Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Linux Server mit Public IP ohne Firewall?

Frage Linux Debian

Mitglied: Crystallic

Crystallic (Level 1) - Jetzt verbinden

16.07.2017 um 07:06 Uhr, 588 Aufrufe, 19 Kommentare

Hallo zusammen,
ich habe mal eine kleine Frage an die Linux bzw. Netzwerksecurity Experten ;)

Mein Plan ist es einen Linux Server, für eine nur eine bestimmte Aufgabe aufzusetzen.
Dabei ist es wichtig, dass der Server eine komplett eigene Public IP bekommt (Mir stehen 5 Public IP-Adressen zur Verfügung, von der ich eine für diesen Zweck ausgewählt habe).

Jetzt bin ich noch am rätseln, wie ich das ganze realisieren werde. Bisher habe ich folgenden Ideen gehabt:

-Den Server direkt ohne eine Firewall dazwischen zuhängen mit dem Internet verbinden und dem Server die Public IP statisch zuzuweisen.
Jedoch bin ich nicht sicher, wie es hier mit der Sicherheit aussieht. Ist es bei einem Linux Server ohne Probleme möglich diesen direkt am Internet zu betreiben?
Oder sollte auch bei Linux in jedem Fall eine Firewall dazwischen geschaltet werden?

-Eine neue Firewall zu kaufen und diese zwischen dem Server und Zugang zum Internet zu platzieren.
Wäre aber auch die teuerste Variante..

-Den Linux Server per VLAN über eine bereits vorhandene Firewall, für das DMZ-Netz, als eigenes Subnetz einzurichten.
Wobei ich hier wiederum angst habe, dass der Traffic des Servers die Bandbreiten der DMZ zu stark ausbremst..

Danke & Grüße
Mitglied: ashnod
16.07.2017 um 07:46 Uhr
Zitat von Crystallic:

Hallo zusammen,
ich habe mal eine kleine Frage an die Linux bzw. Netzwerksecurity Experten ;)

Moin

Jedoch bin ich nicht sicher, wie es hier mit der Sicherheit aussieht. Ist es bei einem Linux Server ohne Probleme möglich diesen direkt am Internet zu betreiben?

Möglich ja, Linux bringt Softwareseitig eine Firewall und Co. mit .... ohne Nein

-Den Linux Server per VLAN über eine bereits vorhandene Firewall, für das DMZ-Netz, als eigenes Subnetz einzurichten.

Unbedingt erste Wahl ...

Wie immer eine Frage des persönlichen Schutzbedarfs der Netze/Server/Daten/Dienste und der Wichtigkeit der Verfügbarkeit

VG
Ashnod
Bitte warten ..
Mitglied: Vision2015
16.07.2017 um 07:48 Uhr
Zitat von Crystallic:

Hallo zusammen,
ich habe mal eine kleine Frage an die Linux bzw. Netzwerksecurity Experten ;)
moin..

Mein Plan ist es einen Linux Server, für eine nur eine bestimmte Aufgabe aufzusetzen.
Dabei ist es wichtig, dass der Server eine komplett eigene Public IP bekommt (Mir stehen 5 Public IP-Adressen zur Verfügung, von der ich eine für diesen Zweck ausgewählt habe).
aha..

Jetzt bin ich noch am rätseln, wie ich das ganze realisieren werde. Bisher habe ich folgenden Ideen gehabt:

!!!!
-Den Server direkt ohne eine Firewall dazwischen zuhängen mit dem Internet verbinden und dem Server die Public IP statisch zuzuweisen.
ok.. ist machbar... iptables,Fail2ban, ein wenig Linix härten hier, ein wenig rkhunter da,SSH Root Login verbieten... und das sind nur die kleinigkeiten... aber dass kennst du ja sicher alles!
Jedoch bin ich nicht sicher, wie es hier mit der Sicherheit aussieht. Ist es bei einem Linux Server ohne Probleme möglich diesen direkt am Internet zu betreiben?
ja...ich würde mal sagen du hast keine ahnung davon...und solltest das erst mal üben!
Oder sollte auch bei Linux in jedem Fall eine Firewall dazwischen geschaltet werden?
ja.. und was würdest du da einstellen wollen/können?

-Eine neue Firewall zu kaufen und diese zwischen dem Server und Zugang zum Internet zu platzieren.
Wäre aber auch die teuerste Variante..
kommt ja darauf an ob du dammit umgehen kannst, heute eine juniper bestellt, morgen ratlos vor dem karton getsanden.

-Den Linux Server per VLAN über eine bereits vorhandene Firewall, für das DMZ-Netz, als eigenes Subnetz einzurichten.
Wobei ich hier wiederum angst habe, dass der Traffic des Servers die Bandbreiten der DMZ zu stark ausbremst..
oh.. nein.... gut, wenn deine uns unbekanten dienste ein mailserver sein sollen-kommt er in die DMZ...
der Traffic des Servers die Bandbreiten der DMZ zu stark ausbremst....
was nen satz! gut was für eine DMZ hast du den? vor allen, was für eine Internet Leitung hast du mit deinen 5 IP adressen?
was für eine Firewall... na ich denke es ist ein einfacher Router, mit DMZ port, ist es denn?

Danke & Grüße
Frank
Bitte warten ..
Mitglied: Crystallic
16.07.2017 um 08:24 Uhr
Hey,
danke erst einmal für die schnellen Antworten..

@ashnod
Du hast eig genau die Antwort geliefert die ich erwartet habe
Die Sache ist halt, dass ich diesen Server unbedingt von meinem restlichen Netzwerk trennen möchte..
Daher werde ich ihn direkt am Internet betreiben und den Server soweit dicht machen, dass er nur lokal Konfiguriert werden kann.

@Vision2015
Gehe mal davon aus dass der abwertende Ton nicht so gemeint war und bei mir evtl nur falsch angekommen..
Und wenn du richtig gelesen hättest, wäre vlt keine Aussage nach dem Motto "falls du eine Firewall überhaupt bedienen kannst" nicht aufgekommen.
> Zitat von Crystallic:
-Den Linux Server per VLAN über eine bereits vorhandene Firewall, für das DMZ-Netz, als eigenes Subnetz einzurichten.
Aber um deine Frage zu beantworten.. Ja ich kann mit Firewalls umgehen und diese auch konfigurieren..

Zu deiner Frage, was ich in der Firewall einstellen würde:
Kann ich nur einfach mit Portweiterleitungen und entsprechenden Regeln für diese Weiterleitungen antworten..
Bitte warten ..
Mitglied: maretz
16.07.2017 um 08:35 Uhr
Moin,

ob mit oder ohne Firewall hängt von deinen Kenntnissen und dem Zweck ab. Grundsätzlich ist eine Firewall Unsinn - WENN du die Dienste dahinter vernünftig unter Kontrolle hast. Denn wenn erst gar keine ungewollten Dienste auf dem Server laufen brauchst du keine Firewall. Auf einem geschlossenen Port kann auch der beste Hacker nix tun.

Wenn der Server jedoch div. Dienste nach aussen anbietet kann die Firewall natürlich Sinn machen. Nehmen wir an dein Dienst soll Daten von einem externen System entgegen nehmen. Dann kann es Sinn machen die Firewall davor zu schalten damit eben nur ein / wenige Server da die Daten senden können.

Von daher: Die Frage ob eine Firewall Sinn macht kann nur derjenige beantworten der die Dienste kennt und einrichtet.
Bitte warten ..
Mitglied: Vision2015
16.07.2017 um 08:45 Uhr
Zitat von Crystallic:

Hey,
danke erst einmal für die schnellen Antworten..

@ashnod
Du hast eig genau die Antwort geliefert die ich erwartet habe
Die Sache ist halt, dass ich diesen Server unbedingt von meinem restlichen Netzwerk trennen möchte..
Daher werde ich ihn direkt am Internet betreiben und den Server soweit dicht machen, dass er nur lokal Konfiguriert werden kann.

@Vision2015
Gehe mal davon aus dass der abwertende Ton nicht so gemeint war und bei mir evtl nur falsch angekommen..
da war nix abwertendes... und nicht abwertend gemeint!
Und wenn du richtig gelesen hättest, wäre vlt keine Aussage nach dem Motto "falls du eine Firewall überhaupt bedienen kannst" nicht aufgekommen.
ich habe richtig gelesen...denn wenn es so wäre- hättest du die frage nicht so gestellt!
> Zitat von Crystallic:
-Den Linux Server per VLAN über eine bereits vorhandene Firewall, für das DMZ-Netz, als eigenes Subnetz einzurichten.
Aber um deine Frage zu beantworten.. Ja ich kann mit Firewalls umgehen und diese auch konfigurieren..
ok... sag uns doch bitte, was in deinen Augen eine Firewall ist! nur mit wir über das gleiche reden!

Zu deiner Frage, was ich in der Firewall einstellen würde:
Kann ich nur einfach mit Portweiterleitungen und entsprechenden Regeln für diese Weiterleitungen antworten..
das ist simples port forwarding...eine aufgabe für einen Router!
Bitte warten ..
Mitglied: Crystallic
16.07.2017 um 09:17 Uhr
Hey,


@maretz
es geht um eine Art von Proxy sozusagen, aber nicht direkt.. will jetzt auch nicht genau auf das Thema eingehen, um nicht weitere unnötige Diskussionen auszulösen, warum man so etwas machen bzw. anbieten will..

@Vision2015
da war nix abwertendes... und nicht abwertend gemeint!
Dann kam es nur bei mir so an.. schuldige

Und um deine Frage noch einmal zu beantworten, erkläre ich auch kurz extra für dich was für mich eine Firewall ist (jedoch nicht sehr ausführlich, da einfach zu viel usw..)
Eine Firewall ist ein System zur Absicherung zwischen zwei oder mehreren Netzen.
Die Firewall besitzt Funktionen wie NAT, Routing, IDS oder IPS, Proxy Funktionen Paketfilterungen und evtl weitere spezifische Funktionen.
Im Normalfall lässt Blockiert die Firewall sämtliche Verbindungen, bis eine entsprechende Regel erstellt wurde, die diese Verbindung erlaubt..
Dann lässt die Firewall die Regel in die entsprechende Richtung zu, sowie die Antworten zu dieser Verbindung innerhalb eines bestimmten Zeitraums..
Zur Übersichtlichkeit ist es Sinnvoll diese Regeln mit Hilfe von Alias Einstellungen zu konfigurieren.
(Natürlich kann eine Firewall auch andersherum konfiguriert werden, also lässt alles durch, bis etwas blockiert wird. Jedoch ist dies nicht die Regelanwendung und meiner Meinung nach auch nicht besonders Sinnvoll für das Konzept einer gut eingerichteten Firewall.)

Falls du weiteres zu dem Thema wissen willst, schau doch bitte einmal bei Wikipedia, Elektronik-Konmpedium oder ähnlichen zu diesem Thema. Dort wird alles ausführlich beschrieben..
Bitte warten ..
Mitglied: ashnod
16.07.2017 um 09:46 Uhr
Zitat von Crystallic:
@ashnod
Du hast eig genau die Antwort geliefert die ich erwartet habe
Die Sache ist halt, dass ich diesen Server unbedingt von meinem restlichen Netzwerk trennen möchte..
Daher werde ich ihn direkt am Internet betreiben und den Server soweit dicht machen, dass er nur lokal Konfiguriert werden kann.


Millionen Linux-Server "direkt" im Internet beweisen das es geht ... ok einige auch das Gegenteil

Dazu eine stabile Distro wie Debian oder CentOS machen einem das Leben leichter ... Sicherheitsupdates automatisieren und das System sollte zumindest für einfache Dienste ausreichend sicher sein.

VG
Ashnod
Bitte warten ..
Mitglied: Crystallic
16.07.2017, aktualisiert um 09:52 Uhr
Werde es auch so machen danke dir für die Bestätigung meiner Idee
Es wird zu 100% ein Debian, genau wie mein Privatrechner. Die beste Distro meiner Meinung nach :D

Danke & Grüße
Bitte warten ..
Mitglied: aqui
16.07.2017, aktualisiert um 10:52 Uhr
Kann ich nur einfach mit Portweiterleitungen und entsprechenden Regeln für diese Weiterleitungen antworten..
Wäre ja Blödsinn wenn du Public IPs benutzt denn dann ist das gar nicht erforderlich !
angst habe, dass der Traffic des Servers die Bandbreiten der DMZ zu stark ausbremst..
Das käme ja darauf an wie die Internet Geschwindigkeit an sich ist.
Wenn die DMZ Anbindung 100Mbit oder 1Gig Ethernet ist, die Internet Anbindung an sich aber nur 6Mbit/s dann dürfte das ja kein Thema sein.
Zudem kann man ja auch immer eine Traffic Priorisierung in der FW konfigurieren was für dich als FW Profi ja auch kein Thema ist.
Oder hattest du das oben jetzt gemeint das du den Server ganz irgendwo anders bei einem Hoster plazierst statt an eigener Peripherie ??
So oder so kann man den Server aber auch direkt betreiben. Es ist ja kein MS Server....
Wenn du nur SSH für den Zugang zu lässt das dann tunlichst zwingend mit einer Zertifikats basierten Zugangskontrolle:
https://www.heise.de/ct/ausgabe/2015-4-Dienste-sicher-ins-Netz-bringen-2 ...
https://www.heise.de/ct/ausgabe/2015-8-2-Faktor-Authentifizierung-fuer-s ...
https://www.heise.de/ct/artikel/SSH-absichern-221597.html
Und zusätzlich fail2ban aktivierst, dann ist das schon hinreichend sicher. Ist ja in den obigen Threads auch mehr oder minder bestätigt !
Bitte warten ..
Mitglied: certifiedit.net
16.07.2017 um 10:47 Uhr
Du hast jetzt noch nicht spezifiziert, von was für einer Firewall du sprichst. Außerdem hast du nur eine oberflächliche "was versteht man unter einer Firewall" Beschreibung gegeben, das könnte auch meine bessere Hälfte nach 5 Minuten - ohne Ihr zu nahe treten zu wollen - sie hat sich aber auch noch nie mit Firewalls beschäftigt.

Komplett unabhängig davon: Weisst du, was du mit deinen "speziellen Diensten" tun willst? und wie Sie funktionieren - welche Fallstricke wo lauern? Außerdem geht es ja nicht nur um dich, wenn wir annehmen, dass du der "Crack" Darin bist (bezogen auf deine Ideen, die man in diesem Fall dann ohne Rückversicherung durchziehen kann).

Abschliessend auf den Einwurf von @ashnod: Nehmen wir nur den Heartbleed "Bug" bzw GAU:
Heartbleed hört nicht auf zu bluten
So einfach scheint es nicht zu sein, dafür, dass das Ding wohl bald sein 1000tägiges (frei nach Gefühl) Entdecken feiert.

Soweit, schönen Sonntag!
Bitte warten ..
Mitglied: Crystallic
16.07.2017 um 10:57 Uhr
Der Server steht schon bei mir im Netz.
Er sollte nur wenn möglich aus bestimmten Gründen nicht hinter einer der vorhandenen Firewalls hängen.
Habe an der Arbeit hauptsächlich mit Windows Server zu tun, wo es absolut unsicher wäre diesem eine Public IP zu geben und diesen ohne Firewall zu betreiben.
Bei Linux kenne ich mich auch Grundlegend aus, war mir nur nicht sicher wie es nun wirklich aussieht, ob es nicht auch ohne geht, da Linux in sich wesentlich besser abgesichert ist. Diese Frage hat sich aber nun geklärt.

Klar ich könnte auf beiden Seiten einer Firewall einen Publicbereich einrichten, wobei es jedoch dann wieder sinnvoller wäre die IP der Firewall zu verwenden und ein Portforwarding einzurichten..

Aber um noch auf das Thema SSH zukommen, dort wäre ich noch im Zwiespalt, es komplett zu deaktivieren und nur über direktes Auf schalten eine Verwaltung zu ermöglichen, oder SSH dennoch zu aktivieren, da es wesentlich einfacher und bequemer wäre..
Jedoch widerspricht Bequemlichkeit häufig der Sicherheit..
Wie sieht das aus einen SSH einzurichten, der ein Zertifikat aus meiner internen CA bekommt.
Und evtl falls möglich einstellen, das der zugriff nur von bestimmten IP's möglich ist, sowie evtl ein OTP aufzulegen.
Der Zugriff von nur bestimmten IP's evtl auch mit F2B einstellen bin mir jedoch nicht sicher habe das vor ein paar jahren mal kurz gesehen..

Jedoch muss an diesem Server, wenn er einmal richtig läuft und konfiguriert ist, wahrscheinlich bis zum Ersetzen bzw. Entfernen nicht mehr verändert werden.

Danke & Grüße
Bitte warten ..
Mitglied: maretz
16.07.2017 um 11:03 Uhr
Moin,

sei mir nicht böse - aber du kommst hier ständig nur mit "bestimmte Dienste", "möchte nich drauf eingehen", "will keine Diskussionen" - aber du möchtest eine passende Antwort? Also wir sollen die Rate-Arbeit machen um dir eine Empfehlung zu geben?

Sorry, aber ehrlich gesagt finde ich diese Einstellung etwas merkwürdig. Also: Entweder sagst du was du bauen willst und warum - oder stelle gar keine Frage und häng dein Geraffel halt mit oder ohne Firewall ans Netz. Im Endeffekt kannst eh nur du bestimmen ob du eine Firewall brauchst oder nicht - und ohne genaue Daten macht es wenig Sinn hier zu raten. Wenn deine Kiste dann nach 2 min geknackt wird dürfte das hier auch keinen stören.

Was die Aussage angeht das Linux sicherer als Windows ist: Bullsh*t. Das hat nichts mit dem OS zu tun sondern mit der Person davor! Ob du nun nen Linux "out of the Box" hinstellst oder nen Windows macht nix aus, da ist Linux sogar noch schlimmer (da viele Systemdienste eh auf Netzwerk getrimmt sind). Wenn man dann 5 Min Arbeit investiert bekommt man beide Systeme sicher genug um es mit oder ohne Firewall zu betreiben, je nachdem was man will. Nur DAS willst du ja nicht sagen...
Bitte warten ..
Mitglied: ashnod
16.07.2017 um 11:04 Uhr
Zitat von certifiedit.net:
Abschliessend auf den Einwurf von @ashnod: Nehmen wir nur den Heartbleed "Bug" bzw GAU:
Heartbleed hört nicht auf zu bluten
So einfach scheint es nicht zu sein, dafür, dass das Ding wohl bald sein 1000tägiges (frei nach Gefühl) Entdecken feiert.

Moin ....

Wollen wir mal auf dem Teppich bleiben ...
Eine absolute Sicherheit wird es nach derzeitigem Stand der Technik einfach nicht geben.

Im Endeffekt bleibt also eh nur die Variante das Risiko zu minimieren und den Anforderungen anzupassen.

Bei mir bin ich mir ganz sicher das ich nicht in der Lage bin jegliches mögliche Problem im Auge zu behalten ... und nun frei nach der Bibel ... wer von Euch 100% Fehlerquellen ausschliessen kann, der werfe den ersten Stein!

VG
Ashnod
Bitte warten ..
Mitglied: Crystallic
16.07.2017 um 11:06 Uhr
Zitat von certifiedit.net:

Du hast jetzt noch nicht spezifiziert, von was für einer Firewall du sprichst. Außerdem hast du nur eine oberflächliche "was versteht man unter einer Firewall" Beschreibung gegeben, das könnte auch meine bessere Hälfte nach 5 Minuten - ohne Ihr zu nahe treten zu wollen - sie hat sich aber auch noch nie mit Firewalls beschäftigt.

Komplett unabhängig davon: Weisst du, was du mit deinen "speziellen Diensten" tun willst? und wie Sie funktionieren - welche Fallstricke wo lauern? Außerdem geht es ja nicht nur um dich, wenn wir annehmen, dass du der "Crack" Darin bist (bezogen auf deine Ideen, die man in diesem Fall dann ohne Rückversicherung durchziehen kann).

Abschliessend auf den Einwurf von @ashnod: Nehmen wir nur den Heartbleed "Bug" bzw GAU:
Heartbleed hört nicht auf zu bluten
So einfach scheint es nicht zu sein, dafür, dass das Ding wohl bald sein 1000tägiges (frei nach Gefühl) Entdecken feiert.

Soweit, schönen Sonntag!

Ich bin jetzt nicht der Firewall Super Profi da hast du schon recht, jedoch weiß ich wie man damit umgeht, wozu sie da ist und wie sie verwendet wird..
Hier ging es mir jedoch nicht darum eine Firewall zu erklären.. Es nervt mich nur, dass es immer wieder Leute geben muss, die versuchen vom eigentlichen Problem abzulenken, indem Sie erst einmal alles und jeden in Frage stellen müssen. Und nur darauf hoffen einen Formulierungsfehler oder ähnliches zu finden, um sich daran aufzuziehen.

Jedoch zurück zum Thema:
Deine Aussage lässt mich vermuten, dass eine Firewall doch obligatorisch wäre.
Kannst du darauf ein wenig genauer eingehen?

Danke & Grüße
Bitte warten ..
Mitglied: certifiedit.net
16.07.2017 um 13:09 Uhr
@ashnod, nunja aber als Administrator ist man dafür da das Risiko zu minimieren, bei einer solchen Frage - und der anhängigen Frage an mich - s.o sehe ich hier eben ein größeres Risikopotential, weswegen ich die Fraktion "Windowsserver ja nicht mit nacktem A... ins Netz, bei Linux aber alles kein Problem ;)" nicht nachvollziehen kann.

@to: Klar, mach ich mehr oder weniger täglich für meine Kunden, schreib mir eine PN.
Bitte warten ..
Mitglied: certifiedit.net
16.07.2017 um 13:10 Uhr
Zitat von maretz:
Wenn man dann 5 Min Arbeit investiert bekommt man beide Systeme sicher genug um es mit oder ohne Firewall zu betreiben, je nachdem was man will. Nur DAS willst du ja nicht sagen...

je nach Fähigkeiten solltest du noch hinzufügen, wobei, in 5 Minuten - wenn absolutes Basicsetup, vermute ich?
Bitte warten ..
Mitglied: Vision2015
16.07.2017 um 16:56 Uhr
Zitat von Crystallic:

Der Server steht schon bei mir im Netz.
Er sollte nur wenn möglich aus bestimmten Gründen nicht hinter einer der vorhandenen Firewalls hängen.
und die gründe wären?
Habe an der Arbeit hauptsächlich mit Windows Server zu tun, wo es absolut unsicher wäre diesem eine Public IP zu geben und diesen ohne Firewall zu betreiben.
das ist unfug, egal ob linux oder windows... ein fehler reicht meistens
Bei Linux kenne ich mich auch Grundlegend aus, war mir nur nicht sicher wie es nun wirklich aussieht, ob es nicht auch ohne geht, da Linux in sich wesentlich besser abgesichert ist. Diese Frage hat sich aber nun geklärt.
jo, für dich...

Klar ich könnte auf beiden Seiten einer Firewall einen Publicbereich einrichten, wobei es jedoch dann wieder sinnvoller wäre die IP der Firewall zu verwenden und ein Portforwarding einzurichten..

Aber um noch auf das Thema SSH zukommen, dort wäre ich noch im Zwiespalt, es komplett zu deaktivieren und nur über direktes Auf schalten eine Verwaltung zu ermöglichen, oder SSH dennoch zu aktivieren, da es wesentlich einfacher und bequemer wäre..
Jedoch widerspricht Bequemlichkeit häufig der Sicherheit..
Wie sieht das aus einen SSH einzurichten, der ein Zertifikat aus meiner internen CA bekommt.
Und evtl falls möglich einstellen, das der zugriff nur von bestimmten IP's möglich ist, sowie evtl ein OTP aufzulegen.
und genau dieser satz " falls möglich einstellen" macht mir angst!
Der Zugriff von nur bestimmten IP's evtl auch mit F2B einstellen bin mir jedoch nicht sicher habe das vor ein paar jahren mal kurz gesehen..
nun, gesehen reicht nicht... du sollst genau wissen was du tust!

Jedoch muss an diesem Server, wenn er einmal richtig läuft und konfiguriert ist, wahrscheinlich bis zum Ersetzen bzw. Entfernen nicht mehr verändert werden.
und genau das sind die opfer server, die botnetze suchen...
...wenn dein server genauso sicher ist, wie du die fragen hier beantwortest... oh jeee
nix gegen dich und dein vorhaben- aber der eine oder andere hat dir dein fachwissen schon wiederlegt!
eine firewall ist mehr als nur simples port forwarding! allerdings, dein sicherheitskonzept hängt ja auch ab, was du tun willst- bzw. welche dienste du freigeben möchtest!
wenn du keinen indianer Installiert hast- brauchst du kein mod_security... und wenn du nur einen dienst hast der am inet lauscht- kann nix anderes genutzt werden!
sag doch einfach genau was du tun möchtest, dann können wir besser helfen! und uns brauchst du nicht zu erklären was eine firewall ist, und wo info´s zu finden sind! Du hingegen hast die fragestellung eines Noob, eines ahnunglsosen- der einen Server auf das Inet loslassen möchte! Du hast Fachwissen oder dergleichen- schön- dann stelle doch bitte auch so deine fragen!


Danke & Grüße
Frank
Bitte warten ..
Mitglied: Dobby
16.07.2017 um 19:03 Uhr
Hallo,

ich habe mal eine kleine Frage an die Linux bzw. Netzwerksecurity Experten ;)
Wenn das System nicht von einer Firewall oder einem Router gesichert ist, muss man bzw,. sollte man das System härten
und es muss eine permanenten Pflege und Wartung unterliegen, also Sicherheitsupdates sollten dann zügig installiert
werden und auch alle Programme und Anwendungen die benutzt werden sollten up to date sein und zwar ständig.

Daher würde ich lieber eine Firewall davor setzen wollen die dann mittels 1:1 NAT die IP Adressen umsetzt auf
die internen und lokalen IP Adressen im Netzwerk. Am besten noch einen Proxy Server davor setzen damit die
Server nicht direkt aus dem Internet erreicht werden können, aber Ihre Dienste voll erreichbar sind.

Mein Plan ist es einen Linux Server, für eine nur eine bestimmte Aufgabe aufzusetzen.
Gut und dürfen wir auch erfahren was das denn für eine Aufgabe bzw. was das denn für eine Server ist bzw. wird?
(FTP/S, S/FTP, eMail, Webserver, Fax Server, Game Server, IRC Server, DB Server oder Syslog Server, FileServer, oder oder oder)

Dabei ist es wichtig, dass der Server eine komplett eigene Public IP bekommt (Mir stehen 5 Public IP-Adressen zur
Verfügung, von der ich eine für diesen Zweck ausgewählt habe).
Sind das auch alles IP Adressen zur Benutzung oder sind dort auch Gateway und DNS oder gar DHCP Server bei?

Jetzt bin ich noch am rätseln, wie ich das ganze realisieren werde. Bisher habe ich folgenden Ideen gehabt:
Ich würde da einen der beiden bekannten Wege gehen wollen damit einem im Falle des falles auch noch jemand zur Hilfe
eilen kann, denn an so "komische" Eigenbau-Konstrukte will nachher auch keiner mehr so richtig ran gehen wenn es "brennt"!
  • Man setzt die öffentlichen IP Adressen direkt in die Firewall oder den Router ein und sie setzen die dann um auf die internen
IP Adressen der Server die idealer Weise in einer DMZ stehen!
  • Man vergibt die öffentlichen IP Adressen direkt auf den Servern in der DMZ und hat dann idealer Weise auch eine Firewall
mit der man die Sicherheit besser gewährleisten kann.

-Den Server direkt ohne eine Firewall dazwischen zuhängen mit dem Internet verbinden und dem Server die Public IP statisch
zuzuweisen.
- Warum nicht in eine DMZ und dann nur die Ports und Protokolle freigeben die der oder die Dienste benötigen?
- Warum nicht in eine DMZ reinstellen und von dem restlichen LAN trennen und dennoch erreichbar machen?
- Warum nicht eine stärkere Firewall kauen die das auch stemmen kann?
- Denk dran wenn das erst einmal eine Porno, Spam und Virenschleuder geworden ist will da keiner mehr ran gehen?
- Und wenn das der zentrale Botnet Server von dem nächsten Krypto Trojaner wird kommen Die eventuell ganz andere Leute zur Hilfe!

Jedoch bin ich nicht sicher, wie es hier mit der Sicherheit aussieht.
Wenn ich das hier so lese ich mir auch nicht mehr so richtig, denn jeder sollte für sein Tun und Handeln auch die Verantwortung
übernehmen und nicht sich selber "übernehmen".

Ist es bei einem Linux Server ohne Probleme möglich diesen direkt am Internet zu betreiben?
Aber klar, nur ist eine Linux Server auch immer eine netter stabiler Unterbau für gewisse andere Leute die danach Ausschau halten
so etwas zu kapern und um damit dann nicht mehr so legale Ziele zu verfolgen.

Oder sollte auch bei Linux in jedem Fall eine Firewall dazwischen geschaltet werden?
Ist wohl die bessere Variante und damit kann man dann auch wieder ganz anders reagieren und regeln. Eine DMZ ist immer noch
hinter der Firewall und nicht "nackig" im Internet "ohne alles" und für jeden erreichbar!
Man kann dann natürlich auch noch andere Maßnahmen ergreifen die dann schon einige Leute fernhalten nur es kommt auch immer
darauf an was das für eine Server ist! Also alles kann man nicht abwehren, zum Beispiel eine DDoS Attacke ist zur Zeit nur einigen
Rechenzentren, Hostern und ISPs oder Carriern vorbehalten, aber man kann so etwas als Service bei denen mieten!

-Eine neue Firewall zu kaufen und diese zwischen dem Server und Zugang zum Internet zu platzieren.
Wäre aber auch die teuerste Variante..
Kommt ja auch drauf an was man möchte und was man hat!? Oder nicht? Was hast Du denn jetzt aktuell für eine Firewall?

-Den Linux Server per VLAN über eine bereits vorhandene Firewall, für das DMZ-Netz, als eigenes Subnetz einzurichten.
Also man hat in der Regel eine DMZ für alles was Kontakt zum Internet hat oder benötigt und das auch permanent und
dann hat man noch ein LAN was eben genau diesen Kontakt nicht hat und benötigt, und was man eigentlich schützt.

Klar gibt es da noch hunderte bis tausende gemischte und andere Varianten, sicherlich auch kein Problem, nur man sollte
eben auch immer so hart am Wind segeln dass einem nachher noch jemand helfen kann und will! Wenn Ihr eine DMZ habt
und ein LAN habt, warum also noch ein VLAN aufspannen was man eigentlich so sonst nicht macht in einer DMZ?

Wobei ich hier wiederum angst habe, dass der Traffic des Servers die Bandbreiten der DMZ zu stark ausbremst..
Dazu hat man dann eben einen DMZ Switch, QoS und eine Firewall die das managen können.

Eigentlich wäre es ganz nett uns doch vorher einmal mehr über den ominösen Server zu berichten und die Firewall
die wir bis Dato alle nicht kennen.

Millionen Linux-Server "direkt" im Internet beweisen das es geht ... ok einige auch das Gegenteil 
Klar machen die gar keine Frage, nur da nimmt man ein bereits gehärtetes OS oder härtet das selber ab und muss es
auch permanent im Auge behalten und pflegen. Und sichern tut man solche Systeme auch.

Dazu eine stabile Distro wie Debian oder CentOS machen einem das Leben leichter ...
Also CentOS ist schon "ab Werk" gehärtet kein Thema, aber Debian ist das eben nicht und dort kommen die Sicherheitsupdates
einfach auch zu langsam daher und die Anwendungen sind eben nicht so aktuell gehalten wie bei anderen Linux Distros und
genau das braucht man bei einem Server der direkt über das Internet erreichbar ist. (Meine Meinung)
- Internet Server - RedHad & CentOS
- große LAN Server - OpenSUSE
- kleinere Abteilungsserver - Debian

Sicherheitsupdates automatisieren und das System sollte zumindest für einfache Dienste ausreichend sicher sein.
Das halte ich für eine Mär, denn egal welcher Dienst da vorher drauf lief, wenn danach die Polizei wegen Kinderpornos
um drei Uhr morgens auf der Matte steht ist das für jeden in der Nachbarschaft hörbar! Dann lieber wirklich sicher!

Sicherheit mittels einer Firewall:
- IDS für die DMZ einschalten
- Portöffnung und Weiterleitungen setzen
- Einen Proxy zur DMZ hin einschalten bzw. dazwischen schalten
- 1:1 NAT machen oder gar direkt die IPs auf dem Server vergeben
- pfBlocker NG & DNSBL mit TDL oder gar SquidGuard benutzen
- OpenLDAP oder Radius Server für die DMZ einschalten

Sicherheit auf dem Server:
- Host basierendes IDS/IPS einsetzen
- TripWire installieren
- Jails verwenden
- OS härten
- DenyHost oder fail2ban installieren
- Honey Pot zur Ablenkung installieren in VMs (Jails)
- Monitoring des Servers einsetzen

Gruß
Dobby


P.S. Was nicht anzuraten ist, ist folgendes:
- Einen zweiten Vertrag bei einem ISP eröffnen der nur die 5 IP Adressen betrifft
- Den Server einfach nackig im Internet stehe lassen und denken man kann das nicht mit dem eigentlichen
Netzwerk und Betreiber in Verbindung bringen
- Dann in einem Admin Forum nachfragen wie man das denn am besten erledigen kann, denn hier sind Admins
die genau diese späteren Viren, Spam und Botnet Server abwehren und bekämpfen wollen um ihre Netze besser
zu schützen und das noch beruflich! In diesem Sinne, viel Glück bei der Umsetzung.
Bitte warten ..
Mitglied: fredmy
16.07.2017, aktualisiert um 21:28 Uhr
Hallo,
ich "stolpere2 über die Fragestellung. Auch eine Firewall ist an sich nicht sicher!

Grundsätzlich - kann man machen, funktioniert über Jahre sauber!
Aber (Firewall !) es laufen auf der Linuxkiste exakt nur die Dienste, die auch im Internet benutzt werden sollen. Nix mehr ! (-> Härten)
[ein Beispielwebserver muss http + https können -> das Blech reagiert auf Port 80 und Port 443 standardmässig -> nix weiter auch kein ssh ]
Also genau das, was ein Firewall eh durchlassen müsste.

Das Beispiel wird eben über rs232 Terminal gewartet.
Auf allen anderen Ports passiert nix - wie bei einer Firewall.

Man kann nach innen eine zweite (Hardware) NIC einbauen usw. (mein bevorzugter Weg : zweite NIC mit SSH per Zertifikat nach innen wegen Wartungszugriff; evtl auch VPN)
Überwachung sowieso, musst da aber selber wissen wie intensiv überwacht/wie alarmiert werden muss.

Fred

ps: bei der Fragestellung oben -> in der ersten Tage eh deutlich mehr Logs auswerten ;)
und... angefangen haben wir alle mal und mussten Lernen
Bitte warten ..
Ähnliche Inhalte
Entwicklung
gelöst Public IP Adresse auf Weltkarte (3)

Frage von brammer zum Thema Entwicklung ...

Netzwerke
gelöst PfSense: DMZ andere Public IP zuweisen (3)

Frage von Fenris14 zum Thema Netzwerke ...

Router & Routing
Zugriff auf Netzwerk ohne public-IP (14)

Frage von tr1plx zum Thema Router & Routing ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Rechtliche Fragen
gelöst Geschäftsführer Email gefaked (18)

Frage von xbast1x zum Thema Rechtliche Fragen ...

Vmware
VMware ESX - Start einer VM verhindern (16)

Frage von emeriks zum Thema Vmware ...

Vmware
gelöst Update auf ESXI 6.5 Installieren (15)

Frage von zeroblue2005 zum Thema Vmware ...

iOS
IPhone wird ferngesteuert Hacker? (15)

Frage von Akcent zum Thema iOS ...