Welche Firewall für Debian System?

[SkyX]

Servuz,
ich habe seit kurzem einen Debian Server am laufen und komme soweit super zurecht mit Linux. macht endlcih mal Spass *g*
Nur die andere Frage ist, ich möchte den Server absichern von außen Angriffen, aber er soll auch erreichbar sein!
Jedenfalls kommt irgendwann VPN drauf, zurzeit läuft Samba und SSH.
Ein Freund meint ich sollte Vmware installieren um PS Sense zu installieren, da es die beste Firewall sei.....
Danke schonmal SkyX

[minimike]

Ich nutze seit 6 Jahren Shorewall auf allen möglichen Installationen. Shorewall ist ein Framework für IPtables und ist einfach genial. Der Novize namens Dau kann damit zurecht kommen und der gewiefte Admin hat daran auch seine Freude.
Ansonsten einfach ein Bashskript mit IPtables Befehlen schreiben.

Shorewall www.shorewall.net

Shorewall ist in debian komplett mit Beispielkonfigs die man für sich anpassen kann per apt-get installierbar

[Duff]

Würde mich in iptables einarbeiten und dies dann mit Hilfe eines Shell-Skripts (wie minimike schon beschrieben) nutzen.

[goecke]

Servuz,
... Debian Server
... absichern von außen Angriffen, aber er soll auch erreichbar sein!
... zurzeit läuft Samba und SSH.
Danke schonmal SkyX

Hi,
also als erstes mal solltest du (erstmal) keinen Samba "ins Internet" offen haben.
höchstens in ein abgesichertes lokales (=privates) Netz.
Wenn du übers Internet Daten kopieren willst verwende "scp" oder sshfs
(unter windows winscp) dann brauchst du (meist) kein Samba.

Weiterhin sollstest du SSH "möglichst" sicher einrichten!
z.B. mit

Code: Alles auswählen

Allowgroups sshuser

nur user der gruppe sshuser sich per ssh einloggen dürfen
(du musst natürlich die Gruppe erstellen und alle Benutzer hinzufügen)
sonst vergisst du mal einen Test Benutzer...

du solltests Ausschliesslich public-Key authentication verwenden.

Code: Alles auswählen

PasswordAuthentication no
PubkeyAuthentication yes

Wenn keine (unerwünschten) Ports "nach aussen" offen sind brauchst du im Prinzip keine Firewall.

HTH

[Duff]

Ergänzend dazu noch: Den direkten Root-Login unterbinden und eventuell noch einen anderen Port für ssh nach außen hin anbieten.

[FitzeFatze]

Hallo,

Ein Freund meint ich sollte Vmware installieren um PS Sense zu installieren, da es die beste Firewall sei.....

ähm Sinn? Also ohne dich jetzt angreifen zu wollen, sehe ich dabei absolut keinen Sinn (vielleicht liegts auch an mir).
Aber logisch gesehen, kommt die virtuelle Maschine doch _nach_ dem Server?

Internet ----> | Server | -----> |FW| ?


ciao

[SkyX]

Also soweit ich sein System verstanden habe, hat er zwei Netzwerkkarten und alles nach und nach installiert!
Also sind Debian Firewalls besser als wenn ich Pf Sense installiere, dass auf Free BSD bassiert....
Und schonmal danke, werde mir zu Iptables einiges dan aus Googel raussuchen!

[Duff]

Würde mir an deiner Stelle besser das ganze Thema genauer anschauen, um es auch von Grund auf verstehen zu können. Wenn du dir per google ein paar fertige Statements zusammen suchst, weiß du nicht was du machst.

Sollten dann Fehler auftreten, bist du auch schnell am Ende.

Ich habe mir, um eine Firewall auf einem Server aufsetzen zu können, extra das Buch geholt und durchgelesen. Wenn ich mir nun nicht sicher bin, schaue ich im Buch einfach an der entsprechenden Stelle nach.
Alos ich kann nur sagen, dass das Buch zu iptables sehr hilfreich für mich war und ist!

[Simmel]

Servuz,
ich habe seit kurzem einen Debian Server am laufen und komme soweit super zurecht mit Linux. macht endlcih mal Spass *g*
Nur die andere Frage ist, ich möchte den Server absichern von außen Angriffen, aber er soll auch erreichbar sein!
Jedenfalls kommt irgendwann VPN drauf, zurzeit läuft Samba und SSH.
Ein Freund meint ich sollte Vmware installieren um PS Sense zu installieren, da es die beste Firewall sei.....
Danke schonmal SkyX

An deiner Stelle würde ich einen eigenen kleinen Rechner nehmen, der als Firewall vor deinem internen Netz steht. Ich persönlich würde dir Ipcop empfehlen, da die Einarbeitung schneller geht und man die meisten Konfigurationen über ein Webinterface erledigt. Das hat den Vorteil das du eine stateful inspection FW auf iptables Basis hast und erstmal sicher bist (die Einarbeitung in iptables solltest du trotzdem machen, damit du verstehst was deine Firewall da eigentlich macht).

Eine FW über eine VMWare laufen zu lassen halte ich persönlich für absoluten Humbug, gerade beim Schutz gegen aussen sollte man keine virtuellen Server verwenden und wie oben bereits mehrfach gesagt nicht Applikationen zusätzlich drauf betreiben.

Als FW käme schon ein Pentium I mit 256 MB in Frage, das sollte für ein Heimnetz locker ausreichen.

HTH,
Simmel

[SkyX]

Erstmals Danke für die vielen Infos und Vorschläge!
Dann werd ich bei Debian bleiben und nicht auf ein VMWare Server mit Firewall umsteigen!
Gibt es evtl. auch zu diesen IpTable ein Ebook oder Tuturial? Weil dann würd ich langsam damit anfangen mich einzulesen und auszuprobieren! Und wenn nix im Internet ist, würde ich gerne wissen was es für Bücher gibt, die gut sind.

Kleine Infos zum Netzwerk selbst!
Der Server dient hauptsächlich als Fileserver fürs Netzwerk für die Windows Clienten(Abgesichert, muss noch Gruppen einrichten und Rechte) . Ich als Administrator benutzt ihn auch als Webserver bzw. für interne zwecke für Websiten updates, Website Programmierung und Auffrischung. Da ich demnächst noch ein Projekt habe auf einer FOS Schule dient dieser auch als Hilfe für die Projektarbeit(PHP und MSQL). Im Netzwerk selbst ist alles mit Gigabit vernetzt und ein Wlan Router von Netgear verbindet das Netzwerk ins Internet. Da sind für den Server nur 2 Ports offen! Trotzdem habe ich schlechte Erfahrung gemacht, dass sich welche ins Netz eingeklinkt haben. Deswegen auch die Firewallfrage.
Ich möchte ungern noch ein Pc in Betrieb nehmn der nur die Firewall übernimmt, da der Server einiges an Leistung hat, möchte ich diesen ungern nur für Sachen laufen haben, die nicht viel abverlangen.

Gruß SkyX

Ps. Bevor ich es vergesse, ich möchte auch gerne irgendwann VPN einrichten, da ich bald auch noch ein Leptop bekomme. Das ich halt mal schnell ins Netzwerk rein kann um Daten zu speichern bzw. abzurufen.oder macht es nicht soviel sinn Vpn einzurichten?

[Duff]

Kann dir das Buch Firewalls mit iptables & Co sehr empfehlen. [1]
[1] http://www.amazon.de/Linux-Firewalls-mi ... 3827321360

Wenn du von einem linux auf den Server zugfreifen willst, benötigst du nicht unbedings vpn, du kannst auch mittels ssh darauf zugreifen und per scp Dateien kopieren.

Hast du allerdings einen Windows-Rechner und möchtest die Laufwerke eines Samba-Shares eingebunden haben (am besten automatisch nach der vpn-Verdingung), dann kann ich nur zu vpn raten.

[FitzeFatze]

Kleine Infos zum Netzwerk selbst!
Der Server dient hauptsächlich als Fileserver fürs Netzwerk für die Windows Clienten(Abgesichert, muss noch Gruppen einrichten und Rechte) . Ich als Administrator benutzt ihn auch als Webserver bzw. für interne zwecke für Websiten updates, Website Programmierung und Auffrischung. Da ich demnächst noch ein Projekt habe auf einer FOS Schule dient dieser auch als Hilfe für die Projektarbeit(PHP und MSQL). Im Netzwerk selbst ist alles mit Gigabit vernetzt und ein Wlan Router von Netgear verbindet das Netzwerk ins Internet. Da sind für den Server nur 2 Ports offen! Trotzdem habe ich schlechte Erfahrung gemacht, dass sich welche ins Netz eingeklinkt haben. Deswegen auch die Firewallfrage.
Ich möchte ungern noch ein Pc in Betrieb nehmn der nur die Firewall übernimmt, da der Server einiges an Leistung hat, möchte ich diesen ungern nur für Sachen laufen haben, die nicht viel abverlangen.

So wie ich das sehe, brauchst du gar keine zusätzliche FW. Alles "gefährliche" blockt problemlos dein Router und wenn du doch was nach außen offen haben willst (in deinem Fall ssh), kannst du den Port eigentlich ziemlich gut absichern. Falls noch was anderes nach außen soll, richte dir OpenVPN ein. Ist m.E. sinnvoller, als noch einen PC aufzustellen, oder eine weitere FW einzurichten.
Aber vorsischt, ich bin kein Experte. Das ist meine Laieneinschätzung!

ciao

[mragucci]

Eine FW über eine VMWare laufen zu lassen halte ich persönlich für absoluten Humbug, gerade beim Schutz gegen aussen sollte man keine virtuellen Server verwenden und wie oben bereits mehrfach gesagt nicht Applikationen zusätzlich drauf betreiben.

Na, das erkläre mal...
Wird eine dedizierte Netzwerkschnittstelle verwendet sehe ich da keinerlei Probleme (vergessen wir mal theoretische Sachen wie Bugs in der Bridging Software, solche Argumente sind lächerlich)

[FitzeFatze]

Eine FW über eine VMWare laufen zu lassen halte ich persönlich für absoluten Humbug, gerade beim Schutz gegen aussen sollte man keine virtuellen Server verwenden und wie oben bereits mehrfach gesagt nicht Applikationen zusätzlich drauf betreiben.

Wird eine dedizierte Netzwerkschnittstelle verwendet sehe ich da keinerlei Probleme

aha! interessant, hat dazu jemand Literatur (bzgl. der tech. Umsetzung, nicht der Argumentation )?

[mragucci]

aha! interessant, hat dazu jemand Literatur (bzgl. der tech. Umsetzung, nicht der Argumentation )?

Wenn eine google Suche ( ) nicht erfolgreich sein sollte wirst Du bei Heise bzw. c't fündig. Die bringen alle Jubeljahre den c't Server auf CD heraus, der seit 2005 mit einer FW auf einer virtuellen Maschine daher kommt - In der letzten Version als Xen-Domain. Dazu gibt es dann auch immer einen schönen Artikel.

[Simmel]

aha! interessant, hat dazu jemand Literatur (bzgl. der tech. Umsetzung, nicht der Argumentation )?

Wenn eine google Suche ( ) nicht erfolgreich sein sollte wirst Du bei Heise bzw. c't fündig. Die bringen alle Jubeljahre den c't Server auf CD heraus, der seit 2005 mit einer FW auf einer virtuellen Maschine daher kommt - In der letzten Version als Xen-Domain. Dazu gibt es dann auch immer einen schönen Artikel.

Nur weil Heise oder ct sowaas rausbringt heisst das noch lange nicht das es ein gutes Argument ist...

Hier mal ein Link des Ipcop Forums aus Deutschland mit einer interessanten Stelllungsnahme dazu. Dieser schliesse ich mich ebenfalls an, für mich persönlich ist eine FW mehr als ein Stückchen SW.

http://www.ipcop-forum.de/unipcop.php

Greetz,
Simmel

[mragucci]

Nur weil Heise oder ct sowaas rausbringt heisst das noch lange nicht das es ein gutes Argument ist...

Die Antwort bezog sich auf die Frage, ob es Dokumentation zu dieser Geschichte (FWs in virtuellen Maschinen) gibt, und nicht als Argument zur Verwendung von FWs in VMs zu sehen...

Hier mal ein Link des Ipcop Forums aus Deutschland mit einer interessanten Stelllungsnahme dazu. Dieser schliesse ich mich ebenfalls an, für mich persönlich ist eine FW mehr als ein Stückchen SW.

http://www.ipcop-forum.de/unipcop.php

Greetz,
Simmel

Ich kenne diese Stellungnahme (inklusiver aller Links in dem Dokument). Und es tut mir leid, aber theoretische Sicherheitslücken in der Bridging Software sind keine Argumente, genauso gut kann ich behaupten, eine theoretische Sicherheitslücke in der Firewallsoftware kann die Sicherheit aushebeln, deshalb ist es Schwachsinn eine Firewall einzusetzen!
Was allerdings notwendig und wichtig ist: Eine dedizierte Netzwerkschnittstelle für die Firewall zu verwenden (mindestens für RED). Das auf diesem Interface keine Services des Hosts laufen sollten versteht sich eigentlich von selbst...

Edit:
Der einzig relevante Link auf der genannten IPCop Seite ist dieser hier - http://www.heise.de/newsticker/meldung/88662 - Da er zu diesem Dokument führt: An Empirical Study into the Security Exposure to Hosts of Hostile Virtualized Environments: http://taviso.decsystem.org/virtsec.pdf
Prinzipiell wird hier beschrieben, dass Angreifer, die Zugang zur VM haben, aus dieser ausbrechen können - Hat ein Angreifer aber Zugang zur Firewall ist das Kind schon in den Brunnen gefallen, ein Shellzugang hat auf einer Firewall nichts zu suchen. Schleust ein Angreifer jedoch Schadcode über eine Softwarelücke ein hat die verwendete Firewall ein grundsätzliches Problem und darf ohnehin nicht verwendet werden.

[SkyX]

So, habe Samba jetzt anständig zum laufen gebracht mit Sicherheits abfragen für den Windows Rechner, das mir jah keiner auf Samba druff kommt....
Und nun zurück zu der Firewall frage...
IpCorp scheint wirklich was gutes zu sein, aber extra dafür ein Rechner aufzusetzten im Netzwerk seh ich nicht ein!
Und Router sind nicht immer die beste Lösung wenn es um Sicherheit geht! Klar super einfach schnell in der Konfiguration.
Deswegn ist auf den Windows Clients eine Extra Firewall nochmals errichtet mit Antivirus ect. ect.
Aber zum Hauptproblem, ich möchte schon irgendwann demnächst eine Firewall am laufen haben und möchte mich halt schnell in das Thema einarbeiten.
Wäre es daher auch sinvoll eine zweite Netzwerkkarte einzurichten?

[Duff]

Ich habe dies gemacht, und zwar so:

Internet <---> Fritzbox <---> eth0 | server (mit all seinen Diensten + firewall) | eth1 <---> Switch <---> LAN mit den Rechnern

[ckoepp]

Und es tut mir leid, aber theoretische Sicherheitslücken in der Bridging Software sind keine Argumente, genauso gut kann ich behaupten, eine theoretische Sicherheitslücke in der Firewallsoftware kann die Sicherheit aushebeln, deshalb ist es Schwachsinn eine Firewall einzusetzen!

Na so ganz falsch ist es nicht. Klar, dieser Aufsatz ist in einigen Punkten schlichtweg falsch (von wegen Firewalls werden nur von Außen angegriffen - schön wärs, dann hätt ich weniger zu tun!). Dieser Punkt ist allerdings schon richtig so.
Je mehr Komplexität da drin steckt, desto mehr Bugs sind da drin. Je mehr Bugs desto höher die Wahrscheinlichkeit eines sicherheitskritischen Fehlers. In der Sicherheit spielt die Theorie natürlich eine Rolle - schließlich wollen wir uns dem uneingeschränkt sicheren System ja nähren so weit es geht.
Übrigens ist auch genau das der Grund warum Linux in diesen Hochsicherheitssystemen nicht die Nase vorn hat. Cisco & Co arbeiten schon seit Jahren mit Konzepten wie Minix - möglichst wenig Quelltext im Kernelspace und alles in den Userspace auslagern (und damit theoretische Lücken die Rechte entziehen). Kostet Performance, bringt aber (auch in der Praxis) mehr Stabiliät und Sicherheit.

[SkyX]

Die Konstellation Internet <---> Router <---> eth0 | server (mit all seinen Diensten + firewall) | eth1 <---> Switch <---> LAN mit den Rechnern
wäre eine Überlegung wert. Aber ich muss erstmals schauen mir die Firewall einzurichten, weil ich da keine Ahnung von habe wie ich das machen soll mit den IpTables....
Hab zwar schon einiges durchforstet und rausgesucht, aber jetzt näheres zum Installieren habe ich nicht gefunden.
Wenn ihr mir da ein Starthilfe verpassen könntet wäre das super... Stichwort ist ja Iptables nur wie fange ich damit an....

[Simmel]

Die Konstellation Internet <---> Router <---> eth0 | server (mit all seinen Diensten + firewall) | eth1 <---> Switch <---> LAN mit den Rechnern
wäre eine Überlegung wert. Aber ich muss erstmals schauen mir die Firewall einzurichten, weil ich da keine Ahnung von habe wie ich das machen soll mit den IpTables....
Hab zwar schon einiges durchforstet und rausgesucht, aber jetzt näheres zum Installieren habe ich nicht gefunden.
Wenn ihr mir da ein Starthilfe verpassen könntet wäre das super... Stichwort ist ja Iptables nur wie fange ich damit an....

check mal die Seite vom Knecht ab, da ist es ganz gut erklärt, habe da auch schon rumgewuselt...

https://knecht.homelinux.net/phpBB2/vie ... f=12&t=168

[SkyX]

Thx werde mich dann mal damit befassen! Ich gebe dann mal Rückmeldung wenn ich damit anfange!

[ckoepp]

Die Konstellation Internet <---> Router <---> eth0 | server (mit all seinen Diensten + firewall) | eth1 <---> Switch <---> LAN mit den Rechnern

Wenn Du schon eine solche Netzstruktur hast, dann solltest Du die Firewall auch richtig einsetzen. Eigentlich sollte eine Firewall nicht auf einem Server laufen, sondern dafür ist eher der Router der richtige Platz.
In einer DMZ steht dann der Server und das LAN ist ein gesichertes Netz. So ist es eigentlich in allen Netzen Standard. Firewalls auf Servern sind immer so eine Sache - wenn Du sie auslagern kannst, tue es

[SkyX]

Und wie sicher sind die Routerfirewalls? Hab nämlich einen von Netgear!