shad0w Geschrieben 14. Januar 2004 Teilen Geschrieben 14. Januar 2004 Hi, ich moechte mein Heimnetzwerk um meine OpenBSD Firewall/Gateway reduzieren. Als ersatz soll ein Gentoo Linux Mailserver dienen. Der neue Rechner ist mit 2-3 Netzwerkkarten ausgestattet ... Leider hab ich keinen schimmer, was ich alles unter linux einrichten muss, damit das routing, firewalling etc. funktioniert, da ich das bisher nur auf OpenBSD mit pf gemacht habe ... waere nett, wenn mir jemand ne kurze uebersicht geben koennte, was ich am besten installiere/einrichte etc. da ich den Mailserver selbst auch entsprechend gesichert haben moechte. Kernel ist Gentoo-Hardened-2.4.x. Danke schonmal, shad0w Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
DanielB Geschrieben 14. Januar 2004 Teilen Geschrieben 14. Januar 2004 Original geschrieben von shad0w ich moechte mein Heimnetzwerk um meine OpenBSD Firewall/Gateway reduzieren. Als ersatz soll ein Gentoo Linux Mailserver dienen. Hi, hmm, Du möchtest eine Firewall durch einen Mailserver ersetzen ? Original geschrieben von shad0w Der neue Rechner ist mit 2-3 Netzwerkkarten ausgestattet ... [snip] Tja, das kommt drauf an, welchen Aufwand Du betreiben möchtest, um das System abzusichern. Möglichkeiten und Software gibt es sehr, sehr viele. Möchtest Du einfach nur einen Paketfilter installieren, so ist, wie Du sicherlich weisst, Netfilter/IPtables empfehlenswert (www.netfilter.org). HowTo's und Skript Generatoren dazu gibt es reichlich. Weitere Software, um ein System abzusichern, bzw. generelle Security Software : TripWire bzw. ein TripWire Clone SE Linux LIDS PaX RSBAC (http://www.rsbac.de) Snort + ACID bzw. Snort-Inline Stack Protector GR Security OpenWall Patches Kerberos Diverse Proxies (HTTP, FTP, SMTP, DNS, etc, siehe www.freshmeat.net) Sebek (siehe www.honeynet.org -> Tools) Portsentry und unzählige andere Tools bzw. Kombinationen aus den o.g. Das "Problem" ist, die Installation all dieser Tools und Absicherungen des Systems sind _sehr_ Zeitintensiv. Wenn Du das wirklich konsequent betreiben willst, kannst Du nämlich anfangen die komplette Distribution z.B. mit Stack Protector neu zu kompilieren, Authentifizierung _komplett_ auf Kerberos umzustellen, RSBAC und damit Rollen und Zugriffsrechte für die einzelnen Programme und Dienste festlegen etc. Natürlich bleibt die Frage, ob dieses für Dein Heimnetzwerk nicht eher ein Overkill ist, aber Du fragtest ja nach Möglichkeiten und Software.Mir ist nur eine einzige Linux Distribution, bzw. Erweiterung zu Debian bekannt, die einem die Arbeit teilweise abnimmt (www.adamantix.org). OpenBSD hat den Vorteil, das es viele dieser Features bereits "on board" hat. Ich habe vor einer Weile angefangen meine eigene, auf Slackware basierende Security Distribution zu bauen, die einen Grossteil dieser Tools enthält. Das Kompilieren eines kompletten Systems ist auf einem AMD Athlon 1.4 GHz jedoch wahrlich keine Freude und irgendwann hatte ich einfach keine Lust mehr, von daher ist das Teil nie fertig geworden :/ Weitere Möglichkeiten sind natürlich jeden laufenden Dienst in ein chroot jail zu verbannen, Dienste zu deaktivieren, soweit möglich keine suid root Dateien, und das System 24x7 zu beobachten Viel Spass Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
shad0w Geschrieben 14. Januar 2004 Autor Teilen Geschrieben 14. Januar 2004 sorry fuer die ausdrucksweise. Der Server (hardware) laeuft neben der firewall als mailserver und soll nun die aufgaben der firewall zusaetzlich uebernehmen. Mit sicherheit meine ich eben nur, dass das heimnetzwerk gegen kiddies etc. gesichert ist, d.h. dass keiner den mailserver knacken kann (meine einzige sorge momentan, da serverdienste ja im allgemeinen leicht zu knacken sind). D.h. moeglichst gut mit iptables abschotten. Ansonsten werd ich wohl noch tripwire und SE Linux drauf hauen, und eventuell noch die authentifizierung umstellen, aber viel mehr moecht ich vermeiden, gerade wegen dem aufwand (bin schliesslich entwickler, und moechte auch meine zeit mit entwickeln verbringen, und net mit logfiles lesen ... ). danke aber fuer die antwort. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
DanielB Geschrieben 14. Januar 2004 Teilen Geschrieben 14. Januar 2004 Wenn die Serverprogramme, die Du einsetzt im allgemeinen leicht zu knacken sind, solltest Du eventuell über den Einsatz alternativer Software nachdenken Sofern Du diese Dienste auch der breiten Öffentlichkeit anbieten möchtest, nutzt Dir iptables für eben diese Dienste relativ wenig. Der beste Schutzt gegen sogenannte "Script Kiddies" sind nicht Firewall Regeln, sondern regelmässige Updates der zwangsläufig nötigen Programme auf dem System. Logfiles lesen ist ein essentieller Bestandteil von Systemsicherheit. Glücklicherweise gibt es einige Tools, um diesen relativ stupiden Job zu vereinfachen. Drum rumkommen wirst Du jedoch nicht, wenn Dir Systemsicherheit und Integrität am Herzen liegt. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
shad0w Geschrieben 16. Januar 2004 Autor Teilen Geschrieben 16. Januar 2004 ne, ist nix fuer die oeffentlichkeit dabei ... die software ist auch i.d.R. auf dem neusten stand, doch gibt es immer wieder wege, z.b. nen postfix oder dns server zu knacken ... folgende dienste laufen momentan auf der kiste: postfix courier-imap/pop3 fetchmail dns dhcp mysqldb dazu soll eben nun die dsl einwahl und ein kleines firewall script ... welche programme gibt es denn, die die auswertung von logs erleichtern? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
DanielB Geschrieben 16. Januar 2004 Teilen Geschrieben 16. Januar 2004 Wenn Du keine öffentlichen Dienste anbieten möchtest, kannst Du den meisten Programme sagen, dass sie sich nur an die interne Netzwerkadresse binden. Zusätzlich dazu kannst Du natürlich eingehende Verbindungen mit Hilfe von IPTables auf dem externen Interface blocken. In diesem Zusammenhang ist eventuell das Stateful Filtering von Netfilter interessant (-m state --state). Viele Programme erlauben es des weiteren Programminterne ACLs zu verwenden, z.B. allow-query bei BIND, hosts allow bei Samba etc. Weiterhin unterstützen viele Programme tcp-wrapper (/etc/hosts.allow, /etc/hosts.deny). Natürlich gibt es hin und wieder Sicherheitsprobleme mit Serverdiensten, dann heisst es Patchen und das Problem ist verschwunden Für die Logfile Analyse gibt es tonnenweise Tools. Angefangen bei simplen Dingen wie z.B. grep oder Skripten, die nach vordefinierten Einträgen in den Logfiles sehen, über Webinterfaces bis hin zu spezielleren Lösungen, die z.B. nur die Firewall Logs auswerten. Schau einfach mal bei www.freshmeat.net vorbei und benutze die dortige Suchfunktion. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
shad0w Geschrieben 17. Januar 2004 Autor Teilen Geschrieben 17. Januar 2004 ok, danke. Werd mal sehen ob ich das in naechster zeit hinbekomme ... erst mal um die dsl einwahl und das routing kuemmern. Sobald das geht kommen die security programme drauf. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.