Mike74 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 Hallo, ich hätte mal ein paar Fragen zur Sicherheit meines Netzwerkes an die Spezialisten hier on board :) . Bevor ich loslege hab ich ein kleines Netzwerkdiagramm erstellt zur besseren übersicht, siehe Anhang. Noch zu erwähnen wäre das der Linux Router per NAT das Internet auf die Clients weiterleitet. Desweiteren sind noch eine Handvoll Ports geforwarded um z.b einen Webserver zu betreiben. Beim WLan Router ist der SSID Broadcast abgedreht, keine Ports weitergeleitet und die MAC Adressen Filterung, nebst der standard firewall aktiviert. Patches, Updates und Virenscanner uptodate sind natürlich obligatorisch ;) Ich bin mir natürlich im klaren das WLan absolut unsicher ist selbst mit den neuen WEP. Aber ich schalte den nur ein wenn ich den Laptop benutze und wohne in einer gegend wo die meisten noch nicht mal ein telefon haben :D Kann man diese Konfiguration als halbwegs sicher bezeichnen, oder sollten Verbesserungen gemacht werden und wann ja was würdet ihr Vorschlagen ? Ich weiss ich bin in einem Forum das sich hauptsächlich auf MS bezieht, aber mich würde trotzdem eure Meinung zur Linux Firewall iptabels bzw Susefirewall2 interessieren.. Ist die halbwegs sicher, oder sollte man lieber auf eine andere alternative (z.B HardwareFW) zurückgreifen ? Zum Abschluss noch ne kleine spezialfrage, ich bin mir da nicht ganz sicher ob das ne ideale lösung ist bzw nicht ein totaler ****sinn. Ich hoff ich mach mich nicht lächerlich :cool: Wie ihr auf dem Diagramm seht (rote Linie) hab ich den Wlan Router mit dem internen Lan Netz verbunden um vom Notebook aus aufs interne Netz zuzugreifen. Dazu hab ich der Wlan karte im Notebook einfach ne 2. Ip vergeben. Funktionieren tuts, aber ich bin mir nicht sicher ob das die ideale lösung ist bzw ich nicht ein mords loch in mein netz reisse.. Vielen dankschonmal im vorraus Mike Zitieren Link zu diesem Kommentar
kaotai 10 Geschrieben 16. März 2006 Melden Teilen Geschrieben 16. März 2006 Ich leider Dein Bildchen nicht sehen runterladen,prüfe das mal. Zur Sicherheit schau Dir mal den IPCOP an ist auch Linux ist als reine FW konzipiert. Mit speziellen WLAN Port. Zitieren Link zu diesem Kommentar
Mike74 10 Geschrieben 16. März 2006 Autor Melden Teilen Geschrieben 16. März 2006 vielen dank fuer die Antwort, werd ich mir gleich anschauen... Wegen dem Bild, also das funktioniert bei mir soweit, vielleicht gabs ne störung vorhin... mike Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 16. März 2006 Melden Teilen Geschrieben 16. März 2006 Hi! Das Bild wartet noch auf Freischaltung durch den zuständigen Mod. Wird bestimmt bald passieren. (ist ne Sicherung damit die Datenbank nicht zugemüllt wird.) zum Thema: Also IPTables ist an sich ne Gute Firewall allerdings müssen zwei Dinge auf jeden Fall beachtete werden: - IP Tables ist sehr mächtig und muss richtig konfiguriert werden. - eien FW ist nur so gut wie das OS das darunter liegt. Suse ist out of the box nciht gerade dafür bekannt sehr sparsarm mit den gestartetet Diensten zu sein. Du solltest diese also auf jedem Fall einem kritischen Review unterziehen (ps aux) Wenn ich dein Diagramm richtig lese ist die Firewall an sich aber sowieso nciht weiter wichtig. Da der Wlan Router sowohl am externen wie auch am internen Netz hängt kann jeder ganz einfach um die FW herum gehen. Um das zu lösen hast du mehrere Möglichkeiten: - Der Access Point wird an eine zweite "rote" Netzwerkkarte der Firewall angschlossen. Eine Einwahl des Laptops ins interne Netz könnte z. B. mittels VPN erfolgen. - Du stellst den Access Point aus deinem Netz vor die Firewall kommst dann aber nicht in dein Privates LAN. - Du stellt den AP in dein privates Netz hinter die Firewall. Aus Sicherheitsgesichtspunkten würde ich auf jeden Fall zur ersten Variante tendieren. Wenn du noch ganz klever bist dann hängst du diese Netzwerkkarte in ein extra VLAN dass keine Rechte hat. ERst durch die VPN Einwahl könnte man den Laptop damit zum surfen etc. verwenden. Damit hättest du dann auch gleich das Problem mit der Verschlüsselung gelöst und könntest z. B. auf WEP oder WPA ganz verzichten (eine starke Verschlüsselung deines VPN vorausgesetzt). Liebe Grüße Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 16. März 2006 Melden Teilen Geschrieben 16. März 2006 Hi, ach ja die Konfigurationsdienste (ssh) für die Firewall sollten natürlich nur auf der Internen Karte hören und der superdaemon init.d sollte auch nur ssh starten und keine unsicheren R-Dienste oder telnet etc. Gruß Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 Auch wenn es etwas overdosed ist, würde ich meinen WLAN Strang mit RADIUS absichern ! Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 Ich habs mal in unser Securityforum verschoben. Zitieren Link zu diesem Kommentar
kaotai 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 Danke Bild da. Für deine Anforderung würde ich ein Reines FW-System benutzen. Dies solte Deinen Anforderungen gerecht werden. Tip für die SUSE-Kiste: 1. Siehe Tip von J.Schmidt oben und Abschalten was nicht benötigt wird. 2. Dritte Karte die Du als IF für die DMZ ( Webserver usw.) einbinden kannst. 3. Vierte Karte die als Extranet für Dein WLAN dient 4. Reine Security aus dem ExtraNet ins LAN via VPN 5. SSH kannst Du den Port verbiegen wenns notwendig ist zb. ssh = Port 22022 Einfach mal so als Überlegung Zitieren Link zu diesem Kommentar
Mike74 10 Geschrieben 18. März 2006 Autor Melden Teilen Geschrieben 18. März 2006 vielen dank und sorry für die verspätete Nachricht, ich war ziemlich krank die letzten tage... Da habt ihr mir ja ein paar Aufgaben gestellt, aber ich hab mich bis hierher durchgekämpft jetzt schaff ich auch den Rest für ein halbwegs sicheres Netzwerk. ;) Vielen Dank nochmals fuer die detailierten angaben ! Also das mit den Diensten hab ich bisher immer vernachlässigt, da werd ich als erstes nochmals kräfitg nachlernen. Suse hab ich deshalb verwendet, weil ich damit am besten als linux newbie zurechtkam. Ich denke auch ich werd schlussendlich auf debian oder ähnliches umsteigen... Johannes Schmidt schrieb: Wenn ich dein Diagramm richtig lese ist die Firewall an sich aber sowieso nciht weiter wichtig. Da der Wlan Router sowohl am externen wie auch am internen Netz hängt kann jeder ganz einfach um die FW herum gehen. Bin ich da richtig, du meinst das hier ein intruder übers wlan auch auf mein internes netz zugreifen kann ? Also daran hab ich auch schon gedacht aber aus 2 Gründen hab ich das trotzdem gemacht. Also ich wohne wirklich etwas abgelegen und ich hab auch schon etwas im umkreis geforscht, ich konnte nirgends ein wlan entdecken auch nicht mit diversen tools... Es würde mich auch wundern denn wie gesagt die meisten hier haben noch nicht mal ein handy :D .Der 2te Grund war das ich mir dachte das ein etwaiger War Driver ja erstmal mein Netz endtecken muss (SSID Broadcast deaktiviert) und 2tens die MAC Adressen Filterung umgehen muss und schliesslich und endlich meine 2 ips finden muss.. Klar mit den richtigen tools alles kein problem und wie ich lesen musste brauchts bei wap psk nur etwas länger bis es gehackt ist... Ihr habt recht ich glaub ich werd das wirklich per VPN lösen, ich denke mal das ist der bessere Weg und so bin ich auch gegen war driver halbwegs sicher... Thx again Mike Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 18. März 2006 Melden Teilen Geschrieben 18. März 2006 vielen dank und sorry für die verspätete Nachricht, ich war ziemlich krank die letzten tage... Da habt ihr mir ja ein paar Aufgaben gestellt, aber ich hab mich bis hierher durchgekämpft jetzt schaff ich auch den Rest für ein halbwegs sicheres Netzwerk. ;) Vielen Dank nochmals fuer die detailierten angaben ! Also das mit den Diensten hab ich bisher immer vernachlässigt, da werd ich als erstes nochmals kräfitg nachlernen. Suse hab ich deshalb verwendet, weil ich damit am besten als linux newbie zurechtkam. Ich denke auch ich werd schlussendlich auf debian oder ähnliches umsteigen... Johannes Schmidt schrieb: Bin ich da richtig, du meinst das hier ein intruder übers wlan auch auf mein internes netz zugreifen kann ? Also daran hab ich auch schon gedacht aber aus 2 Gründen hab ich das trotzdem gemacht. Also ich wohne wirklich etwas abgelegen und ich hab auch schon etwas im umkreis geforscht, ich konnte nirgends ein wlan entdecken auch nicht mit diversen tools... Es würde mich auch wundern denn wie gesagt die meisten hier haben noch nicht mal ein handy :D .Der 2te Grund war das ich mir dachte das ein etwaiger War Driver ja erstmal mein Netz endtecken muss (SSID Broadcast deaktiviert) und 2tens die MAC Adressen Filterung umgehen muss und schliesslich und endlich meine 2 ips finden muss.. Klar mit den richtigen tools alles kein problem und wie ich lesen musste brauchts bei wap psk nur etwas länger bis es gehackt ist... Ihr habt recht ich glaub ich werd das wirklich per VPN lösen, ich denke mal das ist der bessere Weg und so bin ich auch gegen war driver halbwegs sicher... Thx again Mike Ich mache mir weniger Sorgen um dein WLan. Wenn deine Zeichnung stimmt kannst du die FW auch weg lassen - jeder aus dem Inet kann auch über den Wlan Router gehen da dieser ein Beinchen im Inet und ein anderes im internen Netz hat. Gruß Zitieren Link zu diesem Kommentar
Mike74 10 Geschrieben 19. März 2006 Autor Melden Teilen Geschrieben 19. März 2006 hallo, also ich habe die beiden hubs miteinander verbunden weil ich dachte das die ja hinter der firewall liegen also praktisch nur die 2 internen kreise miteinander verbunden sind. Seh ich das falsch ? Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 19. März 2006 Melden Teilen Geschrieben 19. März 2006 hallo, also ich habe die beiden hubs miteinander verbunden weil ich dachte das die ja hinter der firewall liegen also praktisch nur die 2 internen kreise miteinander verbunden sind. Seh ich das falsch ? Nach deiner Zeichnung würde ich sagen, dass die FW an dem 3com switch oder hub hängt - an diesem hängt sowohl die Firewall wie auch dein Wlan. Die FW hängt dann ihrerseits mit ihrem zweiten Fuss am zweiten hub ebnso das Wlan - und genau da liegt der Fehler. Gruß Zitieren Link zu diesem Kommentar
Mike74 10 Geschrieben 21. März 2006 Autor Melden Teilen Geschrieben 21. März 2006 Am Wlan Router gibt es ja ein port für den Internet Anschluss und dann die 4 Lan Anschlüsse, die müssten doch durch die firewall getrennt sein, oder seh ich das falsch... Denn dann wären ja nur die 2 Internen Netze miteinander verbunden... Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 22. März 2006 Melden Teilen Geschrieben 22. März 2006 Hi, ja und nein. Zum einen hast du recht, die FW kann tatsächlich nicht ganz so einfach umgangen werden wie ich ursprünglich dachte. Ich hatte nicht gesehen, dass es ein Router ist (dachte es ist ein AP). Zum anderen kann man sich darüber streiten ob ein NAT eines Wlan Routers eine Firewall ist. Ich würde sagen nein - wobei ein basis Schutz unabhängig davon gegeben ist. Dein Ursprüngliches "Problem" das Wlan ist damit aber noch nicht gelöst. Um das umzusetzen solltest du eine der beschriebenen Szenarien umsetzen. Gruß Zitieren Link zu diesem Kommentar
Mike74 10 Geschrieben 25. März 2006 Autor Melden Teilen Geschrieben 25. März 2006 - eine FW ist nur so gut wie das OS das darunter liegt. Suse ist out of the box nciht gerade dafür bekannt sehr sparsarm mit den gestartetet Diensten zu sein. Du solltest diese also auf jedem Fall einem kritischen Review unterziehen (ps aux) Danke nochmals ;) Ich hab da noch ne Verständnis Frage hierzu: Ist die Firewall den Diensten nicht vorgeschalten? Sprich wenn jetzt ein angreifer einen dienst erreichen will muss doch das port an der Firewall offen sein sonst kommt er doch gar nicht bis zum dienst selber...oder ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.