Ein Kollege, der mit Netzwerken zu tun hat und auch für grössere Firmen den Support übernimmt, hat wieder mal meine Firewall - IP Cop auf separatem Rechner - kritisiert und gemeint, eine Hardwarefirewall sprich Router mit integrierter Firewall würde genügen und sei "besser". Bei IP-Cop kommt man ja zum Beispiel ohne Passwort auf das Interface drauf, ist das normal oder kann man das auch einstellen? Ist es auch üblich, dass man immer http:// und den Port 81 angeben muss, damit man drauf kommt?
Ich wollte eigentlich immer ein Netzwerk, das so sicher wie nur möglich ist, was ist denn nun die sicherste Lösung?
Ah und noch was: der Kollege meinte, man solle WLAN im Laptop wenn immer möglich ausschalten, da sich sonst jemand reinhacken könnte oder so.
Mir ist jetzt gerade aufgefallen, dass man ja einfach das Passwort ändern kann, wenn man - ebenfalls ja ohne Passwort - erstmal in IP Cop drin ist. Einfach auf Passwörter und dort ein neues eingeben... man muss nicht mal das alte wissen. Sehr merkwürdig.
Von IP-Cop habe ich noch nie gehört... wenn diese Firewall auf einem anderen Rechner läuft, ist das allemal besser, als wenn sie auf dem System liefe, das geschützt werden soll. Trotzdem ist ein Router besser, schon deshalb weil er viel weniger Strom verbraucht. Auch dass du dort Netzwerkdrucker anschließen und die Internet Konfiguration dort vornehmen kannst, ist vorteilhaft, insbesondere wenn mehrere Rechner am Router hängen - wozu er ja ursprünglich da ist - die alle ins Internet gehen sollen. Eine manuelle Konfiguration der Router-Firewall ist i.d.R. nicht nötig, die Werkseinstellung reicht normalerweise aus.
Ja, so etwas dachte ich mir schon. Wahrscheinlich ein alter Rechner, der sein virtuelles Gnadenbrot fristet, mit einer extrem auf Schlankheit getrimmten Linux-Distri? Das wäre typisch... nur, wenn ich die Wahl hätte, würde ich dem Router immer den Vorzug geben: Ist kleiner, einfacher, sparsamer und bietet weitere nützliche Features. Mit einem Server kann man ihn allerdings nicht vergleichen... ein Router hat ja nicht mal eine Festplatte eingebaut :-)
Welche Sicherheitsmassnahmen haben denn namhafte Firmen um sich zu schützen? Oder sagen wir mal so, im Bereich von paar 100 Euro, vielleicht auch bis 3000 Euro, was wäre denn da die wirklich beste Möglichkeit für eine Firewall / Sicherheitskonzept? Ich nehme an, mit einem Router ist es nicht getan. Ich hab da was von Gateways und Proxys und 2 Firewalls gelesen usw. Tönt kompliziert...
Welche Features des Routers sind denn da so nützlich? In meinem Fall ist aber der Server gleichzeitig der Router, oder?
Mit dem Begriff "Server" kann ich in diesem Zusammenhang nichts anfangen, und ehrlich gesagt, damit kenne ich mich auch nicht aus... wofür brauchst du denn überhaupt einen Server? Es gibt ja die verschiedensten Arten, Fileserver, Webserver, Printserver... auch die Frage, wie große Firmen sich schützen, wäre eher etwas für jemand, der beruflich mit IT zu tun hat. Du hast schon recht, sicherlich gibt es für all dies wesentlich professionellere Lösungen, die natürlich auch aufwändiger und teurer sind. Was wir hier auf den Brettern diskutieren, ist i.d.R. nur für den "Hausgebrauch" bestimmt.
Zu bedenken wäre, dass eine Firewall auf externer Hardware - Router oder vorgeschalteter Linux-Rechner - eine Desktop-Firewall nur z.T. ersetzt. Wenn du darüber hinaus kontrollieren möchtest, ob Programme "nach Hause telefonieren" wollen, müsstest du doch wieder eine Desktop-Firewall installieren. Wenn es aber nur um den Schutz vor Angriffen von außen geht, reicht die Lösung mit dem Router. Ins Auge zu fassen wäre auch eine Abschaltung nicht benötigter Netzwerkdienste.
Den Server brauche ich einfach, um die Clients an einer Domäne anzumelden, damit sie auf dem Server auf verschiedene Ordner zugreifen können. Es gibt Home-Ordner (nur für den jeweiligen Benutzer zugänglich) und einen Transfer-Ordner, wo alle Zugriff haben um Dateien auszutauschen. Ausserdem ist der Virenscanner ein OfficeScan von Trendmicro, der auch vom Server aus auf die Clients verteilt und geupdatet wird.
Eigentlich geht es mir darum, herauszufinden, was denn im Vergleich zu professionellen Systemen / Firewalls alles nicht abgedeckt ist durch z.B. IP-Cop oder Hardwarefirewalls und ob ich diese Sicherheit überhaupt benötige.
Mit dem Benötigen ist das so eine Sache - ich bin seit Jahren ohne jede Firewall und sogar ohne Virenscanner unterwegs. Nie Probleme gehabt... na gut, ab und zu scanne ich mein System mit dem Offline-Virenscanner "Knoppicillin" von der c't-Security-CD - der natürlich nie etwas findet, obwohl er mit mehreren(!) namhaften Engines wie Kasperskiy, Sophos und F-Prot scannt.
Mein Tipp mit dem Dienste abschalten ist allerdings mit Vorsicht zu genießen, wenn man ein Heimnetzwerk hat. Dafür werden naturgemäß mehr Dienste gebraucht, als wenn man - abgesehen vom Internet - völlig unvernetzt ist.
"...Welche Sicherheitsmassnahmen haben denn namhafte Firmen um sich zu schützen? Oder sagen wir mal so, im Bereich von paar 100 Euro, vielleicht auch bis 3000 Euro,..."
du bist dabei für zu hause zu übertreiben? "zu viel" bedeutet nicht automatisch auch "mehr sicherheit". außerdem würde - wenn du schon übertreiben willst - ein vernünftiges backup mit veritas backup exec auf eine library nötig sein. ...oder vielleicht doch gleich tivoli storage manager? ...netapp???
ein router mit eingebauter und konfigurierter firewall reichen völlig aus.
firmen sichern ihr netz je nach bedarf und geldbeutel ab - ja höher der sicherheitsbedarf, desto besseres personal haben diese firmen und desto sicherer ist - oft, nicht immer - ihr netz.
dabei kosten aplliances mehr als das, was du mit 3000 ausgeben würdest.
besipiel?
iss proventia M50 - ab 6000€.
"...damit sie auf dem Server auf verschiedene Ordner zugreifen können. ..."
dafür reicht eine arbeitsgruppe.
"...Ausserdem ist der Virenscanner ein OfficeScan von Trendmicro,..."
ich bezweifle extrem, dass du über die notwendigen lizenzen verfügst.
Was heisst eigentlich "gut konfiguriert"? Z.B. bei IP-Cop sind doch einfach grundsätzlich mal alle Ports ausser 80 dicht, oder nicht? Oder dann habe ich übersehen, wo man das einstellen könnte. Ebenso bei Hardwarefirewalls bzw. Routern mit NAT-Firewall... da kann man doch ausser Port-Forwarding gar nichts anderes einstellen, was die Ports beeinflussen würde, die sind doch auch da grundsätzlich einfach zu.
Genau das meinte ich, als ich vorhin schrieb, dass die Firewalls in den Routern schon ab Werk so konfiguriert sind, dass man sie gleich einsetzen kann, ohne noch einml selbst Hand anlegen zu müssen. BTW, muss Port 80 wirklich offen sein? Den braucht man doch nur, wenn man einen eigenen Webserver betreibt, aber nicht zum Surfen, oder täusche ich mich?
Was Firmen machen ist etwas anderes, als was man zuhause machen will. Eine Firma ist primär nicht nur darauf angewiesen Netzwerkresourcen gegen Angriffe von Außen zu schützen, sondern auch gegen Angriffe und vor Allem Mißbrauch von Innen. Was dafür zum Einsatz kommt kann man nicht pauschalisieren, da dies meist von gutbezahlten Fachleuten den Gegebenheiten entsprechend angepasst wird. In der Regel bestehen die Konzepte aus einer Abschottung verschiedener Netze und einer Aufteilung der Netze anhand ihrer Gefährdung. Meist sind bei größeren Firmen auch noch Server im Netz, welche Dienste über das Internet bereit stellen oder es müssen externe Mitarbeiter per VPN oder RAS angebunden werden um auf netzinterne Resourcen zugreifen zu können.
Kernkomponenten für solche Netze sind meist intelligente Switches mit VLAN-Support, mehrstufige Firewalls und DMZs, Webproxies, VPN-Endpunkte und sehr viel Know-How in der Administration. Selbst wenn man privat jede Menge Geld ausgeben möchte, ohne tiefe Kenntnisse würde auch diese ganze Hardware nichts nutzen.
Was Du angesprochen hast mit den zwei Firewalls und Proxies ist übrigens das klassische Konzept einer Demilitarisierten Zone (DMZ), dabei wird zwischen internem Netz und dem Internet ein weiteres Netz installiert, das Proxies und Server mit Diensten für das Internet enthält (zB Web- oder FTP-Server), manchmal wird dies auch noch einmal unterteilt. Dabei ist eine Grundregel, dass jeweils zwischen Internet und DMZ eine Firewall ist und zwischen DMZ und LAN, wobei diese beiden Firewalls nicht vom selben Hersteller sein sollten. Sinn der Übung ist es, dass öffentliche Dienste nicht aus dem LAN heraus angeboten werden, da ein gehackter Server sonst das ganze LAN kompromittiert und aus de randeren Richtung soll sicher gestellt werden, dass Anfragen aus dem LAN nie direkt ins Internet gehen, sondern immer nur über die Proxies.
Viel zuviel Aufwand für privat. Was deine eigentliche Frage angeht, so meine ich persönlich, dass der kleine Router mit Firewall für Privatanwender die bessere Wahl ist, sofern der Privatanwender sich nicht sehr gut mit Lösungen wie IPCop und Linux auskennt und diese immer auf aktuellem Patch-Level hält. Meine Gründe sind die, dass ein Router wesentlich weniger Angriffsfläche bietet und wesentlich weniger Optionen zur Fehlkonfiguration. Anwendungsspezifisch filtern können sowieso beide nicht, das kann in gewissem Rahmen nur der ISA-Server von MS, und da reichen auch ein paar hundert Euro nicht aus.
Da fällt mir ein: warum muss man die Patches bei IP-Cop von Hand machen? Ist ja ziemlich mühsam, da müsste man ja jeden Tag schauen, ob ein Update vorhanden ist. Ich mach das nur so alle Wochen mal.
Also IP-Cop finde ich, hat nicht unüberschaubar viele Möglichkeiten zur Konfiguration. Was findest du denn an IP-Cop zu viel an Angriffsfläche?
Hätte auch noch ein zwei Fragen: Wie stehen denn Proxy-, Web- und z.B. FTP-Server zueinander?
Man würde die doch nie parallel stellen, oder?
WAN
Router1(FW1)(WAN nach LAN_A)
>Maschine1(LAN_A)-Webserver
>Maschine2(LAN_A)-FTP-Server (öffentlich)
>Maschine3(LAN_A)-Proxyserver
am Proxy Router2(FW2)(LAN_A nach LAN_B)
>Maschine1(LAN_B)-FTP-Server (nicht öffentlich)
>Maschine2(LAN_B)-Webserver (Intranet / nicht öffentlich)
>X weitere Maschinen(LAN_B)
So wäre ja der Proxy die Schnittstelle zwischen meinen Netzen und auch Standardgateway, sowie Intranet und FTP lokal. Es gibt auch keine direkte Verbindung zwischen LAN_B und dem WAN.
Aber liegen Web- und öffentlicher FTP-Server parallel, oder hängen die auch hinter dem Proxy?
wie schon geschrieben, das ist alles vom Szenario abhängig. Bei der einfachsten Ausbaustufe einer DMZ stehen meist alle Server parallel oder sind teilweise komplett auf einer physikalischen Maschine vereint. Das hat seine Vorteile bei den Kosten und dem Wartungsaufwand.
Es gibt aber auch komplexe Szenarien, in denen zB zwei DMZs hintereinander geschaltet werden. In der ersten stehen Maschinen die Dienste im Internet anbieten, da auf diese ohnehin aus dem LAN kein Zugriff nötig ist (meist existiert dafür ein paralleles Wartungs- und Konfigurationsnetz). In der zweiten DMZ stehen dann Proxy und Mailserver (wobei dem Mailserver dann gerne noch ein Store-and-Forward-Mailproxy in DMZ1 vorgeschaltet wird).
Was die Webserver betrifft, so kann man auch den Webserver im LAN belassen und zB den Zugriff von Extern (Internet) darauf auch er Proxy abwickeln, was den Vorteil hat, dass man bestimmte gefährliche Anfragen an den Webserver (zB bekannte Exploits der Serversoftware) schon über den Proxy filtern kann. Dies sollte aber nicht der gleiche Proxy sein, über den Mitarbeiter aus dem LAN ins Internet kommen.
In der Regel wird man sich auf eine DMZ beschränken, aber die Maschinen zumindest in zwei physikalische Maschinen trennen. Die eine wickelt Anfragen aus dem Internet ab wie Webserver, FTP, Mails, die andere ist dann der Proxy für den Weg der Mitarbeiter ins Internet.
Komplizierter wird es wie gesagt bei der Anbindung externer Mitarbeiter an das LAN. Das liegt weniger an der Gefahr von Enbrüchen, sondern daran, dass die externen Arbeitsplätze in der Regel nicht zentral administriert und gesichert werden können und dadurch potentiell als korrumpiert betrachtet werden müssen (die gleiche Gefahr hat man mit Mitarbeiternotebooks im LAN) und deswegen nicht uneingeschränkt in das lokale Netz eingebunden werden sollten. Im besten Fall hat man für diese Maschinen ein eigenes Netz, in welches die benötigten Resourcen entweder gespiegelt werden, oder nur über fest definierte Zugriffswege abgerufen werden können.
Was findest du denn an IP-Cop zu viel an Angriffsfläche?
Das ist ein Mißverständnis, ich meinte nicht dass IPCop eine zu große Angriffsfläche bietet, sondern das Gesamtsystem. Ich werd´s mal noch ein bißchen genauer erklären.
IPCop läuft ja auf dem Basissystem als Aufsatz, was zur Folge hat, dass das Grundsystem schon einmal gut abgesichert sein sollte, damit IPCop darauf überhaupt Sinn macht. Jetzt schreibst Du allerdings, dass IPCop bei Dir auf dem Server läuft, das System bietet also ziemlich viele Dienste an (ich gehe mal mindestens von einem Samba, Apache und CUPS aus). Das meinte ich mit Angriffsfläche.
Wenn IPCop auf einem Minimalsystem läuft mit entsprechenden Sicherheitspatches und immer up-to-date, sowie ohne weitere Dienste, so dürfte die Angriffsfläche ungefähr gleich einer Router/Firewall-Kombination sein, da diese ebenso meist auf ein abgespecktes Linux oder BSD setzen, aber hier ist auch der Schwachpunkt für Privatanwender, wer will schon so tief einsteigen, dass er zB seinen Kernel dafür mit entsprechenden Sicherheitspatches (zB PAX) neu übersetzt?
Btw, dein IPCop soltest Du auch automatisch updaten lassen können, je nach System zB mittels APT, Cronjob etc.
Ah, das hast du falsch verstanden. Mein IP-Cop läuft auf einem separaten Rechner nicht auf dem Server.
Wie meinst du das genau mit dem Kernel updaten bzw.. Sicherheitspatches aufzuspielen? Ist das nicht dasselbe wie die Updates, welche man auch automatisch machen lassen kann?
Wäre es denn z.B. noch etwas sicherer, zusätzlich zur IP-Cop noch eine weitere Hardwarefirewall, z.B. Watchguard oder Zywall oder Ähnliches zu verwenden, damit es doppelt gesichert ist und etwaige Sicherheitslücken der einen Firewall ausgebügelt werden?
Ah, das hast du falsch verstanden. Mein IP-Cop läuft auf einem separaten Rechner nicht auf dem Server.
Ah, okay, doppeltes Mißverständnis.
Wie meinst du das genau mit dem Kernelbild updaten bzw.. Sicherheitspatches aufzuspielen? Ist das nicht dasselbe wie die Updates, welche man auch automatisch machen lassen kann?
Nein, ich meinte etwas anderes. Es gibt verschiedene Patches für den Linux-Kernel zur Erhöhung der Sicherheit zB gegen Buffer Overflows (zB PAX, wie schon genannt, oder StackGuard). Diese kann man nicht einfach einspielen, man muss den Kernel selbst damit neu übersetzen (kompilieren) und das jedes Mal, wenn man entweder den Patch aktualisiert, oder den Kernel. So etwas geht (derzeit) leider nicht automatisch, da die Maschine anschließend neu gestartet werden muss (obwohl es in naher Zukunft wohl auch hot-patching für den Linux-Kernel geben könnte).
Wäre es denn z.B. noch etwas sicherer, zusätzlich zur IP-Cop noch eine weitere Hardwarefirewall, z.B. Watchguard oder Zywall oder Ähnliches zu verwenden, damit es doppelt gesichert ist und etwaige Sicherheitslücken der einen Firewallbild ausgebügelt werden?
Es gibt in der IT ein allgemein anerkanntes Grundkonzept mit dem Akronym KISS (kepp it simple stupid). Das bedeutet ungefähr soviel wie: Mach es nicht komplizierter als nötig). Vor mittlerweile drei Jahren haben ein Geschäftspartner von mir und ich die Administration für den gesamten südwestdeutschen Raum für ein Unternehmen übernommen, dass im Gebiet der Erwachsenenbildung tätig ist. Dort gab es eine immense Ausstattung was Hardware angeht. Zig Firewalls, Proxies, managebare Switches mit hochkomplizierten Filtern. Das Problem bei der Sache war nur, dass kein Mensch mehr genau wusste, wie es genau funktioniert und welche Anfragen wo und wie laufen.
Nach knapp einer Woche Analyse der Netze (es gab insgesamt 5 Standleitungen und intern an die 20 Subnets) wurde dann plötzlich klar, dass der ganze Kram nutzlos war, da irgendwann in der Vergangenheit sich ein Admin eine Hintertür eingebaut hatte und ein Teil der Verbindungen komplett ungefiltert liefen.
Was ich damit sagen will: Sicherheit ist immer ein Kompromiss. Klar hast Du theoretisch einen Zugewinn, wenn Du Dir einen ISA-Server hinstellst, diesen noch einmal mit Paketfiltern davor und dahinter absicherst, jeden Dienst auf eine andere Maschine auslagerst, aber zu welchem Preis? Du büßt eine Menge Komfort und Funktionalität ein, Du gibst eine Menge Geld aus und wenn Du nicht genau weißt, was Du tust ist der Ganze Aufwand eventuell auch noch nutzlos.
Je mehr Komplexität die Du einbaust, desto mehr Angriffsfläche, desto mehr Verwirrung und desto höher die Gefahr etwas zu vergessen oder zu übersehen. Vor ein paar Jahren wurde über die Uni hier ein Server der Navy in den USA gehackt und sensible Daten gestohlen. Die Angreifer hatten einen vergessenen Server als Sprungbrett genutzt. Normal sind die Systeme hier gut gewartet, aber eben dieser Server wurde schlicht übersehen und lief mit veralteter Software.
Langer Rede, kurzer Sinn: Wenn Du wirklich ein Optimum an Sicherheit willst, dann such dir eine möglichst einfache Lösung die überschaubar ist und sich möglichst nicht falsch konfigurieren lässt. Die größte Gefahr für Privatnetzwerke liegt ohnehin nicht in Hacks von Außen, sondern in Schadsoftware, welche über den Browser oder Email eingeschleppt wird und gegen die hilft Dir keine noch so große Unternehmensfirewall, da diese nur Netzwerktraffic sieht, aber nicht, wer ihn verursacht hat, oder was er genau enthält.
danke für dein ausführliches fachkundiges Statement... jetzt tauchen auch bei mir noch 2 Fragen auf:
> ...da dies meist von gutbezahlten Fachleuten den Gegebenheiten entsprechend angepasst wird.
Heißt das, dass die eingesetzte Sicherheitssoftware umprogrammiert wird ("Customizing"), d.h. dass der Quelltext der Programme zur Verfügung stehen müsste - oder geht es nur um die Konfiguration bestehender Hard- und Software?
> ...dass jeweils zwischen Internet und DMZ eine Firewall ist und zwischen DMZ und LAN, wobei diese beiden Firewalls nicht vom selben Hersteller sein sollten.
Wie ist das zu verstehen...? Ich könnte es mir selbst dilettantisch so erklären, dass verschiedene Firewalls ihre Schwachpunkte an unterschiedlichen Stellen haben, so dass ein Schädling, der durch die eine Firewall ungehindert durchrutscht, dafür in der anderen hängen bleibt - aber das wüsste ich gern genauer.
Heißt das, dass die eingesetzte Sicherheitssoftware umprogrammiert wird ("Customizing"), d.h. dass der Quelltext der Programme zur Verfügung stehen müsste - oder geht es nur um die Konfiguration bestehender Hard- und Software?
Ja, beides gibt es. In der Regel geht es aber primär um das Aufstellen des Grundkonzeptes der Infrastruktur und die Auswahl der Komponenten (Hard- und Software), so wie der Konfiguration (zB der Firewallregeln). Es gibt aber natürlich auch Fälle, in denen Speziallösungen notwendig werden und ein Proxy oder Webserver im Programmcode angepasst werden muss. Ein solcher Fall, für den es nicht viele fertige Systeme gibt ist zB ein Proxy mit automatischen Virenscanner für SSL-Verbindungen.
Wie ist das zu verstehen...? Ich könnte es mir selbst dilettantisch so erklären, dass verschiedene Firewalls ihre Schwachpunkte an unterschiedlichen Stellen haben, so dass ein Schädling, der durch die eine Firewall ungehindert durchrutscht, dafür in der anderen hängen bleibt
Im Prinzip ist genau das der Punkt. Es geht aber weniger um Schädlinge, als um Angreifer. Hintergrund ist die Tatsache, dass immer mal wieder Exploits zB für IOS (das Betriebssystem der großen Cisco-Kisten) bekannt werden. Hat man nun die DMZ mit zwei identischen Geräten abgesichert und es taucht ein Remote-Exploit dafür auf, so hat der Angreifer freie Bahn ins LAN.
Klar, gegen Schadsoftware gibt es Virenscanner - das ist nicht die Baustelle einer Firewall - Ungenauigkeit von mir.
Nochmals herzlichen Dank... deine Beiträge sind sehr fachkundig und ausführlich. Gefällt mir!
Sovebämse
Olaf19
Ventox
out-freyn
xafford
