Hallo Leute,
ich wünsche euch allen ein frohes Weihnachtsfest, viele Geschenke und jede Menge Erholung.
Aber nun zu meiner Frage. Kann mir jemand erklären, wie ich einen Socks-Server unter Suse 7.0 installiere? Aber wenn es geht so einfach wie möglich, am besten schritt für schritt, ich bin nämlich immernoch ein blutiger Anfänger!
Mein Problem ist es nämlich, das ich kein FTP Programm auf meinem Win2000 Rechner nutzen kann, weil ich über den Linux Server raus gehe, und der keinen Socks Server installiert hat...
Ich danke schon jetzt einmal im Vorraus, und hoffe, das ich dieses mal alles richtig gemacht habe.
Danke schon mal im Voraus!
Lars ---- www.larsi.net
Hi,
Am Sonntag, dem 24. Dezember 2000 um 19:31:50, schrieb Lars Grossmann:
Mein Problem ist es naemlich, das ich kein FTP Programm auf meinem Win2000 Rechner nutzen kann, weil ich ueber den Linux Server raus gehe, und der keinen Socks Server installiert hat...
Wie du einen Socksserver installierst weiss ich auch nicht, wuerde dir aber einen proxy ala squid oder wwwoffle und Masquerading empfehlen. Hilft dir das weiter?
ich wuensche euch allen ein frohes Weihnachtsfest, viele Geschenke und jede Menge Erholung.
Hach jetzt fangen doch alle mit ihrem Weihnachtskram an. Ich habe noch nie eine so tote Neustadt gesehen wie am Heiligabend. Naja dann moechte ich doch einen weihnachtlichen Gruss senden:
Advent
Es blaut die Nacht, die Sternlein blinken, Schneefloecklein leis herniedersinken. Auf Edeltaennleins gruenem Wipfel haeuft sich ein kleiner weisser Zipfel. Und dort vom Fenster her durchbricht den dunklen Tann ein warmes Licht. Im Forsthaus kniet bei Kerzenschimmer die Foersterin im Herrenzimmer. In dieser wunderschoenen Nacht hat sie den Foerster umgebracht. Er war ihr bei des Heimes Pflege seit langer Zeit schon sehr im Wege. So kam sie mit sich ueberein: am Niklasabend muss es sein. Und als das Rehlein ging zur Ruh', das Haeslein tat die Augen zu, erlegte sie direkt von vorn den Gatten ueber Kimm und Korn. Vom Knall geweckt ruempft nur der Hase zwei-, drei-, viermal die Schnuppernase und ruhet weiter suess im Dunkeln, derweil die Sternlein traulich funkeln. Und in der guten Stube drinnen da laeuft des Foersters Blut von hinnen. Nun muss die Foersterin sich eilen, den Gatten sauber zu zerteilen. Schnell hat sie ihn bis auf die Knochen nach Waidmanns Sitte aufgebrochen. Voll Sorgfalt legt sie Glied auf Glied (was der Gemahl bisher vermied) -, behaelt ein Teil Filet zurueck als festtaegliches Bratenstueck und packt zum Schluss, es geht auf vier, die Reste in Geschenkpapier. Da toent's von fern wie Silberschellen, im Dorfe hoert man Hunde bellen. Wer ist's, der in so tiefer Nacht im Schnee noch seine Runde macht? Knecht Ruprecht kommt mit goldnem Schlitten auf einem Hirsch herangeritten! He, gute Frau, habt ihr noch Sachen, die armen Menschen Freude machen? Des Foersters Haus ist tiefverschneit, doch seine Frau steht schon bereit: Die sechs Pakete, heil'ger Mann, 's ist alles, was ich geben kann. Die Silberschellen klingen leise, Knecht Ruprecht macht sich auf die Reise. Im Foersterhaus die Kerze brennt, ein Sternlein blinkt - es ist Advent.
Loriot
Tschuess Torsten
Hi,
Wie du einen Socksserver installierst weiss ich auch nicht, wuerde dir aber einen proxy ala squid oder wwwoffle und Masquerading empfehlen. Hilft dir das weiter?
Ahm sorry, damit kann ich nix anfangen :-) Das sind alles Bohmische Dorfer fur mich, oder wie man das auch nennt :-) trotzdem danke,
cu
On Monday 25 December 2000 01:28, Lars Grossmann wrote:
Wie du einen Socksserver installierst weiss ich auch nicht, wuerde dir aber einen proxy ala squid oder wwwoffle und Masquerading empfehlen. Hilft dir das weiter?
Ahm sorry, damit kann ich nix anfangen :-) Das sind alles Bohmische Dorfer fur mich, oder wie man das auch nennt :-) trotzdem danke,
Serie n, Pakete squid und ipchains, dann lies das Masquerading-HOWTO (siehe /usr/share/doc/howto) und frag wieder nach, wenn Probleme auftauchen.
Konrad
Am Samstag, dem 30. Dezember 2000 um 09:25:09, schrieb Hilmar Preusse:
BTW. Ich habe gerade ein mehrfach-Reply mit mutt versucht, also antworten auf mehrere Mails gleichzeitig mit Quoten Selbiger. Die Vorstellung war; Taggen (t); ; (fuer apply auf tagged) und dann r. Er hat mich dreimal gefragt, ob an lug-dd@schli... geantwortet werden soll und hat mir dann die erste zu beantwortende Mail als Quoting eingebunden. Was macht ich flasch?
Das geht bei mir ohne Probleme, hier ein Beispiel mit tt;L
Am Montag, dem 25. Dezember 2000 um 11:24:58, schrieb Konrad Rosenbaum:
On Monday 25 December 2000 01:28, Lars Grossmann wrote:
Wie du einen Socksserver installierst weiss ich auch nicht, wuerde dir
...
Torsten
On 30.12.00 Torsten Werner (twerner@intercomm.de) wrote:
Am Samstag, dem 30. Dezember 2000 um 09:25:09, schrieb Hilmar Preusse:
Moin,
BTW. Ich habe gerade ein mehrfach-Reply mit mutt versucht, also antworten auf mehrere Mails gleichzeitig mit Quoten Selbiger. Die Vorstellung war; Taggen (t); ; (fuer apply auf tagged) und dann r. Er hat mich dreimal gefragt, ob an lug-dd@schli... geantwortet werden soll und hat mir dann die erste zu beantwortende Mail als Quoting eingebunden. Was macht ich flasch?
Das geht bei mir ohne Probleme, hier ein Beispiel mit tt;L
Ich habs eben nochmal versucht, es geht wunderbar, wenn in einer der Mails, auf die ich Reply'e kein Reply-To-Field gesetzt ist. Ein Versuch set reply_to auf yes zu setzen schlug fehl. Wo kann man noch suchen?
TIA, Hilmar
ich bin nämlich immernoch ein blutiger Anfänger!
das waren alle mal :-)
Win2000 Rechner
iiieeehhhhhhhh!
weil ich über den Linux Server raus gehe, und der keinen Socks Server installiert hat...
Installier' Dir doch nen richtigen Proxy (squid). Dann stellt Du in deinem FTP-Programm den Proxy ein (Tip: Nimm als Socket 8080). Wenn Du wirklich nen Socks-Proxy haben willst, musst Du Dir unter www.socks.nec.com die OpenSource-Variante von Socks5 runterladen ... aber Achtung: musst Du selbst kompilieren.
cu, Konrad
Hi Konrad,
danke für den Tip! Also von selber kompilieren hab ich auch schon gehört, wees aber überhaupt ni um was es da eigentlich geht... ausser das was das wort schon sagt, aber egal, das kommt später!
Also du meinst das dieses Squid einen Sock Server ersetzt? So lange ich dann all mein Zeugs wieder in Gang kriege wäre es suuuper! Nun ist nur noch die Frage der Installation und Konfiguration... (wie gesagt, blutiger anfänger) Also ich schätze mal mit Yast das Modul hinzufügen, und dann? Wäre super wenn du dazu noch ein paar Tips hättest! Also, danke schon mal im Vorraus,
Lars
P.S. Was hast du eigentlich gegen Windows 2000? (Ich meine ausser das es Windows heisst?)
P.P.S. Guten Rutsch ins neue Jahrtausend! :-)
-----Ursprüngliche Nachricht----- Von: lug-dd-admin@schlittermann.de [mailto:lug-dd-admin@schlittermann.de]Im Auftrag von Konrad Stopsack Gesendet: Samstag, 30. Dezember 2000 16:37 An: lug-dd@schlittermann.de Betreff: Re: [Lug-dd] Socks Server
ich bin nämlich immernoch ein blutiger Anfänger!
das waren alle mal :-)
Win2000 Rechner
iiieeehhhhhhhh!
weil ich über den Linux Server raus gehe, und der keinen Socks Server installiert hat...
Installier' Dir doch nen richtigen Proxy (squid). Dann stellt Du in deinem FTP-Programm den Proxy ein (Tip: Nimm als Socket 8080). Wenn Du wirklich nen Socks-Proxy haben willst, musst Du Dir unter www.socks.nec.com die OpenSource-Variante von Socks5 runterladen ... aber Achtung: musst Du selbst kompilieren.
cu, Konrad -- Konrad Stopsack - konrad@stopsack.de
_______________________________________________ Lug-dd maillist - Lug-dd@schlittermann.de http://mailman.schlittermann.de/mailman/listinfo/lug-dd
P.S. Was hast du eigentlich gegen Windows 2000? (Ich meine ausser das es Windows heisst?)
<meine meinung> Es ist (benimmt) sich auch so! </meine meinung> Wollte mich nicht einmischen :)
if (windows95 := BAD) and (windows98 := BAD) then windows2000 := atleastimprovement else windowssuckz
(Scheisse, Programmierung ist zu lange her :-) wollt mich nur mal zurück einmischen... hehe
guten Rutsch alle
Hallo Lars,
Du schriebst:
if (windows95 := BAD) and (windows98 := BAD) then windows2000 := atleastimprovement else windowssuckz
und
(Scheisse, Programmierung ist zu lange her :-) wollt mich nur mal zurück einmischen... hehe
Merkt man gar nicht :-) In einem conditional wird i.d.R. == oder != und manchmal = oder auch 'eq' verwendet. Was Du geschrieben hast, ist in Pascal eine Zuweisung: windows95 := BAD. Das kann fuer bestimmte Werte der Variablen BAD sogar Sinn ergeben :-)
Stefan
On Sat, Dec 30, 2000 at 07:27:19PM +0100, Lars Grossmann wrote:
P.S. Was hast du eigentlich gegen Windows 2000? (Ich meine ausser das es Windows heisst?)
<meine meinung> Es ist (benimmt) sich auch so! </meine meinung> Wollte mich nicht einmischen :)
if (windows95 := BAD) and (windows98 := BAD) then windows2000 := atleastimprovement else windowssuckz
(Scheisse, Programmierung ist zu lange her :-)
Wie wärs mit Nachholen :)? Korrektur: in Pascal
if ((windows95 = BAD) AND (windows98 = BAD)) then windows2000 := atleastimproved else windowssuckz;
in C
if ((windows95 == BAD) && (windows98 == BAD)) then windows2000 = atleastimproved; else windowssuckz;
guten Rutsch alle
<no comment>
On Sat, Dec 30, 2000 at 06:11:39PM +0100, Lars Grossmann wrote:
Hi Konrad,
danke für den Tip! Also von selber kompilieren hab ich auch schon gehört, wees aber überhaupt ni um was es da eigentlich geht... ausser das was das wort schon sagt, aber egal, das kommt später!
Mußt du auch nicht. Die Dokumentation, die mit den Quellen kommt, ist in der Regel mehr als ausreichend (v.a. die Dateien README und INSTALL)
Also du meinst das dieses Squid einen Sock Server ersetzt? So lange ich dann all mein Zeugs wieder in Gang kriege wäre es suuuper!
Nur mal so aus Interesse, was ist eigentlich ein socks-Server? Ein Proxy?
Nun ist nur noch die Frage der Installation und Konfiguration... (wie gesagt, blutiger anfänger) Also ich schätze mal mit Yast das Modul hinzufügen, und dann? Wäre super wenn du dazu noch ein paar Tips hättest! Also, danke schon mal im Vorraus,
Nix yast. Kurze Beschriebung, da du dich so ernsthaft bemühst :). Die Compilierung von Programmen wird in der Regel über Makefiles gemacht. Wenn dich gnu-make mehr interessiert, schau mal unter /usr/doc/packages/make oder so nach. Die Installation läuft durch Eingabe von 'make install' ab. Das startet dann eine Art Script, was dir alles kopiert (nach /usr/local/*). Die Konfiguration erfolgt dann evtl. per Hand, aber das ist dann auch gut dokumentiert (der riesengroße Vorteil von OS-Programmen).
Lars
Ulf
P.P.S. Guten Rutsch ins neue Jahrtausend! :-)
Ich wünsch mal nichts, damit hier nicht noch jemand ein schönes Neujahrsgedicht postet :).
PS: Nur so als Tip. In deinem Header steht u.a. folgendes (tja, Header sagen manchmal viel über die Netzwerkkonfiguration aus :)).
X-Authentication-Warning: linux.larsi.net: Host [192.168.2.2] claimed to be chef
On Sat, Dec 30, 2000 at 10:34:26PM +0100, Ulf Lorenz wrote:
On Sat, Dec 30, 2000 at 06:11:39PM +0100, Lars Grossmann wrote:
Also du meinst das dieses Squid einen Sock Server ersetzt? So lange ich dann all mein Zeugs wieder in Gang kriege wäre es suuuper!
Nur mal so aus Interesse, was ist eigentlich ein socks-Server? Ein Proxy?
Ist ein Proxy für IP-Adressen, den man einsetzt, wenn eine Firewall installiert ist, man aber einigen Programmen vollen Zugriff auf das Internet bieten will. (Beschreibung des deb-Packetes von sock4-server)
Gegenfrage: Kann man da nicht gleich Masquerading und eine sinnvolle Firewall verwenden?
Ciao, Tobias
On Sunday 31 December 2000 11:59, Tobias Koenig wrote:
On Sat, Dec 30, 2000 at 10:34:26PM +0100, Ulf Lorenz wrote:
On Sat, Dec 30, 2000 at 06:11:39PM +0100, Lars Grossmann wrote:
Also du meinst das dieses Squid einen Sock Server ersetzt? So lange ich dann all mein Zeugs wieder in Gang kriege wäre es suuuper!
Nur mal so aus Interesse, was ist eigentlich ein socks-Server? Ein Proxy?
Ist ein Proxy für IP-Adressen, den man einsetzt, wenn eine Firewall installiert ist, man aber einigen Programmen vollen Zugriff auf das Internet bieten will. (Beschreibung des deb-Packetes von sock4-server)
Gegenfrage: Kann man da nicht gleich Masquerading und eine sinnvolle Firewall verwenden?
Socks ist AFAIK eine Microsoft Erfindung. Glaubst Du wirklich die beherrschen einen "stateful filter" ohne ihr System wahnsinnig zu destabilisieren?
Nein, da ändern wir doch lieber die Applikationen...
Konrad
Ulf Lorenz (ulf.lorenz@sz-online.de) schrieb auf LUG-DD am Sam, 30 Dez, 2000; 22:34 +0100:
On Sat, Dec 30, 2000 at 06:11:39PM +0100, Lars Grossmann wrote:
Hi,
Nur mal so aus Interesse, was ist eigentlich ein socks-Server? Ein Proxy?
AFAIK: Der SOCKS *Server* kann direkt mit dem Internet und dem internen Netzwerk kommunizieren. Er kann aber nur TCP/IP, d. h. kein UDP. Man kann der Socke sagen, dass sie Verbindungen zu bestimmten Hosts verbieten soll, auch auf User-Ebene. Er kann auch Verbindungsanfragen von außen nach innen weiterleiten.
Der SOCKS Client wendet sich an den SOCKS Server, der in seiner Vertretung die Verbindung herstellt. Also ist es ein Proxy. Dazu bedarf es aber wohl eines speziellen SOCKS Clients, der Socket Funktionen ala connect(), bind(), listen()... ersetzt. Will der SOCKS Client eine Verbindung aufbauen, so erwartet der SOCKS Server u. a. den Usernamen der Person, die die Verbindung aufbauen will.
Nun ist nur noch die Frage der Installation und Konfiguration... (wie gesagt, blutiger anfänger) Also ich schätze mal mit Yast das Modul hinzufügen, und dann?
Lesen, verstehen, installieren, konfigurieren, testen, nutzen.
Zu Hause nehme ich übrigens wwwoffle mit einer Dial-Up Verbindung.
Ach und Vorsicht. Wirklich sicher ist weder wwwoffle noch squid.
Gruß,
Frank
On Sunday 31 December 2000 18:05, Frank Becker wrote:
Ach und Vorsicht. Wirklich sicher ist weder wwwoffle noch squid.
Also wirklich sicher sind Deine Daten erst, wenn Du sie geloescht, den Datenträger pulverisiert und gut durchgeschüttelt in einem grossen Betonblock eingegossen auf dem Meeresgrund versenkst.
Mal im Ernst: Security ist keine binäre Entscheidung a'la "X ist sicher, Y nicht.", security ist immer ein Kompromiss zwischen Abschottung von der Welt und noch mit dem System arbeiten können. Weder SOCKS, noch ein Proxy machen das System sicherer!! Beide sind dazu da den Internet-Transfer über den Firewall/Gateway zu schleusen.
Wenn Du so normal denkst, wie Du es als Privatperson tun solltest, wirst Du einfach einen alten Rechner zum Gateway machen, X und gcc & Co. weglassen, squid drauflegen, per ipchains die schlimmsten Ports abfiltern (siehe IPChains- und Firewall-HOWTO) und ab und zu mal die Log-Dateien prüfen.
Wenn Du paranoid bist, wie es grosse Firmen sein sollten: Bau Dir eine 1-Disketten-Maschine, die nix anderes als Gateway (Ethernet und ISDN-Treiber) und Firewall (IPChains) ist (Achtung: SuSE ist dafür ungeeignet, da es zu viele sehr seltsame Paket-Abhängigkeiten gibt). In der DMZ baust Du Dir den Proxy auf (nur Proxy, keine internen Daten!). Und schottest die DMZ nochmal durch einen 1-Disketten-Firewall (2x Ethernet) vom internen Netz ab.
Achja, und die Syslogs sollten nicht nur auf Dateien, sondern auch auf einen Drucker gehen (am besten einen alten Nadeldrucker, die neueren Geräte fangen ja leider erst an, wenn eine ganze Seite im Druckerspeicher liegt.
Aber für richtig echte Security solltest Du die ISDN-Verbindung weglassen...
Konrad
Konrad Rosenbaum (konrad.rosenbaum@gmx.net) schrieb auf LUG-DD am Mon, 01 Jan, 2001; 11:28 +0100:
On Sunday 31 December 2000 18:05, Frank Becker wrote:
Hi,
Ach und Vorsicht. Wirklich sicher ist weder wwwoffle noch squid.
Also wirklich sicher sind Deine Daten erst, wenn Du sie geloescht, den
[...]
eingegossen auf dem Meeresgrund versenkst.
Ich kenne Leute, die squid oder wwwoffle auf z. B. einem Linux-Kernel als sicheren Proxy auf Anwendungsebene halten. Solch ein Proxy sollte aber einen eigenen TCP/IP Stack haben. Sonst stimme ich Dir mit dem Meeresgrund zu.
Mal im Ernst: Security ist keine binäre Entscheidung a'la "X ist sicher, Y nicht.", security ist immer ein Kompromiss zwischen Abschottung von der Welt und noch mit dem System arbeiten können.
Sehe ich etwas anders. Für mich ist es die Entscheidung für eine bestimmte Strategie, die mir es erlaubt, mögliche Risiken besser abschätzen zu können. Z. B. kann ich mir eine Personal Firewall auf einer Win98 Kiste installieren oder Deinen etwas später beschriebenen Ansatz mit einem PaketFilter/Proxy. Sonst stimme ich Dir voll zu, ist keine (Ja|Nein) Entscheidung.
Weder SOCKS, noch ein Proxy machen das System sicherer!! Beide sind dazu da den Internet-Transfer über den Firewall/Gateway zu schleusen.
SOCKS bietet z. B. die Möglichkeit der Authentifizierung, des Blockens bestimmter Hosts... Allein das macht es sicherer, IMHO.
Wenn Du so normal denkst, wie Du es als Privatperson tun solltest, wirst Du
Was bedeutet normal denken?
einfach einen alten Rechner zum Gateway machen, X und gcc & Co. weglassen, squid drauflegen, per ipchains die schlimmsten Ports abfiltern (siehe IPChains- und Firewall-HOWTO) und ab und zu mal die Log-Dateien prüfen.
Ganz wichtig, alle nicht benötigten Dienste _abschalten_!
Wenn Du paranoid bist, wie es grosse Firen sein sollten: Bau Dir eine 1-Disketten-Maschine, die nix anderes als Gateway (Ethernet und ISDN-Treiber) und Firewall (IPChains) ist (Achtung: SuSE ist dafür ungeeignet, da es zu
Da Du eine grosse Fa. angesprochen hast, halte ich auch einen einfachen Paketfilter für nicht wünschenswert. Es kommt natürlich immer darauf an...
viele sehr seltsame Paket-Abhängigkeiten gibt). In der DMZ baust Du Dir den Proxy auf (nur Proxy, keine internen Daten!). Und schottest die DMZ nochmal durch einen 1-Disketten-Firewall (2x Ethernet) vom internen Netz ab.
Sonst wäre es ja keine DMZ, ;-)
Achja, und die Syslogs sollten nicht nur auf Dateien, sondern auch auf einen Drucker gehen (am besten einen alten Nadeldrucker, die neueren Geräte fangen ja leider erst an, wenn eine ganze Seite im Druckerspeicher liegt.
Gut, vielleicht reicht es ja auch, einen Rechner per seriellem I/F das Speichern der Logs zu überlassen.
Aber für richtig echte Security solltest Du die ISDN-Verbindung weglassen...
Ich denke mit ISDN-Verbindung meinst Du die ins Internet. ? Was, wenn Du aber Internet brauchst? Echte Sicherheit hast Du leider auch dann nicht, da Du dazu auch noch die Nutzer verbieten müsstest. Angeblich stammen ca. 80 % aller Angriffe von Innen.
Gruß,
Frank
P. S.: Ich bin zu faul mal bei NEC vorbei zu schauen, aber SOCKS ist IMHO keine M$ Erfindung.
On Monday 01 January 2001 18:18, Frank Becker wrote:
Konrad Rosenbaum (konrad.rosenbaum@gmx.net) schrieb auf LUG-DD
am Mon, 01 Jan, 2001; 11:28 +0100:
On Sunday 31 December 2000 18:05, Frank Becker wrote:
Hi,
Ach und Vorsicht. Wirklich sicher ist weder wwwoffle noch squid.
Also wirklich sicher sind Deine Daten erst, wenn Du sie geloescht, den
[...]
eingegossen auf dem Meeresgrund versenkst.
Ich kenne Leute, die squid oder wwwoffle auf z. B. einem Linux-Kernel als sicheren Proxy auf Anwendungsebene halten. Solch ein Proxy sollte aber einen eigenen TCP/IP Stack haben. Sonst stimme ich Dir mit dem Meeresgrund zu.
Das ist aus der Sicht eines Programmierers grosser Schrott: je mehr ein Programm selbst implementieren muss, umso mehr Fehler enthält es auch. Der TCP/IP Stack des Linux-Kernels ist (AFAIK) der am besten getestete IP-Stack weltweit - warum also etwas schlechteres selbst schreiben? Ausserdem ist es mit dem Stack alleine nicht getan, dann kommen noch die ganzen Filter- und Anti-Angriffs-Funktionen (IPChains, Syn-Flood-Protection, etc.).
Weder SOCKS, noch ein Proxy machen das System sicherer!! Beide sind dazu da den Internet-Transfer über den Firewall/Gateway zu schleusen.
SOCKS bietet z. B. die Möglichkeit der Authentifizierung, des Blockens bestimmter Hosts... Allein das macht es sicherer, IMHO.
Mit IPChains kannst Du auch die Hosts blocken. Und unsere Admins in Berlin haben glaub' ich einen Proxy (auf Linux), der vorher alle Nutzer authentifiziert (da es ansonsten ein Windoof-Netz ist: via auth_smb).
Wenn Du so normal denkst, wie Du es als Privatperson tun solltest, wirst Du
Was bedeutet normal denken?
Nicht so paranoid, wie man es sich als Security-Experte viel zu schnell angewöhnt...
einfach einen alten Rechner zum Gateway machen, X und gcc & Co. weglassen, squid drauflegen, per ipchains die schlimmsten Ports abfiltern (siehe IPChains- und Firewall-HOWTO) und ab und zu mal die Log-Dateien prüfen.
Ganz wichtig, alle nicht benötigten Dienste _abschalten_!
Die Programme gar nicht erst draufspielen, verschwenden eh' nur Speicherplatz.
Wenn Du paranoid bist, wie es grosse Firen sein sollten: Bau Dir eine 1-Disketten-Maschine, die nix anderes als Gateway (Ethernet und ISDN-Treiber) und Firewall (IPChains) ist (Achtung: SuSE ist dafür ungeeignet, da es zu
Da Du eine grosse Fa. angesprochen hast, halte ich auch einen einfachen Paketfilter für nicht wünschenswert. Es kommt natürlich immer darauf an...
Naja, IPTables soll schon einiges mehr an stateful-filtering mitbringen, was da sehr nützlich sein kann...
Achja, und die Syslogs sollten nicht nur auf Dateien, sondern auch auf einen Drucker gehen (am besten einen alten Nadeldrucker, die neueren Geräte fangen ja leider erst an, wenn eine ganze Seite im Druckerspeicher liegt.
Gut, vielleicht reicht es ja auch, einen Rechner per seriellem I/F das Speichern der Logs zu überlassen.
i.d.R. schon. Dann sollte das Dateisystem aber synchron gemountet sein und die Datei Appendonly usw. Also alles dafür tun, dass die Datei weder manipuliert noch gelöscht werden kann.
Ansonsten gilt: was einmal auf Papier ist kommt da so schnell nicht wieder runter...
Aber für richtig echte Security solltest Du die ISDN-Verbindung weglassen...
Ich denke mit ISDN-Verbindung meinst Du die ins Internet. ?
Ja.
Was, wenn Du aber Internet brauchst?
Dann bist Du automatisch nicht mehr sicher (nach aussen). Punkt.
Echte Sicherheit hast Du leider auch dann nicht, da Du dazu auch noch die Nutzer verbieten müsstest. Angeblich stammen ca. 80 % aller Angriffe von Innen.
Das ist dann eine Frage der Passworte und der internen security-Policy (Zugriffsrechte, Logs, Privilegien, etc.).
Konrad
Konrad Rosenbaum (konrad.rosenbaum@gmx.net) schrieb auf LUG-DD am Die, 02 Jan, 2001; 07:54 +0100:
On Monday 01 January 2001 18:18, Frank Becker wrote:
Konrad Rosenbaum (konrad.rosenbaum@gmx.net) schrieb auf LUG-DD
am Mon, 01 Jan, 2001; 11:28 +0100:
On Sunday 31 December 2000 18:05, Frank Becker wrote:
Hi,
Ach und Vorsicht. Wirklich sicher ist weder wwwoffle noch squid.
[...]
Ich kenne Leute, die squid oder wwwoffle auf z. B. einem Linux-Kernel als sicheren Proxy auf Anwendungsebene halten. Solch ein Proxy sollte aber einen eigenen TCP/IP Stack haben. Sonst stimme ich Dir mit dem Meeresgrund zu.
Das ist aus der Sicht eines Programmierers grosser Schrott: je mehr ein
Hier stimme ich nicht voll mit Dir überein. Für sehr viele Fälle ist das auch IMHO richtig. Wenn sich allerdings die Anforderungen an eine S/W ändern, so muss das nicht immer so sein. Bitte korrigier(e|t) mich, wenn folgendes völliger Quatsch ist:
Du hast also einen Linux 2.2.X Router mit z. B. squid aktiv. Jetzt Knipst jemand den squid durch einen DoS oder was auch immer aus. Frage: Was macht der Kernel? Routed er dann die IP Pakete (auch gespooft) nach (innen|außen) oder nicht?
[...]
Was bedeutet normal denken?
Nicht so paranoid, wie man es sich als Security-Experte viel zu schnell angewöhnt...
Das zieht natürlich weitere, bisher nicht festgelegte Definitionen nach sich... Aber ich glaube verstanden zu haben, was Du meinst. Meine Meinung hierzu ist etwas strikter.
[...]
Wenn Du paranoid bist, wie es grosse Firen sein sollten: Bau Dir eine
[...]
Da Du eine grosse Fa. angesprochen hast, halte ich auch einen einfachen Paketfilter für nicht wünschenswert. Es kommt natürlich immer darauf an...
Naja, IPTables soll schon einiges mehr an stateful-filtering mitbringen, was da sehr nützlich sein kann...
Schon Erfahrungen gesammelt, oder eine Quelle bekannt?
[...]
Was, wenn Du aber Internet brauchst?
Dann bist Du automatisch nicht mehr sicher (nach aussen). Punkt.
Wie schon eher mal geschrieben. Für mich zählt, dass ich die Risiken abschätzen kann.
[...]
stammen ca. 80 % aller Angriffe von Innen.
Das ist dann eine Frage der Passworte und der internen security-Policy (Zugriffsrechte, Logs, Privilegien, etc.).
Auch wenn das sehr simpel klingt, stimme ich Dir unter Beachtung des "etc." zu. Ausser vielleicht, ein Mitarbeiter hält sich nicht dran...
So und nun nochmal zum Ausgangspunkt dieses Threads:
Die SOCKS FAQ befindet sich unter: http://www.socks.nec.com/socksfaq.html
auch interessant: http://www.socks.nec.com/aboutsocks.html
Gruß,
Frank
On Tuesday 02 January 2001 15:12, Frank Becker wrote:
Konrad Rosenbaum (konrad.rosenbaum@gmx.net) schrieb auf LUG-DD
am Die, 02 Jan, 2001; 07:54 +0100:
On Monday 01 January 2001 18:18, Frank Becker wrote:
Ich kenne Leute, die squid oder wwwoffle auf z. B. einem Linux-Kernel als sicheren Proxy auf Anwendungsebene halten. Solch ein Proxy sollte aber einen eigenen TCP/IP Stack haben. Sonst stimme ich Dir mit dem Meeresgrund zu.
Das ist aus der Sicht eines Programmierers grosser Schrott: je mehr ein
Hier stimme ich nicht voll mit Dir überein. Für sehr viele Fälle ist das auch IMHO richtig. Wenn sich allerdings die Anforderungen an eine S/W ändern, so muss das nicht immer so sein. Bitte korrigier(e|t) mich, wenn folgendes völliger Quatsch ist:
Du hast also einen Linux 2.2.X Router mit z. B. squid aktiv. Jetzt Knipst jemand den squid durch einen DoS oder was auch immer aus.
Knippst ihn aus(1) oder läßt ihn für sich arbeiten(2)?
Frage: Was macht der Kernel? Routed er dann die IP Pakete (auch gespooft) nach (innen|außen) oder nicht?
(Ich habe das noch nicht in Gänze getestet, also ist das hier nur das Verhalten wie ich es bisher vom Linux-Kern kenne.)
(alle)gespoofte Pakete werden zum größten Teil sowieso schon herausgefiltert: über REJECT oder DENY Regeln bzw. "martian-detect", normalerweise gehört an den Anfang der input-queue (bei IPChains, bzw. alle 3 queues bei IP-Tables) für jede Netzwerkkarte eine Regel, die alle Pakete ausfiltert, die gar nicht von dieser Karte kommen können (Bsp. Pentacon-Gateway alice: DENY auf 198.168.0.0/16 via ippp0 und umgekehrt: ! 198.168.0.0/16 via eth0). Der Rest ist also eindeutig Internet oder eindeutig User (auch "bösartige").
(1)Die Pakete, die auf dem Proxy ankommen werden mit "Rst" (entspricht Regel REJECT) beantwortet, da auf dem Proxy-Port niemand mehr antwortet. Es kommen keine Verbindungen mehr zu stande. DoS war erfolgreich, aber das war es auch.
(2)Hier wird klar wozu man die 2. Firewall braucht: der Angreifer ist jetzt in der Lage die DMZ zu erforschen und weiter anzugreifen, ausserdem kann der den Proxy-Rechner komplett umkonfigurieren (vorrausgesetzt der Hack hat ihm genug Privilegien gebracht). Der größte Schaden, der angerichtet werden kann ist: er kann detaillierte Persönlichkeitsprofile der User erstellen, indem er die Logs auswertet. Wenn weitere Rechner in der DMZ stehen sind diese jetzt in Gefahr, da zwischen ihnen und dem Proxy keine weiteren Firewalls stehen (so z.B. i.A. der externe Webserver des Unternehmens).
Nachteil eines eigenen TCP/IP Stacks: der Proxy muss (teilweise) mit root-Rechten laufen in Fall 2 hat man also sofort das System unter Kontrolle. Ohne eigenen Stack kann der Proxy nach der Initialisierung (falls ein Port < 1024 gebraucht wird, sonst sofort) auf einen normalen User umschalten.
Da Du eine grosse Fa. angesprochen hast, halte ich auch einen einfachen Paketfilter für nicht wünschenswert. Es kommt natürlich immer darauf an...
Naja, IPTables soll schon einiges mehr an stateful-filtering mitbringen, was da sehr nützlich sein kann...
Schon Erfahrungen gesammelt, oder eine Quelle bekannt?
Es gibt da einiges an Doku dazu. Mal sehen, wann ich Zeit habe.
stammen ca. 80 % aller Angriffe von Innen.
Das ist dann eine Frage der Passworte und der internen security-Policy (Zugriffsrechte, Logs, Privilegien, etc.).
Auch wenn das sehr simpel klingt, stimme ich Dir unter Beachtung des "etc." zu. Ausser vielleicht, ein Mitarbeiter hält sich nicht dran...
Moment mal: Policy wird nicht mit "ein Stapel Zettel, die man zum Monitor aufbocken nimmt" übersetzt (das sind Org-Anweisungen). Eine Policy ist u.a. ein technischer und/oder organisatorischer Schutz, der (für normale User) nur schwer überwunden werden kann. Z.B. Zugriffsrechte: man muss schon das interne Netz cracken um diese Rechte zu überwinden (ich glaube CODA lößt dieses Problem - kennt sich da jemand aus?). Oder sichere Passworte: Prüfung bei der Eingabe, indem man in den PAM-Einstellungen von passwd cracklib einklinkt. Usw. Eventuell wird auch noch ein zusätzlicher Firewall vor jedes System geschaltet, dass von einer Forschungsgruppe genutzt wird (damit nur die Projektdaten sehen können, die das auch dürfen, selbst wenn sie cracken).
Konrad
Frank Becker (fb@alien8.de) schrieb auf LUG-DD am Die, 02 Jan, 2001; 15:12 +0100:
Hi,
Auf de.comp.security.firewall gibt es momentan einen Thread zu SOCKS mit dem Thema: Socks-Proxy mit Linux
Auszug: -------------------- Schnipp ------------------------------------
Mich interessieren die Socks5-Proxies ... Wo kann ich die herbekommen (freeware ?) und wo könnte ich eine Anleitung fin
http://www.socks.nec.com/ http://207.178.22.52/lj-issues/issue44/2408.html http://dcfonline.sfu.ca/ying/linux/socks5/index.html
und
Die Mutter der Socks Server: http://www.socks.nec.com/ usocksd von Olaf: http://sites.inka.de/bigred/sw/ Dante: http://www.inet.no/dante/ socksd: http://sourceforge.net/projects/socksd/ das ganze in java: http://www.wiw.org/~drz/software.html -------------------- Schnapp ------------------------------------
Gruß,
Frank
On Saturday 30 December 2000 18:11, Lars Grossmann wrote:
P.S. Was hast du eigentlich gegen Windows 2000? (Ich meine ausser das es Windows heisst?)
Ich war zwar nicht gemeint, aber: schonmal versucht professionell damit zu arbeiten? Sprich z.B. komplexe Abläufe zu automatisieren. Linux/Unix: Shell Script, Tcl/Tk, Perl, etc. pp.; Windoof: Scripting Host alias VB - im Vergleich mit anderen Sprachen ist VB wirklich Horror! Oder auch nur eine vernünftige Netzwerkkonfiguration... Oder auch nur das systematische Durchsuchen und modifizieren von ein paar dutzend (bis tausend) Dateien, kein Problem mit bash, find, sed und Co. Eine Lebensaufgabe mit Windows-Utilities!
Und da mag der W2K Kernel noch so fein aufgebohrt sein, die Utilities noch so schön einfach und intuitiv sein (*)... aber wenn es um Features tief im System, um Programmierung in grossen Projekten (+) oder "Massenabfertigung" von Dateien geht, da geht nix über eine gut funktionierende Shell! Und die hat auch W2K noch nicht(#).
(*)auch ich nutze lieber die KDE-Utils als die Shell, um meine Texte zu bearbeiten (+)dafür ist VC-Studio vollkommen ungeeignet! Und PVCS macht laut meinen Berliner Kollegen mehr Probleme, als es löst. (Stichwort: File-Locks, exklusiver Checkout) (#)Ja, Cygwin scheint die größten Probleme zu lösen, aber es ist immer noch kein vollwertiges POSIX-System...
Konrad
PS.: schonmal versucht remote an einem W2K zu arbeiten (z.B. mit winvnc)? Zitat meines Kollegen: "Konrad, warum lese ich auf meinem Bildschirm Deine eMails?"
PS.: schonmal versucht remote an einem W2K zu arbeiten (z.B. mit winvnc)? Zitat meines Kollegen: "Konrad, warum lese ich auf meinem Bildschirm Deine eMails?"
Huhu, hab ich gerade in sonem Bildzeitungs-Niveau-PC-Magazin gelesen: Echte Neuerung - Windows Whistler mit Remote-Login!
cu, Konrad
PS: Ich hab das PCM schon abbestellt, krieg aber noch 3 Ausgaben
PS: Ich hab das PCM schon abbestellt, krieg aber noch 3 Ausgaben
Das hab ich schon vor nem Jahr gekündigt. Ist Geldverschwendung.
Gruß Tilo
-- Tilo Wetzel, Dresden http://www.elline.de LINUX - Fuer das Leben nach dem Absturz.
Also von selber kompilieren hab ich auch schon gehört, wees aber überhaupt ni um was es da eigentlich geht... ausser das was das wort schon sagt, aber egal, das kommt später!
Steht alles schön in der README des Paketes.
Also du meinst das dieses Squid einen Sock Server ersetzt? So lange ich dann all mein Zeugs wieder in Gang kriege wäre es suuuper!
Nein, das möchte ich nicht behaupten: Squid kann HTTP- und FTP-Anfragen handeln. Für alles andere mußt Du einen Socks-Server oder gleich Masquerading nehmen. In einer der letzten c't's war was drin in Sachen Linux-Router (zwar für DSL, aber das spielt ja keine Rolle) - gleich mit Firewall-Beispiel.
Nun ist nur noch die Frage der Installation und Konfiguration... (wie gesagt, blutiger anfänger) Also ich schätze mal mit Yast das Modul hinzufügen, und dann?
Installier' das Paket (n/squid), und guck nach, ob in /etc/rc.config START_SQUID auf "yes" steht. Dann stell' in der /etc/squid.conf HttpPort auf 8080 (das übliche). Dann kannst Du Squid über "rcsquid start" laden (und bei jedem Systemstart automatisch). Ich kann Dir auch mal von unsrem Server in der Schule die squid.conf schicken.
P.S. Was hast du eigentlich gegen Windows 2000? (Ich meine ausser das es Windows heisst?)
ALLES! (Paß auf, daß Du nicht hier aus der Liste geschmißen wirst...)
PS: Die ursprüngliche Mail brauchst Du nicht immer mitschicken - die haben eh' alle.
cu, Konrad
On Thu, Jan 04, 2001 at 05:16:12PM +0100, Konrad Stopsack wrote:
P.S. Was hast du eigentlich gegen Windows 2000? (Ich meine ausser das es Windows heisst?)
ALLES! (Paß auf, daß Du nicht hier aus der Liste geschmißen wirst...)
Also komm, so fanatisch sind wir hier nun auch wieder nicht.
Konrad
Ulf
lug-dd@mailman.schlittermann.de
-
Frank Becker -
Hilmar Preusse -
Konrad Rosenbaum -
Konrad Stopsack -
Lars Grossmann -
Sebastian Roth -
Stefan Lagotzki -
Tilo Wetzel -
Tobias Koenig -
Torsten Werner -
Ulf Lorenz