Theorie: Maximal sicheres Gateway
Hallo zusammen,
mal eine theoretische Überlegung: Wie muss ein möglichst sicheres Gateway aussehen? Es soll einem LAN ermöglichen, eine Verbindung zum Internet aufzubauen. Genutzt werden sollen alle typischen Dienste und alle typischen Client-Geräte.
Mein Ansatz bisher:
- gehärtetes Linux/BSD/Unix
- Paketfilter, passend konfiguriert (nur das Nötige raus, nichts rein)
- IPS, z.B. Snort
- ggfs. Geo-IP-Filter
- Squid + SquidGuard (filtert Werbung etc. heraus)
Was meint ihr dazu?
mal eine theoretische Überlegung: Wie muss ein möglichst sicheres Gateway aussehen? Es soll einem LAN ermöglichen, eine Verbindung zum Internet aufzubauen. Genutzt werden sollen alle typischen Dienste und alle typischen Client-Geräte.
Mein Ansatz bisher:
- gehärtetes Linux/BSD/Unix
- Paketfilter, passend konfiguriert (nur das Nötige raus, nichts rein)
- IPS, z.B. Snort
- ggfs. Geo-IP-Filter
- Squid + SquidGuard (filtert Werbung etc. heraus)
Was meint ihr dazu?
10 Antworten
- LÖSUNG StefanKittel schreibt am 24.12.2016 um 09:01:00 Uhr
- LÖSUNG mrserious73 schreibt am 24.12.2016 um 09:07:45 Uhr
- LÖSUNG Vision2015 schreibt am 24.12.2016 um 10:31:26 Uhr
- LÖSUNG Looser27 schreibt am 24.12.2016 um 10:38:31 Uhr
- LÖSUNG Vision2015 schreibt am 24.12.2016 um 10:31:26 Uhr
- LÖSUNG mrserious73 schreibt am 24.12.2016 um 09:07:45 Uhr
- LÖSUNG Der-Phil schreibt am 24.12.2016 um 11:33:51 Uhr
- LÖSUNG Dobby schreibt am 24.12.2016 um 12:03:45 Uhr
- LÖSUNG aqui schreibt am 24.12.2016 um 12:39:13 Uhr
- LÖSUNG Vision2015 schreibt am 24.12.2016 um 12:45:29 Uhr
- LÖSUNG certifiedit.net schreibt am 24.12.2016 um 14:46:16 Uhr
- LÖSUNG mrserious73 schreibt am 28.12.2016 um 11:19:16 Uhr
- LÖSUNG aqui schreibt am 24.12.2016 um 12:39:13 Uhr
LÖSUNG 24.12.2016 um 09:01 Uhr
LÖSUNG 24.12.2016 um 09:07 Uhr
LÖSUNG 24.12.2016 um 10:31 Uhr
moin...
deine frage ist eher was für Freitags...
was sind für dich alle typischen Dienste und alle typischen client-geräte ?
nur so zum Verständnis, wenn ich das meine frau frage, sagt sie ganz klar- der Thermomix...
und das IPad...
also sag uns doch bitte was du möchtest, und um welche geräte es geht- und vor allen welche dienste.
dann sagen wir dir was man noch bräuchte oder tun könnte....
Frank
deine frage ist eher was für Freitags...
was sind für dich alle typischen Dienste und alle typischen client-geräte ?
nur so zum Verständnis, wenn ich das meine frau frage, sagt sie ganz klar- der Thermomix...
und das IPad...
also sag uns doch bitte was du möchtest, und um welche geräte es geht- und vor allen welche dienste.
dann sagen wir dir was man noch bräuchte oder tun könnte....
Frank
LÖSUNG 24.12.2016 um 10:38 Uhr
LÖSUNG 24.12.2016 um 11:33 Uhr
Hallo!
In meinen Augen hängt die Sicherheit einer Firewall zu 99% am Regelwerk. Dann kommt lange nix.
Wenn Du dann noch eine Schippe drauf legen willst, wäre noch eine Layer 7 Firewall ein weiterer Schritt und da landest Du dann bei deutlich teureren Modellen wie Palo Alto, eventuell Sonicwall, vielleicht Fortinet, etc.
Geo-IP, etc. halte ich ja für nette Werbedinge
Grüße und frohe Weihnachten
Phil
In meinen Augen hängt die Sicherheit einer Firewall zu 99% am Regelwerk. Dann kommt lange nix.
Wenn Du dann noch eine Schippe drauf legen willst, wäre noch eine Layer 7 Firewall ein weiterer Schritt und da landest Du dann bei deutlich teureren Modellen wie Palo Alto, eventuell Sonicwall, vielleicht Fortinet, etc.
Geo-IP, etc. halte ich ja für nette Werbedinge
Grüße und frohe Weihnachten
Phil
LÖSUNG 24.12.2016, aktualisiert um 12:04 Uhr
Hallo zusammen,
da passiert dann das meiste was einem selber oder andere gefährdet.
ansonsten mag das aber schon richtig definiert sein.
gewartet werden und sollte immer mehr verfeinert oder angepasst werden.
anderen "Paketen" wie Snort und Suricata, dann kann man damit noch mehr heraus holen und versteht
auch was dort passiert.
oder gar die aller Pakete persönlich? Warum sollte da nicht jemand böses im Schilde führen?
Gruß und frohe Weihnachten
Dobby
Mein Ansatz bisher:
Meiner ist das es nichts schlimmeres gibt als eine schlecht oder falsch konfigurierte(n) Firewall oder Router,da passiert dann das meiste was einem selber oder andere gefährdet.
- gehärtetes Linux/BSD/Unix
Es gehen auch eigene Systeme von Herstellern, also von Grund auf selbst geschriebener Codeansonsten mag das aber schon richtig definiert sein.
- Paketfilter, passend konfiguriert (nur das Nötige raus, nichts rein)
Wenn das passt dann ist das auch ok so. - IPS, z.B. Snort
Das ist nichts was man aufsetzt und dann läuft es für immer schön durch, das will gepflegt und gewartet werden und sollte immer mehr verfeinert oder angepasst werden.
- ggfs. Geo-IP-Filter
- Squid + SquidGuard (filtert Werbung etc. heraus)
Ein AddBolcker also addon im Browser ist auch nett. Allerdings nicht so flexibel und gut anzupassen.- Squid + SquidGuard (filtert Werbung etc. heraus)
Was meint ihr dazu?
Übung macht den Meister und es gibt sicherlich auch Bücher zu pfSense und auch zu Squid und den anderen "Paketen" wie Snort und Suricata, dann kann man damit noch mehr heraus holen und versteht
auch was dort passiert.
Theorie: Maximal sicheres Gateway
Dann sollte alles aus einer vertrauenswürdigen Quelle stammen! Kennst Du die Programmierer von pfSenseoder gar die aller Pakete persönlich? Warum sollte da nicht jemand böses im Schilde führen?
Gruß und frohe Weihnachten
Dobby
LÖSUNG 24.12.2016 um 12:39 Uhr
Wie muss ein möglichst sicheres Gateway aussehen?
So zum Bleistift:https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
LÖSUNG 24.12.2016 um 12:45 Uhr
Zitat von aqui:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
ich dachte eher an sowas Save GatewayWie muss ein möglichst sicheres Gateway aussehen?
So zum Bleistift:https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Frank
LÖSUNG 24.12.2016 um 14:46 Uhr
Zitat von aqui:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Wie muss ein möglichst sicheres Gateway aussehen?
So zum Bleistift:https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Passt hier wegen
Theorie: Maximal sicheres Gateway
Dann sollte alles aus einer vertrauenswürdigen Quelle stammen! Kennst Du die Programmierer von pfSenseoder gar die aller Pakete persönlich? Warum sollte da nicht jemand böses im Schilde führen?
nicht ganz.
LÖSUNG 28.12.2016 um 11:19 Uhr
Hallo,
ihr habt natürlich recht: Theoretisch müsste ich sowohl Soft- als auch Hardware für diesen Zweck komplett selbst entwickeln
Typische Netzwerk-Dienste sind für mich z.B. DHCP, DNS, NTP und ein Proxy.
Typische Client-Geräte sind Windows-PCs, alle Arten von Android- und iOS-Geräten und Apple-Rechner jeder Form und Farbe.
Klar, so ein System ist kein Zustand sondern ein Prozess, gerade im Bezug auf ein IPS.
Bei Firewallregelsätzen gilt ja eh: Nach der Konfiguration intensiv lesen, prüfen und testen. Da kann man sich in der Tat sehr schnell nen Bock schießen und schon kann das Handy des Gastes kurz ma in die DMZ funken und auf eine Datenbank zugreifen, die eigentlich nur für den Dienstgebrauch gedacht ist
ihr habt natürlich recht: Theoretisch müsste ich sowohl Soft- als auch Hardware für diesen Zweck komplett selbst entwickeln
Typische Netzwerk-Dienste sind für mich z.B. DHCP, DNS, NTP und ein Proxy.
Typische Client-Geräte sind Windows-PCs, alle Arten von Android- und iOS-Geräten und Apple-Rechner jeder Form und Farbe.
Klar, so ein System ist kein Zustand sondern ein Prozess, gerade im Bezug auf ein IPS.
Bei Firewallregelsätzen gilt ja eh: Nach der Konfiguration intensiv lesen, prüfen und testen. Da kann man sich in der Tat sehr schnell nen Bock schießen und schon kann das Handy des Gastes kurz ma in die DMZ funken und auf eine Datenbank zugreifen, die eigentlich nur für den Dienstgebrauch gedacht ist