ist, würde ich das so angehen:
Internet | | -------------- | Router | | Firewall | | VPN-Server |--- evtl. Server (DMZ) | (Server) | -------------- | | | | Gruppe A Gruppe B+C
Damit gibt es eine physische Trennung zwischen Rechnern mit und ohne Internetzugang. Der Server kann wahlweise direkt auf der Firewall liegen (All-in-one-Lösung), was allerdings ein erhöhtes Sicherheitsrisiko ist oder in einem eigenen Netzwerksegment (die sicherste Lösung) oder notfalls auch mit der Gruppe A, die kein besonderes Risiko darstellt zusammenliegen. Der Rest läßt sich mit Filterregeln auf der Firewall kontrollieren.
Außerdem noch einen Virenscanner im Mailserver, der das meiste Getier vor dem Zugriff der Jäger und Sammler schützt. *g*
Zusätzlich die Arbeitsplätze mit Virenscannern ausstatten und die Trojanersammler können ihrem Hobby auch nicht mehr unbeobachtet nachgehen. ;-) Mit den lokalen Virenscannern hab ich mehr Sicherheit, als nur mit der Firewall.
Ciao Rico
Hallo!
Am Freitag, 12. März 2004 01:09 schrieb Rico Koerner:
Der Router ist also extra. Ein Hardwarerouter?
Ja. So ein billiger Hardwarrouter von Netgear mit Firewall, WLan AP, VPN-Server, Weiterleitung von Anfragen an eine einstellbare Server-IP.
Ich meinte das so: Internet - Router Trojanersammler Server Arbeitsplätze L___________I________I L_____I
Dann ist der Server die 2. Firewall.
Ach so. Für mich war eine Firewall ein Filter und nicht ein kompletter Blocker. Aber wenn Du es so willst, wird der Server auch 2. Firewall.
Dann brauche ich nirgends besondere Filterregeln.
Du willst also die Trojanersammler gleich opfern? ;-)
Alle automatischen "Böslinge" sind nicht mein Bier, weil es nicht meine Rechner sind. Ein Hacker, der über diese Serverzugang bekommt, läßt sich allerdings sowieso AFAIK nicht durch Programme abwehren, sondern nur durch Mitdenken. Wenn ich das richtig sehe, müßte der ein Programm auf den Rechner schleusen und von da aus auf den Server. Das Programm kann höchstens per Mail kommen. Wie soll ich das als Netzwerkadmin verhindern? Besonders anfällig sind ja die externen Plätze, die über VPN kommen. Die haben auch vollen Serverzugriff.
Außerdem noch einen Virenscanner im Mailserver, der das meiste Getier vor dem Zugriff der Jäger und Sammler schützt. *g*
Wenn das Schutz vor Hackern bringen würde, würde ich es machen.
Mit den lokalen Virenscannern hab ich mehr Sicherheit, als nur mit der Firewall.
Gibt es ein System, daß der Server bemerkt, wenn ein Arbeitsplatz versucht, ihm einen Trojaner unterzuschieben? Das wäre eine gute zentrale Alarmfunktion.
Thomas
Thomas Schmidt schrieb:
Hallo!
Am Freitag, 12. März 2004 01:09 schrieb Rico Koerner:
Dann ist der Server die 2. Firewall.
Ach so. Für mich war eine Firewall ein Filter und nicht ein kompletter Blocker. Aber wenn Du es so willst, wird der Server auch 2. Firewall.
Das kann man sehen wie man will. Da dein Server 2 Netzwerke bedient, kann er komplett blocken, filtern oder als Proxy agieren. Wichtig an dieser Stelle ist ja die kontrollierte Trennung beider Segmente.
Dann brauche ich nirgends besondere Filterregeln.
Diese Filterregeln brauch dein Server schon zum Selbstschutz. Es entfallen dabei nur die Forward-Regeln.
Du willst also die Trojanersammler gleich opfern? ;-)
Alle automatischen "Böslinge" sind nicht mein Bier, weil es nicht meine Rechner sind. Ein Hacker, der über diese Serverzugang bekommt, läßt sich allerdings sowieso AFAIK nicht durch Programme abwehren, sondern nur durch Mitdenken.
Deshalb sind auch diese Rechner schützenswert. Solange ich diesem Rechner nicht trauen kann, kann ich ihn auch nicht ins Netzwerk lassen oder ich muß ihn beobachten.
Wenn ich das richtig sehe, müßte der ein Programm auf den Rechner schleusen und von da aus auf den Server. Das Programm kann höchstens per Mail kommen.
Oder auch per Browser. Das ist der 2. häufig genutzte Weg.
Wie soll ich das als Netzwerkadmin verhindern?
Wie gesagt: Virenscanner im Mailserver (amavis)
Besonders anfällig sind ja die externen Plätze, die über VPN kommen. Die haben auch vollen Serverzugriff.
Die Frage ist: Nur über VPN oder auch in freier Wildbahn? Wenn nur VPN, dann kannst Du über Proxy mit Virenscanner und Firewall. In freier Wildbahn: Dann muß auch der externe Platz möglichst gut gesichert werden. Auch hier wieder Virenscanner und evtl. lokale Firewall. Achso, und die Sicherheitspatches sollten auch dort nicht vergessen werden.
Außerdem noch einen Virenscanner im Mailserver, der das meiste Getier vor dem Zugriff der Jäger und Sammler schützt. *g*
Wenn das Schutz vor Hackern bringen würde, würde ich es machen.
Ich glaube, Du mußt dir erstmal über den Begriff Hacker Gedanken machen. ;-)
Es gibt nicht _DEN_ _EINEN_ Schutz, da es mehr als einen Weg gibt in den Rechner einzudringen.
Du mußt ganz einfach an mehreren Fronten kämpfen!
Dazu gehört auch die Aufklärung der User über Sicherheitsrisiken und deren Eigenverantwortung.
Gibt es ein System, daß der Server bemerkt, wenn ein Arbeitsplatz versucht, ihm einen Trojaner unterzuschieben? Das wäre eine gute zentrale Alarmfunktion.
On-Access-Virenscanner auf dem Server. z.B. http://www.antivir.de/produkte/server/server.htm#linux
Ciao Rico
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Rico Koerner -
Rico Koerner -
Thomas Schmidt