Re: Sicherheitskonzept eines neuen Servers
Hi!
On Mon, 21 Nov 2005 12:44:44 +0100
Gerhard Brauer <gerhard.brauer@web.de> wrote:
> Würde ich auch so sehen. Wenn dir die Möglichkeiten per Shell in
> deinem chroot`den Zugang ausreichen ist das sicher besser und
> einfacher, als von einem (fremden?) Rechner per MUA, der ja erst
> konfiguriert werden muß, zuzugreifen.
Schön, dass Ihr das bisher auch alle so seht. :)
> > Zunächst mal werde ich zwei NICs einbauen, um die Ports schön nach
> > Interfacce zu trennen.
>
> Hält die externe NIC die Verbindung zum Provider-Gateway oder ist noch
> ein Router zwischengeschaltet? Ich gehe aber von ersterem aus. Auf
> jedenfall vernünftig.
Der Server hängt (bisher) am Switch und dahinter kommt dann noch der
DSL-Router.
Ich bin noch am Überlegen, ob ich die beiden Verdindungen der beiden
NICs einfach mit an den Switch hänge und am Router nur die Verbindung
der externen NIC des Servers freigebe, oder ob ich den Server
gleichzeitig als Gateway konfigurieren soll, sprich, dass an der
internen NIC der Switch hängt und an der exterenen NUR der Router...
Ich weiß momentan aber auch nicht, ob mein DSL-Router das kann, denn
wenn ich nicht irre, muss der Router dafür eine nach innen gerichtete
Default-Route definieren können!? Oder reicht es, den Server im Router
als DMZ anzugeben? Weiß er dann, wo er die Daten nach innen weiter
routen muss?
> > Den SSH würde ich zum einen
>
> Und überlegen AUTH nur per Key zuzulassen und Passwort-Auth zu
> disablen.
Ehrlich gesagt habe ich es bisher nie wirklich hin bekommen, Auth per
Key vernünftig zu konfigurieren. Ich habe zurzeit im LAN zu hause
beispielsweise Key-Auth. Die klappt auch, wenn der Key entsprechend
freigegeben und auf dem Server ist. Wenn ich aber mit einem neuen Client
(ohne Key) verbinde, kommt eine Passwort-Abfrage und nach richtigem
Passwort kann ich auch einloggen - obwohl Pass-Auth doch GAR nicht gehen
soll. :-\
Ich kann Euch momentan aber leider keine Config-Datei o.ä. schicken, da
ich zuhause wegen meiner Umstrukturierung und einer kaputten Platte
keine Mails verschicken kann.
> > - außerdem in einem Changeroot (in meinem Home) laufen lassen.
>
> So erhälst du halt lediglich die Möglichkeit, Daten und Dienste in
> diesem jail zu nutzen. Wenn dir das langt, ok.
Ja, das würde mir völlig ausreichen. Von außen will ich hauptsächlich an
die Mails und ggf. an persönliche Daten.
> Mit xringd ist da sehr gut etwas zu machen. Hat die gleichen
> umfangreichen Möglichkeiten wie portknocking (halt "Tonsequenzen"
> statt knock key), dafür brauchst du halt nur ein Telefon/Modem/... als
> Client.
Ich hätte eine ISDN-Karte (passiv) übrig (und freue mich dann jetzt
schon auf die Konfiguration dieser mit dem 2.6er Kernel. :rolleyes: Bei
meinem Vater hatte ich es mit dem 2.6er vor ein paar Monaten nicht
hinbekommen)
> Wie du es ansprichst und auch weißt: der "internen" Absicherung (auch
> der angeschlossenen Clients) ist mindest genausoviel Aufmerksaamkeit
> zu schenken wie du es nach außen ins Badland betreiben willst - eher
> mehr.
Daher die Idee, den DSL-Router ggf. nach "außen" zu setzen. Dann könnte
ich auch mit reinem Gewissen die WLAN-Funktion dessen nutzen.
> Trügerisch. Es gibt sicher "bessere" Möglichkeiten Rechner _im_ LAN zu
> capturen als ein sshd.
Oha! Wie denn z.B.?
> Hm, nur Vorsicht bei diversen IDS, daß die NICs nicht in den
> promiscuous mode geschaltet werden.
Ok, danke!
> Deine Überlegungen sind IMHO ganz ausgereift.
Das beruhigt mich schonmal. :-)
> Ich würde lediglich, wie
> oben angesprochen, darauf achten daß _du_ (jetzt und später) jederzeit
> verstehst Was Wie und Warum passiert. Vor allem wenn du verschiedene
> externe Konzepte einsetzt. Also lieber _ein_ gutes Schloß an der Tür
> als 15 verschiedene.
Ok, tnx. Bzw: Was sagst Du denn zu der Thematik iptables oder nicht?
--
Best regards...
Ace Dahlmann
Reply to: