mido5090

Hey Leute,

ich habe im Internet 2 unterschiedliche Schaubilder (Netzwerkinfrastrukturen) gesehen und bin nun völlig verwirrt, was die "richtige" Lösung ist.

Variante 1:

LAN -> Router -> FW -> | DMZ | -> FW -> VPN -> Router -> Internet

Variante 2:

LAN -> FW -> Router -> | DMZ | -> FW -> Router -> VPN -> Internet

Ich blicks jetzt nicht mehr

Hi Daniel,

die Aussagen der anderen Forenteilnehmer haben nichts mit herabwürdigung zu tun. Die meißten möchten einfach nur verhindern, dass du massive Schwierigkeiten bekommst.

Jede Woche gibt es Themen in Foren ala "Ich hab nen Root/V-Server gemietet, kenn mich null aus, will aber nen Ts2 & CS Server drauf laufen lassen".

Dann wird wild irgendwelche Pakete installiert und der "Admin" hofft, dass es irgendwie läuft.

Was er nicht weis, ist die Tatsache, dass er dann ein Open-Relay gebaut hat oder eben ein extrem unsichere Webseite usw.

Nach nem Monat bekommet er dann im ungünstigsten Fall direkt einen Brief der Staatsanwaltschaft, da über ihren V-Server kinderpornografische Inhalte verbreitet werden (gab es auch schon häufiger).

Du solltest dir am besten auf deinem Windows-Rechner eine VM installieren (z.b VirtualBoX (sehr einfach in der Bedienung) oder von VM-Ware etwas.

Bei VM-Ware hast du je nach Produkt, mehr Einstellmöglichkeiten. Danach installierst du dir die Linux-Distribution auf der VM und erstellt nach dem installieren einen "Snapshot". Falls du dann die Maschine abschießt, kannste sie mit dem Snapshot wieder recovern.

Teste IMMER alles in einer Testumgebung, sonst gibt es (unter Garantie) früher oder später ein böses Erwachen.

Btw: Ein Info-Studium mit der Praxis nichts zu tun. Auch Studiengänge wie "angewandte Informatik" die sowas propagieren. Ich kenne von der Sorte, die keinen Pc formatieren können.

Ohne vielleicht jetzt rücksichtslos zu wirken,

aber es wird dir hier niemand eine "Anleitung" zum Einrichten&Absichern eines V-Servers posten.

Alleine mit dem Thema absichern beschäftigen sich einige richtig dicke Wälzer :/.

Was ich dir sehr ans Herz legen kann ist folgendes Buch.

Linux-Server mit Debian GNU/Linux: Das umfassende Praxis-Handbuch: Amazon.de: Eric Amberg: Bücher

Es ist (meiner Meinung nach) das beste "Newbie"-Buch auf dem Markt, mit einem sehr großen praktischen Anteil.

Wenn du das durchgeackert hast, solltest du auf deinem V-Server halbwegs klarkommen.

Was die Absicherung angeht. Evtl. weiterführende Literatur lesen und 1-2 Dienste besser nicht nutzen, wenn es an Know-How mangelt.

Sprich: E-Mail-gedöhns oder Apache2. Es gibt nichts ärgerlicheres wie ein Open-Mail-Relay oder einen unsicheren Webserver, der kompromittiert wird.

Ansonsten, 1-2 kleine Tipps zur Authentifikation.

1. SSH benutzen

2. Am besten Schlüssel zur Authentifikation nutzen

3. Privatschlüssel mit einem Passphrase versehen

4. Direkter Root-Login verbieten

5. Keine unnötigen Benutzer anlegen

6. Lass X-Window weg und installier wirklich nur die Pakete, die du wirklich brauchst. Ich möchte kein Distri-Bashing starten, aber schmeiß Suse in die Mülltonne und nehm debian

Damit sollte zumindest der Zugriff auf die Machine halbwegs sicher sein.

Den SSH-Server kannste auf einem Debian-System mit "apt-get install sshd" installieren. Die Konfigurationsdatei müsste /etc/ssh/sshd.conf sein.

Der Public-Key wird in /home/benutzer/.ssh/ gelegt (Tutorial durchlesen).

just my 2 cent

Viel Erfolg

Hallo Kollegen/innen,

ich habe eine Frage zum RSA-Fingerprint-Ablauf beim SSH-Protokoll (Version 2).

So wie ich das verstanden habe, funktioniert es wie folgt.

1. Der Client versucht eine Verbindung zum Server aufzubauen (erstmalige Verbindung)

2. Der Server erzeugt von seinem Host-Key ein Schlüsselpaar

3. Der Server schickt seinen öffentl. Schlüssel an den Client

4. Der Client erzeugt einen Fingerprint von dem Schlüssel (Putty macht das automatisch) und zeigt diesem dem Client an.

5. Der User des Client's ruft den Administrator des Servers an, und vergleicht den Fingerprint des Schlüssels mit dem Fingerprint des Servers.

Was mich an der ganzen Sache stört ist folgendes.

Das Authentifikationsverfahren soll Man-in-the-middle Angriffe verhindern.

Falls nur der Schlüssel ohne Parameter und sonstiges geschickt wird, wäre es kein wirkungsvoller Schutz. Zwar stimmen die Hash-Funktionen überein, dass hindert aber den MITM nicht daran, trotzdem die Verbindung umzuleiten.

Ich bin der Meinung, dass der Server nicht nur den öffentl. Schlüssel schickt.

Kennt sich jemand mit dem genauen Ablauf der Authentifikation aus? Ich finde in keiner Quelle eine detaillierte Eklärung.

mfg

Mido