Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Theorie: Maximal sicheres Gateway

Mitglied: mrserious73

mrserious73 (Level 1) - Jetzt verbinden

24.12.2016 um 08:42 Uhr, 1485 Aufrufe, 10 Kommentare

Hallo zusammen,

mal eine theoretische Überlegung: Wie muss ein möglichst sicheres Gateway aussehen? Es soll einem LAN ermöglichen, eine Verbindung zum Internet aufzubauen. Genutzt werden sollen alle typischen Dienste und alle typischen Client-Geräte.

Mein Ansatz bisher:

- gehärtetes Linux/BSD/Unix
- Paketfilter, passend konfiguriert (nur das Nötige raus, nichts rein)
- IPS, z.B. Snort
- ggfs. Geo-IP-Filter
- Squid + SquidGuard (filtert Werbung etc. heraus)

Was meint ihr dazu?
Mitglied: StefanKittel
24.12.2016 um 09:01 Uhr
Moin,

entweder Du arbeitest Dich in pfSense ein oder Du kaufst eine fertige Firewall.

Stefan
Bitte warten ..
Mitglied: mrserious73
24.12.2016 um 09:07 Uhr
Hi!

Ersteres habe ich schon getan
Geht mir eher um die Idee, was man noch bräuchte oder tun könnte.
Bitte warten ..
Mitglied: Vision2015
24.12.2016 um 10:31 Uhr
moin...
deine frage ist eher was für Freitags...

was sind für dich alle typischen Dienste und alle typischen client-geräte ?
nur so zum Verständnis, wenn ich das meine frau frage, sagt sie ganz klar- der Thermomix...
und das IPad...
also sag uns doch bitte was du möchtest, und um welche geräte es geht- und vor allen welche dienste.
dann sagen wir dir was man noch bräuchte oder tun könnte....

Frank
Bitte warten ..
Mitglied: Looser27
24.12.2016 um 10:38 Uhr
Oh mein Gott...... Das nächste Bot-Netz besteht aus Thermomix Geraten....

In diesem Sinne

Frohes Fest
Bitte warten ..
Mitglied: Der-Phil
24.12.2016 um 11:33 Uhr
Hallo!

In meinen Augen hängt die Sicherheit einer Firewall zu 99% am Regelwerk. Dann kommt lange nix.

Wenn Du dann noch eine Schippe drauf legen willst, wäre noch eine Layer 7 Firewall ein weiterer Schritt und da landest Du dann bei deutlich teureren Modellen wie Palo Alto, eventuell Sonicwall, vielleicht Fortinet, etc.

Geo-IP, etc. halte ich ja für nette Werbedinge

Grüße und frohe Weihnachten
Phil
Bitte warten ..
Mitglied: 108012
24.12.2016, aktualisiert um 12:04 Uhr
Hallo zusammen,

Mein Ansatz bisher:
Meiner ist das es nichts schlimmeres gibt als eine schlecht oder falsch konfigurierte(n) Firewall oder Router,
da passiert dann das meiste was einem selber oder andere gefährdet.

- gehärtetes Linux/BSD/Unix
Es gehen auch eigene Systeme von Herstellern, also von Grund auf selbst geschriebener Code
ansonsten mag das aber schon richtig definiert sein.

- Paketfilter, passend konfiguriert (nur das Nötige raus, nichts rein)
Wenn das passt dann ist das auch ok so.

- IPS, z.B. Snort
Das ist nichts was man aufsetzt und dann läuft es für immer schön durch, das will gepflegt und
gewartet werden und sollte immer mehr verfeinert oder angepasst werden.

- ggfs. Geo-IP-Filter
- Squid + SquidGuard (filtert Werbung etc. heraus)
Ein AddBolcker also addon im Browser ist auch nett. Allerdings nicht so flexibel und gut anzupassen.

Was meint ihr dazu?
Übung macht den Meister und es gibt sicherlich auch Bücher zu pfSense und auch zu Squid und den
anderen "Paketen" wie Snort und Suricata, dann kann man damit noch mehr heraus holen und versteht
auch was dort passiert.

Theorie: Maximal sicheres Gateway
Dann sollte alles aus einer vertrauenswürdigen Quelle stammen! Kennst Du die Programmierer von pfSense
oder gar die aller Pakete persönlich? Warum sollte da nicht jemand böses im Schilde führen?

Gruß und frohe Weihnachten
Dobby
Bitte warten ..
Mitglied: aqui
24.12.2016 um 12:39 Uhr
Wie muss ein möglichst sicheres Gateway aussehen?
So zum Bleistift:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: Vision2015
24.12.2016 um 12:45 Uhr
Zitat von aqui:

Wie muss ein möglichst sicheres Gateway aussehen?
So zum Bleistift:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
ich dachte eher an sowas Save Gateway

Frank
Bitte warten ..
Mitglied: certifiedit.net
24.12.2016 um 14:46 Uhr
Zitat von aqui:

Wie muss ein möglichst sicheres Gateway aussehen?
So zum Bleistift:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...

Passt hier wegen

Theorie: Maximal sicheres Gateway
Dann sollte alles aus einer vertrauenswürdigen Quelle stammen! Kennst Du die Programmierer von pfSense
oder gar die aller Pakete persönlich? Warum sollte da nicht jemand böses im Schilde führen?

nicht ganz.
Bitte warten ..
Mitglied: mrserious73
28.12.2016 um 11:19 Uhr
Hallo,

ihr habt natürlich recht: Theoretisch müsste ich sowohl Soft- als auch Hardware für diesen Zweck komplett selbst entwickeln

Typische Netzwerk-Dienste sind für mich z.B. DHCP, DNS, NTP und ein Proxy.
Typische Client-Geräte sind Windows-PCs, alle Arten von Android- und iOS-Geräten und Apple-Rechner jeder Form und Farbe.

Klar, so ein System ist kein Zustand sondern ein Prozess, gerade im Bezug auf ein IPS.
Bei Firewallregelsätzen gilt ja eh: Nach der Konfiguration intensiv lesen, prüfen und testen. Da kann man sich in der Tat sehr schnell nen Bock schießen und schon kann das Handy des Gastes kurz ma in die DMZ funken und auf eine Datenbank zugreifen, die eigentlich nur für den Dienstgebrauch gedacht ist
Bitte warten ..
Ähnliche Inhalte
Datenbanken

Phpmyadmin export maximal 50kb groß

Frage von Leo-leDatenbanken4 Kommentare

Hallo Zusammen, Nach einem Updates von php 4.0.10.6 auf 4.6.6 funktioniert der Export der dbs nicht mehr richtig. Die ...

RedHat, CentOS, Fedora

Standart GATEWAY

gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOORedHat, CentOS, Fedora14 Kommentare

Guten Morgen, ich hab bereits vor ein paar Monaten mich mit dem gleichen Problem beschäftigt. Nun sitze ich wieder ...

Google Android

Android Smartphone mit maximal 5 Zoll Monitor

Frage von Bender999Google Android2 Kommentare

Hallo, der Titel sagt schon alles. Kennt einer heute noch ein maximal 5Zoll Großes Android Spmartphone was so halbwegs ...

LAN, WAN, Wireless

Wo lässt sich das Gateway in der FRITZ!Box 7360 einstellen?

gelöst Frage von OssabowLAN, WAN, Wireless21 Kommentare

Hallo all, nach gründlicher Suche scheine ich der einzige zu sein der das Problem hat (macht micht schon mal ...

Neue Wissensbeiträge
Router & Routing

Statische Route dauerhaft einrichten unter Ubuntu 18.04 LTS

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing2 Kommentare

"Kann ja nicht so schwer sein, unter Ubuntu 18.04 LTS ne statische Route einzurichten", denkt der Windows-Admin und gelegentliche ...

Microsoft

Effect on customer websites and Microsoft services and products in Chrome version 80 or later

Information von Dani vor 2 TagenMicrosoft

Guten Abend zusammen, The Stable release of the Google Chrome web browser (build 80, scheduled for release on February ...

Drucker und Scanner

Kyocera PCL Barcode Flash SD v3.0 Firmware Update installieren

Tipp von Mana vor 5 TagenDrucker und Scanner1 Kommentar

Ich hatte eine vorhandene "PCL Barcode Flash SD v3.0 Type D/E", die bisher in einem Kyocera FS-4200DN verbaut war. ...

Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 9 TagenSicherheit3 Kommentare

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Heiß diskutierte Inhalte
Ausbildung
In den Beruf IT-Systemadministrator gerutscht
Frage von TorwolfAusbildung20 Kommentare

Hallo zusammen, kurz zu meiner Person, ich bin 25 Jahre alt, habe die Fachhochschulreife und eine abgeschlossene Ausbildung als ...

Outlook & Mail
Mehrere Domänen User, selber PC, großer IMAP Account, Vorgehen?
Frage von heifumaOutlook & Mail20 Kommentare

Moin, Szenario: - Windows Server 2019 AD - Ein und derselbe PC im Netzwerk soll im Laufe der Arbeitswoche ...

Windows Server
DFS Zurgriff über Domain Steuerung
Frage von opc123Windows Server19 Kommentare

Hallo, wenn ich Freigegebene Ordner über \\"Domaine.de"\Datei aufrufen möchte innerhalb des DFS Pfades, habe ich oft kurzer Zeit kein ...

Windows 10
"System" verwendet Hosts-Datei
Frage von ankauf71Windows 1014 Kommentare

Hallo zusammen! Nachdem ich heute erfolglos versucht habe die Hosts-Datei zu ändern stellte ich fest das diese von einem ...