firewalls [was: Re: Routing]

On Wed, Jul 05, 2000 at 06:21:26PM +0200, Udo Erdelhoff wrote:
> Moin,
>
> On Wed, Jul 05, 2000 at 05:17:09PM +0200, Georg Graf wrote:
>
> > IMHO geht es vielmehr darum, daß man dumme clients (commandline ftp von
> > linux und winXX) unterstützen will.
>
> für die gibt es dann einen "normalen" ftp-proxy (nicht ftp über http!).
> Ich sehe nicht ein, die Sicherheit des Firmennetzes auf dem Altar der
> schlechten Software zu opfern.
>
> > trotzem gut. geht das mit der keep-state und check-state Syntax im
> > ipfw? wie?
>
> Genau das frage ich mich halt auch. Wäre mal ein Thema für freebsd-ipfw.
>
> > > > Es wird wohl doch sinnvoll sein, einen squid auf der firewall laufen
> > > > zu haben, besser noch zwischen 2 firewalls.
> > >
> > > Weia, wieso gleich mit dem Atombombenteppich auf den Einzeller? Tut es
> > > ein "normaler" ftp-proxy nicht auch? Der hat auch den Vorteil, daß die
> > > Dauersauger ihre Download-Tools (Getright, Gozilla) nicht nutzen können.
> > > Spart auf Dauer Bandbreite...
> > >
> > Ich halte die modernen Hacker und Ihre tools nicht für Einzeller. sorry.
>
> Das meinte ich auch nicht. Was ich meinte: Einen Squid zu installieren,
> nur damit man einen "ftp-proxy" hat (und dann nicht mal einen richtigen,
> sondern nur ftp-over-http), *das* ist die Atombombe für den Einzeller.
>
ack.

> Und außerdem ist squid ein caching proxy und keine Firewall. Paket filtering
> macht man mit ipfw und/oder 'ne Cisco (teurer, aber das Setup der ACLs ist
> IMHO deutlich logischer als bei ipfw).
>
Ich sehe keinen Widerspruch darin, auf einem Firewall-Rechner, der mit
ipfw zumindest keine tcp setups und udp-mäßig und icmp-mäßig nur das
Allernötigste durchlässt, einen squid laufen zu haben. Bin ich da
ganz weit daneben?

> > Wenn Dein squid-host gehackt ist, *dann* bist Du froh, daß von dem aus das
> > wirkliche Lan nicht erreichbar ist.
>
> Seit wann kann man sich auf dem squid-host von einem Host außerhalb des
> Firmennetzes einloggen? Der hat für Logins eine eigene IP-Adresse aus den

naja, der hat vielleicht ja noch einen port 25 offen, je nachdem was man
braucht, oder einen pop oder imap server. Unter "Hacken" meine ich die
Ausnutzung von remote root exploits mit buffer overflows etc.
ich meine keinen telnet oder rsh-daemon nicht mal ssh, welche ich aber
als sicherer als vieles andere ansehe.

> nicht gerouteten Netzen zu haben, die für sonst nichts genutzt wird. Und
> auf der IP-Adresse lauscht genau der sshd. Und auf der normalen IP-Adresse
> lauscht genau der squid. Und sonst nichts.
>
> Und natürlich fangen die ACLs der Router auf allen Interfaces und in alle
> Richtungen mit denies für Traffic von und an die nicht gerouteten Netze
> sowie 127.* an. Danach hat eine Serie expliziter denies für von außen
> kommende setups auf die "Well Known Trojan Ports" zu folgen, diesmal
> allerdings inkl. logging auf /dev/lp oder ähnliches.
>
> Und der Admin guckt immer mal wieder mit strobe o.ä. ins Netz, ob da
> jemand wieder unnötige Dienste anbietet. Das ist einer der Punkte, an
> denen ich den Paranoia der OpenBSD-Macher liebe: Die Kisten sind erstmal
> zu, wenn man Dienste braucht, schaltet man die an.
>
> ObZitat: "The art of war teaches us to rely not on the likelihood of the
> enemy's not coming, but on our own readiness to receive him, not on the
> chance of his not attacking, but rather on the fact that we have made our
> position unassailable."
>
> > Ja, bei uns ist auch der squid die einzige Firewall, aber wünschen tät ich
> > mir schon die Zeit, sowas schön aufzusetzen ;-)
>
> Du hast gerade "Wir haben keine Firewall, bitte hackt uns" geschrieben.
>
ich war wiedermal zu undeutlich; sorry. da ist sehr wohl noch ein packet-
filter drauf.

-- 
Georg
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message