Jump to content
Sign in to follow this  
Mike74

Security Fragen

Recommended Posts

Hallo,

 

ich hätte mal ein paar Fragen zur Sicherheit meines Netzwerkes an die Spezialisten hier on board :) . Bevor ich loslege hab ich ein kleines Netzwerkdiagramm erstellt zur besseren übersicht, siehe Anhang. Noch zu erwähnen wäre das der Linux Router per NAT das Internet auf die Clients weiterleitet. Desweiteren sind noch eine Handvoll Ports geforwarded um z.b einen Webserver zu betreiben. Beim WLan Router ist der SSID Broadcast abgedreht, keine Ports weitergeleitet und die MAC Adressen Filterung, nebst der standard firewall aktiviert. Patches, Updates und Virenscanner uptodate sind natürlich obligatorisch ;) Ich bin mir natürlich im klaren das WLan absolut unsicher ist selbst mit den neuen WEP. Aber ich schalte den nur ein wenn ich den Laptop benutze und wohne in einer gegend wo die meisten noch nicht mal ein telefon haben :D

 

Kann man diese Konfiguration als halbwegs sicher bezeichnen, oder sollten Verbesserungen gemacht werden und wann ja was würdet ihr Vorschlagen ? Ich weiss ich bin in einem Forum das sich hauptsächlich auf MS bezieht, aber mich würde trotzdem eure Meinung zur Linux Firewall iptabels bzw Susefirewall2 interessieren.. Ist die halbwegs sicher, oder sollte man lieber auf eine andere alternative (z.B HardwareFW) zurückgreifen ?

 

Zum Abschluss noch ne kleine spezialfrage, ich bin mir da nicht ganz sicher ob das ne ideale lösung ist bzw nicht ein totaler ****sinn. Ich hoff ich mach mich nicht lächerlich :cool:

Wie ihr auf dem Diagramm seht (rote Linie) hab ich den Wlan Router mit dem internen Lan Netz verbunden um vom Notebook aus aufs interne Netz zuzugreifen. Dazu hab ich der Wlan karte im Notebook einfach ne 2. Ip vergeben. Funktionieren tuts, aber ich bin mir nicht sicher ob das die ideale lösung ist bzw ich nicht ein mords loch in mein netz reisse..

 

Vielen dankschonmal im vorraus

 

Mike

post-35125-13567389336321_thumb.jpg

Share this post


Link to post
Share on other sites

Ich leider Dein Bildchen nicht sehen runterladen,prüfe das mal.

Zur Sicherheit schau Dir mal den IPCOP an ist auch Linux ist als reine FW konzipiert.

Mit speziellen WLAN Port.

Share this post


Link to post
Share on other sites

vielen dank fuer die Antwort, werd ich mir gleich anschauen... Wegen dem Bild, also das funktioniert bei mir soweit, vielleicht gabs ne störung vorhin...

 

mike

Share this post


Link to post
Share on other sites

Hi!

 

Das Bild wartet noch auf Freischaltung durch den zuständigen Mod. Wird bestimmt bald passieren. (ist ne Sicherung damit die Datenbank nicht zugemüllt wird.)

 

zum Thema:

Also IPTables ist an sich ne Gute Firewall allerdings müssen zwei Dinge auf jeden Fall beachtete werden:

- IP Tables ist sehr mächtig und muss richtig konfiguriert werden.

- eien FW ist nur so gut wie das OS das darunter liegt. Suse ist out of the box nciht gerade dafür bekannt sehr sparsarm mit den gestartetet Diensten zu sein. Du solltest diese also auf jedem Fall einem kritischen Review unterziehen (ps aux)

 

Wenn ich dein Diagramm richtig lese ist die Firewall an sich aber sowieso nciht weiter wichtig. Da der Wlan Router sowohl am externen wie auch am internen Netz hängt kann jeder ganz einfach um die FW herum gehen.

 

Um das zu lösen hast du mehrere Möglichkeiten:

- Der Access Point wird an eine zweite "rote" Netzwerkkarte der Firewall angschlossen. Eine Einwahl des Laptops ins interne Netz könnte z. B. mittels VPN erfolgen.

- Du stellst den Access Point aus deinem Netz vor die Firewall kommst dann aber nicht in dein Privates LAN.

- Du stellt den AP in dein privates Netz hinter die Firewall.

 

Aus Sicherheitsgesichtspunkten würde ich auf jeden Fall zur ersten Variante tendieren. Wenn du noch ganz klever bist dann hängst du diese Netzwerkkarte in ein extra VLAN dass keine Rechte hat. ERst durch die VPN Einwahl könnte man den Laptop damit zum surfen etc. verwenden. Damit hättest du dann auch gleich das Problem mit der Verschlüsselung gelöst und könntest z. B. auf WEP oder WPA ganz verzichten (eine starke Verschlüsselung deines VPN vorausgesetzt).

 

Liebe Grüße

Share this post


Link to post
Share on other sites

Hi,

 

ach ja die Konfigurationsdienste (ssh) für die Firewall sollten natürlich nur auf der Internen Karte hören und der superdaemon init.d sollte auch nur ssh starten und keine unsicheren R-Dienste oder telnet etc.

 

Gruß

Share this post


Link to post
Share on other sites

Danke Bild da.

Für deine Anforderung würde ich ein Reines FW-System benutzen.

Dies solte Deinen Anforderungen gerecht werden.

 

Tip für die SUSE-Kiste:

1. Siehe Tip von J.Schmidt oben und Abschalten was nicht benötigt wird.

2. Dritte Karte die Du als IF für die DMZ ( Webserver usw.) einbinden kannst.

3. Vierte Karte die als Extranet für Dein WLAN dient

4. Reine Security aus dem ExtraNet ins LAN via VPN

5. SSH kannst Du den Port verbiegen wenns notwendig ist zb. ssh = Port 22022

 

Einfach mal so als Überlegung

Share this post


Link to post
Share on other sites

vielen dank und sorry für die verspätete Nachricht, ich war ziemlich krank die letzten tage...

 

Da habt ihr mir ja ein paar Aufgaben gestellt, aber ich hab mich bis hierher durchgekämpft jetzt schaff ich auch den Rest für ein halbwegs sicheres Netzwerk. ;) Vielen Dank nochmals fuer die detailierten angaben ! Also das mit den Diensten hab ich bisher immer vernachlässigt, da werd ich als erstes nochmals kräfitg nachlernen. Suse hab ich deshalb verwendet, weil ich damit am besten als linux newbie zurechtkam. Ich denke auch ich werd schlussendlich auf debian oder ähnliches umsteigen...

 

Johannes Schmidt schrieb:

 

Wenn ich dein Diagramm richtig lese ist die Firewall an sich aber sowieso nciht weiter wichtig. Da der Wlan Router sowohl am externen wie auch am internen Netz hängt kann jeder ganz einfach um die FW herum gehen.

 

Bin ich da richtig, du meinst das hier ein intruder übers wlan auch auf mein internes netz zugreifen kann ? Also daran hab ich auch schon gedacht aber aus 2 Gründen hab ich das trotzdem gemacht. Also ich wohne wirklich etwas abgelegen und ich hab auch schon etwas im umkreis geforscht, ich konnte nirgends ein wlan entdecken auch nicht mit diversen tools... Es würde mich auch wundern denn wie gesagt die meisten hier haben noch nicht mal ein handy :D .Der 2te Grund war das ich mir dachte das ein etwaiger War Driver ja erstmal mein Netz endtecken muss (SSID Broadcast deaktiviert) und 2tens die MAC Adressen Filterung umgehen muss und schliesslich und endlich meine 2 ips finden muss.. Klar mit den richtigen tools alles kein problem und wie ich lesen musste brauchts bei wap psk nur etwas länger bis es gehackt ist...

 

Ihr habt recht ich glaub ich werd das wirklich per VPN lösen, ich denke mal das ist der bessere Weg und so bin ich auch gegen war driver halbwegs sicher...

 

Thx again

 

Mike

Share this post


Link to post
Share on other sites
vielen dank und sorry für die verspätete Nachricht, ich war ziemlich krank die letzten tage...

 

Da habt ihr mir ja ein paar Aufgaben gestellt, aber ich hab mich bis hierher durchgekämpft jetzt schaff ich auch den Rest für ein halbwegs sicheres Netzwerk. ;) Vielen Dank nochmals fuer die detailierten angaben ! Also das mit den Diensten hab ich bisher immer vernachlässigt, da werd ich als erstes nochmals kräfitg nachlernen. Suse hab ich deshalb verwendet, weil ich damit am besten als linux newbie zurechtkam. Ich denke auch ich werd schlussendlich auf debian oder ähnliches umsteigen...

 

Johannes Schmidt schrieb:

 

 

 

Bin ich da richtig, du meinst das hier ein intruder übers wlan auch auf mein internes netz zugreifen kann ? Also daran hab ich auch schon gedacht aber aus 2 Gründen hab ich das trotzdem gemacht. Also ich wohne wirklich etwas abgelegen und ich hab auch schon etwas im umkreis geforscht, ich konnte nirgends ein wlan entdecken auch nicht mit diversen tools... Es würde mich auch wundern denn wie gesagt die meisten hier haben noch nicht mal ein handy :D .Der 2te Grund war das ich mir dachte das ein etwaiger War Driver ja erstmal mein Netz endtecken muss (SSID Broadcast deaktiviert) und 2tens die MAC Adressen Filterung umgehen muss und schliesslich und endlich meine 2 ips finden muss.. Klar mit den richtigen tools alles kein problem und wie ich lesen musste brauchts bei wap psk nur etwas länger bis es gehackt ist...

 

Ihr habt recht ich glaub ich werd das wirklich per VPN lösen, ich denke mal das ist der bessere Weg und so bin ich auch gegen war driver halbwegs sicher...

 

Thx again

 

Mike

 

 

Ich mache mir weniger Sorgen um dein WLan. Wenn deine Zeichnung stimmt kannst du die FW auch weg lassen - jeder aus dem Inet kann auch über den Wlan Router gehen da dieser ein Beinchen im Inet und ein anderes im internen Netz hat.

 

Gruß

Share this post


Link to post
Share on other sites

hallo, also ich habe die beiden hubs miteinander verbunden weil ich dachte das die ja hinter der firewall liegen also praktisch nur die 2 internen kreise miteinander verbunden sind. Seh ich das falsch ?

Share this post


Link to post
Share on other sites
hallo, also ich habe die beiden hubs miteinander verbunden weil ich dachte das die ja hinter der firewall liegen also praktisch nur die 2 internen kreise miteinander verbunden sind. Seh ich das falsch ?

 

Nach deiner Zeichnung würde ich sagen, dass die FW an dem 3com switch oder hub hängt - an diesem hängt sowohl die Firewall wie auch dein Wlan. Die FW hängt dann ihrerseits mit ihrem zweiten Fuss am zweiten hub ebnso das Wlan - und genau da liegt der Fehler.

 

Gruß

Share this post


Link to post
Share on other sites

Am Wlan Router gibt es ja ein port für den Internet Anschluss und dann die 4 Lan Anschlüsse, die müssten doch durch die firewall getrennt sein, oder seh ich das falsch... Denn dann wären ja nur die 2 Internen Netze miteinander verbunden...

Share this post


Link to post
Share on other sites

Hi,

 

ja und nein. Zum einen hast du recht, die FW kann tatsächlich nicht ganz so einfach umgangen werden wie ich ursprünglich dachte. Ich hatte nicht gesehen, dass es ein Router ist (dachte es ist ein AP). Zum anderen kann man sich darüber streiten ob ein NAT eines Wlan Routers eine Firewall ist. Ich würde sagen nein - wobei ein basis Schutz unabhängig davon gegeben ist. Dein Ursprüngliches "Problem" das Wlan ist damit aber noch nicht gelöst. Um das umzusetzen solltest du eine der beschriebenen Szenarien umsetzen.

 

Gruß

Share this post


Link to post
Share on other sites

- eine FW ist nur so gut wie das OS das darunter liegt. Suse ist out of the box nciht gerade dafür bekannt sehr sparsarm mit den gestartetet Diensten zu sein. Du solltest diese also auf jedem Fall einem kritischen Review unterziehen (ps aux)

 

 

Danke nochmals ;)

Ich hab da noch ne Verständnis Frage hierzu: Ist die Firewall den Diensten nicht vorgeschalten? Sprich wenn jetzt ein angreifer einen dienst erreichen will muss doch das port an der Firewall offen sein sonst kommt er doch gar nicht bis zum dienst selber...oder ?

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...