[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Netzwerk Sicherheits Frage

Am Freitag 25 April 2008 08:11:07 schrieb Dirk Schleicher:
> Hallo MaxX,
>
> Am Thu, 24 Apr 2008 18:42:11 +0200
>
> schrieb M\. Houdek:
> > > Wie macht man das nun bei "größeren" Netzen. Stimmt auch hier der
> > > Spruch "so sicher wie das schwächste Glied"?
> > > Im Prinzip müsste ich auf jeden Rechner im Netz iptables einrichten
> > > und Regeln erstellen, damit nur Ports rein dürfen, die benötigt
> > > werden.
> >
> > Gegen Angriffe von außen wird üblicher Weise ein Firewall-Rechner
> > oder sogar eine mehrstufige Firewall eingesetzt (ggf. in Verbindung
> > mit einer DMZ). Sämtliche Daten von und nach draußen müssen diese
> > Firewall passieren. iptables spielt hier eine wichtige Rolle, aber es
> > gehört noch viel mehr dazu.
> >
> > Wenn so eine Firewall vernünftig geplant und sorgfältig administriert
> > wird, ist das Netz dahinter gegenüber dem Internet (entsprechend der
> > Policies) sicher - egal, wie der einzelne Rechner selbst konfiguriert
> > ist. Lokale Sicherheitseinstellungen dort können die zentralen
> > Firewall-Regeln ergänzen und (nie zu vergessen!) auch gegen andere
> > Rechner im lokalen Netz abschirmen.
>
> Aber kommt das nicht einer DMZ gleich?

Nein, eine DMZ ist ein eigenes LAN-Segment, in dem gemeinhin Rechner stehen, 
die Dienste ins Internet anbieten bzw. sehr intensiven Kontakt ins Internet 
haben (z.B. Mailserver, HTTP/FTP-Proxy etc.). Dieses hat zwangsläufig einige 
offene Kanäle ins Internet, hat aber andererseits nur minimale Rechte zum 
Zugriff auf das Firmen-/HomeLAN.

> > > Für den "schwachen Rechner" werde ich dann erst einmal ein Regel auf
> > > den Router erstellen müssen, das dieser nur ins Internet kann aber
> > > keinen Zugriff auf das lokale Netz hat.
> >
> > Du willst den Rechner also in eine DMZ stellen.
>
> Ja.

Dann mach das. Viele Hardwarerouter bieten das von Haus aus an.

> > Das finde ich persönlich für keine so gute Idee, den schwächsten
> > Rechner gerade dafür zu nehmen - sozusagen als "Kanonenfutter". Wenn
> > jemand diesen Rechner gekapert hat, ist er schon halb im Netz.
>
> Nur halb. Stimmt. Aber besser halb als ohne DMZ ganz.

Auch wieder wahr. 
Da du aber auf Windows-Systemen nicht so zu Hause bist (wie du selbst 
schreibst), düftest du auch Schwierigkeiten damit haben festzustellen, ob 
dein Rechner bereits kompromittiert ist. Du holst dir also potentiell 
den "Feind" ins Vorzimmer.

> > Letztlich hängt das aber von deinem konkreten Netz und deinem
> > persönlichen Sicherheitsbedürfnis ab.
> > Für ein Privatnetz mit nicht permanenter Internetverbindung und ggf.
> > wechselnder IP bei jeder Einwahl sollte ein DSL-Router mit
> > entsprechenden Sicherheitseinstellungen sowie ein Antivirenprogramm
> > auf jedem PC eine gute Lösung sein.
>
> Mir ist heute Nacht eine Idee gekommen und ich denke ich werde mir noch
> einen WRT54GL zulegen. Damit baue ich mir ne DMZ. Der Drucke bekommt
> noch ein kleinen Printserver.

Mein WRT54G (schon ein wenig älter) konnte eine DMZ verwalten, wenn ich mich 
recht erinnere. Dafür bräuchtest du dann keinen 2. Router.

> Sicherheitsbedürfnis?! Tja, Du schließt bestimmt auch deine Haustür ab,
> oder?

Ja, aber ich vergittere nicht noch die Fenster und schütze den Gartenzaun mit 
Selbstschussanlagen (die gab es glaub ich nach 1990 ganz günstig ;-) und 
Minenfeld.

-- 
Gruß
                MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: