Jump to content

Security Fragen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich hätte mal ein paar Fragen zur Sicherheit meines Netzwerkes an die Spezialisten hier on board :) . Bevor ich loslege hab ich ein kleines Netzwerkdiagramm erstellt zur besseren übersicht, siehe Anhang. Noch zu erwähnen wäre das der Linux Router per NAT das Internet auf die Clients weiterleitet. Desweiteren sind noch eine Handvoll Ports geforwarded um z.b einen Webserver zu betreiben. Beim WLan Router ist der SSID Broadcast abgedreht, keine Ports weitergeleitet und die MAC Adressen Filterung, nebst der standard firewall aktiviert. Patches, Updates und Virenscanner uptodate sind natürlich obligatorisch ;) Ich bin mir natürlich im klaren das WLan absolut unsicher ist selbst mit den neuen WEP. Aber ich schalte den nur ein wenn ich den Laptop benutze und wohne in einer gegend wo die meisten noch nicht mal ein telefon haben :D

 

Kann man diese Konfiguration als halbwegs sicher bezeichnen, oder sollten Verbesserungen gemacht werden und wann ja was würdet ihr Vorschlagen ? Ich weiss ich bin in einem Forum das sich hauptsächlich auf MS bezieht, aber mich würde trotzdem eure Meinung zur Linux Firewall iptabels bzw Susefirewall2 interessieren.. Ist die halbwegs sicher, oder sollte man lieber auf eine andere alternative (z.B HardwareFW) zurückgreifen ?

 

Zum Abschluss noch ne kleine spezialfrage, ich bin mir da nicht ganz sicher ob das ne ideale lösung ist bzw nicht ein totaler ****sinn. Ich hoff ich mach mich nicht lächerlich :cool:

Wie ihr auf dem Diagramm seht (rote Linie) hab ich den Wlan Router mit dem internen Lan Netz verbunden um vom Notebook aus aufs interne Netz zuzugreifen. Dazu hab ich der Wlan karte im Notebook einfach ne 2. Ip vergeben. Funktionieren tuts, aber ich bin mir nicht sicher ob das die ideale lösung ist bzw ich nicht ein mords loch in mein netz reisse..

 

Vielen dankschonmal im vorraus

 

Mike

post-35125-13567389336321_thumb.jpg

Link zu diesem Kommentar

Hi!

 

Das Bild wartet noch auf Freischaltung durch den zuständigen Mod. Wird bestimmt bald passieren. (ist ne Sicherung damit die Datenbank nicht zugemüllt wird.)

 

zum Thema:

Also IPTables ist an sich ne Gute Firewall allerdings müssen zwei Dinge auf jeden Fall beachtete werden:

- IP Tables ist sehr mächtig und muss richtig konfiguriert werden.

- eien FW ist nur so gut wie das OS das darunter liegt. Suse ist out of the box nciht gerade dafür bekannt sehr sparsarm mit den gestartetet Diensten zu sein. Du solltest diese also auf jedem Fall einem kritischen Review unterziehen (ps aux)

 

Wenn ich dein Diagramm richtig lese ist die Firewall an sich aber sowieso nciht weiter wichtig. Da der Wlan Router sowohl am externen wie auch am internen Netz hängt kann jeder ganz einfach um die FW herum gehen.

 

Um das zu lösen hast du mehrere Möglichkeiten:

- Der Access Point wird an eine zweite "rote" Netzwerkkarte der Firewall angschlossen. Eine Einwahl des Laptops ins interne Netz könnte z. B. mittels VPN erfolgen.

- Du stellst den Access Point aus deinem Netz vor die Firewall kommst dann aber nicht in dein Privates LAN.

- Du stellt den AP in dein privates Netz hinter die Firewall.

 

Aus Sicherheitsgesichtspunkten würde ich auf jeden Fall zur ersten Variante tendieren. Wenn du noch ganz klever bist dann hängst du diese Netzwerkkarte in ein extra VLAN dass keine Rechte hat. ERst durch die VPN Einwahl könnte man den Laptop damit zum surfen etc. verwenden. Damit hättest du dann auch gleich das Problem mit der Verschlüsselung gelöst und könntest z. B. auf WEP oder WPA ganz verzichten (eine starke Verschlüsselung deines VPN vorausgesetzt).

 

Liebe Grüße

Link zu diesem Kommentar

Danke Bild da.

Für deine Anforderung würde ich ein Reines FW-System benutzen.

Dies solte Deinen Anforderungen gerecht werden.

 

Tip für die SUSE-Kiste:

1. Siehe Tip von J.Schmidt oben und Abschalten was nicht benötigt wird.

2. Dritte Karte die Du als IF für die DMZ ( Webserver usw.) einbinden kannst.

3. Vierte Karte die als Extranet für Dein WLAN dient

4. Reine Security aus dem ExtraNet ins LAN via VPN

5. SSH kannst Du den Port verbiegen wenns notwendig ist zb. ssh = Port 22022

 

Einfach mal so als Überlegung

Link zu diesem Kommentar

vielen dank und sorry für die verspätete Nachricht, ich war ziemlich krank die letzten tage...

 

Da habt ihr mir ja ein paar Aufgaben gestellt, aber ich hab mich bis hierher durchgekämpft jetzt schaff ich auch den Rest für ein halbwegs sicheres Netzwerk. ;) Vielen Dank nochmals fuer die detailierten angaben ! Also das mit den Diensten hab ich bisher immer vernachlässigt, da werd ich als erstes nochmals kräfitg nachlernen. Suse hab ich deshalb verwendet, weil ich damit am besten als linux newbie zurechtkam. Ich denke auch ich werd schlussendlich auf debian oder ähnliches umsteigen...

 

Johannes Schmidt schrieb:

 

Wenn ich dein Diagramm richtig lese ist die Firewall an sich aber sowieso nciht weiter wichtig. Da der Wlan Router sowohl am externen wie auch am internen Netz hängt kann jeder ganz einfach um die FW herum gehen.

 

Bin ich da richtig, du meinst das hier ein intruder übers wlan auch auf mein internes netz zugreifen kann ? Also daran hab ich auch schon gedacht aber aus 2 Gründen hab ich das trotzdem gemacht. Also ich wohne wirklich etwas abgelegen und ich hab auch schon etwas im umkreis geforscht, ich konnte nirgends ein wlan entdecken auch nicht mit diversen tools... Es würde mich auch wundern denn wie gesagt die meisten hier haben noch nicht mal ein handy :D .Der 2te Grund war das ich mir dachte das ein etwaiger War Driver ja erstmal mein Netz endtecken muss (SSID Broadcast deaktiviert) und 2tens die MAC Adressen Filterung umgehen muss und schliesslich und endlich meine 2 ips finden muss.. Klar mit den richtigen tools alles kein problem und wie ich lesen musste brauchts bei wap psk nur etwas länger bis es gehackt ist...

 

Ihr habt recht ich glaub ich werd das wirklich per VPN lösen, ich denke mal das ist der bessere Weg und so bin ich auch gegen war driver halbwegs sicher...

 

Thx again

 

Mike

Link zu diesem Kommentar
vielen dank und sorry für die verspätete Nachricht, ich war ziemlich krank die letzten tage...

 

Da habt ihr mir ja ein paar Aufgaben gestellt, aber ich hab mich bis hierher durchgekämpft jetzt schaff ich auch den Rest für ein halbwegs sicheres Netzwerk. ;) Vielen Dank nochmals fuer die detailierten angaben ! Also das mit den Diensten hab ich bisher immer vernachlässigt, da werd ich als erstes nochmals kräfitg nachlernen. Suse hab ich deshalb verwendet, weil ich damit am besten als linux newbie zurechtkam. Ich denke auch ich werd schlussendlich auf debian oder ähnliches umsteigen...

 

Johannes Schmidt schrieb:

 

 

 

Bin ich da richtig, du meinst das hier ein intruder übers wlan auch auf mein internes netz zugreifen kann ? Also daran hab ich auch schon gedacht aber aus 2 Gründen hab ich das trotzdem gemacht. Also ich wohne wirklich etwas abgelegen und ich hab auch schon etwas im umkreis geforscht, ich konnte nirgends ein wlan entdecken auch nicht mit diversen tools... Es würde mich auch wundern denn wie gesagt die meisten hier haben noch nicht mal ein handy :D .Der 2te Grund war das ich mir dachte das ein etwaiger War Driver ja erstmal mein Netz endtecken muss (SSID Broadcast deaktiviert) und 2tens die MAC Adressen Filterung umgehen muss und schliesslich und endlich meine 2 ips finden muss.. Klar mit den richtigen tools alles kein problem und wie ich lesen musste brauchts bei wap psk nur etwas länger bis es gehackt ist...

 

Ihr habt recht ich glaub ich werd das wirklich per VPN lösen, ich denke mal das ist der bessere Weg und so bin ich auch gegen war driver halbwegs sicher...

 

Thx again

 

Mike

 

 

Ich mache mir weniger Sorgen um dein WLan. Wenn deine Zeichnung stimmt kannst du die FW auch weg lassen - jeder aus dem Inet kann auch über den Wlan Router gehen da dieser ein Beinchen im Inet und ein anderes im internen Netz hat.

 

Gruß

Link zu diesem Kommentar
hallo, also ich habe die beiden hubs miteinander verbunden weil ich dachte das die ja hinter der firewall liegen also praktisch nur die 2 internen kreise miteinander verbunden sind. Seh ich das falsch ?

 

Nach deiner Zeichnung würde ich sagen, dass die FW an dem 3com switch oder hub hängt - an diesem hängt sowohl die Firewall wie auch dein Wlan. Die FW hängt dann ihrerseits mit ihrem zweiten Fuss am zweiten hub ebnso das Wlan - und genau da liegt der Fehler.

 

Gruß

Link zu diesem Kommentar

Hi,

 

ja und nein. Zum einen hast du recht, die FW kann tatsächlich nicht ganz so einfach umgangen werden wie ich ursprünglich dachte. Ich hatte nicht gesehen, dass es ein Router ist (dachte es ist ein AP). Zum anderen kann man sich darüber streiten ob ein NAT eines Wlan Routers eine Firewall ist. Ich würde sagen nein - wobei ein basis Schutz unabhängig davon gegeben ist. Dein Ursprüngliches "Problem" das Wlan ist damit aber noch nicht gelöst. Um das umzusetzen solltest du eine der beschriebenen Szenarien umsetzen.

 

Gruß

Link zu diesem Kommentar

- eine FW ist nur so gut wie das OS das darunter liegt. Suse ist out of the box nciht gerade dafür bekannt sehr sparsarm mit den gestartetet Diensten zu sein. Du solltest diese also auf jedem Fall einem kritischen Review unterziehen (ps aux)

 

 

Danke nochmals ;)

Ich hab da noch ne Verständnis Frage hierzu: Ist die Firewall den Diensten nicht vorgeschalten? Sprich wenn jetzt ein angreifer einen dienst erreichen will muss doch das port an der Firewall offen sein sonst kommt er doch gar nicht bis zum dienst selber...oder ?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...