Re: [Debian] Firewall-Design

To: Debian-DE-Liste <debian-user-de@jfl.de>
Subject: Re: [Debian] Firewall-Design
From: Heiko Degenhardt <heiko.degenhardt@web.de>
Date: Wed, 9 May 2001 06:32:42 +0200
Message-id: <[🔎] 20010509063242.A471@hein.graben8.ims>
Mail-followup-to: heiko@finlandia.infodrom.north.de, Debian-DE-Liste <debian-user-de@jfl.de>
In-reply-to: <[🔎] 20010509000421.G750@web.de>; from waldemar.brodkorb@web.de on Wed, May 09, 2001 at 12:04:21AM +0200
References: <[🔎] 20010509000421.G750@web.de>

On Wed, May 09, 2001 at 12:04:21AM +0200, Waldemar Brodkorb wrote:
> Hallo Debianfreunde,

Hallo Waldemar,

> Wie vernetze ich die aus Sicherheitstechnischen Gründen
> am sinnvollsten?

Das kann man nicht sagen, ohne zu wissen, was die Clients
und der Server alles machen koennen sollen, und ob z. B.
der Server auch Dienste nach aussen anbieten soll.

Du koenntest z. B. den Hub mit allen Clients an die
NW-Karte der FW haengen, und als anderes Interface fuer
die Firewall die ISDN-Karte nehmen. Oder Du sagst, die
FW soll nur Deine Clients schuetzen. Dann stellst Du
den Server in die DMZ, und haengst die Clients mit
dem Hub an eine NW-Karte der FW, und den Server an
die andere (dann sollte der Server natuerlich
nicht all Deine geheimen Daten beinhalten).
Haengt also wirklich von Deinen Zielen ab.

> Wer kann mir das Prinzip der DMZ nochmal näher erläutern?
> Irgendwie habe ich das noch nicht ganz verstanden.

Also in der "Demilitarisierten Zone (DMZ)" befinden sich
Server, die sowohl vom Internet wie auch von Deinem Netz
erreichbar sein muessen. Typische Kanditaten waeren z. B.
Web-, Mail- oder DNS-Server, die ihre Dienste auch nach
aussen anbieten sollen. Ausserdem kannst Du Clients da 
reinstellen, die auf Dienste zurueckgreifen muessen, die
Du nicht durch die Firewall lassen moechtest (vorstellbar
waere z. B. ein "Surf-PC", auf dem Du Java, JavaScript, 
ActiveX oder was auch immer manche Leute fuer ihre Homepage
brauchen zulaesst, was aber von der FW geblockt werden soll).
Ziel ist dabei: Wenn einer der Hosts in der DMZ doch
mal einem Angriff zum Opfer fallen sollte, so haette
der Angreifer immer noch die Firewall vor sich. Die
Rechner in der DMZ duerfen also keinerlei Sonderrechte
haben, oder gar aktiv auf die Clients im internen Netz
zugreifen koennen.

> RTFM mit Ziel-Hyper-Link wären auch O.K.

Ich habe damals mit dem Firewall-HOWTO angefangen
(sollte sich eigentlich bereits auf Deinem System
befinden).

Rgds.
Heiko.

-- 
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

846 eingetragene Mitglieder in dieser Liste.

Reply to:

References:
- [Debian] Firewall-Design
  - From: Waldemar Brodkorb <waldemar.brodkorb@web.de>

Prev by Date: Re: [Debian] problem mit neuem kernel, gerätekonflikt etc.
Next by Date: Re: Braunschweiger Linuxtage wecken Begehrlichkeit nach 3D :)
Previous by thread: Re: [Debian] Firewall-Design
Next by thread: Re: [Debian] Firewall-Design
Index(es):
- Date
- Thread