Firewall ?

JBR

JBR

Fichtenschonung
Hallo
Ich bin grade dabei einen Server für unsere Schule aufzusetzen. Er soll folgende Dienste anbieten:
  • Proxy für HTTP(Squid) und ftp
  • Webserver
Das System soll sich bei Dyndns registrieren.
Im Moment läuft der sshd, Apache und Squid. Die restlichen Ports sind zu (nmap) . Außerdem will ich noch ein ftp Server installieren mit dem man auf /var/www zugreifen kann. Wenn alles funktioniert soll unter Umständen noch ein SOCKS Server hinzukommen .Welche Maßnahmen sind zum Schutz vor Eindringlingen erforderlich. ? In welchem Verhältnis stehen hier Aufwand und Nutzen eines IDS ? Was sollte an den Konfigurationen der einzelnen Dienste verändert werden ?
 
Saubere iptables Regeln sind auf jeden Fall mal ein Anfang. Dann SSH Verbindung durch Public-Key-Verfahren zusätzlich absichern. Zumindest Root-Login nicht ermöglichen. Das wären mal so meine erste Gedanken zu dem Thema.

Die Dienste kannst du auch noch in Chroot-Umgebungen laufen lassen. Wie das geht findest bei Google. Ist eigentlich nicht mal so schwer.

IDS ist meiner Meinung nach schwierig, da es auch oft Fehlalarm gibt. Du hast das normale Rauschen aus dem Netz mit Exploit-Versuchen und SSH-Verbindungen, usw. auf die ein sensibles IDS anspringen kann. Aber lockere Regeln machen ein IDS ja fast nutzlos.

Denke mit den oben genannten Sachen kannst dein System auf jeden Fall ein wenig besser schützen.


mfg hex
 
Welches Betriebssystem willst du denn einsetzen? Linux? FreeBSD? Solaris?

Im Serverbereich würde ich dir FreeBSD empfehlen, da es bei Netzwerkoperationen eine bessere Performance hat und erheblich einfacher abzusichern ist.

Ein IDS würde ich bei einer dynamischen Adresse nicht verwenden, da hat hex Recht. Ich setze es zwar auf meinen Servern ein, aber wirklich bringen tut es mir nix.

Haben auch andere Benutzer Zugriff auf den Server oder nur du? Wird es Samba-Shares geben? Wenn ja würde ich dir empfehlen ClamAV mit dazuko als onAccess-Virenscanner zu nutzen. Zudem noch RKHunter und Chrootkit. Dann bist du eigentlich ganz gut dabei wenn du es sauber machst.

Läuft der Apache hinter dem Squid-Server? Denk auch dran den Apache abzusichern.

Lass mal hören was du vor hast.
 
Hallo
Danke erstmal für eure Antworten.
Lass mal hören was du vor hast.
Bisher verteilte ein unter openSUSE 10 laufender Rechner mit einem Squid das Internet in unserer Schule. Damit hatte ich nichts zu tun. Dann wollte ich eine Webseite ins Internet stellen. Das funktionierte nach mehren Monaten fehlersuche auch. Als das ganze dann nach einem Monat nicht mehr funktionierte und der Squid jeden Montag neu gestartet werden wollte, fiel die Entscheidung das System neu aufzusetzen. Nachdem verschiedene Distributionen, unter anderem spezielle Schulserver getestet wurden, viel der Entschluss Debian oder Ubuntu einzusetzen. Inzwischen habe ich unter Ubuntu die oben genannten Dienste zum laufen gebracht. Insgesammt dürften es über 50 Clients sein die über alle Gebäude verteilt an dieses Netzwerk angeschlossen sind. Außerdem gibt es noch ein paar Netzwerkdosen über die man auch in dieses LAN kommt.

Samba Shares wird es auf diesem Rechner nicht geben. Der Apache soll Vertretungspläne verteilen und ein Anleitung wie man in Internet kommt, mehr nicht. So betrachtet reicht auch ein kleinerer HTTP Server
Wenn ich euch richtig verstanden habe reicht es also die Serverdienste sicher zu konfigurieren das System regelmäßig nach rootkits abzurufen und iptables sauber zu konfigurieren.
 
Wenn ich euch richtig verstanden habe reicht es also die Serverdienste sicher zu konfigurieren das System regelmäßig nach rootkits abzurufen und iptables sauber zu konfigurieren.
Ich denke das wird dich schon lange genug beschäftigen, aber im Grunde hast du Recht. "Nur" die paar Dinge sind zu beachten.
 

Ähnliche Themen

squid transparent proxy will nicht transparent werden !! :-(

Squid nur zum maskieren der eigenen IP, nicht für Webserver auf port 80

Zurück
Oben