Re: Firewall auf Debian Sarge

To: debian-user-german@lists.debian.org
Subject: Re: Firewall auf Debian Sarge
From: Holger Librenz <debian@librenz.com>
Date: Mon, 27 Nov 2006 21:39:19 +0100
Message-id: <[🔎] 456B4CF7.2010205@librenz.com>
In-reply-to: <[🔎] 456B47B2.9080003@schwebekoma.de>
References: <[🔎] 456B3E82.20804@bogenhofen.at> <[🔎] 20061127201017.GA21993@a-kretschmer.de> <[🔎] 456B47B2.9080003@schwebekoma.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hi

>>> Und wie sieht die Sache aus, wenn auch noch ein Squid auf der Maschine
>>> laufen soll (evtl. ohne Caching, nur um den Web-Zugang zu
>>> kontrollieren).
>>>
>>
>> Es wäre sinnvoller, den auf einer extra Maschine laufen zu lassen.
>>
>>
>> Andreas
>>
>
> Nur aus Neugier, warum?
>

Nun, das kommt auf die Philosphie und die "Wichtigkeit" des Systems an.
Grundsätzlich bietet jeder weitere Service auf einer Maschine potenziell weitere
Angriffsflächen - dabei ist Squid ein verdammt gutes Beispiel, weil es nicht
gerade vor Sicherheit strotzt. Man sollte (tm) versuchen, möglichst für jede
Problemdomäne.Sprich: Du möchtest Webservices anbieten? Dann auf einem eigenen
Webserver hinter der Firewall, ggf. zwischen den Firewalls in einer DMZ. Du
möchtest eine Datenbank zur Verfügung stellen, die sowohl für Webservices als
auch für interne Sachen gebraucht wird? Dann auf einen ebenfalls extra Server.
Das ufert allerdings gern aus.
Bei mir auf Arbeit laufen auch einige Dienste auf dem Gate, ganz einfach weil
wir es uns nicht leisten können und wollen für jeden kleinen Schnickschnack eine
Maschine hinzustellen. Dafür zahlen wir halt den Preis, das es potenziell
einfacher sein kann, ins System zu gelangen. Solange man sich aber an das System
 setzt und es so gut es geht absichert, langt das meist.
Hier ist aber die Rede von 100 Rechnern, bei mir auf Arbeit sind wir 5 Leute und
eine handvoll Server - die hardwareseitig nochmal separiert sind. Der
vorliegende Fall scheint also durchaus die Überlegung nahe zu legen, evtl. doch
gerade bei so kritischen Maschinen wie Firewall und Proxy getrennte Maschinen zu
betreiben. Nicht zu letzt, weil diese auch viel einfacher zu sichern sind, da
weniger Kompromisse in der Konfiguration gemacht werden müssen oder ggf.
zusätzliche Sicherungselemente, wie Switche, Applicationfirewall etc.,
hinzugebaut werden können (gut, Switche sind nur bedingt Sicherheitselemente,
aber sie separieren das Netz ;) ).
Du siehst, es ist nicht unbedingt mit _dem_ Tipp getan. Jeder Anwendungsfall
sollte peinlichst genau geplant werden - je größer das Netz, desto größer der
Aufwand.
Aber eine gute Planung erspart dem Admin viel Nerven und Herzattacken in der
heißen Phase des Systems.

Hoffe einen kleinen Einblick gegeben zu haben.

Gruß, Holger

- --
Holger Librenz - http://www.librenz.com
Fachinformatiker Anwendungsentwicklung
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFa0z3EKb1UsmnKEoRAp03AJ4lWCSg4rIBK2YPrsca/6i0giDy2gCfdWxU
M7rMSfvq38ehJ+mygvOAWkA=
=3rDA
-----END PGP SIGNATURE-----

Reply to:

Follow-Ups:
- Re: Firewall auf Debian Sarge
  - From: Philipp Boksberger <philipp.boksberger@bogenhofen.at>

References:
- Firewall auf Debian Sarge
  - From: Philipp Boksberger <philipp.boksberger@bogenhofen.at>
- Re: Firewall auf Debian Sarge
  - From: Andreas Kretschmer <andreas.kretschmer@schollglas.com>
- Re: Firewall auf Debian Sarge
  - From: Bernd Schwendele <ml@schwebekoma.de>

Prev by Date: Re: Firewall auf Debian Sarge
Next by Date: Re: Firewall auf Debian Sarge
Previous by thread: Re: Firewall auf Debian Sarge
Next by thread: Re: Firewall auf Debian Sarge
Index(es):
- Date
- Thread