Re: Sicherheitskonzept eines neuen Servers

To: debian-user-german@lists.debian.org
Subject: Re: Sicherheitskonzept eines neuen Servers
From: Ace Dahlmann <ace@hs-media.net>
Date: Tue, 22 Nov 2005 10:38:19 +0100
Message-id: <[🔎] 20051122103819.2474507a@linuxplatz1.hs-media.local>
In-reply-to: <[🔎] 20051121144512.GA13625@server.kis.te>
References: <[🔎] 20051121113833.588b5dcd@linuxplatz1.hs-media.local> <[🔎] 20051121114443.GA2708@ws01.kis.te> <[🔎] 20051121135447.25bae5e5@linuxplatz1.hs-media.local> <[🔎] 20051121144512.GA13625@server.kis.te>

Hi!

On Mon, 21 Nov 2005 15:45:12 +0100
Gerhard Brauer <gerhard.brauer@web.de> wrote:

> Mit Routing würde das IMHO sicher gehen, würde aber dem DMZ Prinzip
> widersprechen, innere und äußere Dienste physikalisch und logisch zu
> trennen. Dein Rechner in der DMZ wäre aber gleichzeitig Server für
> Clients im LAN und (per sshd) fürs Badland.

Hmm, ich muss dann mal schauen, wie ich den Rechner am Router am besten
freigebe - ist so'n doofer T-Online-Router und so ganz raff ich den
nicht. Man kann zwar auch externe Ports per IP auf interne freigeben,
aber zumindest bei dem einen mal, bei dem ich das mal getestet hatte,
war der Port nach außen hin dann dennoch nicht offen. Hat jemand
zufällig einen "T-Sinus 154 DSL" mit Freigaben im Einsatz?

> xringd geht (vons Haus aus) IMHO auch mit Modems (serial connections).

Da bin ich schon gespannt. :)

> nicht vergessen, dieses z.B. aus der Wahlwiederholung rauszunehmen.

Wenn, dann nehm ich dann mein Handy dafür. :)

> Ich meinte damit, _wenn_ ein Angreifer auf deinen Server gelangt dann
> kann er wie ein normaler Client agieren (z.B. nfs, smb, eigene Dienste
> starten, ...)

Achso ja, das ist klar...

> Das alte Thema personal firewalls... ;-)
> Du kannst definitiv darauf verzichten wenn kein Dienst von außen zu
> erreichen ist.

Muss ich mal gucken, was das Argument von Frank da in der Praxis zu sagt
- von wegen NTP!?

> Ich finde allerdings die
> Logging-Möglichkeiten bei z.B. iptables hilfreich, um z.B. Art,
> Zeitpunkt und Häufigkeit diverser Zugriffe zu protokollieren um diese
> dann ggf. mit "Auffälligkeiten" im LAN zu kombinieren.

Hmmm,... ok. Auch ne Idee.

> Sinnvoll als Sicherheit auch, um z.B. _vom_ LAN nur bestimmte Dienste
> z.B. zum Server bzw. ins Internet zuzulassen. Wichtig IMHO weil z.B.
> vermehrt Trojaner über "legale" Dienste (mail) ins LAN geschleppt
> werden. Und wenn jetzt die FW so konfiguriert ist: von Innen nach
> außen alles erlauben, dann gute Nacht. Obwohl wir von außerhalb ja nie
> angreifbar waren...

Hat da jemand ein paar Beispiel-Ports (oder eine HowTo), die man ruhig
nach außen hin sperren sollte?
-- 
Best regards...
Ace Dahlmann

Reply to:

Follow-Ups:
- Re: Sicherheitskonzept eines neuen Servers
  - From: Gerhard Brauer <gerhard.brauer@web.de>

References:
- Sicherheitskonzept eines neuen Servers
  - From: Ace Dahlmann <ace@hs-media.net>
- Re: Sicherheitskonzept eines neuen Servers
  - From: Gerhard Brauer <gerhard.brauer@web.de>
- Re: Sicherheitskonzept eines neuen Servers
  - From: Ace Dahlmann <ace@hs-media.net>
- Re: Sicherheitskonzept eines neuen Servers
  - From: Gerhard Brauer <gerhard.brauer@web.de>

Prev by Date: Re: Sicherheitskonzept eines neuen Servers
Next by Date: Re: LAPP statt LAMP?
Previous by thread: Re: Sicherheitskonzept eines neuen Servers
Next by thread: Re: Sicherheitskonzept eines neuen Servers
Index(es):
- Date
- Thread