Re: Firewall auf Debian Sarge

To: debian-user-german@lists.debian.org
Subject: Re: Firewall auf Debian Sarge
From: Philipp Boksberger <philipp.boksberger@bogenhofen.at>
Date: Mon, 27 Nov 2006 21:45:29 +0100
Message-id: <[🔎] 456B4E69.2050805@bogenhofen.at>
In-reply-to: <[🔎] 456B4CF7.2010205@librenz.com>
References: <[🔎] 456B3E82.20804@bogenhofen.at> <[🔎] 20061127201017.GA21993@a-kretschmer.de> <[🔎] 456B47B2.9080003@schwebekoma.de> <[🔎] 456B4CF7.2010205@librenz.com>

Danke für die ausführliche Antwort. Würdest du in meinem Fall eher zu
einer "Hardware-Firewall" tendieren (bsp: Netgear FVS338 oder
Ähnliches). Nur schon vom Stromverbrauch scheint das zu rentieren.
Meines Wissens ist das Problem bei den Hardwarefirewalls, dass sie
grundsätzlich davon ausgehen, dass aller Traffic von innen nach aussen
ok ist. Es ist dann sehr mühsam, jeden Port einzeln zu sperren - und
nicht umgekehrt arbeiten zu können und einfach die nötigen Ports zu
öffnen. Wenn ich aber zwei Firewalls nehme und eine DMZ baue, dann
scheint dass wieder besser zu funktionieren ...

Philipp

Holger Librenz wrote:
> Nun, das kommt auf die Philosphie und die "Wichtigkeit" des Systems an.
> Grundsätzlich bietet jeder weitere Service auf einer Maschine potenziell weitere
> Angriffsflächen - dabei ist Squid ein verdammt gutes Beispiel, weil es nicht
> gerade vor Sicherheit strotzt. Man sollte (tm) versuchen, möglichst für jede
> Problemdomäne.Sprich: Du möchtest Webservices anbieten? Dann auf einem eigenen
> Webserver hinter der Firewall, ggf. zwischen den Firewalls in einer DMZ. Du
> möchtest eine Datenbank zur Verfügung stellen, die sowohl für Webservices als
> auch für interne Sachen gebraucht wird? Dann auf einen ebenfalls extra Server.
> Das ufert allerdings gern aus.
> Bei mir auf Arbeit laufen auch einige Dienste auf dem Gate, ganz einfach weil
> wir es uns nicht leisten können und wollen für jeden kleinen Schnickschnack eine
> Maschine hinzustellen. Dafür zahlen wir halt den Preis, das es potenziell
> einfacher sein kann, ins System zu gelangen. Solange man sich aber an das System
>  setzt und es so gut es geht absichert, langt das meist.
> Hier ist aber die Rede von 100 Rechnern, bei mir auf Arbeit sind wir 5 Leute und
> eine handvoll Server - die hardwareseitig nochmal separiert sind. Der
> vorliegende Fall scheint also durchaus die Überlegung nahe zu legen, evtl. doch
> gerade bei so kritischen Maschinen wie Firewall und Proxy getrennte Maschinen zu
> betreiben. Nicht zu letzt, weil diese auch viel einfacher zu sichern sind, da
> weniger Kompromisse in der Konfiguration gemacht werden müssen oder ggf.
> zusätzliche Sicherungselemente, wie Switche, Applicationfirewall etc.,
> hinzugebaut werden können (gut, Switche sind nur bedingt Sicherheitselemente,
> aber sie separieren das Netz ;) ).
> Du siehst, es ist nicht unbedingt mit _dem_ Tipp getan. Jeder Anwendungsfall
> sollte peinlichst genau geplant werden - je größer das Netz, desto größer der
> Aufwand.
> Aber eine gute Planung erspart dem Admin viel Nerven und Herzattacken in der
> heißen Phase des Systems.
> 
> Hoffe einen kleinen Einblick gegeben zu haben.
> 
> Gruß, Holger
> 
> --
> Holger Librenz - http://www.librenz.com
> Fachinformatiker Anwendungsentwicklung

Reply to:

Follow-Ups:
- Re: Firewall auf Debian Sarge
  - From: Boris Andratzek <Boris.Andratzek@cation.de>
- Re: Firewall auf Debian Sarge
  - From: Holger Librenz <debian@librenz.com>

References:
- Firewall auf Debian Sarge
  - From: Philipp Boksberger <philipp.boksberger@bogenhofen.at>
- Re: Firewall auf Debian Sarge
  - From: Andreas Kretschmer <andreas.kretschmer@schollglas.com>
- Re: Firewall auf Debian Sarge
  - From: Bernd Schwendele <ml@schwebekoma.de>
- Re: Firewall auf Debian Sarge
  - From: Holger Librenz <debian@librenz.com>

Prev by Date: Re: Firewall auf Debian Sarge
Next by Date: X ja, aber kein Einloggen moeglich
Previous by thread: Re: Firewall auf Debian Sarge
Next by thread: Re: Firewall auf Debian Sarge
Index(es):
- Date
- Thread