Zum Inhalt wechseln


Foto

Firewall für kleines Unternehmen


  • Bitte melde dich an um zu Antworten
61 Antworten in diesem Thema

#31 woiza

woiza

    Board Veteran

  • 2.063 Beiträge

 

Geschrieben 08. September 2006 - 21:14

...sicherheit für mich nicht nur durch das öffnen und schliessen von ports.


Korrekt, da ich ja mittlerweile ziemlich viel über z.B. 80 tunneln kann, helfen reine Portfilter nicht mehr viel. Wichtiger wird da immer mehr das Application Filtering.

jaaa, dann ist die checkpoint auch schoneinwenig mehr als eine einfache firewall ...
..wir reden hier jedoch von implemetierungen ...ein gutes Virenprogramm erkennt auch nicht "NUR Viren" sondern kann von mir aus darüber hinaus auch noch SPAM erkennen...
aber es ist sehr gut, das es derartige und vorallem SINNVOLLE lösungen gibt, ...ALL in ONE produkte.

Verstehe ich nicht. Checkpoint würde ich schon als Firewall sehen, wenn auch als sehr gute. ;)
Aber im Endeffekt handelt es sich doch bei jedem Produkt um eine Implementierung? :confused: Da weiß ich jetzt nicht genau worauf du hinauswillst.


sieh Punkte weiter oben. Ach ja, es gibt FW's die jedes Paket auf machen und rein schauen!


...Angst ...dann sollte ich wohl keine Transaktionen via https mit meiner bank tätigen :cool: ...oder wie weit schaun die in die pakete ;)
noch viel schlimmer, wenn sone "doofe" firewall meine signiert, verschlüsselten liebes e-mails an meine "weggehfreundin" lesen kann...

Weißt du, wo der https-"Tunnel" genau aufhört? Am Webserver? Am Loadbalancer? An der Firewall? Ich kann doch die SSL-Verbindung nach der ersten Firewallstufe entschlüsseln, in die Pakete schauen und diese dann in der DMZ entweder verschlüsselt oder unverschlüsselt an den Webserver weiterleiten.

Und mit deiner verschlüsselten Mail wirst du kaum einen Angriff fahren können. Also ist der Inhalt der Firewall auch egal. Wobei hier, wenn deine Freundin in nem Unternehmen sitzt noch ne andere Möglichkeit besteht. Du verschlüsselst die Mail ja mit ihrem öffentlichen Schlüssel. Es gibt Maillösungen, die automatisch alle ankommenden S-MIME Mails mit den Schlüsseln der Unternehmens-PKI auspacken und reinsehen können, z.B. von Clearswift.
Aber der interessante Teil deiner Mail, wie Envelope und Header sind ja unverschlüsselt. Hier kann sehr wohl auf RFC-Konformität geprüft werden. Auch die SMTP- Kommandos, die du absetzt sind nicht verschlüsselt und können überprüft werden.

#32 weg5st0

weg5st0

    Board Veteran

  • 2.924 Beiträge

 

Geschrieben 08. September 2006 - 21:24

Ich glaube das Problem ist einfach folgendes:

@Lucyyyyy: Eine Firewall ist KEIN Portblocker, obwohl das selbst bei Windows XP so verkauft wird. Natürlich bietet ein Portblocker ein wenig mehr Sicherheit als kein Portblocker - Mit Firewall in dem Sinne in dem alle anderen davon sprechen hat das aber nichts zu tun.

Portblocker arbeiten max. bis Schicht 4. Erkennen also, welches Protokoll angesprochen wird.

Was Ihnen aber entscheidend fehlt sind Funktionen wie:

- Application Filter: Prüfen des Datenstreams auf verdächtige Muster (auch das Erkennen eines Exploits das den Webserver oder das Mailgateway lahm legen könnte)
- Application Proxy: Bspw vorab Prüfung der Empfängerexistenz bei eingehenden Mails
- DoS Detection: Wurde schon erwähnt, z.B. Unzählige Syns ohne vollständigen Sessionaufbau
- IDS
- IP Spoofdetect
- viele viele Features mehr.

Das Problem was du dabei auch übersiehst: Ein lahmgelegter Mailserver ist nicht mehr zu gebrauchen, wenn du nicht weiss t wie der Angreifer eingedrungen ist. Den solltest du (genau wie bei einem Trojaner) neu installieren.

Es gilt also Die "dynamischen" Systeme mit statischen zu schützen. (Eine hier so genannte Hardwarefirewall hat ein spezielles OS - auch wenn es auf bspw Linux aufbaut - ist also eher statisch). Ist diese kompromittiert, erkennt sie das und macht dicht.

Sorry aber mit deiner Meinung stehst du ziemlich alleine da. Das liegt wohl unter anderem daran, daß du dich nie intensiv genug mit dem Thema befasst hast (Deshalb kam auch eine Aussage wie "nicht im Security Bereich")....

EDIT: hier kannst du dich darüber mal im Überblick informieren:
Firewall - Wikipedia
Gruss Götz
--------------------------------------------------------------------
englische Knowledgebase Artikel lassen sich rechts oben auch auf deutsch anzeigen: Article Translations - german

#33 Lucyyyyyy

Lucyyyyyy

    Junior Member

  • 110 Beiträge

 

Geschrieben 08. September 2006 - 23:40

ich lese mir das, was ihr hier schreibt sicher sorgfältig durch, stelle fest das aneinader vorbeigeredet wird.
...wir haben mit der diskussion "firewall" ...als solches angefangen... und sind nun bei application firewall gelandet :rolleyes:

ich denke gerade an ipchains (linux), das durch iptables abgelöst wurde ...und doch sind beides firewalls. UND DIES BITTE NUR ALS BEISPIEL WERTEN !! ...
IPCHAINS kannte kein stateful filtering ...weiterentwicklungen, implementierungen ...zusätzliche features, einfach "tiefer" in die pakete schauen zu können... haben iptables zu einem einfach komplexeren ...ich sage mal system werden lassen ...und wieso auch nicht.
trotzdem ist ipchains eine firewall wie iptables auch... sicherlich lässt sich der begriff jetzt wirklich sehr weit dehnen ... application firewall, ..."ganz ganz tief" in die pakete schauen zu können, exploits entdecken zu können ...leute leute ...wovon reden wir hier eigentlich...
ich meine welches software oder hardware entwickelnde unternehmen bietet noch simple firewallsysteme mit der funktionalität von ipchains an? ....ich weiss net.
vor 40 jahren waren 2 takt-automotoren wohlmöglich auch das highend... heute verkauft sich soetwas einfach nicht mehr...

linux - iptables
ipt_MASQUERADE, ipt_unclean, ipt_multiport, ipt_REJECT, ipt_state, iptable_mangle, iptable_filter, ip_conntrack_ftp, ip_nat_ftp, iptable_nat

für mich sind das MODS, ...die sich beliebig erweitern lassen, ich kann sie nutzen, implementieren oder auch nicht, bzw. nach bedarf.
ipchains konnte das nicht !
und ja, bis zu einer bestimmten ebene kann man pakete mit iptables auswerten.
leute leute, ...kann das ne tiny firewall auch? ...oder hat sie den namen firewall nicht verdient?

sorrry, aber wenn ich das hier lese --->

@Lucyyyyy: Eine Firewall ist KEIN Portblocker

...guten tag ! ...wo hab ich das verlauten lassen...

Und mit deiner verschlüsselten Mail wirst du kaum einen Angriff fahren können. Also ist der Inhalt der Firewall auch egal.

...auch davon war nicht die rede.
schau, daraufhin äusserte ich mich, ...wege gibt es natürlich immer !

Ach ja, es gibt FW's die jedes Paket auf machen und rein schauen!

...da müsste ich mich NUN ehrlich gesagt schlau machen, weil ich bisher davon ausgegangen bin, das ich bei einem asymetrisch erzeugtem schlüsselpaar, also mails die mit meinem öffentlichen schlüssel verschlüsselt wurden, auch nur mit meinem privaten schlüssel, ...den eigentlich nur ich haben sollte !! ...entschlüsselt werden kann !!
versteh ich jetzt nicht ganz !! wozu dann eine PKI oder PKIX ... wozu dann private schlüssel... wenn dritte, eigentlich unbefugte dieses entschlüsseln ...also was genau hab ich jetzt nicht verstanden? ...welche keyusage tut soetwas?

aber auch darum ging es mir nicht, weil gesagt wurde ...in jedes paket...

Du verschlüsselst die Mail ja mit ihrem öffentlichen Schlüssel....

aber da du ja nicht wissen kannst mit welchem ihrer öffentlichen schlüssel ich verschlüssele ...nunja ...oder hast du die firewall firewall mit all ihren öffentlichen schlüsseln "gefüttert"... ;) ...also ist das eine aussage ... nunja ^^ und ob mein asymetrisches schlüsselpaar durch die unternehmens pki signiert wurde ...weisst du auch nicht ...vielleicht hab ich ein selfsigned zertifikat verwendet ...soviel dazu...

- Application Filter: Prüfen des Datenstreams auf verdächtige Muster (auch das Erkennen eines Exploits das den Webserver oder das Mailgateway lahm legen könnte)
- Application Proxy: Bspw vorab Prüfung der Empfängerexistenz bei eingehenden Mails

...sorry, aber auch das bestätigt mir, das wir hier absolut am thema vorbeireden...

ist eine firewall nur ne firewall wenn sie AUCH application filtering betreibt?
packetfiltering reicht mir um sagen zu können, dies ist eine firewall... aber da sind wir wohl wieder bei den 2 takt und 4 takt motoren.
NUR wer gegen den Strom schwimmt, wird die Quelle erreichen...

#34 Lucyyyyyy

Lucyyyyyy

    Junior Member

  • 110 Beiträge

 

Geschrieben 08. September 2006 - 23:40

Verstehe ich nicht. Checkpoint würde ich schon als Firewall sehen, wenn auch als sehr gute.
Aber im Endeffekt handelt es sich doch bei jedem Produkt um eine Implementierung? Da weiß ich jetzt nicht genau worauf du hinauswillst.

sehe checkpoint auch als firewall ...gegenteiliges hab ich nie behauptet... worauf ich hinauswill?...um das verstehen zu können, muss man wohl den ganzen thread hier gaaanz gaaanz aufmerksam verfolgen
das hier leider etwas entglitten...
sollte sich hier jemand angemacht fühlen, so bitte ich diesen um entschuldigung... mit allem anderen kann ich leben ;)

...ich muss das für mich hier einfach mal sooo beenden, weils kein sinn macht...
nicht bös gemeint, weil ich die fakten nicht anders werte wie ihr, ...vielleichts liegt es ja auch an den verständigungsproblem wenn man "nur schreibt" ...

Bspw vorab Prüfung der Empfängerexistenz bei eingehenden Mails

...auch wurst ob das meine firwall kann oder einer meiner sendmail filter ...ja ich weiss, ist auch nur nen beispiel, aber das ergebnis zählt.

eine hier so genannte Hardwarefirewall hat ein spezielles OS - auch wenn es auf bspw Linux aufbaut - ist also eher statisch

wir müssen das rad nicht neu erfinden, ...vielleicht können wir uns auf ein "optimiertes OS", ...einen optimierten kernel einigen... ;)
es sei denn du erzählst mir, du bist soffwarentwickler und insider... oder hast die watchguard x-500 erfunden

P.S: WOIZA ...du zitierst mich oft... du musst schon den ganzen thread lesen und versuchen zu verstehen, sonst müsst ich jeder deiner veräusserung entgegenen, darum geht es garnicht, jedoch stimme ich dir zu ^^ ...so oder so änlich... ;)
...da dir scheinbar die zusammenhänge entgangen sind... ;)

...der thread ist sehr informativ, mit begeisterung nehme ich diesen INPUT auf...
in diesem sinne, auch ein dickes danke für diese wirklich sehr ínteressante gesprächsthema... (ehrlich gemeint)
NUR wer gegen den Strom schwimmt, wird die Quelle erreichen...

#35 weg5st0

weg5st0

    Board Veteran

  • 2.924 Beiträge

 

Geschrieben 09. September 2006 - 06:40

@Lucyyyyy Eine Firewall ist KEIN Portblocker
...guten tag ! ...wo hab ich das verlauten lassen...



Das hast du nicht gesagt, aber deine Beispiele (zu anfang gings immerhin noch um personal Firewalls) wie ipchains und iptables sind das, das sagt shcon der Name.
Sie können natürlich inzwischen mehr als reines Portblocking, bspw. erkennen einer SYN-Flood und ähnlich.

Leider reicht das heutzutage in keiner Form mehr um Server die public im Internet hängen abzusichern.
Warum das so ist kannst du bspw. damit schnell feststellen:
Top 3 Vulnerability Exploitation Tools

Um mit iptables ein Netzwerk effektiv zu schützen musst du wenigstens mit zusätzlichen Tools wie snort, tcpdump,...

iptables ist ein Paketfilter, zugegeben einer der besten, weil sehr frei konfigurierbar, aber eben nicht mehr. Und das reicht für einen Firewall nicht mehr aus, wenn er Server in einem produktiven Netz schützen soll.

Ein Firewall muss in jedem Fall getrennt von Servern sein!

EDIT::: Zitat erweitert um Missverständnis aufzuklären - Der Satz mit dem Portblocker vorneweg hat gefehlt.
Gruss Götz
--------------------------------------------------------------------
englische Knowledgebase Artikel lassen sich rechts oben auch auf deutsch anzeigen: Article Translations - german

#36 Lucyyyyyy

Lucyyyyyy

    Junior Member

  • 110 Beiträge

 

Geschrieben 09. September 2006 - 14:58

:cool: ..alles klar weg5st0 ;)
...rofl ..tcpdump ...snort... weisst überhaupt was das ist oder musstest du das erst googeln?

und du schreibst hier irgendwas, ohne zu lesen bzw. verstehen zu wollenn was andere schreiben? ...ja, sowas mag ich besonders...
scheint aber generell ein problem zu sein...

naja mir egal...
den grössten lacher hast du bei mir gelandet mit iptables und ipchains sind personal firewalls ;)

und komm von deinem ross runter... du verpackst dir den begriff firewall nach deinem geschmack... nicht mehr und nicht weniger...

sooo ich muss weg... das mir hier zu heavy

Ein Firewall muss in jedem Fall getrennt von Servern sein!

...das war der ausgangspunkt der ganzen disskussion hier ^^... und nun schau ich mir die 4 seiten hier an... nunja ...

baba und nen nice weekend :)
NUR wer gegen den Strom schwimmt, wird die Quelle erreichen...

#37 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 09. September 2006 - 15:15

:cool: ..alles klar weg5st0 ;)
...rofl ..tcpdump ...snort... weisst überhaupt was das ist oder musstest du das erst googeln?

sorry, aber du scheinst mir hier eher derjenige zu sein der erst mal solche Begriffe ergoogeln muss

und du schreibst hier irgendwas, ohne zu lesen bzw. verstehen zu wollenn was andere schreiben? ...ja, sowas mag ich besonders...
scheint aber generell ein problem zu sein...

auch das würde ich bei dir Vollständig unterschreiben. Du ignorierst hartnäckig alle Argumente

naja mir egal...
den grössten lacher hast du bei mir gelandet mit iptables und ipchains sind personal firewalls ;)

und komm von deinem ross runter... du verpackst dir den begriff firewall nach deinem geschmack... nicht mehr und nicht weniger...

ok, da muss ich dir zustimmen als personal FW würde ich die auch nicht bezeichnen ;)

sooo ich muss weg... das mir hier zu heavy


...das war der ausgangspunkt der ganzen disskussion hier ^^... und nun schau ich mir die 4 seiten hier an... nunja ...

dann schau dir die letzten 4 Seiten noch mal an und wenn du es noch immer nicht glaubst kauf dir ein paar Bücher oder Seminare zu dem Thema. Kein Sicherheitsprofi wird deine Meinung unterstützen glaub mir!

baba und nen nice weekend :)


:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!


#38 weg5st0

weg5st0

    Board Veteran

  • 2.924 Beiträge

 

Geschrieben 09. September 2006 - 15:16

:
...rofl ..tcpdump ...snort... weisst überhaupt was das ist oder musstest du das erst googeln?

den grössten lacher hast du bei mir gelandet mit iptables und ipchains sind personal firewalls ;)


Zügle deine Ausdrucksweise!

Ich habe leider schlecht zitiert. Und habe damit zum Ausdruck bringen wollen, daß iptables (eigentlich netfilter - iptables ist lediglich das Werkzeug zur Bearbeitung im Userspace) ein Paketfilter ist, darum ging es in dem Zitat. Das war nicht eindeutig und ist somit geklärt.

Zu Deiner ersten Aussage im Zitat oben, lasse ich einfach mal deine Aussagen im übrigen Thread sprechen.Jeder der was vom Thema versteht, wird sich seinen Teil denken...
Gruss Götz
--------------------------------------------------------------------
englische Knowledgebase Artikel lassen sich rechts oben auch auf deutsch anzeigen: Article Translations - german

#39 weg5st0

weg5st0

    Board Veteran

  • 2.924 Beiträge

 

Geschrieben 09. September 2006 - 15:45

Ein Firewall muss in jedem Fall getrennt von Servern sein!


Im übrigen War das in Post 11 - spätestens 12 geklärt! Da gibts einfach keine Diskussion.

Alles andere wäre um mal bei deinem Auto Vergleich zu bleiben: Alle drei Punkte des Sicherheitsgurtes direkt am Sitz befestigen. Bei den meisten Unfällen hilfts, wenns heftig wird, ists aber grade wurscht ob du einen Gurt trägst....
Gruss Götz
--------------------------------------------------------------------
englische Knowledgebase Artikel lassen sich rechts oben auch auf deutsch anzeigen: Article Translations - german

#40 woiza

woiza

    Board Veteran

  • 2.063 Beiträge

 

Geschrieben 09. September 2006 - 16:31

...da müsste ich mich NUN ehrlich gesagt schlau machen, weil ich bisher davon ausgegangen bin, das ich bei einem asymetrisch erzeugtem schlüsselpaar, also mails die mit meinem öffentlichen schlüssel verschlüsselt wurden, auch nur mit meinem privaten schlüssel, ...den eigentlich nur ich haben sollte !! ...entschlüsselt werden kann !!
versteh ich jetzt nicht ganz !! wozu dann eine PKI oder PKIX ... wozu dann private schlüssel... wenn dritte, eigentlich unbefugte dieses entschlüsseln ...also was genau hab ich jetzt nicht verstanden? ...welche keyusage tut soetwas?

Nö,

verschlüsseln tust du bei asymetrischen Verfahren immer mit den Öffentlichen Schlüssel deines Empfängers. Wie soll der sonst entschlüsseln können. Eine PKI habe ich zur Verwaltung der Schlüssel. Außerdem kann kein unbefugter dritter entschlüsseln, sondern maximal das Mailrelay des Empfängers. Das kann durchaus Sinn machen.

Stell dir nen Autozulieferer vor, der Angst davor hat, dass Mitarbeiter geheime Daten versenden. Der will aber trotzdem, dass seine Mitarbeiter verschlüsselt mailen. Also verteilt er Zertifikate und weißt seine Mitarbeiter darauf hin, dass die Mails innerhalb der Firma entschlüsselt werden.

Somit kann der Arbeitgeber durchaus die Mails entschlüsseln, weil er, je nach Einstellung ja über die PKI an die privaten Schlüssel kommen KÖNNTE.

aber auch darum ging es mir nicht, weil gesagt wurde ...in jedes paket...

aber da du ja nicht wissen kannst mit welchem ihrer öffentlichen schlüssel ich verschlüssele ...nunja ...oder hast du die firewall firewall mit all ihren öffentlichen schlüsseln "gefüttert"... ;) ...also ist das eine aussage ... nunja ^^ und ob mein asymetrisches schlüsselpaar durch die unternehmens pki signiert wurde ...weisst du auch nicht ...vielleicht hab ich ein selfsigned zertifikat verwendet ...soviel dazu...


Mir ging es auch nur darum, aufzuzeigen, dass Verschlüsselung nicht gleich Verschlüsselung ist und dass manche Produkte durchaus als Verschlüsselungsendpunkt verwendet werden können.

Das ganze Konstrukt im Perimeternetz würde ich dann Firewall nennen.

Und dann brauche ich, um wieder auf den Anfangspunkt der Diskussion zu kommen keine Firewall auf jedem System, sondern eher eine vernünftige Gesamtkonzeption, gerne auch mit IPTables, aber nicht alleine damit.

Es ist auf alle Fälle definitiv so, dass ein einzelnes FW-System leichter abzudichten ist, als 20 Systeme mit jeweils einer Firewall "onboard".

#41 woiza

woiza

    Board Veteran

  • 2.063 Beiträge

 

Geschrieben 09. September 2006 - 16:42

...das wiederum stimmt nicht.
bei rechensystemen mit direktem anschluss an das internet, Webservern, FTP- / Mai / DNS - systemen hast du direkt auf dem laufenden system eine firewall am laufen ;) das geht garnicht anders.


Das war der Ausgangspunkt und der ist schlicht falsch. Von daher denke ich nicht, dass ich noch mal den Thread durchlesen muss.

#42 weg5st0

weg5st0

    Board Veteran

  • 2.924 Beiträge

 

Geschrieben 09. September 2006 - 16:50

Mir ging es auch nur darum, aufzuzeigen, dass Verschlüsselung nicht gleich Verschlüsselung ist und dass manche Produkte durchaus als Verschlüsselungsendpunkt verwendet werden können.


Der ISA Server kann das bspw. bei SSL Verbindungen tun:

SSL bridging support - To guard against embedded attacks in HTTP traffic, SSL bridging allows SSL protected packets to be decrypted by ISA Server 2006, inspected, and re-encrypted..

Microsoft ISA Server: Features

Das (und fast alle weiteren features die die Website aufzählt) kann eben iptables ipchains und Co nicht (zumindest nicht ohne zusätzliche Tools / Dienste). Das feature wäre auch überflüssig, wenn ISA auf dem Webserver/Client direkt läuft. Aber das hatten wir ja wie gesagt schon lange geklärt!

Um sowas auf einem Linuxsystem zu realisieren brauchst du entweder ein System das hier als "Hardwarefirewall" bezeichnet wurde, das auf Linux basiert (Was bspw. auf die Firebox II von Watchguard zutrifft - ob das für die X500 auch gilt weiss ich nicht). Oder eine Sammlung von Tools wie IPcop...

Der Einsatz eines Paketfiltersystems ala netfilter ist immer Bestandteil einer Firewall, und das mag früher als Firewall bezeichnet worden sein. Aber mit "State of the Art" hat das nichts zu tun.
Du würdest wohl kaum auf die Idee kommen deine Webserver mit einer XPPro Maschine und der SP2 Firewall (die wie bereits weiter oben erwähnt diesen Namen auch nicht verdient) abzusichern....
Gruss Götz
--------------------------------------------------------------------
englische Knowledgebase Artikel lassen sich rechts oben auch auf deutsch anzeigen: Article Translations - german

#43 Lucyyyyyy

Lucyyyyyy

    Junior Member

  • 110 Beiträge

 

Geschrieben 10. September 2006 - 09:11

tcpdump, snort...sorry, aber du scheinst mir hier eher derjenige zu sein der erst mal solche Begriffe ergoogeln muss

gottseidank muss ich das nicht, ...weil ich lösungen nach einer gestellten aufgabe oder problem erst im opensource bereich suchen würde... und im OS bereich vertärkt auf LINUX setze.
tcpdump (ist für mich in ersterlinie ein sehr gutes und das wohl bekannteste consolen sniffer tool im opensource, alternativ für liebhaber der grafischen darstellung ethereal)
...und snort ein introusing detection system... sollte eigentlich jedem der einwenig mehr auf linux setzt kein fremdwort sein.
nur darum ging es ja nicht wirklich oder?

ich sehe hier eigentlich nur, das ich permanent zitiert werde, strikt auf meine ausdrucksweise und der das inhaltliche bis aufs letzte auseinander genommen wird, darauf geachtet wird...
achtet also keiner derjenigen in einem posting darauf, bietet er allen anderen einen breitgestreute(n) angriffspunkt(e)

egal wie hartnäckig ich argumente in euren augen ignoriere, was ich ja eigentlich garnicht tue und hiermit dementieren möchte...
es ist eben nicht so das ich mich zu keiner zeit mit diesem thema auseinander gesetzt habe, mir jedoch genau dieses unterstellt wird, gar versucht wird zu suggerieren...
das passiert eben in einer diskussion, wenn zuviele leute zuviel wissen, seminare besucht haben, erfahrungen gesammelt haben etc.

genau in diesem zusammenhang ist es mir nicht gestattet, genauso peinlichst darauf zu achten?

dann schau dir die letzten 4 Seiten noch mal an und wenn du es noch immer nicht glaubst kauf dir ein paar Bücher oder Seminare zu dem Thema. Kein Sicherheitsprofi wird deine Meinung unterstützen glaub mir!

...glaub ich dir.

was hier zu keiner zeit erfolgt ist, tatsächlich geklärt wurde ist...
wie setzt sich das zu schützende netzwerk zusammen, sind es tatsächlich produktivsysteme oder ist es ein schlichter webservice...
existiert eine aufgabenstelllung und gilt es ein existentes sicherheitsproblem zu lösen...
ich denke das es mehrere ansätze geben kann, steht nicht zur frage.
danach bemesse ich ob die lösung oversized sinn macht oder nicht...

ebenfalls gehen die meinungen stark auseinander was den begriff firewall betrifft...
für die einen ist es ein komplexes system ...eine komplexe softwarelösung ... (watchguard x-500, checkpoint ) ...für andere ist iptables netfilter auch schon eine firewall...
iptables mit, in meinen augen mit erweiterter funktionalität wie snort, die unmittelbar das packetfiltering beeinflussen, ...die koppplung mehrer dienste, also auch damit verbundene installation mehrer unabhängiger softwarlösungen... führe zu einer ähnlichen kompakten lösung ...eben ein anderer weg.
aber das hatte ich auch schon längst erwähnt... (siehe post 14)
NUR wer gegen den Strom schwimmt, wird die Quelle erreichen...

#44 Lucyyyyyy

Lucyyyyyy

    Junior Member

  • 110 Beiträge

 

Geschrieben 10. September 2006 - 09:12

das fängt nicht zuletzt damit an, das du security patches durchführst, sie aufmerksam verfolgst und so die schwachstellen und lücken die DoS verursachen schliesst.d.h. wenn man auf einem mailsystem lediglich den port 25 offen hält, von mir aus auch noch 465, ...dann muss man NUR den maildienst vor DoS Attacken schützen (security patches für den MTA ! ) und ggf. die firewall, die auch abstürzen könnte bzw. im zweifelsfall blockiert. (schutz also auf application ebene, kenn keine firewall die die pakete checkt, also deren inhalt... )
saubere administration, intrusiondetection und sorgfältiges logging... was kann man mehr dazu sagen.

...ich glaub hier wurde introusing detection von mir angesprochen!
...zum ende hin fühlte ich mich auch noch angemacht? ...weil ich durch weg5st0 genau auf deratige feature die im zusammenwirken mit iptables greifen "könnten" angesprochen wurde?
ehmmm, mir fehlen da jetzt wirklich die worte... oder was soll denn das hier?

Um mit iptables ein Netzwerk effektiv zu schützen musst du wenigstens mit zusätzlichen Tools wie snort, tcpdump,...

ja hallo? hab ich denn im post 14 etwas anderes gemeint?...oder wurde das grosszügig überlesen oder ignoriert? ...oder wurde nur darauf wert gelegt, mich grosszügigst zitieren zu können? und durchgekautes weiter durchzukauen...

ich nehme jedenfalls für mich mit, das man den begriff Firewall sehr weit dehnen kann, was auch hier geschieht, ...sich anforderungen an eine firewall (eine komplettlösung oder das zusammenwirken mehrer kleiner unabhängiger softwarelösungen zu einem ebenso kompakten system ausbauen lassen)

@weg5st0

Alles andere wäre um mal bei deinem Auto Vergleich zu bleiben: Alle drei Punkte des Sicherheitsgurtes direkt am Sitz befestigen. Bei den meisten Unfällen hilfts, wenns heftig wird, ists aber grade wurscht ob du einen Gurt trägst....

...wie wahr. dem hab ich nichts entgegenszusetzen., ein philosophischer ansatz.
nun muss man nur noch die aufgabenstellung kennen, diese auto sollte nur für eine 20-iger zone zugelassen sein, wohlmöglich bietet dieses gurtsystem ausreichend schutz zu diesem zwecke und ist nicht "oversized" und gemessen am aufwand schutz betreiben zu wollen, so ganz ohne überrollbügel ...die effektivste lösung.

Um sowas auf einem Linuxsystem zu realisieren brauchst du entweder ein System das hier als "Hardwarefirewall" bezeichnet wurde, das auf Linux basiert (Was bspw. auf die Firebox II von Watchguard zutrifft - ob das für die X500 auch gilt weiss ich nicht). Oder eine Sammlung von Tools wie IPcop...

...damit möcht ich das an dieser stelle mal abbrechen, ...denn nichts anderes verstehe ich letztenendes unter einer "guten firewall ..."
...aber so ist das nunmal im opensource ...viele kleine dinge ergänzen sich völlig unabhängig zu einem grossen ganzen ...und man hat einfluss darauf, ob das endprodukt oversized ist oder nicht... hab ich diese wahl bei checkpoint auch?

@weg5st0 ...danke für deine PN ...und sorry!! ...seh das bitte nicht zu eng, weil ich hier keinem der beteiligten unwissenheit unterstellen würde... im gegenteil

Zügle deine Ausdrucksweise!

...wie beim militär? ...Zügle bitte deine Ausdrucksweise! ...würde auch hier zum guten ton gehören, wenn du es besser machen würdest wollen als ich ;)

...das mit den SSL, PKIX PKI gehört nicht weiter hierher.... muss man nicht weiter ausdehnen... da dem produkt "verschlüsselungsendpunkt" die öffentlichen schlüssel bekannt sein müssten... leider kannst du nicht wissen, welcher öffentliche schlüssel verwendet wurde... und dazu muss ich mich nicht der PKI des unternehmens bedienen.
NUR wer gegen den Strom schwimmt, wird die Quelle erreichen...

#45 Velius

Velius

    Expert Member

  • 5.645 Beiträge

 

Geschrieben 10. September 2006 - 09:28

Hey Leute, ich glaube wir sollten alle wieder einen Gang runterschalten! So wichtig ist das Thema auch wieder nicht (welches ist das schon), oder?;)