Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

IP-Cop oder doch eine Hardware-Firewall?

Sovebämse am 03.11.2006, 19:34 / 25 Antworten / Flachansicht

Ein Kollege, der mit Netzwerken zu tun hat und auch für grössere Firmen den Support übernimmt, hat wieder mal meine Firewall - IP Cop auf separatem Rechner - kritisiert und gemeint, eine Hardwarefirewall sprich Router mit integrierter Firewall würde genügen und sei "besser". Bei IP-Cop kommt man ja zum Beispiel ohne Passwort auf das Interface drauf, ist das normal oder kann man das auch einstellen? Ist es auch üblich, dass man immer http:// und den Port 81 angeben muss, damit man drauf kommt?

Ich wollte eigentlich immer ein Netzwerk, das so sicher wie nur möglich ist, was ist denn nun die sicherste Lösung?

Ah und noch was: der Kollege meinte, man solle WLAN im Laptop wenn immer möglich ausschalten, da sich sonst jemand reinhacken könnte oder so.

Mir ist jetzt gerade aufgefallen, dass man ja einfach das Passwort ändern ... Sovebämse 03.11.2006, 20:00

Von IP-Cop habe ich noch nie gehört... wenn diese Firewall auf einem ... Olaf19 03.11.2006, 20:20

Also der Router ist mein Server sozusagen. Dort kann ich ja auch einen ... Sovebämse 03.11.2006, 20:28

Ja, so etwas dachte ich mir schon. Wahrscheinlich ein alter Rechner, der ... Olaf19 03.11.2006, 20:56

Welche Sicherheitsmassnahmen haben denn namhafte Firmen um sich zu ... Sovebämse 03.11.2006, 21:18

Mit dem Begriff Server kann ich in diesem Zusammenhang nichts anfangen, und ... Olaf19 03.11.2006, 21:28

Den Server brauche ich einfach, um die Clients an einer Domäne anzumelden, ... Sovebämse 03.11.2006, 21:47

Mit dem Benötigen ist das so eine Sache - ich bin seit Jahren ohne jede ... Olaf19 03.11.2006, 21:52

...Welche Sicherheitsmassnahmen haben denn namhafte Firmen um sich zu ... GarfTermy 03.11.2006, 22:30

Mal so eine allgemeine Frage: Was heisst eigentlich gut konfiguriert ? Z.B. ... Sovebämse 03.11.2006, 22:41

Genau das meinte ich, als ich vorhin schrieb, dass die Firewalls in den ... Olaf19 03.11.2006, 23:01

ich bezweifle extrem, dass du über die notwendigen lizenzen verfügst. ? Ventox 04.11.2006, 10:36

? Vielleicht hilft das zum Verständnis... :- out-freyn 04.11.2006, 14:38

Was Firmen machen ist etwas anderes, als was man zuhause machen will. Eine ... xafford 03.11.2006, 23:25

Da fällt mir ein: warum muss man die Patches bei IP-Cop von Hand machen? ... Sovebämse 03.11.2006, 23:37

Dito! Echt klasse solche Infos zu lesen! Hätte auch noch ein zwei Fragen: ... OWausK 04.11.2006, 09:47

Hallo Oli, wie schon geschrieben, das ist alles vom Szenario abhängig. Bei ... xafford 04.11.2006, 11:03

Was findest du denn an IP-Cop zu viel an Angriffsfläche? Das ist ein ... xafford 04.11.2006, 10:43

Ah, das hast du falsch verstanden. Mein IP-Cop läuft auf einem separaten ... Sovebämse 04.11.2006, 11:00

xafford

Sovebämse „Ah, das hast du falsch verstanden. Mein IP-Cop läuft auf einem separaten...“

04.11.2006, 11:26 Optionen

Ah, das hast du falsch verstanden. Mein IP-Cop läuft auf einem separaten Rechner nicht auf dem Server.

Ah, okay, doppeltes Mißverständnis.

Wie meinst du das genau mit dem Kernelbild updaten bzw.. Sicherheitspatches aufzuspielen? Ist das nicht dasselbe wie die Updates, welche man auch automatisch machen lassen kann?

Nein, ich meinte etwas anderes. Es gibt verschiedene Patches für den Linux-Kernel zur Erhöhung der Sicherheit zB gegen Buffer Overflows (zB PAX, wie schon genannt, oder StackGuard). Diese kann man nicht einfach einspielen, man muss den Kernel selbst damit neu übersetzen (kompilieren) und das jedes Mal, wenn man entweder den Patch aktualisiert, oder den Kernel. So etwas geht (derzeit) leider nicht automatisch, da die Maschine anschließend neu gestartet werden muss (obwohl es in naher Zukunft wohl auch hot-patching für den Linux-Kernel geben könnte).

Wäre es denn z.B. noch etwas sicherer, zusätzlich zur IP-Cop noch eine weitere Hardwarefirewall, z.B. Watchguard oder Zywall oder Ähnliches zu verwenden, damit es doppelt gesichert ist und etwaige Sicherheitslücken der einen Firewallbild ausgebügelt werden?

Es gibt in der IT ein allgemein anerkanntes Grundkonzept mit dem Akronym KISS (kepp it simple stupid). Das bedeutet ungefähr soviel wie: Mach es nicht komplizierter als nötig). Vor mittlerweile drei Jahren haben ein Geschäftspartner von mir und ich die Administration für den gesamten südwestdeutschen Raum für ein Unternehmen übernommen, dass im Gebiet der Erwachsenenbildung tätig ist. Dort gab es eine immense Ausstattung was Hardware angeht. Zig Firewalls, Proxies, managebare Switches mit hochkomplizierten Filtern. Das Problem bei der Sache war nur, dass kein Mensch mehr genau wusste, wie es genau funktioniert und welche Anfragen wo und wie laufen.

Nach knapp einer Woche Analyse der Netze (es gab insgesamt 5 Standleitungen und intern an die 20 Subnets) wurde dann plötzlich klar, dass der ganze Kram nutzlos war, da irgendwann in der Vergangenheit sich ein Admin eine Hintertür eingebaut hatte und ein Teil der Verbindungen komplett ungefiltert liefen.

Was ich damit sagen will: Sicherheit ist immer ein Kompromiss. Klar hast Du theoretisch einen Zugewinn, wenn Du Dir einen ISA-Server hinstellst, diesen noch einmal mit Paketfiltern davor und dahinter absicherst, jeden Dienst auf eine andere Maschine auslagerst, aber zu welchem Preis? Du büßt eine Menge Komfort und Funktionalität ein, Du gibst eine Menge Geld aus und wenn Du nicht genau weißt, was Du tust ist der Ganze Aufwand eventuell auch noch nutzlos.

Je mehr Komplexität die Du einbaust, desto mehr Angriffsfläche, desto mehr Verwirrung und desto höher die Gefahr etwas zu vergessen oder zu übersehen. Vor ein paar Jahren wurde über die Uni hier ein Server der Navy in den USA gehackt und sensible Daten gestohlen. Die Angreifer hatten einen vergessenen Server als Sprungbrett genutzt. Normal sind die Systeme hier gut gewartet, aber eben dieser Server wurde schlicht übersehen und lief mit veralteter Software.

Langer Rede, kurzer Sinn: Wenn Du wirklich ein Optimum an Sicherheit willst, dann such dir eine möglichst einfache Lösung die überschaubar ist und sich möglichst nicht falsch konfigurieren lässt. Die größte Gefahr für Privatnetzwerke liegt ohnehin nicht in Hacks von Außen, sondern in Schadsoftware, welche über den Browser oder Email eingeschleppt wird und gegen die hilft Dir keine noch so große Unternehmensfirewall, da diese nur Netzwerktraffic sieht, aber nicht, wer ihn verursacht hat, oder was er genau enthält.

Hi Xaff, danke für dein ausführliches fachkundiges Statement... jetzt ... Olaf19 03.11.2006, 23:42

Hallo Olaf, Heißt das, dass die eingesetzte Sicherheitssoftware ... xafford 04.11.2006, 11:08

Klar, gegen Schadsoftware gibt es Virenscanner - das ist nicht die Baustelle ... Olaf19 04.11.2006, 14:33

Auch von meiner Seite ein fettes Danke! Gruss OWausK 04.11.2006, 14:58

danke, hat spaß gemacht mich zu informieren. und deine antworten sind ... MDK123 04.11.2006, 20:30