Zum Inhalt springen

Linux Firewall/Router - Was wird benoetigt?


shad0w

Empfohlene Beiträge

Hi,

ich moechte mein Heimnetzwerk um meine OpenBSD Firewall/Gateway reduzieren. Als ersatz soll ein Gentoo Linux Mailserver dienen.

Der neue Rechner ist mit 2-3 Netzwerkkarten ausgestattet ...

Leider hab ich keinen schimmer, was ich alles unter linux einrichten muss, damit das routing, firewalling etc. funktioniert, da ich das bisher nur auf OpenBSD mit pf gemacht habe ...

waere nett, wenn mir jemand ne kurze uebersicht geben koennte, was ich am besten installiere/einrichte etc. da ich den Mailserver selbst auch entsprechend gesichert haben moechte.

Kernel ist Gentoo-Hardened-2.4.x.

Danke schonmal,

shad0w

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von shad0w

ich moechte mein Heimnetzwerk um meine OpenBSD Firewall/Gateway reduzieren. Als ersatz soll ein Gentoo Linux Mailserver dienen.

Hi,

hmm, Du möchtest eine Firewall durch einen Mailserver ersetzen ? :)

Original geschrieben von shad0w

Der neue Rechner ist mit 2-3 Netzwerkkarten ausgestattet ...

[snip]

Tja, das kommt drauf an, welchen Aufwand Du betreiben möchtest, um das System abzusichern. Möglichkeiten und Software gibt es sehr, sehr viele. Möchtest Du einfach nur einen Paketfilter installieren, so ist, wie Du sicherlich weisst, Netfilter/IPtables empfehlenswert (www.netfilter.org). HowTo's und Skript Generatoren dazu gibt es reichlich.

Weitere Software, um ein System abzusichern, bzw. generelle Security Software :

TripWire bzw. ein TripWire Clone

SE Linux

LIDS

PaX

RSBAC (http://www.rsbac.de)

Snort + ACID bzw. Snort-Inline

Stack Protector

GR Security

OpenWall Patches

Kerberos

Diverse Proxies (HTTP, FTP, SMTP, DNS, etc, siehe www.freshmeat.net)

Sebek (siehe www.honeynet.org -> Tools)

Portsentry

und unzählige andere Tools bzw. Kombinationen aus den o.g.

Das "Problem" ist, die Installation all dieser Tools und Absicherungen des Systems sind _sehr_ Zeitintensiv. Wenn Du das wirklich konsequent betreiben willst, kannst Du nämlich anfangen die komplette Distribution z.B. mit Stack Protector neu zu kompilieren, Authentifizierung _komplett_ auf Kerberos umzustellen, RSBAC und damit Rollen und Zugriffsrechte für die einzelnen Programme und Dienste festlegen etc. Natürlich bleibt die Frage, ob dieses für Dein Heimnetzwerk nicht eher ein Overkill ist, aber Du fragtest ja nach Möglichkeiten und Software.Mir ist nur eine einzige Linux Distribution, bzw. Erweiterung zu Debian bekannt, die einem die Arbeit teilweise abnimmt (www.adamantix.org). OpenBSD hat den Vorteil, das es viele dieser Features bereits "on board" hat. Ich habe vor einer Weile angefangen meine eigene, auf Slackware basierende Security Distribution zu bauen, die einen Grossteil dieser Tools enthält. Das Kompilieren eines kompletten Systems ist auf einem AMD Athlon 1.4 GHz jedoch wahrlich keine Freude und irgendwann hatte ich einfach keine Lust mehr, von daher ist das Teil nie fertig geworden :/ Weitere Möglichkeiten sind natürlich jeden laufenden Dienst in ein chroot jail zu verbannen, Dienste zu deaktivieren, soweit möglich keine suid root Dateien, und das System 24x7 zu beobachten :D

Viel Spass :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

sorry fuer die ausdrucksweise. Der Server (hardware) laeuft neben der firewall als mailserver und soll nun die aufgaben der firewall zusaetzlich uebernehmen.

Mit sicherheit meine ich eben nur, dass das heimnetzwerk gegen kiddies etc. gesichert ist, d.h. dass keiner den mailserver knacken kann (meine einzige sorge momentan, da serverdienste ja im allgemeinen leicht zu knacken sind). D.h. moeglichst gut mit iptables abschotten.

Ansonsten werd ich wohl noch tripwire und SE Linux drauf hauen, und eventuell noch die authentifizierung umstellen, aber viel mehr moecht ich vermeiden, gerade wegen dem aufwand (bin schliesslich entwickler, und moechte auch meine zeit mit entwickeln verbringen, und net mit logfiles lesen ... ;)).

danke aber fuer die antwort. :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wenn die Serverprogramme, die Du einsetzt im allgemeinen leicht zu knacken sind, solltest Du eventuell über den Einsatz alternativer Software nachdenken :) Sofern Du diese Dienste auch der breiten Öffentlichkeit anbieten möchtest, nutzt Dir iptables für eben diese Dienste relativ wenig. Der beste Schutzt gegen sogenannte "Script Kiddies" sind nicht Firewall Regeln, sondern regelmässige Updates der zwangsläufig nötigen Programme auf dem System.

Logfiles lesen ist ein essentieller Bestandteil von Systemsicherheit. Glücklicherweise gibt es einige Tools, um diesen relativ stupiden Job zu vereinfachen. Drum rumkommen wirst Du jedoch nicht, wenn Dir Systemsicherheit und Integrität am Herzen liegt.

Link zu diesem Kommentar
Auf anderen Seiten teilen

ne, ist nix fuer die oeffentlichkeit dabei ... die software ist auch i.d.R. auf dem neusten stand, doch gibt es immer wieder wege, z.b. nen postfix oder dns server zu knacken ...

folgende dienste laufen momentan auf der kiste:

postfix

courier-imap/pop3

fetchmail

dns

dhcp

mysqldb

dazu soll eben nun die dsl einwahl und ein kleines firewall script ...

welche programme gibt es denn, die die auswertung von logs erleichtern?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wenn Du keine öffentlichen Dienste anbieten möchtest, kannst Du den meisten Programme sagen, dass sie sich nur an die interne Netzwerkadresse binden. Zusätzlich dazu kannst Du natürlich eingehende Verbindungen mit Hilfe von IPTables auf dem externen Interface blocken. In diesem Zusammenhang ist eventuell das Stateful Filtering von Netfilter interessant (-m state --state). Viele Programme erlauben es des weiteren Programminterne ACLs zu verwenden, z.B. allow-query bei BIND, hosts allow bei Samba etc. Weiterhin unterstützen viele Programme tcp-wrapper (/etc/hosts.allow, /etc/hosts.deny).

Natürlich gibt es hin und wieder Sicherheitsprobleme mit Serverdiensten, dann heisst es Patchen und das Problem ist verschwunden :)

Für die Logfile Analyse gibt es tonnenweise Tools. Angefangen bei simplen Dingen wie z.B. grep oder Skripten, die nach vordefinierten Einträgen in den Logfiles sehen, über Webinterfaces bis hin zu spezielleren Lösungen, die z.B. nur die Firewall Logs auswerten. Schau einfach mal bei www.freshmeat.net vorbei und benutze die dortige Suchfunktion.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...