Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Friday, July 30, 2010

"Beste Firewall"

Quelle
Router mit habilitierter Firewallfilterung, danach einen Linux PC, der einzig als Firewall arbeitet. Netztrennung, IDS, Virenscanner, Application Level Firewall usw. Alles auf einer Maschine.. stressfrei!
Inkl. VPN-Zugang mit 4096 bit Verschlüsselungstiefe (L2TP mit IP-Sec)
Schutzstufen
  • Stufe 0: Personal Firewall (PFW), bringt fast 0 Schutz - wenn man sich allerdings die Seite des CCC zu Firewalls und dingens.org und so durchließt bekommt man Recht schnell mit das man als Privatanwender wohl kaum eine Firewall brauch. Als Packetfilter reicht die Windows Firewall.
  • Stufe 1: Router mit NAT, ist ganz nett da er alles verwirft was nicht angefordert wird (Ausnahme Portforwarding). Man ist also von Aussen nicht erreichbar. Sollte mal der Fall eintreten das beispielsweise dein WindowsXP (der geschlossene Port oder die Windows Firewall) oder dein Ubuntu explositet werden würde durch einen Wurm der sich automatisch verbreitet dann würde Dich NAT wahrscheinlich davor schützen. Aber relativ unwahrscheinlich, normalerweise reicht es die Windows Dienste im Griff zu haben oder Windows Firewall anzuhaben.
  • Stufe 2: Linuxkiste als Router mit irgendeiner Linux Firewalldistro drauf
  • Stufe 3: Jeder Aufgabe die man bearbeiten muss weißt man eine virtuelle Umgebung zu. Der Host Rechner ist durch Stufe 2 geschützt.
  • Stufe 4: Jeder Aufgabe (surfen, schreiben, ....) weißt man einen eignes physikalisches System zu. Also für alles einen eigenen Rechner. Wenn man mit dem Rechner mit dem man suft nicht auch den Webserver laufen hat und auch nicht die Sourcecodes schreibt dann ist das sicherer als alles auf einem Rechner zu haben. Als Beispiel lohnt sich aber nur für Firmen.
  • Stufe 5: Netzwerkadministrator, Jeweils IDS und IPS auf extra Systemen hinter der Hardwarefirewall.
  • Stufe 6: Stufe 5 kombiniert mit Honeypots. (noch paranoiders fällt mir erstmal nicht ein)
Also eine "richige" Firewall ist natürlich komplexer zu erstellen und zu warten und auch mit höhern Kosten verbunden. Da halt die Firewalls unter umständen selbst angreifbar sind installiert man diese nicht auf den zu schützendem System. Richtige Firewalls brauch man im Privatbereich auch kaum. Das brauchen nur Firmen die unter Umständen Angriffen ausgesetzt sind.
-------------------------------------------------
I base my PC security on encryption, virtualization and use of alternative software products. There are many high-quality and often free products that can be used for this purpose.
I also use various utilities for system monitoring including custom-made tools and finally,
I use a packet-filtering firewall    --David Matoušek
-------------------------------------------------
IPCOP:
http://www.ipcop-forum.de/forum/index.php?sid=09adebab3a68f511a21f0ecb8acf6431
http://www.ipcop-forum.de/links.php
http://www.ipcop-forum.de/manuals/online/ipcop-install-de-1.4.x/ipcop-install-de.html
http://ipcop.gutzeit.ch/
Einfach das ISO-Image herunterladen und auf CD brennen. Dann den Uralt-Rechner mittels der CD booten und die Installation ausführen. Gemäß der Anleitung vorgehen und PPOE für DSL auswählen.
Netzwerk Grün-Rot.
Von Vorteil sind Netzwerkkarten von Unterschiedliche herstellen. Vereinfach die Zuordnung welches Netz an welcher Karte hängt ;-)
Am besten auch gleich auch als DHCP Server einsetzen. Für die weiteren Einstellungen kannst du IPCOP über jeden Netzwerkrechner mittels Browser Ansteuerung und Einstellen. Du kannst dann auch per MAC Adresse bestimmte IP-Adressen an bestimmte Rechner fest vergeben. Wenn alles läuft die EInstellungen auf Diskette sichern für alle Fälle. Danach kannst du alles unnötige aus dem Rechner ausbauen, bzw. abklemmen. Selbst Tastatur, sofern Bios die Einstellungen anbietet den Fehler beim Booten zu ignorieren. Somit hast du ledeglich den Rechner alleine in der Ecke zu stehen. Wwenn du dann noch eine geschaltet Steckdosenleiste nimmst mit Master/Slave Anschlüssen, startet der IPCOP-Rechner automatisch mit dem EInschalten des Hauptrechners.
An den Netzwerkrechner wird unter den Einstellungen die direkte Verbindung ausgewählt (Beim IE keine Verbindung wählen und beim Firefox direkte Verbindung)

No comments: