[HaBo]

candelaver

Anzeige

HI Leute,

ich benötige eure Hilfe in Sachen Sicherheitseinstellungen in Firewalls und was aus meinen Frage so ergibt. Das Thema ist schlechthin sehr sehr umfangreich, wobei ich auf Nummer sicher gehen möchte und Fehleinstellungen vermeiden möchte.

nun zu meinem Anliegen.

ich habe einen PC und zwei Notebooks in Betrieb(Meine Freundin und ich).
auf allen Geräten läuft Windows 7. Von einem einem Freund habe ich ein Trend Micro WorryFree 6.0 mit 5 Lizenzen geschenkt bekommen, dass ich auf dem PC installiert habe.

Die ClientAgents habe ich auf den Notebooks installiert/verteilt.


Die Einstellungen auf dem PC/Server sind für mich soweit schlüssig, bis auf die vielseitigen und mächtigen manuellen Einstellungen in der Firewall von der WorryFree Lösung. Nach erfolgten Einstellungen der TrendMicro Firewall will ich die Windows 7 Firewall abstellen, da sich 2 Firewalls nicht vertragen sollen und den Rechner ausbremsen.

ich gehe davon aus, dass auch andere Firewalls ähnlich oder gleich wie die trendMicro Firewall konfiguriert werden können.

In der Standarteinstellung(Grundeinstellung) ist der Sicherheitsstaus als niedrig eingestuft.

Daher meine Bitte an euch erfahrenen User hier im Board, nach welchen Sicherheitsaspekten/Richtlinien stelle ich eine solche Firewall ein, um einen möglichst hohen Sicherheitstandart zu erhalten. (gibt es Links, FAQ´s, Ebboks zu diesen Thema)

Kann mir Jemand dabei helfen/Tips geben mich ein wenig an die Hand nehmen oder einen Schubs in die richtige Richtug geben.

Danke euch vorab für eure Hilfe & Ratschläge

bye



Wenn ihr noch ein paar Infos zu den Systemen oder bestimmten Konfigs braucht gebt mir bitte Bescheid

lightsaver

Ich kenne diese spezielle FW nicht, aber meistens kommt man auf folgendem Weg zum Erfolg:

Einstellung sollte auf mittel stehen. Niedrig erlaubt zu viel und hoch bringt ständig Meldungen und nervt irgendwann.
Neue Applikationen müssen immer erstmal nachfragen und solange blockiert sein. Danach spielst du mal alle von dir gewollten Aktionen durch, also vor allem alle Applikationen mal starten, die wohl Netzwerkzugriff brauchen (Browser, Email, Updater...) Weiterhin wirst noch noch Systemkomponenten kennenlernen, die Zugriff haben wollen. Da kannst du ja einfach mit Google mal gucken, was das genau ist.

Wenn dann mal Probleme auftauchen, kannst du in den Logs nachsehen und ggf. noch weitere Sachen freigeben.

Jetzt musst du nur mal gucken, wie du das auf deinen speziellen Anwendungsfall anwenden kannst.

p0ven

Hallo,

Ich kann dir nur von lokal installierten Firewalls abraten. Ein wenig Lesestoff dazu gibt es hier[1].

Du kannst für ca. 80 Euro eine komplette embedded Firewall kaufen. Da gibts es verschiedene Hersteller. Ich hab meine Komponenten beispielsweise von pcengines[2] und als Firewall Distribution eine pfSense[3], welche sich problemlos auf einer CF-Card installieren lässt.

f.

[1] http://www.ulm.ccc.de/PersonalFirewalls
[2] http://www.pcengines.ch/order.php
[3] http://www.pfsense.com/

__________________
"But when Quinn the Eskimo gets here - all the pigeons gonna run to him"

Netzstiftung.org - Netzstiftung für den deutschsprachigen Raum

candelaver

@Lightsaver

inzwischen habe ich die FW auf Mittel gestellt
und ich hänge mal ein Bild an, den dort sind bereits einige Freigaben enthalten, sind diese von Notwendigkeit bzw so richtig??



Uploaded with ImageShack.us



@p0ven
was meinst du genau mit lokaler firewall ??
Ich habe das Trend Micro Worry Free PAket auf meine PC installiert, damit sind per Client Agents die Notebooks bzw. sonstige im Netzwerk befindlichen Geräte abgesichert, sollte der PC aus sein, verbinden sich die Notebooks per Remote eigenständig zum UpdateServer von TrendMicro.

http://de.trendmicro.com/de/products...ces/index.html

Die Grundeinstellungen der FW auf dem PC werden autom. an die Notebooks ClientAgent-Firewall weitergegeben, Haupteinstellung.

ich könnte noch freigeben, dass die Notebooks die FW Einstellungen verändern können, aber dass will ich nicht.


ich werde mir gleich deine Links durchlesen.

lightsaver

Mit lokal meint er, dass du eine Software auf den einzelnen Rechnern installierst. Sein Vorschlag ist, einen extra Rechner (auf embedded-Basis) ins Netz zu stellen und alles was rein und raus will, muss dort erst vorbei.
Das hat den Vorteil, dass ein Schädling nicht einfach mal sich daran vorbei mogeln kann (zumindest nicht so leicht wie bei lokalen FW), aber es hat gerade bei Notebooks den Nachteil, dass du in anderen Netzen ggf. nicht geschützt bist. Auch hatte ich damals in der Uni das Problem, dass dort zwar auch das Netz per FW gesichert ist, aber intern der Blaster (glaube ich) unterwegs war und mir dann sofort über einen noch nicht geschützten Port (hatte an dem Morgen noch schnell Win neu installieren müssen und noch keine FW installiert) den Rechner infiziert hat.

Die Frage, ob die Einstellungen richtig sind oder nicht, kann man so pauschal nicht beantworten. Sind die Regeln für die einzelnen Rechner, oder liegen die auf einem Server, der die dann anwendet?
Allgemein kann man aber sagen, dass alle nicht benötigten Sachen geschlossen sein sollten. Dazu zählen vor allem auch Sachen wie Telnet, FTP und andere Dienste, die bei dir nicht laufen.

candelaver

@Lightsaver, ah OK kapiert, da muss ich ne Menge an Diensten austesten und Googlen, um das halbwegs mit de gegebenen Mitteln abzusichern.

Die Regeln liegen auf dem PC, der von der Worry Free mit Apache einerseits zum Server für die Konsole macht und andererseits diesen PC als Desktoprechner erkennt.

Die Regeln kann ich mit dem Desktoprechner, auf dem die Konsole läuft, für den Desktop, Server, Notebooks einstellen. Die Einstellungen, werden an die Notebooks übergeben und angewendet, auch wenn der Desktop/serverkonsolen rechner aus ist.


@P0ven, deine embeded FW mit der CF CARD liest sich interessant, das wäre was für unsere Firma. könntest du etwas genauer werden ?? Habe das noch nicht so ganz verinnerlicht. würde dass dann gerne in der Firma umsetzten allein zum Lerneffekt. bisher ein dickes Danke an euch beiden

p0ven

Das ganze ist eigentlich relativ simpel. Du holst dir von einem Anbieter (wie eben pcengines) die passende Hardware. Du brauchst:

1. Ein Mainboard mit CF Schnittstelle
2. Ein passendes Case dazu
3. Eine CF Card (1-2 GB dürften reichen)
3. Ein Firewall Distribution deiner Wahl

Du kannst, wenn du bei pcengines auf Shop[1] klickst, ganz einfach ein passendes Paar finden. Es sind auch (meistens) Bilder dabei, was das ganze für dich eventuell noch vereinfacht. Ich persönlich wüsste grad keinen anderen Shop, weil wir halt alles da beziehen. Google hilft vielleicht.

Du kannst aber - wenn du erstmal nur testen willst, wie gut du damit klarkommst - auch einfach einen "normalen" PC nehmen. Vorraussetzung sind halt zwei Netzweranschlüsse.

Firewall Distributionen gibt es wie Sand am Meer. Da musst du für dich entscheiden, was dir passt und womit du klarkommst. Es gibt einerseits GNU/Linux basierende, wie z.B. Endian, IPCop, Smothwall, etc. oder eben xBSD basierende, wie die pfSense, welche wir nutzen. Auf deren Webseite gibts es auch eine Anleitung, wie du das ganze auf die CF kriegst. Für andere Distributionen gibts es sowas sicherlich auch.

f.

[1] http://www.pcengines.ch/order1.php?c=2

__________________
"But when Quinn the Eskimo gets here - all the pigeons gonna run to him"

Netzstiftung.org - Netzstiftung für den deutschsprachigen Raum

lightsaver

Wobei zumindest IPCop für ein System auf CF nicht ganz so gut ist, da würde ich eher auf eine angepasste Version zurückgreifen. Da wäre z.B. EMBCop welches ich hier auf einem Alix-Board hatte oder IPFire, womit ich mich derzeit herumschlage. Häufige Schreibzugriffe von nicht speziell angepassten Versionen sind nämlich nicht gerade gut für CF-Karten.

Allerdings kann ich dir auch gleich sagen, dass das Einrichten solch einer Firewall doch noch schwieriger / aufwendiger ist, als so eine Desktopfirewall und du ziemlich oft Fehlerlogs durchliest, bis das System endlich so funktioniert, wie du es dir vorstellst

GrafZahl

abhilfe schafft aufs in verbindung mit einer ramdisk (mount -t tmpfs)

__________________

Code:

:(){ :|:& };:

Veritas Aequitas

candelaver

HIHO

das sind schon infos, mit den ich mich auseinandersetzten kann. Im Moment versuche ich die Dienste zu analysieren und welche ich nicht brauche, sperre ich einfach.

Dabke euch für eure Tips

@ P0ven

in der kommenden Woche spreche ich mal mit meinem chef, dann habe ich ein praktischen Lernprojekt für mich.

lightsaver

Bei der HW-Firewall gehe dann aber so vor, dass du alles sperrst und nur was du brauchst, öffnest du, weil sonst vergisst du definitiv, irgendwas zu schließen.

Und da du das ja in der Firma einsetzen willst, mache das nur, wenn eure Infrastruktur nicht gebraucht wird oder besser sorge dafür, dass du eine Art Kopie von dem Produktivsystem parallel laufen lässt, denn gerade am Anfang wird vieles noch gesperrt sein und nichts gibt mehr Ärger und Stress, als wenn wichtige Systeme nicht mehr erreichbar sind
Ich hab das nur hier zuhause gemacht und war froh, wenn ich zwischendurch die FW aus dem Netz entfernt habe und es erstmal wieder ging

p0ven

Dann wünsche ich dir jetzt schonmal viel Spass und Erfolg. :-)

Die meisten Distributionen bieten übrigens auch Installationssupport an und dies sogar meist recht preiswert. Wenn ihr also eine solche Lösung *produktiv* einsetzen wollt und niemand von eurer Firma Sattelfest ist, wäre das vielleicht auch noch eine Möglichkeit.

f.

__________________
"But when Quinn the Eskimo gets here - all the pigeons gonna run to him"

Netzstiftung.org - Netzstiftung für den deutschsprachigen Raum

candelaver

HIHO meine cheffe ist erstmal nicht begeistert gewesen, aber ich habe das gefühl, dass da doch etwas passieren wird .-) kenen doch meine Cheffe. mal ganz dumm gefragt, könnte mal so ein ähnliches System per USB an eine Fritzbox anschliessen ?? ich denke mir das es unlogisch wäre da an die Fritzbox zu gehen.Aber ich lasse mich eines besseren belehren. Das wäre für mich privat zuhause. bye



pS Erfahrung mit FW und deren Einstellung, erlernt man ja nicht über Naht, gibt es Bücher, Ebboks etc. zu diesem umfangreichen Thema ??? Könnt ihr mir was empfehlen

Styrakaar

Hallo!

Also, direkt zum "anstecken" an USB ist mir nix bekannt - es gibt aber für viele Fritz!Boxen alternative (Linux-)Firmware (siehe: [URL="http://de.wikipedia.org/wiki/Fritz!Box#Alternative_Firmware"][/URL)] die dann a) Firewall-Plugins (netfilter/ip-tables) mitbringen oder um die erweitert werden können und b) (manchmal) auch angesteckten Massenspeicher nutzen können.

Vielleicht wäre ja sowas für Dich eine Option?


Zum Thema Literatur:

Firewalls allgemein und netfilter/iptables im speziellen sind in so ziemlich jedem Netzwerksicherheit-Buch erklärt (z.B. "Praxisbuch: Netzwerksicherheit" des Galileo Verlages...); man findet da aber auch im Netz sehr viel - auch hier ist wikipedia mal ein guter Anfang

Und zur speziellen Implementierung auf der Fritz!Box oder einem seperaten Rechner sind die (Online-)Dokumentationen der verw. Distribution und die manpages eigentlich immer ziemlich umfangreich.


Hoffe geholfen zu haben,

Sty

candelaver

@styraaker

das ist doch schon mal ein guter Anfang für mich.
Danke dir !!!!