Lucyyyyyy

wenn ich das richtig verstanden habe, dann habt ihr einen eigenen BIND der im internen Netz für die namensauflösung domäne.ch zuständig ist...

########

die zonen datei domain.ch

-----

$ORIGIN domäne.ch

IN SOA dns.domäne.ch root (

26779 ; serial

0 ; refresh (0 seconds)

0 ; retry (0 seconds)

1209600 ; expire (2 weeks)

3600 ; minimum (1 hour)

)

irgendein_host IN A 192.168.0.1

irgendein_anderer IN A 192.168.0.1

.

.

...und so weiter

es hindert dich nichts daran diesen eintrga vorzunehmen:

www IN A 172.67.35.2 (z.b. die ausgelagerte IP eures ISP)

----------------------------

euer internen dns kann dies nun auflösen

...möchtest du das "www" auch reverse auflösen, müsstest du eine neue zonen datei anlegen...

z.b. 35.67.172.in-addr-arpa

und dort den eintrag

172.67.35.2 IN PTR http://www.domäne.ch.

vornehmen ..thts it ...

ich find das mit den einsen und nullen immer recht verworren...

hier eine (zumindest für mich einfachere variante:

-------------------------------

255 (256 gesamt, da man ja die null mitzählt)). = 8 bit

z.b. Netzmaske

.../255 . 255 . 255 . 0

.../8bit . 8bit . 8bit . 0bit = ( 3 x 8bit = 24bit ) also eine 24 bit netzmaske (24 bit netzanteil), bleiben dir 8bit (8bit Hostanteil) für die adressieren der hosts.

so ist z.b. ..../255.255.255.255 eine 32bit netzmaske

sprich 192.168.1.1 / 32 eine einzelne IP adresse

2 = 1 bit

4 = 2 bit

8 = 3 bit

16 = 4 bit

32 = 5 bit

64 = 6 bit

128 = 7 bit

256 = 8 bit

d.h. bei 255 . 255 . 248 . 0

256 - 248 = 8 ( als 8 für den hostanteil im dritten oktet der notation 255 . 255 . 248 . 0 )

du hast 8 Teilnetze im 3. Oktett, dies entspricht siehe oben 3 bit

im letzten oktet hast du 8 bit frei

also insgesamt 11 freie bit für den hostanteil

ausgehend von 32 bit ergibt sich 32 - 11 = 21

8 Teilnetze:

########

220.78.168 ( das 1. netz)

220.78.169 ( das 2. netz )

.

220.78.175 (das 8. Netz )

also wie meine vorredner richtig posteten:

220.78.168.0/255.255.248.0

oder

220.78.168.0/21

...just another way

...DFS trifft es nicht ganz (imho), ...wenn man "weiss" ...und etwas mit "mount" anfangen kann. ich zumindest würde DFS nicht mit mount vergleichen wollen.

Quasi-Mounting (Datenträgerverwaltung: ...in diesem NTFS-Ordner bereitstellen) kennt Windows seit W2K, für NT4 gab es einTool von Sysinternals

wenn dies jetzt so heissen würde:

Inhaltsdaten des Netzlaufwerkes (\\server\freigabe) --- in diesem NTFS-Ordner bereitstellen. ...das wärs, ich denke darauf möchte mickey hinaus...

soweit mir bekannt geht das "MS" Mount eben nur für lokale datenträger...

noch ein beispiel...

ich lege mir auf partition D: einen ordner test an ( D:\test )

in den ordner test mounte ich mir die freigabe \\server\c$ , ...

wenn ich nun im explorer D:\test anklicke sehe ich diese struktur:

D:\test\Dokumente und einstellungen

D:\test\winnt

D:\test\Programme

...und so weiter

...stichwort ...MOUNT... egal ob partition oder eine freigegeben ressource auf einem anderen system ...

unter linux kann man sich so z.b.m mit einem samba mount diese freigabe unter /opt/freigabe einbinden.

unter windows weiss ich das man dies nur mit partitionen direkt in ordner machen kann ...und das auch nur ab 2003?

das meinte wohl mickey ...

also beispielsweise soll \\server\freigabe unter c:\windows\diesefreigabe zu sehen sein...

generell schon...

dennoch sollte man bedenken, das in einer pki, pkix der private key der schlüssel-teil des asymmetrisch erzeugten schlüsselpaares ist, der eigentlich NUR DEM Eigentümer, ...in deinem fall einem deiner mitarbeiter bekannt sein sollte bzw. den nur er besitzen sollte.

jenachdem wie du deine zertifizierungsrichtlinien definierst, kannst du das auch etwas lockerer betrachten und das asymmetrische schlüsselpaar für die mitarbeiter erzeugen.

ich kann dir allerdings nicht genau sagen, wie das genau bei dem zert-dienst von microsoft funktioniert, da dies ja eine webbasierte anwendung ist, zertifikate online ausgestellt werden.

ich selbst arbeite mit openssl, da ist das sehr gut möglich.

wenn du an den private key der certifikate-authority (CA) kommst, sollte dir nichts mehr im wege stehen, dir tools wie openssl nutzbar zu machen und selbiges zu tun.

ich selbst halte nicht soviel von diesen online- /webbasierten zertifikats-anwendungen, weil dir viel zuviel arbeit abgenommen wird und man nur schwer "zu verstehen lernt" ...wobei es darum wirklich geht.

der keinen Arbeitsplatz in der Firma (aber ein Benutzerkonto in der Domäne) hat

...würd ich sagen im zweifelsfall: ...von einem arbeitsplatz "als dieser" user in der domain anmelden und zertifikat anfordern über deinen IIS

danach das benutzerzertifikat installieren und danach kannst du es ja wieder wie beschrieben exportieren.

mfg

...soweit ich weiss, werden zertifikate (im PFX oder P12 format), also mit dem dazugehörigen private key immer im zertifikatsspeicher "eigene zertifikate" abgelegt, ...insofern man den speicherort nicht selbst bzw. manuell auswählt.

wichtiger ist denke ich, das das zertifikat den entsprechenden zweck ( definiert) über key usage/ extend keyusage inne hält. siehe auch object identifier oid

(extended keyusage)

Serverauthentifizierung (Webserver) 1.3.6.1.5.5.7.3.1

IPSec end system 1.3.6.1.5.5.7.3.5

Client authentication 1.3.6.1.5.5.7.3.2

IPSec tunnel 1.3.6.1.5.5.7.3.6

Code signing 1.3.6.1.5.5.7.3.3

IPSec user 1.3.6.1.5.5.7.3.7

Email Protection 1.3.6.1.5.5.7.3.4

Timestamping 1.3.6.1.5.5.7.3.8

Netscape SGC 2.16.840.1.113730.4.1

Microsoft Server Gated Crypto - SGC 1.3.6.1.4.1.311.10.3.3

enthält das zertifikat nicht die entsprechende extended keyusage ( z.B. IPSEC user)... dann findet er es natürlich auch nicht wenn du es verwenden willst, bzw. wird es dir nicht angezeigt...

deshalb ist benutzerzertifikat auch nicht gleich benutzerzertifikat.

gruss

das fängt nicht zuletzt damit an, das du security patches durchführst, sie aufmerksam verfolgst und so die schwachstellen und lücken die DoS verursachen schliesst.d.h. wenn man auf einem mailsystem lediglich den port 25 offen hält, von mir aus auch noch 465, ...dann muss man NUR den maildienst vor DoS Attacken schützen (security patches für den MTA ! ) und ggf. die firewall, die auch abstürzen könnte bzw. im zweifelsfall blockiert. (schutz also auf application ebene, kenn keine firewall die die pakete checkt, also deren inhalt... )

saubere administration, intrusiondetection und sorgfältiges logging... was kann man mehr dazu sagen.

...ich glaub hier wurde introusing detection von mir angesprochen!

...zum ende hin fühlte ich mich auch noch angemacht? ...weil ich durch weg5st0 genau auf deratige feature die im zusammenwirken mit iptables greifen "könnten" angesprochen wurde?

ehmmm, mir fehlen da jetzt wirklich die worte... oder was soll denn das hier?

Um mit iptables ein Netzwerk effektiv zu schützen musst du wenigstens mit zusätzlichen Tools wie snort, tcpdump,...

ja hallo? hab ich denn im post 14 etwas anderes gemeint?...oder wurde das grosszügig überlesen oder ignoriert? ...oder wurde nur darauf wert gelegt, mich grosszügigst zitieren zu können? und durchgekautes weiter durchzukauen...

ich nehme jedenfalls für mich mit, das man den begriff Firewall sehr weit dehnen kann, was auch hier geschieht, ...sich anforderungen an eine firewall (eine komplettlösung oder das zusammenwirken mehrer kleiner unabhängiger softwarelösungen zu einem ebenso kompakten system ausbauen lassen)

@weg5st0

Alles andere wäre um mal bei deinem Auto Vergleich zu bleiben: Alle drei Punkte des Sicherheitsgurtes direkt am Sitz befestigen. Bei den meisten Unfällen hilfts, wenns heftig wird, ists aber grade wurscht ob du einen Gurt trägst....

...wie wahr. dem hab ich nichts entgegenszusetzen., ein philosophischer ansatz.

nun muss man nur noch die aufgabenstellung kennen, diese auto sollte nur für eine 20-iger zone zugelassen sein, wohlmöglich bietet dieses gurtsystem ausreichend schutz zu diesem zwecke und ist nicht "oversized" und gemessen am aufwand schutz betreiben zu wollen, so ganz ohne überrollbügel ...die effektivste lösung.

Um sowas auf einem Linuxsystem zu realisieren brauchst du entweder ein System das hier als "Hardwarefirewall" bezeichnet wurde, das auf Linux basiert (Was bspw. auf die Firebox II von Watchguard zutrifft - ob das für die X500 auch gilt weiss ich nicht). Oder eine Sammlung von Tools wie IPcop...

...damit möcht ich das an dieser stelle mal abbrechen, ...denn nichts anderes verstehe ich letztenendes unter einer "guten firewall ..."

...aber so ist das nunmal im opensource ...viele kleine dinge ergänzen sich völlig unabhängig zu einem grossen ganzen ...und man hat einfluss darauf, ob das endprodukt oversized ist oder nicht... hab ich diese wahl bei checkpoint auch?

@weg5st0 ...danke für deine PN ...und sorry!! ...seh das bitte nicht zu eng, weil ich hier keinem der beteiligten unwissenheit unterstellen würde... im gegenteil

Zügle deine Ausdrucksweise!

...wie beim militär? ...Zügle bitte deine Ausdrucksweise! ...würde auch hier zum guten ton gehören, wenn du es besser machen würdest wollen als ich ;)

...das mit den SSL, PKIX PKI gehört nicht weiter hierher.... muss man nicht weiter ausdehnen... da dem produkt "verschlüsselungsendpunkt" die öffentlichen schlüssel bekannt sein müssten... leider kannst du nicht wissen, welcher öffentliche schlüssel verwendet wurde... und dazu muss ich mich nicht der PKI des unternehmens bedienen.

tcpdump, snort...sorry, aber du scheinst mir hier eher derjenige zu sein der erst mal solche Begriffe ergoogeln muss

gottseidank muss ich das nicht, ...weil ich lösungen nach einer gestellten aufgabe oder problem erst im opensource bereich suchen würde... und im OS bereich vertärkt auf LINUX setze.

tcpdump (ist für mich in ersterlinie ein sehr gutes und das wohl bekannteste consolen sniffer tool im opensource, alternativ für liebhaber der grafischen darstellung ethereal)

...und snort ein introusing detection system... sollte eigentlich jedem der einwenig mehr auf linux setzt kein fremdwort sein.

nur darum ging es ja nicht wirklich oder?

ich sehe hier eigentlich nur, das ich permanent zitiert werde, strikt auf meine ausdrucksweise und der das inhaltliche bis aufs letzte auseinander genommen wird, darauf geachtet wird...

achtet also keiner derjenigen in einem posting darauf, bietet er allen anderen einen breitgestreute(n) angriffspunkt(e)

egal wie hartnäckig ich argumente in euren augen ignoriere, was ich ja eigentlich garnicht tue und hiermit dementieren möchte...

es ist eben nicht so das ich mich zu keiner zeit mit diesem thema auseinander gesetzt habe, mir jedoch genau dieses unterstellt wird, gar versucht wird zu suggerieren...

das passiert eben in einer diskussion, wenn zuviele leute zuviel wissen, seminare besucht haben, erfahrungen gesammelt haben etc.

genau in diesem zusammenhang ist es mir nicht gestattet, genauso peinlichst darauf zu achten?

dann schau dir die letzten 4 Seiten noch mal an und wenn du es noch immer nicht glaubst kauf dir ein paar Bücher oder Seminare zu dem Thema. Kein Sicherheitsprofi wird deine Meinung unterstützen glaub mir!

...glaub ich dir.

was hier zu keiner zeit erfolgt ist, tatsächlich geklärt wurde ist...

wie setzt sich das zu schützende netzwerk zusammen, sind es tatsächlich produktivsysteme oder ist es ein schlichter webservice...

existiert eine aufgabenstelllung und gilt es ein existentes sicherheitsproblem zu lösen...

ich denke das es mehrere ansätze geben kann, steht nicht zur frage.

danach bemesse ich ob die lösung oversized sinn macht oder nicht...

ebenfalls gehen die meinungen stark auseinander was den begriff firewall betrifft...

für die einen ist es ein komplexes system ...eine komplexe softwarelösung ... (watchguard x-500, checkpoint ) ...für andere ist iptables netfilter auch schon eine firewall...

iptables mit, in meinen augen mit erweiterter funktionalität wie snort, die unmittelbar das packetfiltering beeinflussen, ...die koppplung mehrer dienste, also auch damit verbundene installation mehrer unabhängiger softwarlösungen... führe zu einer ähnlichen kompakten lösung ...eben ein anderer weg.

aber das hatte ich auch schon längst erwähnt... (siehe post 14)

Leider sehr spontan... Sei wenigstens ehrlich - du hast das Ding weder gesehen noch irgendwie im Einsatz. Das Teil wurde 2500 mal bei SF runtergeladen, doku gibts nur in spanisch, lediglich beta-release, keine featureliste,....

ja eben, wie ich schrieb spontan...

1) ...in einer damaligen version meines webmins gab es es ein thirdpart modul

(MON Service Monitor mon.wbm.gz Setup MON, a powerful service monitor and alerting system).

ich habe zum damaligen zeitpunkt soetwas gesucht und ich glaube zu wissen, das es dieser monitord war... ich kam leider in die verlegenheit diesen komplieren zu müssen und zu installieren und auszuprobieren.

leider genügte er nicht meinen ansprüchen bzw. konnte ich nicht das machen, was ich vorhatte.

nicht immer sind ältere programme mit einer downloadrate von 2500 schlecht oder gar unfunktionell...

zugegeben mag der "schlechtere" support und die Sprache sich als problematisch erweisen, sollte mich aber nicht daran hindern dieses zumindest zu testen.

und vielleicht hatte ich ein einziges, klitze kleines problem und brauchte keinen oversizeded monitoring tool...

um das analysieren zu können, braucht man auch eine konkrete aufgaben/anforderungs -stellung. ( in jedem fall hab ich keine oversized lösung gesucht @weg5st0 )

sooo und nun schau ich mir den ersten satz vom thread ersteller an....

so ein Produkt von HP, aber das war direkt unbezahlbar (und oversized).

...nur deshalb hab ich mich geäussert und war wie richtig bemerkt nur ein tip.

in diesem sinne hab ich es nicht im einsatz (hast recht), aber davon war von mir auch nicht die rede was eindeutig aus meinem geschriebenen hervorgeht... ansonsten muss ich dich entäuschen ...habs leider installiert und getestet...

:cool: ..alles klar weg5st0 ;)

...rofl ..tcpdump ...snort... weisst überhaupt was das ist oder musstest du das erst googeln?

und du schreibst hier irgendwas, ohne zu lesen bzw. verstehen zu wollenn was andere schreiben? ...ja, sowas mag ich besonders...

scheint aber generell ein problem zu sein...

naja mir egal...

den grössten lacher hast du bei mir gelandet mit iptables und ipchains sind personal firewalls ;)

und komm von deinem ross runter... du verpackst dir den begriff firewall nach deinem geschmack... nicht mehr und nicht weniger...

sooo ich muss weg... das mir hier zu heavy

Ein Firewall muss in jedem Fall getrennt von Servern sein!

...das war der ausgangspunkt der ganzen disskussion hier ^^... und nun schau ich mir die 4 seiten hier an... nunja ...

baba und nen nice weekend :)

Ich glaube das kannste lassen

smile ..hab nicht auf das datum geachtet, ...aber da ich nicht wissen kann, was es denn zu monitoren gibt und monitord durchaus noch funktionieren kann, und vielleicht auch wesentlich leichter zu administrieren ist als nagios und alle anforderungen des "problemkindes" erfüllt... wieso nicht ? ...zum anschauen reichts allemale

smtp gabs 2001 eins doch auch schon oder? ...könnt sogar mir monitord machbar sein ;) ...war auch nur nen spontaner tip

wobei es folgendes noch genau zu klären gibt...

Lösungen nur für Windows verwirft mein Chef direkt und endgültig.

ist damit ausschliesslich die installationsplattform gemeint? ...dann fällt whatsup aus oder? ;)

Verstehe ich nicht. Checkpoint würde ich schon als Firewall sehen, wenn auch als sehr gute.

Aber im Endeffekt handelt es sich doch bei jedem Produkt um eine Implementierung? Da weiß ich jetzt nicht genau worauf du hinauswillst.

sehe checkpoint auch als firewall ...gegenteiliges hab ich nie behauptet... worauf ich hinauswill?...um das verstehen zu können, muss man wohl den ganzen thread hier gaaanz gaaanz aufmerksam verfolgen

das hier leider etwas entglitten...

sollte sich hier jemand angemacht fühlen, so bitte ich diesen um entschuldigung... mit allem anderen kann ich leben ;)

...ich muss das für mich hier einfach mal sooo beenden, weils kein sinn macht...

nicht bös gemeint, weil ich die fakten nicht anders werte wie ihr, ...vielleichts liegt es ja auch an den verständigungsproblem wenn man "nur schreibt" ...

Bspw vorab Prüfung der Empfängerexistenz bei eingehenden Mails

...auch wurst ob das meine firwall kann oder einer meiner sendmail filter ...ja ich weiss, ist auch nur nen beispiel, aber das ergebnis zählt.

eine hier so genannte Hardwarefirewall hat ein spezielles OS - auch wenn es auf bspw Linux aufbaut - ist also eher statisch

wir müssen das rad nicht neu erfinden, ...vielleicht können wir uns auf ein "optimiertes OS", ...einen optimierten kernel einigen... ;)

es sei denn du erzählst mir, du bist soffwarentwickler und insider... oder hast die watchguard x-500 erfunden

P.S: WOIZA ...du zitierst mich oft... du musst schon den ganzen thread lesen und versuchen zu verstehen, sonst müsst ich jeder deiner veräusserung entgegenen, darum geht es garnicht, jedoch stimme ich dir zu ^^ ...so oder so änlich... ;)

...da dir scheinbar die zusammenhänge entgangen sind... ;)

...der thread ist sehr informativ, mit begeisterung nehme ich diesen INPUT auf...

in diesem sinne, auch ein dickes danke für diese wirklich sehr ínteressante gesprächsthema... (ehrlich gemeint)

ich lese mir das, was ihr hier schreibt sicher sorgfältig durch, stelle fest das aneinader vorbeigeredet wird.

...wir haben mit der diskussion "firewall" ...als solches angefangen... und sind nun bei application firewall gelandet :rolleyes:

ich denke gerade an ipchains (linux), das durch iptables abgelöst wurde ...und doch sind beides firewalls. UND DIES BITTE NUR ALS BEISPIEL WERTEN !! ...

IPCHAINS kannte kein stateful filtering ...weiterentwicklungen, implementierungen ...zusätzliche features, einfach "tiefer" in die pakete schauen zu können... haben iptables zu einem einfach komplexeren ...ich sage mal system werden lassen ...und wieso auch nicht.

trotzdem ist ipchains eine firewall wie iptables auch... sicherlich lässt sich der begriff jetzt wirklich sehr weit dehnen ... application firewall, ..."ganz ganz tief" in die pakete schauen zu können, exploits entdecken zu können ...leute leute ...wovon reden wir hier eigentlich...

ich meine welches software oder hardware entwickelnde unternehmen bietet noch simple firewallsysteme mit der funktionalität von ipchains an? ....ich weiss net.

vor 40 jahren waren 2 takt-automotoren wohlmöglich auch das highend... heute verkauft sich soetwas einfach nicht mehr...

linux - iptables

ipt_MASQUERADE, ipt_unclean, ipt_multiport, ipt_REJECT, ipt_state, iptable_mangle, iptable_filter, ip_conntrack_ftp, ip_nat_ftp, iptable_nat

für mich sind das MODS, ...die sich beliebig erweitern lassen, ich kann sie nutzen, implementieren oder auch nicht, bzw. nach bedarf.

ipchains konnte das nicht !

und ja, bis zu einer bestimmten ebene kann man pakete mit iptables auswerten.

leute leute, ...kann das ne tiny firewall auch? ...oder hat sie den namen firewall nicht verdient?

sorrry, aber wenn ich das hier lese --->

@Lucyyyyy: Eine Firewall ist KEIN Portblocker

Und mit deiner verschlüsselten Mail wirst du kaum einen Angriff fahren können. Also ist der Inhalt der Firewall auch egal.

...auch davon war nicht die rede.

schau, daraufhin äusserte ich mich, ...wege gibt es natürlich immer !

Ach ja, es gibt FW's die jedes Paket auf machen und rein schauen!

...da müsste ich mich NUN ehrlich gesagt schlau machen, weil ich bisher davon ausgegangen bin, das ich bei einem asymetrisch erzeugtem schlüsselpaar, also mails die mit meinem öffentlichen schlüssel verschlüsselt wurden, auch nur mit meinem privaten schlüssel, ...den eigentlich nur ich haben sollte !! ...entschlüsselt werden kann !!

versteh ich jetzt nicht ganz !! wozu dann eine PKI oder PKIX ... wozu dann private schlüssel... wenn dritte, eigentlich unbefugte dieses entschlüsseln ...also was genau hab ich jetzt nicht verstanden? ...welche keyusage tut soetwas?

aber auch darum ging es mir nicht, weil gesagt wurde ...in jedes paket...

Du verschlüsselst die Mail ja mit ihrem öffentlichen Schlüssel....

aber da du ja nicht wissen kannst mit welchem ihrer öffentlichen schlüssel ich verschlüssele ...nunja ...oder hast du die firewall firewall mit all ihren öffentlichen schlüsseln "gefüttert"... ;) ...also ist das eine aussage ... nunja ^^ und ob mein asymetrisches schlüsselpaar durch die unternehmens pki signiert wurde ...weisst du auch nicht ...vielleicht hab ich ein selfsigned zertifikat verwendet ...soviel dazu...

- Application Filter: Prüfen des Datenstreams auf verdächtige Muster (auch das Erkennen eines Exploits das den Webserver oder das Mailgateway lahm legen könnte)

- Application Proxy: Bspw vorab Prüfung der Empfängerexistenz bei eingehenden Mails

...sorry, aber auch das bestätigt mir, das wir hier absolut am thema vorbeireden...

ist eine firewall nur ne firewall wenn sie AUCH application filtering betreibt?

packetfiltering reicht mir um sagen zu können, dies ist eine firewall... aber da sind wir wohl wieder bei den 2 takt und 4 takt motoren.

...wirklich helfen in dieser situation? --> 3 schicht system.

irgendwann hat auch der admin seinen feierabend verdient.

ansonsten kann ich mich meinen vorredner Squire nur anschliessen...

das was du brauchst sind monitoring programme die bestimmte aktionen ausführen... als ereignis dem admin um 2 uhr in der früh eine sms schicken oder den beeper wild vibrieren lassen.

monitoring dienste von simple bis oversized... von opensource bis "ziemlich teuer"...

letzten endes tun sie jedoch alle das gleiche , überwachen, reagieren und agieren...

ich habe mir bei ebay nen recht alten 19" server von compaq gekauft ...pentium 1,4 ghz DL360 G2, ...die haben soetwas sogar on board ...nennt sich glaub ich ASR ...automatic server recovery ... server schmiert ab, blue screen ...neustart...

opensource ...linux ...schau dir den monitoring daemon an ...kostet nix und recht einfach in der bedienung ...über den webmin verwaltbar...

hab mir den nur kurz angeschaut und kann leider keine genauen auskünfte erteilen .... kostet nichts und tut wie jedes monitoring "tool" seinen dienst ...

SourceForge.net: monitord

ich werd mir das jedenfalls noch genauer anschaun, hab leider bisher noch nicht die zeit gefunden...

...hehe Velius :D ...ich nich ...aber so gesehn interessiert mich das schon ^^ ...man muss ja nicht nur immer helfen wollen in sonem forum ...nen meinungsaustausch ist auch was feines = INPUT ^^

Heute verwendet man jedoch weitgehend CIDR, Classless Internet Domain Routing. Das heißt, man ist nicht mehr auf Netzklassen A, B und C festgelegt, sondern kann auch kleinere Netze verwenden. Dadurch werden Netzmasken wie zum Beispiel 255.255.255.252, kurz 30 verwendet, die ein Netz mit lediglich 4 IP Adressen bezeichnet, das kleinste sinnvolle Netz (2 IP ist wenig sinnvoll, da ja die erste [kleinste] Adresse das Netzwerk, und die größte für Broadcast reserviert ist, so dass hier keine [0] Adresse nutzbar wäre).

Bei der Kurzform kann man übrigens keine ungültigen Netzmasken angeben, bei der Langform hingegen schon. Man überlege sich die Netzmaske 255.255.255.127

Diese Netzmaske kann man gar nicht in Kurzform schreiben. Genauer gesagt, ist diese Angabe überhaupt keine Netzmaske.

...dies nur ergänzend

also aufpassen musst eigentlich nur das dein netz von 2^1 bis 2^8 (abzüglich der 2 adressen für broadcast und netzid) adressierbare hosts haben darf :)

also aufpassen, sowas hier geht nur auf dem papier

192.168.0.0 - netzid

192.168.0.4 - braoadcast

anzahl der hosts 3 ---- 192.168.0.1 bis ...0.3 nur das geht nicht... :)

einfache mathematik ...ausgehend von

4 ( -2 für broadcast und netzid ) = 2 hosts

8 ( -2 für broadcast und netzid ) = 6 Hosts

16 ( -2 für broadcast und netzid ) = 14 Hosts

32 ( -2 für broadcast und netzid ) = 30 Hosts ...usw.

dazwischen kann es nichts geben ^^

was ich unter szenario verstehe:

dedizierte firewall 1 ...

LAN schnittstelle1 - die öffentliche IP 212.87.34.14

LAN schnittstelle2 - die DMZ - IP 192.168.1.6

geht zum

mailsystem1 in der DMZ - IP 192.168.1.5 (denn das soll ja keinesfalls mit einer öffentlichen IP versehen sein)

d.h. source nat auf den port 25 der IP: 192.168.1.5

ist also die firewall down, ...ist das mailsystem natürlich von draussen nicht mehr erreichbar...ABER sehr wohl doch im DMZ netz !

frage:

wenn deine monitoring tools in der DMZ agieren, wie soll dann jemals erkannt werden, das das mailsystem von draussen nicht mehr erreichbar ist ? (...denn es ist ja erreichbar)

wie soll dann ein backupsystem anspringen (das ja auf monitoring reagiert)

muss es ja eigentlich nicht, weil mailsystem1 ja eigentlich noch funktioniert nur die dedizierte firewall nicht mehr, die keinen traffic mehr erlaubt.

Zu monitoren wären also in jedem fall beide Netzwerkschnittstellen der dedizierten firewall...

Zitat:

ist die dedizierte firewall down... ist das mailsystem auch nicht mehr erreichbar...

 

wenn kein Backupsystem da ist ja - die FW sollte diesen Angriffen aber weitaus länger stand halten und vorab infos an den Admin geben um Gegenschritte einleiten zu können.

P.S. dafür gibt es firewall policys ...die z.b. auf DROP gesetzt ist, wer auch immer das ding abschiesst, ....da geht dann garnix mehr... werder durch, rein oder raus...

wer es allerdings schafft, die sauber herunterzufahren... zieh ich meinen hut ^^ aber nicht mit ner DoS

...nur dann schweifen wir von meiner ursprünglichen aussage, denn nur darum ging es mir:

von daher ---> bei rechensystemen mit direktem anschluss an das internet, Webservern, FTP- / Mai / DNS - systemen hast du direkt auf dem laufenden system eine firewall am laufen, das macht sinn... (meine meinung)

alles andere ist unnützer, zusätzlicher, administartiver aufwand... , schafft zusätzliche flaschenhälse (meine meinung)

iptables auf einem mailsystem, mit stateful filtering, implementierungen die fehlerhafte und ungültige pakete erkennen und verwerfen tut nicht weniger schlecht seinen dienst wie eine checkpoint...

...und nun sind wir schon bei backupsystemen ^^ ...einer abgeschmierten, dedizierten firewall und und und.

und nun geb ich mal vorsichtig zurück... was für ein komischer ansatz das ist:

sehr komischer Ansatz. Eine Firewall und die drauf installierte Software ist dafür ausgelegt eine geringe Menge von Aufgaben möglichst effektiv durchzuführen.

was bitte schön hat eine firewall auf einem mailsystem grossartiges zu tun, wenn sie nur den port 25 offen hält und den rest an ungewollten paketen verwirft / droppt.

im übrigen habe ich auch noch nichts davon gehört, das man mit DoS eine sorgfältig konfigurierte firewall bezwingt, ich bin bisher nur davon ausgegangen das Denial of Services dienste lahm legen.

Daher ist es um einiges schwerer eine dedizierte FW mit einer DOS Attacke in die Knie zu bekommen als ein Mailserver der nebenbei noch Firewall spielt

...das spielt keine rolle mehr, wenn das erste system versagt.

DoS auf den mailserver legt den mailserver lahm nicht die FW ...

angriffe auf die firewall legt die firewall lahm, nicht den mailserver.

naja wie auch immer...

...;) mag das thema extrem strapazieren und entfremden, aber im Forum LAN WAN wohl mit eine der interessantesten dinge...

UND !! ...ich bin nicht hier um stunk zu machen, ...ich lese aufmerksam und bekomme INPUT ...und das ist gut. ...dazu gehört natürlich auch, das ich mich eines besseren belehren lasse.

Eine Firewall muss nicht natten um ihren Zweck zu erfüllen.

NAT ist kein Sicherheitsfeature

wie ITHome sagt, da gibts Content Filter

lohnt eigentlich nicht weiter zu diskutieren ^^

stichwort INPUT, FORWARD und OUTPUT regelwerk, ich möchte jetzt nicht sagen das NAT /SNAT DNAT nicht dazu gehören, aber gehören zumindest zum guten ton.

das desktop firewalls das nicht können müssen, da hast du recht, hab auch nur eine netzwerkkarte in meinem rechner, da reichen INPUT und OUTPUT regeln.

Adress-/Port-umschreibungen sollten firewalls dennoch können und tun dies auch, PREROUTING und POSTROUTING gehören für mich daher genauso zum firewallregelwerk, mag sein das andere das als feature sehen... dann gönn mir an dieser stelle ein lächeln.

NAT ist kein Sicherheitsfeature

für mich schon, durch masquerading lassen sich immerhin Netzwerke im LAN verstecken, nur wo fängt sicherheit an? ;) ...sicherheit für mich nicht nur durch das öffnen und schliessen von ports.

Firewalls, oder zumidest bessere, trennen Verbindungen wenn mehr connections pro Zeiteinheit geöffnet werden als erlaubt oder konfiguriert. Ein Server wo der Dienst drauf läuft macht das in aller Regel nicht.

ich betreibe einen sendmail, ...es läuft iptables (die firewall) ...intrusiondetection, was hindert mich daran gleiches zu tun? die firewall lässt den traffic auf port 25 zu oder eben nicht, den rest macht der detection dienst und fügt als gegenmassnahme regeln in das bestehende regelwerk ein, schreibt in den syslog ..und und und...

nichts anderes ist das, was "bessere firewalls" tun (intrusion-detection dienste)

"angriffs-" verhalten analysieren und entsprechende massnahmen ergreifen --> z.B. portblockade, angreiferIP sperren ...egal was auch immer und in das firewallregelwerk eingreifen. in diesem sinne trennt nicht die firewall, sondern ein weiteres feature die verbindung.

gegenteiliges erreichst du beispielsweise mit portknocking ...dieser dienst veranlasst z.b. die firewall nach einer bestimmten combo von paketen das öffnen bestimmter ports... hat nichts mit firewall an und für sich zu tun.

----------

Nur als Beispiel:

Check Point FW-1 kann das. Der FTP Server ist in diesem Fall die Firewall

jaaa, dann ist die checkpoint auch schoneinwenig mehr als eine einfache firewall ...

..wir reden hier jedoch von implemetierungen ...ein gutes Virenprogramm erkennt auch nicht "NUR Viren" sondern kann von mir aus darüber hinaus auch noch SPAM erkennen...

aber es ist sehr gut, das es derartige und vorallem SINNVOLLE lösungen gibt, ...ALL in ONE produkte.

---------

sieh Punkte weiter oben. Ach ja, es gibt FW's die jedes Paket auf machen und rein schauen!

...Angst ...dann sollte ich wohl keine Transaktionen via https mit meiner bank tätigen :cool: ...oder wie weit schaun die in die pakete ;)

noch viel schlimmer, wenn sone "doofe" firewall meine signiert, verschlüsselten liebes e-mails an meine "weggehfreundin" lesen kann...

---------

ok, du bist nicht in der Securty Branche tätig Natürlich hat man zusätzlichen Schutz. Bringt jemand die FW down kommt er nicht an das Mailsystem mit meinen u. U. Geschäftskritischen Informationen. Ich kann in ruhe ne Backupleitung hoch fahren die FW neu booten und Gegemaßnahmen einleiten...

...security branche? ...was heisst das? ...hacker, cracker? ...oder nur netzwerkadmin? ;)

wie kommst du dadrauf? ;) ...weil ich andere ansichten habe, anders philosophiere?

P.S: wer sagt das die postofficeboxen auch auf diesem system liegen? ...welche Geschäftskritischen infos meinst du also ? ;)

hmmm ...ohjeee, da haben wir ja wieder etwas entfacht... :wink2:

--- Glaubst du Rechenzentren oder Webhoster haben keine Firewall´s

...davon war nie die rede, oder wo habe ich gegenteiliges behauptet?

Stichwort DoS !

Denial of Service... ja und? ...gegenmassnahmen kannst du auf dem System selbst, auf dem beispielsweise ein mailsystem läuft, auch ergreifen...

das fängt nicht zuletzt damit an, das du security patches durchführst, sie aufmerksam verfolgst und so die schwachstellen und lücken die DoS verursachen schliesst.

d.h. wenn man auf einem mailsystem lediglich den port 25 offen hält, von mir aus auch noch 465, ...dann muss man NUR den maildienst vor DoS Attacken schützen (security patches für den MTA ! ) und ggf. die firewall, die auch abstürzen könnte bzw. im zweifelsfall blockiert. (schutz also auf application ebene, kenn keine firewall die die pakete checkt, also deren inhalt... )

saubere administration, intrusiondetection und sorgfältiges logging... was kann man mehr dazu sagen.

Zitat von Lucyyyyyy

geht garnicht anders.

...das nehme ich gerne zurück ...weil, geht nicht anders ist wie "geht nicht" ...klar geht es anders.

eine dedizierte firewall für ein mailsystem heisst:

man betreibt nicht weniger aufwendiges, PRE-Routing (stichwort NAT -- SNAT, DNAT ) ...schreibt an der firewall umständlich quell-adressen um... um sie letztenendes doch zu dem "eigentlichen mail-system" zu leiten... der port 25 wäre auch auf der dedizierten firewall offen... oder?

ein einbruch auf der dedizierten firewall verschafft nur zeit, jedoch keine zusätzliche sicherheit.

ist die dedizierte firewall down... ist das mailsystem auch nicht mehr erreichbar...

angriffe auf systeme mit dem fuss ins internet sorgen dafür das diese systeme entweder nicht mehr erreichbar sind oder root zugriffe möglich sind.

nehmen wir an, es gelingt mir auf der dedizierten firewall einzubrechen... was hindert mich daran im nächsten schritt das dahinterliegende mailsystem anzugreifen ...AUF DEM JA KEINE FIREWALLinstalliert ist...

...aber wir können da gerne weiterphilosophieren.

das szenario möchte ich sehen, wo das was ihr machen wollt auch sinn macht

nehmen wir an ich habe 2 mailsysteme, ...ich brauche 2 dedizierte firewallsysteme da man ja den port 25 nur zu einem mailsystem forwarden kann... ? ist das die strategie? ...4 systeme für 2 anzubietene dienste? ...argh ^^

was ist mit FTP servern ?

...wenn ich daran denke das auf dem kommando kanal 21 ausgemacht wird, auf welchen port die daten ausgetauscht werden ... (ftp protokoll) ...guten tag dedizierte firewall...

naja ich bin noch keiner firewall begegnet, die sich die TCP/IP pakete auspackt... um beispielsweise mehr über den FTP datenport zu erfahren. ..klar gibt es aktiv und passiv FTP, dann jedoch nicht ohne einschränkungen...

...ich komm ja gern von meiner meinung runter, ...dann zeigt mir ein szenario wo das sinn machen sollte...

von daher ---> bei rechensystemen mit direktem anschluss an das internet, Webservern, FTP- / Mai / DNS - systemen hast du direkt auf dem laufenden system eine firewall am laufen, das macht sinn... (meine meinung)

alles andere ist unnützer, zusätzlicher, administartiver aufwand... , schafft zusätzliche flaschenhälse (meine meinung)

Rein prinzipiell:

jede Firewall ist Software manche läuft halt nur auf spezieller Hardware und in verbindung mit einem bestimmten OS

...jawoll, das stimmt... von daher gibt es keine hardwarefirewall, dennoch ist "hardware-firewall" im übertragenen sinne zu verstehen, gleich einer blackbox.

eine Firewall sollte nicht auf dem zu schützenden System laufen

...das wiederum stimmt nicht.

bei rechensystemen mit direktem anschluss an das internet, Webservern, FTP- / Mai / DNS - systemen hast du direkt auf dem laufenden system eine firewall am laufen ;) das geht garnicht anders.

@Tobi72 ...ja stimmt, ...wo war ich nur mit meinen gedanken :)

255 (256). = 8 bit

z.b. Netzmaske

.../255 . 255 .255 . 0

8bit . 8bit . 8bit . 0bit = ( 3 x 8bit = 24bit ) also eine 24 bit netzmaske (24 bit netzanteil), bleiben dir 8bit (8bit Hostanteil) für die adressieren der hosts.

demnach ist ..../255.255.255.255 eine 32bit netzmaske

sprich 192.168.1.1 / 32 eine einzelne IP adresse

2 = 1 bit

4 = 2 bit

8 = 3 bit

16 = 4 bit

32 = 5 bit

64 = 6 bit

128 = 7 bit

256 = 8 bit

d.h. bei 255 . 255 . 248 . 0

256 - 248 = 8 ( als 8 für den hostanteil im dritten oktet der notation 255 . 255 . 248 . 0 )

8 entspricht demnach 3 bit

im letzten oktet hast du 8 bit frei

also insgesamt 11 freie bit für den hostanteil

ausgehend von 32 bit ergibt sich 32 - 11 = 21

deine 8 bedeutet also du kannst 8 Netzwerke adressieren ...

sprich

172.20.0 ( das 1. netz)

172.20.1 ( das 2. netz )

.

.

172.20.7 (das 8. und letzte Netz )

....das so ungefähr die kurzfassung ^^

oha...

da kann ich leider wirklich nur sagen - wikipediawikipedia ^^

..oder

TCP/IP

nen subnetzcalkulator anschmeissen oder

...dich hinsetzen, lesen und verstehen. (meine empfehlung, damit kommt man am weitesten)

..oder willst du es ganz einfach ...ein ergebnis, weil du die berechnung von subnetzmasken nie wieder in deinem leben brauchen wirst ^^ ?

die antwort wäre wenn du es ganz einfach willst.

es ist eine 21 bit netzmaske --> 172.20.0.0/21

broadcast adresse = 172.20.7.255

netzid id =172.20.0.0

deine erste hostadresse ist als 172.20.0.1 und die letzte

die 172.20.7.254

Also, erst einmal Herzlichen Glückwunsch zum zweiten Stern

...hehe :D ...ja glaub der 85. beitrag wars wohl ^^

argh ...also doch linux tutorial... ^^

1) rootverzeichnis = wurzelverzeichnis ...verzeichnis, "von dem alles ausgeht"...

2) es gibt nur 1 rootverzeichnis ^^ ...user haben homeverzeichnisses (...wie du selbst sagtest) und kein root-verzeichnis

2) ...ist sshd_config ...die einzige config datei ?

antwort: zu 2 --> nein es gibt noch die ssh_config

kleiner spassssmacher was ^^

zu 4 --> :/home/Administrator --> original Auszug aus der passwd

4.1) bitte mal die komplette zeile der passwd posten

4.2) bitte mal den windowspfad der passwd posten

(ich denke das sie wiefolgt aussieht: d:\Programme\Open_SSH\etc\passwd ?)

4.3) ...gibt es das verzeichnis :/home/Administrator ? ich denke nicht.

steht noch etwas vor dem ---> " : " ? ...naja seh ich ja, wenn du mir die koplette zeile geopostet hast

(nebenbei, ob das nun ein backslash oder slash ist, spielt keine rolle ...das sind sogenannte seperatoren, wichtig ist das der ssh dienst aufgrund dessen die verzeichnisstruktur in configfiles einlesen und interpretieren kann)

i.d.R wäre das rootverzeichnis das, was vor dem home steht, also " :/ " ...ab hier wird die verzeichnisstruktur abgebildet ...beispielsweise /home ..blabla ..oder

/usr/bin/...blabla

das muss doch erstmal hinhauen, damit dein openssh wie gewünscht funktioniert...

nehmen wir, an der administrator möchte sich mit putty's ssh einlogggen, ...muss er doch auch in seinem home landen können, es muss vorhganden sein und auch verzeichnisberechtigungen stimmen.

schauen wir uns die "eigentlich" relavanten zeilen deiner config an ...die, die nicht ausdokumentiert sind...

du selbst schreibst: auszug aus der angemeckerten sshd_conf ...isse das nun oder nicht ?

zeile

--------

11) Protocol 2

28) PermitRootLogin no

32) StrictModes no

33) RSAAuthentication yes

34) PubkeyAuthentication yes

35) AuthorizedKeysFile .ssh/authorized_keys

42) IgnoreUserKnownHosts yes

46) PasswordAuthentication no

70) UsePrivilegeSeparation no

77) MaxStartups 10:30:60

79) Banner /etc/banner.txt

80) Subsystem sftp /usr/sbin/sftp-server

wie gesagt zeile 80)

hier erfolgt die pfad angabe... wo sich die sftp binarys ...der ausführbare dienst befindet

existriert dieser auf deinem system nicht, wirst den dienst natürlich auch nicht zum laufen bekommen.

alle anderen zeilen die ausdokumentiert sind, sind erstmal unrelevant !

ABER !! ...nicht definierte (ausdokumentierte configzeilen), die jedoch für die lauffähigkeit gebraucht werden, werden unter umständen durch default werte ersetzt...

die du nicht kennst.

...und im übrigen ist das keine art und weise zu debuggen, in dem du sagst

"...auf dem einen system läuft es, auf dem anderen nicht, obwohl es die selben dateien sind" ;)

diese wichtigen zeilen sind bei dir ausdokumentiert:

#HostKey /etc/ssh/ssh_host_key

#HostKeys for protocol version 2

#HostKey /etc/ssh_host_rsa_key

#HostKey /etc/ssh/ssh_host_dsa_key

dein openssh braucht die aber, also wird er default werte nehmen ...und diese schlüssel beispielsweise dort im pfad (windowspfad) nicht finden.

ist der port 22 auf deinem win2k3 offen? ...portscanner, ggf. firewalleinstellungen prüfen

..mal sehn wie weit wir jetzt kommen ^^

Besorg Dir mal die aktuellen Preise, bevor Du hier rumschreist ... unterhalb der Hälfte des von Dir genannten, unteren Preises ...

Watchguard Firebox X X500 X700 X1000 X2500 Firewall, Watchguard Firebox Core mit Fireware Pro, Virenschutz Firewall, Watchguard SpamScreen, Watchguard WEB Blocker, High Availability (HA), VPN, IDS/IPS

...naja auch wenn es die X-700 mit ca. 4000 Euro in der Bundle Version ist...

nur darum geht es nicht ...lass es 2000 Euro sein... was geschmeichelt wäre.

ebay ist natürlich immer eine alternative... da bekommt man fast immer

alles um die hälfte billiger ;) pfff, bevor du hier rumschreist... hab ich geschrien? :shock:

im übrigen finde ich das auch gut, das hier nicht nur die "SPAR-FUCHS" variante vorgestellt wird... viele wege führen nach ROM...

ich z.B. habe den HP ProCurve 4108gl Bundle im einsatz (L3 Switch), erweiterungsmodule LWL, GBit LAN Ports etc.

für VLAN-bildung braucht man keinen L3 Switch ...aber mit L3 Switchen kannst du diese VLAN's noch zusätzlich routen.

geht man aber auf nummer sicher und will netze tatsächlich (physisch) vonneinander trennen,

...dann geh auf "nummer sicher" und stell auch 2 seperate switche hin, ...denn was passiert, wenn einer an der Switchkonfiguration rumspielt und die VLAN's zerstört? --> na alle in einem netz :D

letztenendes kommen alle netzte an einem punkt zusammen und spätestens dort muss man sie durch firewalls trennen, egal wieviel HOPS du zum DSL Modem hast.

ich kann leider auch nichts zu dem konfigurationsaufwand von solch einem gerät wie der X-500 sagen... kinderleicht ist wohl nie passend und einwenig ahnung von der materie sollte man unbedingt haben...

Zitat:

Zitat von Lucyyyyyy

das ist ne komplette alu bereifung winter und sommer für seinen A8 ^^

Hoffentlich ist das ein Spruch und kein Argument deines Chefs...

...nein, war natürlich nur ein scherz !! ...mensch mensch ...nen humor habt ihr ja :cool: