3 Fragen zu 1 DMZ!

#0
13.12.2002, 18:07
taz
zu Gast
#1 Hi
Ich habe ein kleines Heim-Netzwerk bestehend aus mehreren windows-clients und einem Linuxserver(suse 8.0) , der als dhcp-Server, router/firewall/transparenter-proxy dient. Nun möchte ich noch eine DMZ erstellen, um darin einen apache-server laufen zulassen.

1.)Das Netzwerk soll die folgende Struktur bekommen:
LAN (eth0) 192.168.1.0/255.255.255.0
DMZ (eth1) 192.168.10.23/255.255.255.0
TDSL-Verbindung wird - nach den dsl-Einstellungen in yast2 - über eth1 hergestellt.

Frage: Funktioniert die Konfiguration trotz der doppelten Nutzung des eth1-devices, kann man nicht einfach eine Netzwerk mit einem virtuellen device(eth2) als DMZ benutzen oder braucht man für die DMZ eine Extra-netzwerkkarte?

2.)Wie kann man die DMZ durch die iptables oder mit Hilfe der Susefirewall2 erstellen und das portforwarding zum apache-server (80 und 443) aktivieren?

3.)Funkionieren diese Regeln und was müsste ich für <webserver> einsetzen??
iptables -A PREROUTING -t nat -p tcp --dport 80 -i ppp0-j DNAT --to
<WEBSERVER>:80
iptables -A FORWARD -p tcp -d <WEBSERVER> --dport 80 -i ppp0 -o eth1 -j ACCEPT
iptables -A FORWARD -p tcp -s <WEBSERVER> --sport 80 -i eth1 -o ppp0 -j ACCEPT

Ist ziemlich viel Zeugs, wäre aber echt über Eure Hilfe dankbar. Ich such jetzt schon seit mehreren Tagen mit google und co. nach dem Thema DMZ. Gefunden habe ich bis jetzt nur irgendwelche Definitionen, aber nichts Konkretes.

MfG
taz
Seitenanfang Seitenende
13.12.2002, 22:32
Member

Beiträge: 11
#2 Also jetzt verstehe ich nix mehr. Ohne Dir persönlich nahetreten zu wollen, aber woher kommt dieser DMZ-Hipe??? Jeder will auf einmal eine DMZ haben. Leider wissen die meißten garnicht was eine DMZ (De-Militarized Zone) ist. Wenn Du doch die Definitionen gelesen hast, müsstest Du Dir Deine Frage eigentlich selber beantworten können...
Ich meine es ist ja schon der Sinn einer Firewall verfehlt (als nicht enterprise-lösung), wenn Du sie auf dem gelichen Interface wie das lokale Netz betreibst.

Ich kann immer nur wieder sagen: Was glaubt Ihr wie wichtig Ihr seid und wer so extrem großes Interesse daran haben sollte Euch von vorne bis hinten auszuspionieren???
Wer an Eure Daten ran will, der kommt auch dran.
Eine schlechtkonfigurierte Firewall ist schlimmer als ein gut konfigurierter Rechner...

In diesem Sinne; ich weiß ich bin mit dieser Meinung etwas allein...
__________
______________
Please sign here
Seitenanfang Seitenende
13.12.2002, 23:15
taz
zu Gast

Themenstarter
#3 Ok, die Wahrscheinlichkeit das irgendjemand versuchen sollte, mein kleines Netzwerk "auszuspionieren" dürfte nicht sonderlich groß sein. Aber weißt du genau, wieviel Leute es auf der Welt gibt, die hacken, und wie effektiv der Methoden sind??
Der Susefirewall2-script bietet die Option einer DMZ. Warum soll ich die dann nicht benutzen??
Ich habe einfach keine Lust einen Rechner, den ich 24-Stunden am Tag mit einem apache-server, auf den vom www freizugegriffen werden kann und dessen IP für jeden Besucher in der Adresseleiste des Browsers sichtbar ist, ohne irgend eine Sicherheitsmaßnahme laufen zu lassen. Gut ich bin vielleicht nur einer unter Millionen, aber da bau ich mir doch lieber 'nen airbag ein, auch wenn ich vielleicht niemals in meinem Leben ein Unfall haben werde.
Seitenanfang Seitenende
13.12.2002, 23:20
taz
zu Gast

Themenstarter
#4 Achso und nachdem wir die Sache mit den Beweggründen geklärt hätten, könnte mir jetzt irgendjemand bitte helfen;)
Seitenanfang Seitenende
14.12.2002, 09:08
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#5 Mal grundsätzlich: eine DMZ sieht wie folgt aus: router/firewall --Rechner der DMZ -- Firewall -- LAN - Somit benötigst Du schon mal 2 Firewalls. Des Weiteren zwei Subnetze, aber das hast Du ja schon. Für die technischen Sachen gebe ich mal ab an poiin und joschi ;)

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Dieser Beitrag wurde am 14.12.2002 um 09:14 Uhr von poiin2000 editiert.
Seitenanfang Seitenende
14.12.2002, 09:28
Ehrenmitglied

Beiträge: 831
#6 Ich will hier ned vorgreifen oder so
aber ich halte eine DMZ für dich für überflüssig

Ich würde eher Linux von Grund auf absichern

schreibe auf wunsch mehr drüber

muss nun auch worke gehe

cu
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
14.12.2002, 09:37
taz
zu Gast

Themenstarter
#7 thx....das ist ja schon mal ein Anfang;)
Mich interessiert besonders meine erste Frage: Ist es diese Konfiguration realisierbar? (Bitte genaue Antwort)
Seitenanfang Seitenende
14.12.2002, 09:49
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#8 Ich denke, daß Du besser kommst, wenn Du Dir statt ner DMZ einen Gateway bastelst - das heißt Du hast einen Rechner mit 2 Nics.

eth0 - DSL
eth1 - Netzwerke

Auf diesem Rechner sollte dann Deine Firewall, der transparente Proxy und ähnliches laufen. Von diesem Rechner leitest Du dann Anfragen auf Port 80 direkt an Deinen Webserver weiter. Alle weiteren eingehenden Verbindungen kannst du im Grunde (außer due benötigst welche) verbieten. Somit solltest Du auf der sicheren Seite sein. Wenn Du dann noch Deinen Webserver mit dem neusten Patches versogst, kann eigentlich nichts schief gehen.

Als DMZ Lösung würde dies wie folgt aussehen:

Rechern 1 mit 2 Nics
eth0 - DSL
eth1 - DMZ Netz (10.c.d.x)

dann Dein Websererve mit 10.c.d.(x+y)

Rechner 2 mit 2 Nics
eth0 - 10.c.d.(x+a)
eth1 - 192.168.1.x

und dann dort Deine restlichen Rechner

Dies wäre eine klassische DMZ. Nach meinem Verständnis lässt sich keine DMZ auf einem einzelnen Rechner realisieren, die ist ein philosphisches Problem:
DMZ - Demilitarisierte Zone - Firewall 1 lässt nur das durch, was in DMZ und im eigentlichen Netz gebraucht wird. Firewall 2 filtert alles das raus, was in der DMZ aber nicht im Netz benötigt wird. Ein netter Nebeneffekt ist, daß der Angreifer 2 Systeme zu überwinden hat, damit er ins Netz kommt. Somit sollten die beiden Firewalls auch unterschiedlicher Natur sein.

Es macht somit keinen Sinn einen Rechner, 2 Nics und noch ein virtuelles Device zu nehmen und dies dann DMZ zu schimpfen - dass ist ohne das virtuelle Device ein normaler Gatewayrechner bzw. Router.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
15.12.2002, 00:29
taz
zu Gast

Themenstarter
#9 ok....dann kommt für mich die DMZ auch gar nicht mehr in Frage. Aber wie sieht dann diese Gateway-Lösung aus? Was bietet die für einen Schutz? Bedeutet das, dass ich den port 80 mit dem apache-server offen habe, aber dahinter keinen weiteren Sicherung, was wiederum bedeutet, dass ich auf die Standfestigkeit des apache-servers gegenüber Hackern angewiesen bin?
Seitenanfang Seitenende
15.12.2002, 01:03
Ehrenmitglied

Beiträge: 831
#10 1.)Wird laufen aber ich bezweifle das du erfolgreich bist.Wird nicht einfach das zu realisieren.3 NIC ist einfacher wobei es auch mit 2 Geht siehe Lösungsvorschlag von mir
2.)IPtables mache ich nachher
3.)Apache


1.Einspielen aller Updates:
Meist ist seit der Pressung der CD einer Distribution bzw. des Download der Installationsdateien aus dem
Internet etwas Zeit vergangen. Vielleicht genug, um inzwischen ein bereits bekanntes Sicherheitsloch
mitzuinstallieren...deshalb ist dringend zu empfehlen (insbesondere bevor der Server an das Internet
angeschlossen wird), alle Updates via Download sich besorgen und installieren.
Bei Distributionen basierend auf Red Hat package management system RPM ist das relativ einfach:
Ausgabe einer Liste, welche Pakete ein Update benötigen:
find /mnt/tmp/somewhere/ -name '*.rpm' | while read i; do name=`rpm -q
--queryformat "%{NAME} " -p $i`; rpm -q $name >/dev/null 2>&1 && echo -n
"$name "; done; echo
Installation der Pakete:
find /mnt/tmp/somewhere/ -name '*.rpm' | while read i; do name=`rpm -q
--queryformat "%{NAME} " -p $i`; rpm -q $name >/dev/null 2>&1 && rpm -Fhv
--nodeps $i; done; echo

2.Statt Telnet und Rlogin SSH2 verwenden

3.Deaktiviere alle nicht benötigten Dienste, oft sind mehr aktiv als nötig.
Welche Dienste Aktiv sind kannst du mit
IPv4-Services: netstat -lnp --ip
IPv6-Services: netstat -lnp --inet6
nachschauen
vi /etc/inetd.conf und der Runleveleditor sind auch gute Ansatzpunkte

4.Alle nicht benötigten Programme sollten deinstalliert werden. Besonders Programe mit SUID-Flag was einem erlaubt Programme mit Rechten des Besitzers auszuführen. Das wäre bei ROOT fatal.

Der Befehl zum Aufspüren wäre
find / -perm +06000 -type f -ls
dort werden auch GSID-Flags angezeigt
SUID set user id on execution
GSID set group id on execution

5.Nach dem Programme aus der Inetd.conf entfernt wurden muss diese neu gestartet werden
ps -ax | grep inetd
kill -HUP inetd_id

6.Wenige Dienste werden über die rc.config gestartet. httpd sshd printer ....

7.Hilfreiche "Schalter" im Linux-Kernel

Syncookie Support gegen SYN-Flodding echo "1" >/proc/sys/net/ipv4/tcp_syncookies

Limitierung der Rate an
ausgesendeten speziellen gegen echo "100">/proc/sys/net/ipv4/icmp_destunreach_rate
ICMP-Paketen DOS-Attacken
echo "100">/proc/sys/net/ipv4/icmp_echoreply_rate

echo "100">/proc/sys/net/ipv4/icmp_paramprob_rate

echo "100">/proc/sys/net/ipv4/icmp_timeexceed_rate
Limitiert hier auf 100 pro Sekunde

Abschalten von ICMP echo-reply auf gegen Scanning echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
Broadcast-Adressen

Abschalten von ICMP echo-reply gegen Scanning echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_all
generell

Verwerfen von IP-Paketen mit gegen Attacken echo "0">/proc/sys/net/ipv4/conf/*/accept_source_route
Source-Route-Option

Verwerfen von ICMP redirect gegen Attacken echo "0">/proc/sys/net/ipv4/conf/*/accept_redirects
Paketen

Defragmentiere eingehende gegen Attacken echo "1">/proc/sys/net/ipv4/conf/*/ip_always_defrag
IP-Pakete immer

Loggen von allen Paketen mit gegen Scanning echo "1">/proc/sys/net/ipv4/conf/*/log_martians
unmoeglichen IP-Adressen

Abschalten des ICMP Address gegen Scanning echo "0">/proc/sys/net/ipv4/ip_addrmask_agent
mask replies

Deaktivieren von IP-forwarding schaltet Routing ab echo "0">/proc/sys/net/ipv4/ip_forward

Deaktivieren von IP-forwarding schaltet Routing ab echo "0">/proc/sys/net/ipv4/conf/*/forwarding
per Interface

Um die Aenderungen rueckgaengig zu machen, muss man lediglich die Werte vertauschen.

8.Firewal IPtables folgt

mfg p2k

*edit*

Was soll passieren wenn einer deinen Apache geknackt hat?
Das passiert so gut wie nie soweit du immer Updates machst

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Dieser Beitrag wurde am 15.12.2002 um 01:22 Uhr von poiin2000 editiert.
Seitenanfang Seitenende
15.12.2002, 10:08
taz
zu Gast

Themenstarter
#11 wow;)....das nenne ich eine Antwort!!! Vielen Dank! Werd ich mir zu Herzen nehmen. Gibts da nicht auch irgendwelche Internetseiten, wo man seine Firewall dann auf diese möglichen Sicherheitslücken testen kann(hab mal davon gehört)??? Und wie kann man diese Software-Updates speziell für den apache-server unter Suse(8.0) durchführen????
Seitenanfang Seitenende
15.12.2002, 11:59
Ehrenmitglied

Beiträge: 831
#12 ICh werfe mal das Stichwort RPM in den Raum

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
15.12.2002, 19:16
taz
zu Gast

Themenstarter
#13 Das hört sich für mich aber zu allgemein an.
Soviel ich weiß wird bei der Apache-Installation unter Suse mehr als bloß der Server installiert. Daher muss man bei den Updates auch vorsichtig sein, weil es da zu Konflikten bezüglich der verschiedenen Versionen kommen kann. Kennt sich da jemand aus oder gibt's da 'ne Seite, wo was stehen könnte?

MfG
taz
Seitenanfang Seitenende
22.01.2003, 14:42
Babythinktwice
zu Gast
#14 Um deine Firewall auf Sicherheitslücken zu testen solltest du mal mit "nmap" drauf los gehen, und anschließend mit "Nessus" oder "SATAN" arbeiten. Sofern du eine aktuelle Version dieser Programme hast, wird dein Server auf alle bekannten Schwachstellen geprüft.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: