jinnni
Goto Top

Ein kleines LAN ans Internet anbinden Hohe Sicherheit

Hallo,
ich will ein sicheres Netzwerk für eine Gruppe von 5 Leuten einrichten. Besonders wichtig ist dabei
die Sicherheit. Als Vorgabe möchte ich die vom BSI vorgeschlagene 3 Zonen Architektur realisieren.
Es geht einfach nur darum das Internet Nutzen zu können, dabei soll aber das LAN nicht im Internet sichtbar sein.
Desweiteren will ich ein Webserver einstellen, der aus dem LAN und auch aus dem Internet ereichbar sein soll.

So sollte es aussehen:

ccfdb14c5347f217be60aabfe3028238

1.Zone: LAN
2.Zone: Sicherheitsgateway
3.Zone: Internetanbindung also nur der Router.

Da ich kein Netzwerkspezialist bin, brüchte ich nachvollziehbare Indormationen, zu meinen Fragen.
Fragen zur Zone 1:
Frage 1: die erste Zone besteht aus 5 Pcs (XP und Ubuntu) und zwei Servern (ubuntu), die beide an den Paketfilter angeschlossen sind.
brauche ich hier unbedigt einen DNS server?
kann ich im Client nicht einfach nur die externen DNS Server,
die es im Internet gibt angeben. Und falls ich einen DNS Server in Zone 1 brauche, dann brauche ich auch einen in Zone 2, der
die DNS Fragen nach außen leitet?
Falls ich ein DNS Server brauche, welche schlägt ihr vor? gibt es Opensource Produkte. Sollten einfach konfigurierbar sein.

Frage 2: Es sollte ein statusbehafteter Paketfilter (Stateful Inspection) sein. Welche gibt es dazu in Software, möglichst Open Source, die man empfehelen kann? Und als HW Lösung? (Preise ca.). Ich dachte ob es möglich ist ein alten Rechner dazu zu benutzen, auf dem als OS Ubuntu Server läuft und dann nur noch die Firewall. Was muss ich dann dazu genau einstellen?
Fragen zu Zone 2:

Das heißt der Paketfilter aus Zone1 im Lan (Paketfilter1) wir dann mit dem Paketfilter3 verbunden. Im goben weiss ich zwar was eine Applocation gateway Level ist, wird auch als ALF oder ALG bezeichnet. Diese Firewall kann sozusagen auf der Applikationseben z.b. smtp filtern. Benutzt habe ich aber noch nie so etwas.

Frage3: Gibt es Softwarelösungen für so eine ALG. Wie kann ich diese am besten realisieren, was benötige ich am besten dazu? Ubunut server? wie konfiguriert man so eine ALG?
Frage4: Gibt es zur ALG Alternativen die einfacher zu realisieren sind?

Frage5: Es soll ein Webserver aus dem Internet ereichbar sein, deswegen auch der WWW extern. Der eigentliche Webser ist der WWW Server, auf dem der Apache Server installiert werden soll. Damit dieser aber nicht direkt erreichbar ist von außen, ist ein WWW extern vorgeschaltet und mit dem Paketfilter5 gesichert.
Dies soll die Sicherheit erhöhen. Auf dem WWW Server läuft also ein apache server. Was ist dann WW extern und WWW Intern? Sind das Proxyserver also http server?
Wenn ja was bietet sich da an, und wie muss man diese dann konifgurieren?

Frage6: DNS server, also die selbe Frage wie in Frage1, Konifuration, SW-Lösung?

Zone3 ist dann nur der Router, da kann ich ja ein ganz normalen nehmen, wie z.b. von Dlink. Dieser wir dann mit dem Paketfilter2 verbunden.


Frage7: Wäre dies auch bei einer dynamischen IP machbar? also ohne Feste IP Adresse?

Vielen Dank

Content-ID: 133864

Url: https://administrator.de/forum/ein-kleines-lan-ans-internet-anbinden-hohe-sicherheit-133864.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

dog
dog 19.01.2010 um 22:38:00 Uhr
Goto Top
Es geht einfach nur darum das Internet Nutzen zu können, dabei soll aber das LAN nicht im Internet sichtbar sein.

Was jeder 10€ NAT-Router macht...

Desweiteren will ich ein Webserver einstellen

Ok, dann halt DMZ mit zwei Routern und 20€ face-wink

Deine Grafik würde ich aber schon als leicht pervers einstufen, denn nur weil man möglichst viele Firewalls hintereinander klebt erhöht man nicht (signifikant) die Sicherheit!
Den SPI-Vermerk können wir uns auch sparen, das ist heute Standard.

Um etwas praktikabel zu bleiben solltest du einen Firewall-Router ans Internet anschließen, einen Layer 7 Filter vor den Webserver stellen (vorsicht, auch die lassen sich leicht austricksen!) und nochmal eine Firewall (ISA, etc.) vor das Clientnetz - fertig.

brauche ich hier unbedigt einen DNS server?

Ja, Nein, kommt drauf an...
Ich gehe davon aus, dass du keine Domain-Umgebung hast, damit ist ein DNS-Server optional.
In der DMZ würde ich deinen DNS-Server auch nur aufbauen wenn ich entweder
a) Authorativ für bestimmte Zonen bin
b) Den DNS-Servern meines Providers nicht traue und darum selbst von den Root-Servern auflösen will


Gibt es Softwarelösungen für so eine ALG

mod_security
http://l7-filter.sourceforge.net/
etc.

Wäre dies auch bei einer dynamischen IP machbar?

Solange du keinen Mailserver betreiben willst (und wenig Wert auf Google-Platzierung legst)...

Grüße

Max
datasearch
datasearch 19.01.2010 um 23:58:26 Uhr
Goto Top
Dieses Konstrukt lässt sich mit einer Lücke im Webserver oder einer [SQL|Code]-Injection Lücke in einer Webanwendung dennoch austricksen. Sicherheit ist immer ein Zusammenspiel mehrerer Komponenten. Wie sicherst du beispielweise deine Systeme gegen diverse Lücken ab? Sind alle DIenste brav im Jail? Ist dein Kernel direkt vom System aus angreifbar (stichwort: vServer)? Wie gut ist die Firewall selbst abgesichert?

Einen Firewall-ALG-Inspection-Wahn macht wenig Sinn wenn du diese Dinge missachtest und dein System über 0Day Exploits von Übermorgen angreifbar sind (siehe Google&Co.).

Was das BSI manchmal zusammenschreibt muss man nicht immer beachten. Es sind nur Vorschläge. SQL-Injection kannst du mit einigen Tricks massiv erschwehren, das ist aber nur wirksam wenn diese Prüfung zwischen WEB und SQL-Server erfolgt. Kreativ denken, nicht blind irgendwelche Security-Design-Guides befolgen.

Beispiel (nicht nachmachen):

1. Öffentliche Adressen am Gateway terminieren. Von Außen nach innen neue und bestehende Verbindungen akzeptieren. Neue Verbindungen von der DMZ blockieren.
2. Auf dem Gateway DNAT einrichten, von innen nach außen, um bestimmte Dienste wie z.B. NTP und DNS an bestimmte Server weiterzuleiten.
3. Auf den Servern in der DMZ den Router als DNS-Server eintragen. Das DNAT "spielt" einen DNS-Server vor, der Router ist aber nicht angreifbar da er selbst keinerlei DNS-Server oder Proxy´s enthält.
4. Den Router selbst weder von der DMZ noch vom Internet direkt erreichbar konfigurieren. Ausschließlich als NAT-Bridge verwenden.
5. Auf den internen Servern dienste bestimmter Klassen auf 2 bis 3 Servern zusammenfassen.
5a) nur vom INET erreichbare Server
5b) nur von der DMZ erreichbare Server
5c) nur von Intern erreichbare Server

Das Basisbetriebssystem der 3 Server nicht direkt an das Netzwerk anbinden, sondern in kleinere vServer aufteilen. Pro vServer einen Tunnel zum Router einrichten und die entsprechenden Pakete durch den Tunnel an den vServer schicken. Dies ergibt auf dem Router ein zusätzliches Interface, das du in eine Bridge mit virtuellen Schnittstellen und eigenen Firewall-Regeln legen kannst. Dazu noch per IPTables ungewöhnlichen Traffic beobachten und die Bridge bei Problemen isolieren.

Server, die sich nie ändern kannst du sogar noch als mit einem UML-Kernel versehen und das System periodisch auf Default zurücksetzen. Oder, auf dem Host den UML-Kernel auf Änderungen prüfen, sämtliche speicherbereiche des Hosts verstecken und ver versuchtem Zugriff sofort den UM-Kernel neustarten ..............

Wollen wir das nun weitertreiben? Absichern kannst du bis zum umfallen. Dennoch wird sich irgendwo eine klitzekleine Lücke im System befinden. Um 5 Rechner abzusichern kann man problemlos ein 50 Seitiges Sicherheitskonzept erarbeiten. Ohne die Konfiguration der eigentlichen Dienste zu beachten.
SlainteMhath
SlainteMhath 20.01.2010 um 08:55:45 Uhr
Goto Top
Moin,

über das BSI Konzept haben sich meine Vorredner ja schon ausgelassen face-smile

Es geht einfach nur darum das Internet Nutzen zu können
Ich gehe jetzt einfach mal von Surfen und Mail aus, ok?
Bei Anwendungen wie Skype, ICQ, BitTorrent usw wirds mit ALGs etwas schwieriger face-smile

Surfen:
Leite alle Clients an der FW über einen Zwangs-Proxy (Transparent Proxy), da kannst Du dann alles was du nicht willst filtern (ich kenne installationen da wird alles was auch nur annährend ausführbar ist gefiltert. incl Officedokumente und PDFs) -- Stichworte für Google: Transparent Proxy, Squid, Dansguardian, Squidguard.

Mail:
Erlaube keinen Zugriff der Clients auf externe Mailserver, sondern rufe die Mails mit einem internen Server ab, prüfe auf unerwünschtes, und stell die Mails dann der Usern per POP/IMAP zur Verfügung. Stichworte für Google: Postfix, Courier IMAP, SpamAssassin

Und dann kommen natuerlich noch die "Basics" dazu:
- Anwender schulen und sensibilisieren
- Alles immer gepatcht halten (möglochst automatisiert)
- Anwender schulen und sensibilisieren
- Virenscanner auf allen Clients und Servern, mit aktuellen Definitionen.
- Anwender schulen und sensibilisieren

lg,
Slainte
aqui
aqui 20.01.2010 um 10:25:27 Uhr
Goto Top
Bei den freien bekannten SPI Firewalls gibts die üblichen Verdächtigen um den Reigen komplett zu machen:
Die ersten beiden lassen sich außer auf normaler PC Hardware auch auf kleine Appliance Boards installieren:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
jinnni
jinnni 21.01.2010 um 12:53:03 Uhr
Goto Top
Hallo, danke erstamal an alle für die Antworten.

Um etwas praktikabel zu bleiben solltest du einen Firewall-Router ans Internet anschließen, einen Layer 7 Filter vor den
Webserver stellen (vorsicht, auch die lassen sich leicht austricksen!) und nochmal eine Firewall (ISA, etc.) vor das Clientnetz -
fertig.


ja ich denke dein Vorschlag ist nicht schlecht. Allerdings wollte ich vor und nach dem Webserver, zwei Porxies anstellen (WWW intern und extern) , so daß aus dem LAN auf den Webserver mit mehr Rechten zugegriffen werden kann, z.b. das User aus dem LAN bestimmte Seiten sehen können, und User aus dem Internet können diese seite nicht sehen.

Mit welchen Proxies kann ich so etwas realisieren? geht das mit squid, und was muss ich dann genau Einstellen.

Der l7-filter scheint wohl nicht mehr unterstützt zu werden. Gibt es noch andere Open Source Produkte, oder gibt es dazu andere Alternativen, vielleicht keine ALG benützen, aber wie dann, wenn man die Pakete alanysieren will?

Um deinen Vorschlag zu realiseiren, brüchte ich noch detailliertere Infos. Die Firewall, welche z.b., oder einfach ein Rechner mit Ubuntu Server und dort eine Firewall drauf, aber welche. Und welche Einstellungen dann?


b) Den DNS-Servern meines Providers nicht traue und darum selbst von den Root-Servern auflösen will

Ja deswegen würde ich eher einen in der DMZ haben wollen. Habe noch nie einen Benutzt, welchen schlägst du vor?
Und was muss ich Einstellen? Im LAN hätte ich dann auch einen, der dann die Daten auf den DNS Server in der DMZ weiterleitet. Ubuntu Server--switch--5 PCs?
Wichtig sind wie gesagt die Tools und wie man es realisiert.
jinnni
jinnni 21.01.2010 um 13:14:00 Uhr
Goto Top
Zitat von @datasearch:
Wie sicherst du beispielweise deine
Systeme gegen diverse Lücken ab? Sind alle DIenste brav im Jail? Ist dein Kernel direkt vom System aus angreifbar (stichwort:
vServer)? Wie gut ist die Firewall selbst abgesichert?

Also bei den Client kann ich ja VM benutzen. Mit jail, UML, bzw. Vserver habe ich noch nicht gearbeitet. Wo setzt man die am besten ein, auf dem Webserver oder auf dem Client? Als VM dachte ich an Virtual Box von Sun. Wie kann ich das System schützen, so daß der Kernel nicht direkt angreifbar ist?
Was ist die einfachste Konfiguration, die auch aktzeptablen Schutz bietet.

Du hast Recht, das man das mit der Sicherheit weit treibe kann. Mir geht es darum Angriffe gegen das System zu erschweren, sicherlich gibt es nie einen hudertprozentigen Schutz.
Deswegen würden mich die erste 4 Punkte die du erwähnt hast schon interessieren, wie ich das umsetzen kann?

danke
jinnni
jinnni 21.01.2010 um 13:54:20 Uhr
Goto Top
Zitat von @SlainteMhath:
Hi, und danke erstmal.

Surfen:
Leite alle Clients an der FW über einen Zwangs-Proxy (Transparent Proxy), da kannst Du dann alles was du nicht willst filtern
(ich kenne installationen da wird alles was auch nur annährend ausführbar ist gefiltert. incl Officedokumente und PDFs)

Genau das würde ich gerne umsetzen. Ich hab mal nach dem Squid geschaut, den kann ich ja dann als Transparenten Proxy nehmen.
Die Frag ist nun wie das gnau aussehen soll.

1. du sagtest leite alle Clients an der FW über den TP. Heist das ich muss in der Firewall alle ausgänge der Clients auf den TP umleiten? oder wie ist das zu verstehen. Wenn Cleint1 z.b. web.de aufrufen will, dann muss die Anfrage erst an TP gehen. Wie stellt man das ein?

2. wenn die Anfrage von web.de ankommt, dann leitet der diese auch nur weiter? wenn ja wie?
mit pdfs etc meinst du das von außen, also dem Internet, weiter an die FW? wie erflg diese Filterung?

Wie gesagt ich bin kein Netzwerkprofi, und bedanke mich nochmals für die Hilfe hier.
jinnni
jinnni 21.01.2010 um 13:57:16 Uhr
Goto Top
Zitat von @aqui:
Bei den freien bekannten SPI Firewalls gibts die üblichen Verdächtigen um den Reigen komplett zu machen:
Die ersten beiden lassen sich außer auf normaler PC Hardware auch auf kleine Appliance Boards installieren:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html

welche wäre denn am einfachsten zu konfigurieren, und beinhalten diese FWs auch NAT, oder muss ich das dann im Router einstellen?

danke.
hushpuppies
hushpuppies 26.01.2010 um 11:02:34 Uhr
Goto Top
Wenns sicher sein soll, kommt man IHMO für die Clients um eine ordentliche kleine Hardware-Firewall nicht herum. Virenschutz, Spamschutz, SPI, Regeln, evtl. VPN usw. da konfiguriert man sich ja mit einer "kostenlosen" Lösung tot und ausserdem ist man dann selber verantwortlich, dass alles dicht ist. Macht man einen Fehler ist man selber voll verantwortlich - inkl. Folgeschäden bei Dritten - und die Beweislast liegt bei einem selber. Nimmt man eine ordentliche gekaufte Firewall, dann haftet in den meisten Fällen der Hersteller (oder man sichert sich durch einen kurzen Anruf beim Support ab a la "Kuck mal kurz über meine Einstellungen, ob alles sicher ist"). Rumgemurkse mit IPCop ist vielleicht von akademischen Interesse im Privatbereich, damit man sieht wie sowas generell funktioniert, aber im Geschäftsumfeld hat das imho nichts verloren.

Wenns was günstiges sein soll, dann kuck z.B. mal den Black Dwarf von Wortmann (SecurePoint) oder die Produkte von Gateprotect an.

Wenn der Webserver ein richtiger Webserver sein soll und nicht nur fürs Intranet, dann lager den zu einem professionellen Hoster aus.