sichere firewall

S

soox

0
bin heute auf nen link zu folgender seite gestossen: http://www.openlysecure.org/openbsd/how-to/invisible_firewall.html

hier wird beschreiben wie man eine firewall ohne ip installiert...somit ist sie remotemässig nicht ansprechbar (das heisst auch für angreiffer).
dies heisst jedoch nicht, dass das ding jetzt sicher ist, denn es gibt in den regeln immer wieder mal sicherhietslöcher mit der man die firewall UMGEHEN kann...dies sind jedoch konfigurationsfehler und können überall entstehen...
 
taugt nix

so wie ich das sehe ist das blos eine hardware-firewall mit einem integrierten paket-filter. absolut billig das teil.
kann man nur als einfachere sicherheitslösung für ein netz ansehen. eine application gateway wäre hier viel wirkungsvollerer.
 
wenn ich mich richtig erinnere hast du bei aplication gateway keinen direckten zugriff. stimmt das? wenn ja, wie willst du dann nen server mit so nem ding schützen??
 
nun eigentlich steht eine "application gateway" in einer DMZ (auch 'screened subnet' genannt), umgeben von 2 paket filtern, welche die DMZ vom internen und externen netz abgrenzen (kann man noch unterscheiden in dual & single homed A.G,).

das externe netz ist in diesem fall das internet, das interne netz das eigene LAN (wo auch der eigene server steht).

je nach aufwand wird für jeden verbindungstyp (ftp,http,telnet...) ein eigener proxy auf dem A.G. installiert über diesen dann die datenkommunikation läuft.

will ein angreifer von außen nun kontakt zum server haben, so muss er erst den externen paket filter ausschalten, dann die application gateway (viel spass mit NAT !) und danach den internen paket filter.

bildlich sieht das so aus:

LAN<->InternerFilter<->DMZ<->ExternerFilter<->Internet

die von dir angegebene hardware-firewall könnte ein netz nur mit einem paket-filter schützen. das sähe dann so aus:

LAN<->HardwareFirewall<->Internet

da die ganze kommunikation über die HF läuft, sprichst du aus dem internet als böser h4x0r folglich nur die HF an weshalb also das eigene LAN sozusagen "unsichtbar" ist (so wie es die werbebotschaft verkünden will).
 
wir reden aneinander vorbei....ich will gar nicht ein internes netz haben, da ist mir schon klar, dass man nicht nur nen packet filter benutzt. ich will nur was mit dem ich meine server ein bischen schützen (-->dmz einrichten) kann und das funzt halt nicht mit einem aplication gw....
aber sowol ein packet filter als auch ein aplication gw sind firewalls.

so nebenbei...das ist keine hardware firewall sondern die software (openbsd) firewall und die hat einiges mehr drauf als meine hw firewall hinter meinem tisch (cisco pix)
 
ich will nur was mit dem ich meine server ein bischen schützen
Zum Vergrößern anklicken....

ob jetzt ein LAN oder nur dein eigener PC hinter einer application gateway oder dem paket filter hängt ist völlig irrelevant.
wenn du nur deinen PC schützen willst, dann langt dieses produkt vollkommen aus.


aber sowol ein packet filter als auch ein aplication gw sind firewalls
Zum Vergrößern anklicken....

nicht ganz, es sind firewall-elemente welche in das kommunikations-system (netzwerksoftware, OS...) eingebunden werden. diese müssen noch mit einer vielzahl anderer elemente kooperieren (z.b. dem sicherheitsmanagement).


so nebenbei...das ist keine hardware firewall sondern die software (openbsd) firewall
Zum Vergrößern anklicken....

ist ja noch schlimmer! :D


als meine hw firewall hinter meinem tisch
Zum Vergrößern anklicken....
sag das nicht, die meisten non-hardware firewalls werden anhand von betriebssystem bugs ausgehebelt (z.b. anhand von "ip forwarding").
wenn ich den richtigen auszug von cisco kopiert habe, dann ist die "pix" doch recht gut.


  • PIX Firewalls provide a wide range of security and networking services including Network Address Translation (NAT), Port Address Translation (PAT), content filtering (Java/ActiveX), URL filtering, AAA (RADIUS/TACACS+) integration, support for leading X.509 PKI solutions, DHCP client/server, PPPoE support (coming in Q1 2002) and much more
 
wenn ich den richtigen auszug von cisco kopiert habe, dann ist die "pix" doch recht gut
Zum Vergrößern anklicken....

Mein Lieber Tec,

sogern ich doch deinen Ausführungen lausche, bist nicht du es immer, der vor falschen Versprechungen seitens der Hersteller warnt? :]

Gruß

Moe
 
@tec: ich will einfach ein paar server schützen....und ich weiss nicht wie du das mittels aplication gw machen willst...

zur pix: das java accitve-x sowie das url filtering kannst du gerade so gut mit einem schlauen proxy (nur dieses nette feature brauch ich für meine server nicht --> überflüssig). bezüglich dem aaa zeugs muss ich dir sagen, dass das jemand der ein paar server hat nicht braucht (ist aber auch ohne weiteres möglich)! pppoE haben die wenigsten welche eine offiziellen server haben?? dns client/server: ein richtiger server hat statische adressen. was das "X.509 PKI" zeugs ist kann ich dir leider nicht sage, jedoch hab ich schon gehöhrt, dass die pix bei bestimmpten ip packeten nicht mehr so genau filtert....
 
@moe
da haste recht! :D

@soox
du willst einfach ein paar server schützen? ok, dann gib mal ein paar infos wie diese server ans internet eingebunden sind. sind die z.b. in einem LAN organisiert oder hat jeder seine eigene anbindung?
 
also...internetanbindung --> firewall --> switch --> server

dienste: mail/http(s)/ftp/cvs (ev noch 2-3 sachen mehr die mir momentan nicht einfallen) diese sind dann auf mehrere maschienen verteilt...
 
ich hab hier mal 2 nachteile von paket-filtern aufgelistet:

-daten die oberhalb der transportebene sind, werden in der regel nicht analysiert
-für die anwendungen (ftp, http...) besteht keine sicherheit, z.b. können bei der freischaltung von SMTP angriffe über sendmail auf den server durchgeführt werden

wenn du also daran interessiert bist deine server nur mit einem paket-filter zu schützen, dann must du sehr gute filter-regeln implementieren um die oben genannten schwachstellen auszumerzen.
hierbei könnte dir das NAT welche deine cisco pix beherrscht noch zuhilfe kommen.

das jeder server einen eigenen dienst hat ist schon mal ein vorteil. so wird beim falle einer attacke zumindest nicht gleich das ganze system betroffen.

für mehrere server empfehle ich für einen richtigen schutz eine DMZ.
 
Original von Tec
ich hab hier mal 2 nachteile von paket-filtern aufgelistet:

-daten die oberhalb der transportebene sind, werden in der regel nicht analysiert
-für die anwendungen (ftp, http...) besteht keine sicherheit, z.b. können bei der freischaltung von SMTP angriffe über sendmail auf den server durchgeführt werden
Zum Vergrößern anklicken....
zum ersten punkt: warum sollte die bei einem schlau konfigurierten server nötig sein?
zum 2ten punkt: siehe punkt 1 (nebenbei: benutze kein sendmail da horror zum konfigurieren)

kannst du mir mal erklähren wie ich das mit nat (behersch die oben genannte firewall auch ohne probleme jedoch logischerweise in einer anderen konfiguration) anstellen soll wenn ich z.B. 2 http server habe??
 
falls z.b. auf dem ftp-port ein anderer dienst aktiviert wird, kann auch dieser über den paket-filter durchgeführt werden. der paket-filter ist nicht in der lage festzustellen ob wirklich ein ftp-transfer stattfindet oder eine andere anwendung über diesen port gefahren wird.
sollte also beispielsweise ein trojaner in deinem system sein so könnte der munter deinen paket-filter passieren wenn die sicherheitsrichtlinen nicht korrekt konfiguriert sein sollten.

ein application gateway mit einem aktivierten "ftp proxy"-dienst kann anhand des kommando-filters die eingehenden befehle analysieren.

wenn aber dein server "schlau konfiguriert" ist dann brauchste da wohl keine angst zu haben. ;)

bei 2 http-server brauchste auch 2 IP-adressen um jeden einzelnen aus dem internet direkt ansprechen zu können (außer die http-dienste laufen nicht auf port 80).
da kannste meines wissen nach NAT vergessen.
 
es würde eine möglichkeit geben mit nat zu arbeiten, jedoch ist diese sehr umständlich

trojaner: da ich ausschliesslich unix/linux systeme hinter der firewall dulde gibt es diesbezüglich wenig probleme...

aso bezüglich sicherheit ist eine schlaue konfiguration auf ALLEN systemen so oder so pflicht....
 
wunderbar! schlage vor wir dissuktieren das mal im IRC demnächst weiter. hoffe meine infos haben dir ein bischen was genützt.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben