[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Netzwerk Sicherheits Frage

Am Donnerstag 24 April 2008 18:07:43 schrieb Dirk Schleicher:
> Und schon wieder missbrauche ich das Wissen dieser Liste für nicht
> Debian Dinge, vorausgesetzt ich bekomme eine Antwort.

Naja, will mal nicht so sein ;-)

> Ich hatte in meiner letzten Post nach iptables gefragt und dadurch neue
> Erkenntnisse gewonnen.
> Ich mache mir Gedanken über Zugänge und offene Ports, doch habe ich
> gerade die Uraltkiste meiner Frau mit W2k hochgefahren um sicher zu
> stellen das diese auch mit dem neuen Router kann.
>
> Da diese Kiste richtig uralt ist und W2k sich tot läd, ist dort nichts
> mit Firewall und Co. Daraus resultiert aber dann, das jemand über
> diesen ungeschützten Rechner ins Netz eindringen kann.

Nein, nicht zwangsläufig.
Um auf einen Rechner zugreifen zu können, muss dieser Dienste ins Netz 
anbieten. Soweit ich weiß, lässt sich das auch bei W2k ganz gut unterbinden. 
Dann bliebe noch die Möglichkeit, dass ein anderes (verstecktes) Programm 
(z.B. Trojaner) eine Tür ins Netz öffnet. Da kann aber auch eine 
lokale/persönliche Firewall nicht viel ausrichten, wenn das Teil auch nur 
einen Funken von intelligent programmiert wurde. [1]

> Wie macht man das nun bei "größeren" Netzen. Stimmt auch hier der
> Spruch "so sicher wie das schwächste Glied"?
> Im Prinzip müsste ich auf jeden Rechner im Netz iptables einrichten
> und Regeln erstellen, damit nur Ports rein dürfen, die benötigt
> werden.

Gegen Angriffe von außen wird üblicher Weise ein Firewall-Rechner oder sogar 
eine mehrstufige Firewall eingesetzt (ggf. in Verbindung mit einer DMZ). 
Sämtliche Daten von und nach draußen müssen diese Firewall passieren. 
iptables spielt hier eine wichtige Rolle, aber es gehört noch viel mehr dazu. 

Wenn so eine Firewall vernünftig geplant und sorgfältig administriert wird, 
ist das Netz dahinter gegenüber dem Internet (entsprechend der Policies) 
sicher - egal, wie der einzelne Rechner selbst konfiguriert ist. Lokale 
Sicherheitseinstellungen dort können die zentralen Firewall-Regeln ergänzen 
und (nie zu vergessen!) auch gegen andere Rechner im lokalen Netz abschirmen.

> Für den "schwachen Rechner" werde ich dann erst einmal ein Regel auf
> den Router erstellen müssen, das dieser nur ins Internet kann aber
> keinen Zugriff auf das lokale Netz hat.

Du willst den Rechner also in eine DMZ stellen.

Das finde ich persönlich für keine so gute Idee, den schwächsten Rechner 
gerade dafür zu nehmen - sozusagen als "Kanonenfutter". Wenn jemand diesen 
Rechner gekapert hat, ist er schon halb im Netz.

Letztlich hängt das aber von deinem konkreten Netz und deinem persönlichen 
Sicherheitsbedürfnis ab. 
Für ein Privatnetz mit nicht permanenter Internetverbindung und ggf. 
wechselnder IP bei jeder Einwahl sollte ein DSL-Router mit entsprechenden 
Sicherheitseinstellungen sowie ein Antivirenprogramm auf jedem PC eine gute 
Lösung sein.

------------
[1] z.B. hier: <http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#PF>

-- 
Gruß
                MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: