Firewall ?

Dieses Thema: "Firewall ?" im Forum "Firewalls" wurde erstellt von JBR, 17.06.2007.

  1. JBR

    JBR Fichtenschonung

    Dabei seit:
    18.03.2007
    Beiträge:
    561
    Zustimmungen:
    0
    Ort:
    Nolop
    Hallo
    Ich bin grade dabei einen Server für unsere Schule aufzusetzen. Er soll folgende Dienste anbieten:
    • Proxy für HTTP(Squid) und ftp
    • Webserver
    Das System soll sich bei Dyndns registrieren.
    Im Moment läuft der sshd, Apache und Squid. Die restlichen Ports sind zu (nmap) . Außerdem will ich noch ein ftp Server installieren mit dem man auf /var/www zugreifen kann. Wenn alles funktioniert soll unter Umständen noch ein SOCKS Server hinzukommen .Welche Maßnahmen sind zum Schutz vor Eindringlingen erforderlich. ? In welchem Verhältnis stehen hier Aufwand und Nutzen eines IDS ? Was sollte an den Konfigurationen der einzelnen Dienste verändert werden ?
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. hex

    hex Lebende Foren Legende
    Moderator

    Dabei seit:
    10.12.2003
    Beiträge:
    1.775
    Zustimmungen:
    0
    Ort:
    Stuttgart
    Saubere iptables Regeln sind auf jeden Fall mal ein Anfang. Dann SSH Verbindung durch Public-Key-Verfahren zusätzlich absichern. Zumindest Root-Login nicht ermöglichen. Das wären mal so meine erste Gedanken zu dem Thema.

    Die Dienste kannst du auch noch in Chroot-Umgebungen laufen lassen. Wie das geht findest bei Google. Ist eigentlich nicht mal so schwer.

    IDS ist meiner Meinung nach schwierig, da es auch oft Fehlalarm gibt. Du hast das normale Rauschen aus dem Netz mit Exploit-Versuchen und SSH-Verbindungen, usw. auf die ein sensibles IDS anspringen kann. Aber lockere Regeln machen ein IDS ja fast nutzlos.

    Denke mit den oben genannten Sachen kannst dein System auf jeden Fall ein wenig besser schützen.


    mfg hex
     
  4. #3 serverzeit.de, 17.06.2007
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    Welches Betriebssystem willst du denn einsetzen? Linux? FreeBSD? Solaris?

    Im Serverbereich würde ich dir FreeBSD empfehlen, da es bei Netzwerkoperationen eine bessere Performance hat und erheblich einfacher abzusichern ist.

    Ein IDS würde ich bei einer dynamischen Adresse nicht verwenden, da hat hex Recht. Ich setze es zwar auf meinen Servern ein, aber wirklich bringen tut es mir nix.

    Haben auch andere Benutzer Zugriff auf den Server oder nur du? Wird es Samba-Shares geben? Wenn ja würde ich dir empfehlen ClamAV mit dazuko als onAccess-Virenscanner zu nutzen. Zudem noch RKHunter und Chrootkit. Dann bist du eigentlich ganz gut dabei wenn du es sauber machst.

    Läuft der Apache hinter dem Squid-Server? Denk auch dran den Apache abzusichern.

    Lass mal hören was du vor hast.
     
  5. JBR

    JBR Fichtenschonung

    Dabei seit:
    18.03.2007
    Beiträge:
    561
    Zustimmungen:
    0
    Ort:
    Nolop
    Hallo
    Danke erstmal für eure Antworten.
    Bisher verteilte ein unter openSUSE 10 laufender Rechner mit einem Squid das Internet in unserer Schule. Damit hatte ich nichts zu tun. Dann wollte ich eine Webseite ins Internet stellen. Das funktionierte nach mehren Monaten fehlersuche auch. Als das ganze dann nach einem Monat nicht mehr funktionierte und der Squid jeden Montag neu gestartet werden wollte, fiel die Entscheidung das System neu aufzusetzen. Nachdem verschiedene Distributionen, unter anderem spezielle Schulserver getestet wurden, viel der Entschluss Debian oder Ubuntu einzusetzen. Inzwischen habe ich unter Ubuntu die oben genannten Dienste zum laufen gebracht. Insgesammt dürften es über 50 Clients sein die über alle Gebäude verteilt an dieses Netzwerk angeschlossen sind. Außerdem gibt es noch ein paar Netzwerkdosen über die man auch in dieses LAN kommt.

    Samba Shares wird es auf diesem Rechner nicht geben. Der Apache soll Vertretungspläne verteilen und ein Anleitung wie man in Internet kommt, mehr nicht. So betrachtet reicht auch ein kleinerer HTTP Server
    Wenn ich euch richtig verstanden habe reicht es also die Serverdienste sicher zu konfigurieren das System regelmäßig nach rootkits abzurufen und iptables sauber zu konfigurieren.
     
  6. #5 serverzeit.de, 17.06.2007
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    Ich denke das wird dich schon lange genug beschäftigen, aber im Grunde hast du Recht. "Nur" die paar Dinge sind zu beachten.
     
Thema:

Firewall ?

Die Seite wird geladen...

Firewall ? - Ähnliche Themen

  1. Firewall pfSense 2.3 erschienen

    Firewall pfSense 2.3 erschienen: Version 2.3 der auf FreeBSD beruhenden Firewall-Distribution pfSense bringt unter anderem eine noch einmal neu geschriebene Weboberfläche und eine...
  2. DNS, DNS-Crypt und Firewall

    DNS, DNS-Crypt und Firewall: Hallo! Ich bin gerade wieder an meiner Hardware-Firewall dran und drehe ein paar Hähne enger zu. Da kam mir die Frage mit dem DNS auf. Ich habe...
  3. Firewall Smoothwall Express 3.1 veröffentlicht

    Firewall Smoothwall Express 3.1 veröffentlicht: Die Entwickler der Smoothwall-Gemeinschaft haben ihre freie Firewalldistribution Smoothwall Express in der Version 3.1 veröffentlicht. Smoothwall...
  4. Untangle NG Firewall 11 veröffentlicht

    Untangle NG Firewall 11 veröffentlicht: Das US-amerikanische Unternehmen Untangle hat seine Firewall- und Gateway-Distribution Untangle NG Firewall in der Version 11 veröffentlicht....
  5. Opensuse 13.1 yast Firewall.....

    Opensuse 13.1 yast Firewall.....: Hi Guys, ich versuche gerade mal die Firewall einzurichten mit Masquarading das ich den ganzen internet verkehr von meinem Router WANs Port ans...