Hallo MaxX, Am Thu, 24 Apr 2008 18:42:11 +0200 schrieb M\. Houdek: > > Wie macht man das nun bei "größeren" Netzen. Stimmt auch hier der > > Spruch "so sicher wie das schwächste Glied"? > > Im Prinzip müsste ich auf jeden Rechner im Netz iptables einrichten > > und Regeln erstellen, damit nur Ports rein dürfen, die benötigt > > werden. > > Gegen Angriffe von außen wird üblicher Weise ein Firewall-Rechner > oder sogar eine mehrstufige Firewall eingesetzt (ggf. in Verbindung > mit einer DMZ). Sämtliche Daten von und nach draußen müssen diese > Firewall passieren. iptables spielt hier eine wichtige Rolle, aber es > gehört noch viel mehr dazu. > > Wenn so eine Firewall vernünftig geplant und sorgfältig administriert > wird, ist das Netz dahinter gegenüber dem Internet (entsprechend der > Policies) sicher - egal, wie der einzelne Rechner selbst konfiguriert > ist. Lokale Sicherheitseinstellungen dort können die zentralen > Firewall-Regeln ergänzen und (nie zu vergessen!) auch gegen andere > Rechner im lokalen Netz abschirmen. Aber kommt das nicht einer DMZ gleich? > > Für den "schwachen Rechner" werde ich dann erst einmal ein Regel auf > > den Router erstellen müssen, das dieser nur ins Internet kann aber > > keinen Zugriff auf das lokale Netz hat. > > Du willst den Rechner also in eine DMZ stellen. Ja. > Das finde ich persönlich für keine so gute Idee, den schwächsten > Rechner gerade dafür zu nehmen - sozusagen als "Kanonenfutter". Wenn > jemand diesen Rechner gekapert hat, ist er schon halb im Netz. Nur halb. Stimmt. Aber besser halb als ohne DMZ ganz. > Letztlich hängt das aber von deinem konkreten Netz und deinem > persönlichen Sicherheitsbedürfnis ab. > Für ein Privatnetz mit nicht permanenter Internetverbindung und ggf. > wechselnder IP bei jeder Einwahl sollte ein DSL-Router mit > entsprechenden Sicherheitseinstellungen sowie ein Antivirenprogramm > auf jedem PC eine gute Lösung sein. Mir ist heute Nacht eine Idee gekommen und ich denke ich werde mir noch einen WRT54GL zulegen. Damit baue ich mir ne DMZ. Der Drucke bekommt noch ein kleinen Printserver. Sicherheitsbedürfnis?! Tja, Du schließt bestimmt auch deine Haustür ab, oder? Danke Dir Dirk
Attachment:
signature.asc
Description: PGP signature