123788
Dec 24, 2016
2289
10
0
Theorie: Maximal sicheres Gateway
Hallo zusammen,
mal eine theoretische Überlegung: Wie muss ein möglichst sicheres Gateway aussehen? Es soll einem LAN ermöglichen, eine Verbindung zum Internet aufzubauen. Genutzt werden sollen alle typischen Dienste und alle typischen Client-Geräte.
Mein Ansatz bisher:
- gehärtetes Linux/BSD/Unix
- Paketfilter, passend konfiguriert (nur das Nötige raus, nichts rein)
- IPS, z.B. Snort
- ggfs. Geo-IP-Filter
- Squid + SquidGuard (filtert Werbung etc. heraus)
Was meint ihr dazu?
mal eine theoretische Überlegung: Wie muss ein möglichst sicheres Gateway aussehen? Es soll einem LAN ermöglichen, eine Verbindung zum Internet aufzubauen. Genutzt werden sollen alle typischen Dienste und alle typischen Client-Geräte.
Mein Ansatz bisher:
- gehärtetes Linux/BSD/Unix
- Paketfilter, passend konfiguriert (nur das Nötige raus, nichts rein)
- IPS, z.B. Snort
- ggfs. Geo-IP-Filter
- Squid + SquidGuard (filtert Werbung etc. heraus)
Was meint ihr dazu?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 324739
Url: https://administrator.de/contentid/324739
Printed on: April 19, 2024 at 20:04 o'clock
10 Comments
Latest comment
Moin,
entweder Du arbeitest Dich in pfSense ein oder Du kaufst eine fertige Firewall.
Stefan
entweder Du arbeitest Dich in pfSense ein oder Du kaufst eine fertige Firewall.
Stefan
Hi!
Ersteres habe ich schon getan
Geht mir eher um die Idee, was man noch bräuchte oder tun könnte.
Ersteres habe ich schon getan
Geht mir eher um die Idee, was man noch bräuchte oder tun könnte.
moin...
deine frage ist eher was für Freitags...
was sind für dich alle typischen Dienste und alle typischen client-geräte ?
nur so zum Verständnis, wenn ich das meine frau frage, sagt sie ganz klar- der Thermomix...
und das IPad...
also sag uns doch bitte was du möchtest, und um welche geräte es geht- und vor allen welche dienste.
dann sagen wir dir was man noch bräuchte oder tun könnte....
Frank
deine frage ist eher was für Freitags...
was sind für dich alle typischen Dienste und alle typischen client-geräte ?
nur so zum Verständnis, wenn ich das meine frau frage, sagt sie ganz klar- der Thermomix...
und das IPad...
also sag uns doch bitte was du möchtest, und um welche geräte es geht- und vor allen welche dienste.
dann sagen wir dir was man noch bräuchte oder tun könnte....
Frank
Oh mein Gott...... Das nächste Bot-Netz besteht aus Thermomix Geraten....
In diesem Sinne
Frohes Fest
In diesem Sinne
Frohes Fest
Hallo!
In meinen Augen hängt die Sicherheit einer Firewall zu 99% am Regelwerk. Dann kommt lange nix.
Wenn Du dann noch eine Schippe drauf legen willst, wäre noch eine Layer 7 Firewall ein weiterer Schritt und da landest Du dann bei deutlich teureren Modellen wie Palo Alto, eventuell Sonicwall, vielleicht Fortinet, etc.
Geo-IP, etc. halte ich ja für nette Werbedinge
Grüße und frohe Weihnachten
Phil
In meinen Augen hängt die Sicherheit einer Firewall zu 99% am Regelwerk. Dann kommt lange nix.
Wenn Du dann noch eine Schippe drauf legen willst, wäre noch eine Layer 7 Firewall ein weiterer Schritt und da landest Du dann bei deutlich teureren Modellen wie Palo Alto, eventuell Sonicwall, vielleicht Fortinet, etc.
Geo-IP, etc. halte ich ja für nette Werbedinge
Grüße und frohe Weihnachten
Phil
Hallo zusammen,
da passiert dann das meiste was einem selber oder andere gefährdet.
ansonsten mag das aber schon richtig definiert sein.
gewartet werden und sollte immer mehr verfeinert oder angepasst werden.
anderen "Paketen" wie Snort und Suricata, dann kann man damit noch mehr heraus holen und versteht
auch was dort passiert.
oder gar die aller Pakete persönlich? Warum sollte da nicht jemand böses im Schilde führen?
Gruß und frohe Weihnachten
Dobby
Mein Ansatz bisher:
Meiner ist das es nichts schlimmeres gibt als eine schlecht oder falsch konfigurierte(n) Firewall oder Router,da passiert dann das meiste was einem selber oder andere gefährdet.
- gehärtetes Linux/BSD/Unix
Es gehen auch eigene Systeme von Herstellern, also von Grund auf selbst geschriebener Codeansonsten mag das aber schon richtig definiert sein.
- Paketfilter, passend konfiguriert (nur das Nötige raus, nichts rein)
Wenn das passt dann ist das auch ok so.- IPS, z.B. Snort
Das ist nichts was man aufsetzt und dann läuft es für immer schön durch, das will gepflegt undgewartet werden und sollte immer mehr verfeinert oder angepasst werden.
- ggfs. Geo-IP-Filter
- Squid + SquidGuard (filtert Werbung etc. heraus)
Ein AddBolcker also addon im Browser ist auch nett. Allerdings nicht so flexibel und gut anzupassen.- Squid + SquidGuard (filtert Werbung etc. heraus)
Was meint ihr dazu?
Übung macht den Meister und es gibt sicherlich auch Bücher zu pfSense und auch zu Squid und denanderen "Paketen" wie Snort und Suricata, dann kann man damit noch mehr heraus holen und versteht
auch was dort passiert.
Theorie: Maximal sicheres Gateway
Dann sollte alles aus einer vertrauenswürdigen Quelle stammen! Kennst Du die Programmierer von pfSenseoder gar die aller Pakete persönlich? Warum sollte da nicht jemand böses im Schilde führen?
Gruß und frohe Weihnachten
Dobby
Wie muss ein möglichst sicheres Gateway aussehen?
So zum Bleistift:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Zitat von @aqui:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
ich dachte eher an sowas Save GatewayWie muss ein möglichst sicheres Gateway aussehen?
So zum Bleistift:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Frank
Zitat von @aqui:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Wie muss ein möglichst sicheres Gateway aussehen?
So zum Bleistift:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Passt hier wegen
Theorie: Maximal sicheres Gateway
Dann sollte alles aus einer vertrauenswürdigen Quelle stammen! Kennst Du die Programmierer von pfSenseoder gar die aller Pakete persönlich? Warum sollte da nicht jemand böses im Schilde führen?
nicht ganz.
Hallo,
ihr habt natürlich recht: Theoretisch müsste ich sowohl Soft- als auch Hardware für diesen Zweck komplett selbst entwickeln
Typische Netzwerk-Dienste sind für mich z.B. DHCP, DNS, NTP und ein Proxy.
Typische Client-Geräte sind Windows-PCs, alle Arten von Android- und iOS-Geräten und Apple-Rechner jeder Form und Farbe.
Klar, so ein System ist kein Zustand sondern ein Prozess, gerade im Bezug auf ein IPS.
Bei Firewallregelsätzen gilt ja eh: Nach der Konfiguration intensiv lesen, prüfen und testen. Da kann man sich in der Tat sehr schnell nen Bock schießen und schon kann das Handy des Gastes kurz ma in die DMZ funken und auf eine Datenbank zugreifen, die eigentlich nur für den Dienstgebrauch gedacht ist
ihr habt natürlich recht: Theoretisch müsste ich sowohl Soft- als auch Hardware für diesen Zweck komplett selbst entwickeln
Typische Netzwerk-Dienste sind für mich z.B. DHCP, DNS, NTP und ein Proxy.
Typische Client-Geräte sind Windows-PCs, alle Arten von Android- und iOS-Geräten und Apple-Rechner jeder Form und Farbe.
Klar, so ein System ist kein Zustand sondern ein Prozess, gerade im Bezug auf ein IPS.
Bei Firewallregelsätzen gilt ja eh: Nach der Konfiguration intensiv lesen, prüfen und testen. Da kann man sich in der Tat sehr schnell nen Bock schießen und schon kann das Handy des Gastes kurz ma in die DMZ funken und auf eine Datenbank zugreifen, die eigentlich nur für den Dienstgebrauch gedacht ist
