3 Fragen zu 1 DMZ! |
||
---|---|---|
#0
| ||
13.12.2002, 18:07
taz
zu Gast
|
||
|
||
13.12.2002, 22:32
Member
Beiträge: 11 |
#2
Also jetzt verstehe ich nix mehr. Ohne Dir persönlich nahetreten zu wollen, aber woher kommt dieser DMZ-Hipe??? Jeder will auf einmal eine DMZ haben. Leider wissen die meißten garnicht was eine DMZ (De-Militarized Zone) ist. Wenn Du doch die Definitionen gelesen hast, müsstest Du Dir Deine Frage eigentlich selber beantworten können...
Ich meine es ist ja schon der Sinn einer Firewall verfehlt (als nicht enterprise-lösung), wenn Du sie auf dem gelichen Interface wie das lokale Netz betreibst. Ich kann immer nur wieder sagen: Was glaubt Ihr wie wichtig Ihr seid und wer so extrem großes Interesse daran haben sollte Euch von vorne bis hinten auszuspionieren??? Wer an Eure Daten ran will, der kommt auch dran. Eine schlechtkonfigurierte Firewall ist schlimmer als ein gut konfigurierter Rechner... In diesem Sinne; ich weiß ich bin mit dieser Meinung etwas allein... __________ ______________ Please sign here |
|
|
||
13.12.2002, 23:15
taz
zu Gast
Themenstarter |
#3
Ok, die Wahrscheinlichkeit das irgendjemand versuchen sollte, mein kleines Netzwerk "auszuspionieren" dürfte nicht sonderlich groß sein. Aber weißt du genau, wieviel Leute es auf der Welt gibt, die hacken, und wie effektiv der Methoden sind??
Der Susefirewall2-script bietet die Option einer DMZ. Warum soll ich die dann nicht benutzen?? Ich habe einfach keine Lust einen Rechner, den ich 24-Stunden am Tag mit einem apache-server, auf den vom www freizugegriffen werden kann und dessen IP für jeden Besucher in der Adresseleiste des Browsers sichtbar ist, ohne irgend eine Sicherheitsmaßnahme laufen zu lassen. Gut ich bin vielleicht nur einer unter Millionen, aber da bau ich mir doch lieber 'nen airbag ein, auch wenn ich vielleicht niemals in meinem Leben ein Unfall haben werde. |
|
|
||
13.12.2002, 23:20
taz
zu Gast
Themenstarter |
#4
Achso und nachdem wir die Sache mit den Beweggründen geklärt hätten, könnte mir jetzt irgendjemand bitte helfen
|
|
|
||
14.12.2002, 09:08
Ehrenmitglied
Beiträge: 2283 |
#5
Mal grundsätzlich: eine DMZ sieht wie folgt aus: router/firewall --Rechner der DMZ -- Firewall -- LAN - Somit benötigst Du schon mal 2 Firewalls. Des Weiteren zwei Subnetze, aber das hast Du ja schon. Für die technischen Sachen gebe ich mal ab an poiin und joschi
R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... Dieser Beitrag wurde am 14.12.2002 um 09:14 Uhr von poiin2000 editiert.
|
|
|
||
14.12.2002, 09:28
Ehrenmitglied
Beiträge: 831 |
#6
Ich will hier ned vorgreifen oder so
aber ich halte eine DMZ für dich für überflüssig Ich würde eher Linux von Grund auf absichern schreibe auf wunsch mehr drüber muss nun auch worke gehe cu __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
14.12.2002, 09:37
taz
zu Gast
Themenstarter |
#7
thx....das ist ja schon mal ein Anfang
Mich interessiert besonders meine erste Frage: Ist es diese Konfiguration realisierbar? (Bitte genaue Antwort) |
|
|
||
14.12.2002, 09:49
Ehrenmitglied
Beiträge: 2283 |
#8
Ich denke, daß Du besser kommst, wenn Du Dir statt ner DMZ einen Gateway bastelst - das heißt Du hast einen Rechner mit 2 Nics.
eth0 - DSL eth1 - Netzwerke Auf diesem Rechner sollte dann Deine Firewall, der transparente Proxy und ähnliches laufen. Von diesem Rechner leitest Du dann Anfragen auf Port 80 direkt an Deinen Webserver weiter. Alle weiteren eingehenden Verbindungen kannst du im Grunde (außer due benötigst welche) verbieten. Somit solltest Du auf der sicheren Seite sein. Wenn Du dann noch Deinen Webserver mit dem neusten Patches versogst, kann eigentlich nichts schief gehen. Als DMZ Lösung würde dies wie folgt aussehen: Rechern 1 mit 2 Nics eth0 - DSL eth1 - DMZ Netz (10.c.d.x) dann Dein Websererve mit 10.c.d.(x+y) Rechner 2 mit 2 Nics eth0 - 10.c.d.(x+a) eth1 - 192.168.1.x und dann dort Deine restlichen Rechner Dies wäre eine klassische DMZ. Nach meinem Verständnis lässt sich keine DMZ auf einem einzelnen Rechner realisieren, die ist ein philosphisches Problem: DMZ - Demilitarisierte Zone - Firewall 1 lässt nur das durch, was in DMZ und im eigentlichen Netz gebraucht wird. Firewall 2 filtert alles das raus, was in der DMZ aber nicht im Netz benötigt wird. Ein netter Nebeneffekt ist, daß der Angreifer 2 Systeme zu überwinden hat, damit er ins Netz kommt. Somit sollten die beiden Firewalls auch unterschiedlicher Natur sein. Es macht somit keinen Sinn einen Rechner, 2 Nics und noch ein virtuelles Device zu nehmen und dies dann DMZ zu schimpfen - dass ist ohne das virtuelle Device ein normaler Gatewayrechner bzw. Router. R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
15.12.2002, 00:29
taz
zu Gast
Themenstarter |
#9
ok....dann kommt für mich die DMZ auch gar nicht mehr in Frage. Aber wie sieht dann diese Gateway-Lösung aus? Was bietet die für einen Schutz? Bedeutet das, dass ich den port 80 mit dem apache-server offen habe, aber dahinter keinen weiteren Sicherung, was wiederum bedeutet, dass ich auf die Standfestigkeit des apache-servers gegenüber Hackern angewiesen bin?
|
|
|
||
15.12.2002, 01:03
Ehrenmitglied
Beiträge: 831 |
#10
1.)Wird laufen aber ich bezweifle das du erfolgreich bist.Wird nicht einfach das zu realisieren.3 NIC ist einfacher wobei es auch mit 2 Geht siehe Lösungsvorschlag von mir
2.)IPtables mache ich nachher 3.)Apache 1.Einspielen aller Updates: Meist ist seit der Pressung der CD einer Distribution bzw. des Download der Installationsdateien aus dem Internet etwas Zeit vergangen. Vielleicht genug, um inzwischen ein bereits bekanntes Sicherheitsloch mitzuinstallieren...deshalb ist dringend zu empfehlen (insbesondere bevor der Server an das Internet angeschlossen wird), alle Updates via Download sich besorgen und installieren. Bei Distributionen basierend auf Red Hat package management system RPM ist das relativ einfach: Ausgabe einer Liste, welche Pakete ein Update benötigen: find /mnt/tmp/somewhere/ -name '*.rpm' | while read i; do name=`rpm -q --queryformat "%{NAME} " -p $i`; rpm -q $name >/dev/null 2>&1 && echo -n "$name "; done; echo Installation der Pakete: find /mnt/tmp/somewhere/ -name '*.rpm' | while read i; do name=`rpm -q --queryformat "%{NAME} " -p $i`; rpm -q $name >/dev/null 2>&1 && rpm -Fhv --nodeps $i; done; echo 2.Statt Telnet und Rlogin SSH2 verwenden 3.Deaktiviere alle nicht benötigten Dienste, oft sind mehr aktiv als nötig. Welche Dienste Aktiv sind kannst du mit IPv4-Services: netstat -lnp --ip IPv6-Services: netstat -lnp --inet6 nachschauen vi /etc/inetd.conf und der Runleveleditor sind auch gute Ansatzpunkte 4.Alle nicht benötigten Programme sollten deinstalliert werden. Besonders Programe mit SUID-Flag was einem erlaubt Programme mit Rechten des Besitzers auszuführen. Das wäre bei ROOT fatal. Der Befehl zum Aufspüren wäre find / -perm +06000 -type f -ls dort werden auch GSID-Flags angezeigt SUID set user id on execution GSID set group id on execution 5.Nach dem Programme aus der Inetd.conf entfernt wurden muss diese neu gestartet werden ps -ax | grep inetd kill -HUP inetd_id 6.Wenige Dienste werden über die rc.config gestartet. httpd sshd printer .... 7.Hilfreiche "Schalter" im Linux-Kernel Syncookie Support gegen SYN-Flodding echo "1" >/proc/sys/net/ipv4/tcp_syncookies Limitierung der Rate an ausgesendeten speziellen gegen echo "100">/proc/sys/net/ipv4/icmp_destunreach_rate ICMP-Paketen DOS-Attacken echo "100">/proc/sys/net/ipv4/icmp_echoreply_rate echo "100">/proc/sys/net/ipv4/icmp_paramprob_rate echo "100">/proc/sys/net/ipv4/icmp_timeexceed_rate Limitiert hier auf 100 pro Sekunde Abschalten von ICMP echo-reply auf gegen Scanning echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts Broadcast-Adressen Abschalten von ICMP echo-reply gegen Scanning echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_all generell Verwerfen von IP-Paketen mit gegen Attacken echo "0">/proc/sys/net/ipv4/conf/*/accept_source_route Source-Route-Option Verwerfen von ICMP redirect gegen Attacken echo "0">/proc/sys/net/ipv4/conf/*/accept_redirects Paketen Defragmentiere eingehende gegen Attacken echo "1">/proc/sys/net/ipv4/conf/*/ip_always_defrag IP-Pakete immer Loggen von allen Paketen mit gegen Scanning echo "1">/proc/sys/net/ipv4/conf/*/log_martians unmoeglichen IP-Adressen Abschalten des ICMP Address gegen Scanning echo "0">/proc/sys/net/ipv4/ip_addrmask_agent mask replies Deaktivieren von IP-forwarding schaltet Routing ab echo "0">/proc/sys/net/ipv4/ip_forward Deaktivieren von IP-forwarding schaltet Routing ab echo "0">/proc/sys/net/ipv4/conf/*/forwarding per Interface Um die Aenderungen rueckgaengig zu machen, muss man lediglich die Werte vertauschen. 8.Firewal IPtables folgt mfg p2k *edit* Was soll passieren wenn einer deinen Apache geknackt hat? Das passiert so gut wie nie soweit du immer Updates machst mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de Dieser Beitrag wurde am 15.12.2002 um 01:22 Uhr von poiin2000 editiert.
|
|
|
||
15.12.2002, 10:08
taz
zu Gast
Themenstarter |
#11
wow....das nenne ich eine Antwort!!! Vielen Dank! Werd ich mir zu Herzen nehmen. Gibts da nicht auch irgendwelche Internetseiten, wo man seine Firewall dann auf diese möglichen Sicherheitslücken testen kann(hab mal davon gehört)??? Und wie kann man diese Software-Updates speziell für den apache-server unter Suse(8.0) durchführen????
|
|
|
||
15.12.2002, 11:59
Ehrenmitglied
Beiträge: 831 |
#12
ICh werfe mal das Stichwort RPM in den Raum
mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
15.12.2002, 19:16
taz
zu Gast
Themenstarter |
#13
Das hört sich für mich aber zu allgemein an.
Soviel ich weiß wird bei der Apache-Installation unter Suse mehr als bloß der Server installiert. Daher muss man bei den Updates auch vorsichtig sein, weil es da zu Konflikten bezüglich der verschiedenen Versionen kommen kann. Kennt sich da jemand aus oder gibt's da 'ne Seite, wo was stehen könnte? MfG taz |
|
|
||
22.01.2003, 14:42
Babythinktwice
zu Gast
|
#14
Um deine Firewall auf Sicherheitslücken zu testen solltest du mal mit "nmap" drauf los gehen, und anschließend mit "Nessus" oder "SATAN" arbeiten. Sofern du eine aktuelle Version dieser Programme hast, wird dein Server auf alle bekannten Schwachstellen geprüft.
|
|
|
||
Ich habe ein kleines Heim-Netzwerk bestehend aus mehreren windows-clients und einem Linuxserver(suse 8.0) , der als dhcp-Server, router/firewall/transparenter-proxy dient. Nun möchte ich noch eine DMZ erstellen, um darin einen apache-server laufen zulassen.
1.)Das Netzwerk soll die folgende Struktur bekommen:
LAN (eth0) 192.168.1.0/255.255.255.0
DMZ (eth1) 192.168.10.23/255.255.255.0
TDSL-Verbindung wird - nach den dsl-Einstellungen in yast2 - über eth1 hergestellt.
Frage: Funktioniert die Konfiguration trotz der doppelten Nutzung des eth1-devices, kann man nicht einfach eine Netzwerk mit einem virtuellen device(eth2) als DMZ benutzen oder braucht man für die DMZ eine Extra-netzwerkkarte?
2.)Wie kann man die DMZ durch die iptables oder mit Hilfe der Susefirewall2 erstellen und das portforwarding zum apache-server (80 und 443) aktivieren?
3.)Funkionieren diese Regeln und was müsste ich für <webserver> einsetzen??
iptables -A PREROUTING -t nat -p tcp --dport 80 -i ppp0-j DNAT --to
<WEBSERVER>:80
iptables -A FORWARD -p tcp -d <WEBSERVER> --dport 80 -i ppp0 -o eth1 -j ACCEPT
iptables -A FORWARD -p tcp -s <WEBSERVER> --sport 80 -i eth1 -o ppp0 -j ACCEPT
Ist ziemlich viel Zeugs, wäre aber echt über Eure Hilfe dankbar. Ich such jetzt schon seit mehreren Tagen mit google und co. nach dem Thema DMZ. Gefunden habe ich bis jetzt nur irgendwelche Definitionen, aber nichts Konkretes.
MfG
taz