Sicherheit in der DMZ |
||
|---|---|---|
| #0
| ||
|
11.12.2002, 14:42
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
11.12.2002, 15:10
Ehrenmitglied
Beiträge: 831 |
#2
SPI?
router(FW) <-> DMZ <-> FW <-> Clients wenn du auf deine DMZ nen Paketfilter (IPtables+Snort) erstellst sollte es reichen auf der DMZ alle Ports sperren und einzeln die diverse Dienste Freigeben mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
|
|
|
|
11.12.2002, 15:35
Ehrenmitglied
 Beiträge: 2283 |
#3
Eine DMZ besteht immer aus 2 Firewalls.
FW1 - DMZ-Rechner - FW2 - Netzwerk Innerhalb der DMZ werden Systeme aufgestellt, die sowohl vom Internet als auch vom Intranet oder nur vom Internet erreichbar sein sollen. FW1 schützt somit diese System. Auf FW2 können dann noch zusätzliche Regeln definiert werden. Des Weiteren sollte die DMZ ein anderes Subnetz haben. Ist diese Konstruktion nicht etwas überdimensioniert für eine WG? Was ist SPI???? R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
|
|
|
|
11.12.2002, 15:44
...neu hier
Themenstarter Beiträge: 3 |
#4
Hallo poiin2000 !
Danke erstmal für die schnelle Antwort !  SPI steht in der Routeranleitung für "Service Packet Inspection". Soweit ich es verstanden habe, ist es eine speziele Art von FW. > router(FW) <-> DMZ <-> FW <-> Clients d.h. mein Rechner ist in der DMZ doch durch die FW des Routers geschützt. Ich kenn mich mit dem ganzen Router-Firewall-Kram noch nicht so gut aus und IPtables und Snort sagt mir bis jetzt nicht viel, aber ich werd mal schaun, was sich so googlen lässt und evtl später nachfragen  Bleibt noch das Problem mit der SPI-Firewall. Ich muss Portbereiche, IP-Bereiche (Lan-seitig und Wan-seitig) festelegen, die die Firewall in beiden Richtungen (Lan->Wan / Wan->Lan) passieren können. So müsste ich doch zB zum surfen Port 80 für alle Wan-Ip's und den Ip-Bereich meines Lan's in beiden Richtungen freigeben ?! Leider schlugen alle Versuche in diese Richtung bisher fehl, deshalb würde ich mich über einen link mit entsprechender Anleitung wirklich sehr freuen Google und co waren mir bisher keine wirkliche Hilfe dabei.
|
|
|
|
|
|
|
11.12.2002, 15:51
Member
 Beiträge: 890 |
||
|
|
|
|
|
11.12.2002, 15:56
Ehrenmitglied
Beiträge: 831 |
#6
IPtables können auch forwarden
am einfachsten geht dies mit echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -j MASQUERADE Bau dir doch ein rc.d Startup Script nach der Skeleton-Vorlage binde es in rc.d ein startscript dort kommen deine IPTablebefehle rein http://neworder.box.sk/search.php3?srch=iptables http://packetstorm.decepticons.org/UNIX/IDS/ http://packetstorm.decepticons.org/papers/IDS/ http://packetstorm.decepticons.org/UNIX/scan_detect/ http://neworder.box.sk/search.php3?srch=snort http://board.protecus.de/search.php (iptables && snort) mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
|
|
|
|
11.12.2002, 16:08
...neu hier
Themenstarter Beiträge: 3 |
#7
@Robert
Überdimensioniert vielleicht. Es geht darum, dass ich einen Battlecom-Server, einen Webserver (temporär und nur zum Datenaustausch mit Freunden) und später evtl mal Netmeeting laufen lassen will. Der Router unterstützt leider keine ganze Portbereichsfreigabe, ich kann also nur einzeln definierte Ports forwarden und das wären allein bei Battlecom ja schon 200 (tcp 2300-2400, udp 2300-2400) wenn mich nicht alles irrt. Ich will nicht 200 Ports per Hand eingeben, was der Router wahrscheinlich auch gar nicht mitmachen würde, also _muss_ ich meinen Rechner für oben genannte Dienste in die DMZ stellen und das hat bei mir die Sicherheitsfrage aufgeworfen (wie gesagt, ich dachte das Schema sähe so aus: Router - DMZ - FW - Client). Falls Du für mein Problem mit Battlecom etc. andere Lösungen kennst, wäre ein kleiner Hinweis wirklich nett, auch wenn wir im falschen Forum dafür sind. Ist für meine Anforderungen eine zweite FW nach der DMZ überhaupt nötig ? Meint ihr, es wäre evtl besser, den Router umzutauschen in einen, bei dem ich auch Portbereiche freigeben kann, damit ich die DMZ vergessen kann ? |
|
|
|
|
|
|
11.12.2002, 16:25
Ehrenmitglied
Beiträge: 831 |
#8
eine DMZ geht nur mit 2 FWs wie ich es gesagt habe
die andere Variante würde aber auch gehen dann hast du aber keine DMZ mehr __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
|
|
|
|
11.12.2002, 17:05
Ehrenmitglied
Beiträge: 2283 |
#9
Ich würde den Router umtauschen - wohl die beste Lösung!
Wenn Du eine Router vor den Rechner in der DMZ mit einer SPF-Technologie setzt und dann eine Firewall, dann hast Du eine DMZ - die zweite FW sollte dann noch die Dienste filtern, die in der DMZ gebraucht werden, dann passt das. Ich bin der Meinung, daß Du auch die 2. FW weglassen kannst. Wenn Du die Ports nur an den speziellen Rechner weiterleitest, dann sollte dies sicher genug sein. Der Router wird sicherlich ein NAT Gerät sein, somit kann da nicht viel passieren. SPF/SIF: http://different-thinking.de/firewall.html NAT: http://different-thinking.de/nat.html R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
|
|
|
|
13.12.2002, 22:17
Member
Beiträge: 11 |
#10
Sorry wenn ich jetzt mal als einziger einen minimalistischen Ansatz verfolge... aber wäre es nicht am einfachsten eine TUNNEL-Lösung aufzubauen??? Tunnel doch einfach den Client mit dem Web- und Battlecomserver durch den Router durch... damit bleibt das Sicherheitskonzept (was an dieser Stelle meiner bescheidenen Meinung nach absolut übertrieben kompliziert für Deine Anforderungen ist) für alle anderen WGler erhalten. Du kannst aber trotzdem alles machen was Du planst...
__________ ______________ Please sign here |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe eine grundsätzliche Sicherheitsfrage zur DMZ.
Neulich habe ich mir einen AFN4000-Router gekauft um DSL in unserer WG aufzuteilen. Leider musste ich feststellen, dass ich bei dem Router keine ganzen Portbereiche forwarden kann, was bedeutet, dass ich meinen PC zB für einen Battlecomserver, Webserver etc. in die DMZ stellen muss.
Damit kann ich bisher noch leben, doch ich frage mich, wie es mit der Sicherheit für meinen Rechner aussieht. Mehrfach habe ich nun schon gelesen, die DMZ liegt vor der routerinternen Firewall (SPI), mein Rechner wäre demnach nicht durch die FW geschützt solang er in der DMZ steht. Stimmt das ? Zur Lösung des Sicherheitsproblems wäre dann wohl eine PFW angesagt. Im Netz habe ich dazu leider keine Antworten gefunden.
Und wo ich schon am Schreiben bin, hat jemand von euch evtl einen Link, wo das Erstellen der Regeln für die SPI erklärt ist ? Das sieht alles recht einleuchtend und einfach aus für mich aus, aber laufen tut sie nicht so, wie sie soll