Benutzer:KlausHeinisch

aus C't-Server Wiki, der freien Wissensdatenbank

Hi Kollegen und ~innen.

Fange nach einem Crash meines Standard-Selbstbau-Servers (typische 2-Schichtige Sicherheits-Architektur mit Linux-Router, DMZ-Ebene und Server mit Proxy/FWBuilder-Regeln) jetzt endlich ein seit 6 Monaten aufgeschobenes Projekt mit dem c't-Server an.

Darum hier zunächst nicht viel, vielleicht nur soviel, dass ich beabsichtige, hier meine Erkenntnisse zu dokumentieren und ggf. im Forum was zu schreiben...

MfG, KlausHeinisch

Inhaltsverzeichnis 1 ToDo 1.1 Eine Art BLOG... 1.2 Weitere Ziele, Schritte 1.3 Fragen, zu klären 2 Öffentlicher Überblick über meine Erfahrungen bei der Umstellung 3 eines relativ sicheren Heimnetzes auf den c't-Server 3.1 Infrastruktur und Randbedingungen 3.2 Zwischenerfolge

ToDo

Eine Art BLOG...

---

• Gestern Nacht (20060222_23:30) gab es die erste erfolgreiche Einrichtung des HylaFAX-Systems auf der Basis von PuMis Howto, allerdings mit der FRITZ!PNP-Karte und einem älteren Zweitserver.
  • Hier muss ich noch die Ergänzungen einpflegen, die für die PNP-Karte nötig sind (falls sie andere noch rumliegen haben und verwenden wollen in einem älteren Server-System mit ISA-Slots).
  • Klappte auf Anhieb, das HowTo ist sehr gut und vollständig, ausser dass ich den Windows-Client nicht verwenden will.
  • Zeitverbrauch etwa 30 Minuten, bis zum ersten erfolgreich gesendeten Fax an meine Firmenfax-Nr...

Danke, PuMi...

---

• Momentan arbeite ich daran, dass das StartStop-Script für eine UML-Instanz (z.B. ein DMZ-Webserver) auch aus dem ct_mk_uml_instance automatisch korrekt erzeugt wird. Das sollte dann den Aufbau eines virtuellen Rechners noch enorm erleichtern.

Weitere Ziele, Schritte

• Ein (oder bei Bedarf mehrere) ebenfalls virtuelle Web-FTP-Proxy-Filter-Mail-Server-Bastion-Hosts: Der wird die wichtigsten Elemente enthalten, die wir im LAN nicht haben wollen, auf die wir aber aus Sicherheitsgründen nicht verzichten möchten.

Fragen, zu klären

• Mich interessiert, wie sicher der UML-Bridging-Code wirklich ist. Vielleicht gibt es ja ausserhalb des UML-Teams auch fähige Hacker, die die Sicherheit des Codes evaluieren können. Denn m.E. ist das neben dem Host- und dem IPcop-Linux-Kern die wichtigste Stelle, an der ein Ausbruch aus dem Sicherheitskonstrukt möglich ist.
• Wie sieht es mit einem echten FTP-Proxy aus? Wie sicher ist der? Was macht der SuSE-FTP-Proxy? Oder ist Frox besser?
• Wie sicher ist der UML-Kernel mit hostfs? Lassen sich damit umfangreichere Systeme aufsetzen als solche mit sehr kleinem Filesystem? Spart das Performance?

Öffentlicher Überblick über meine Erfahrungen bei der Umstellung

eines relativ sicheren Heimnetzes auf den c't-Server

1. Infrastruktur und Randbedingungen
2. Anforderungen
3. Erste Schritte
   1. Probleme mit der Installation
   2. Lösungsansätze

Infrastruktur und Randbedingungen

Mein vorhandenes Netz ist bisher schon relativ sicher ausgelegt:

• Clients surfen über einen Backend-Proxy, neuerdings auch durch einen Gateway-Virenscanner geschützt (siehe http://www.trendmicro.com/).
• Nur der Proxy darf überhaupt ins Internet surfen, der LAN-Server (mit inhärenter Backend-Firewall) blockiert direkte Webzugriffe.
• Zwischen LAN-Server/Firewall und Internet ist eine weitere Schutzebene (DMZ) mit eigenem Netz, in dem sich ggf. DMZ-Server (Webserver, FTP-Proxy, Mailserver etc.) befinden.
• Zugriffe von aussen auf die DMZ-Server sind nur auf HTTP (80) und Mail (25) erlaubt.
• Ausnahme ist der dedizierte Zugriff auf SSH aus dem Netz meines Arbeitgebers für Wartungszwecke.
• Die Frontend-Firewall ist der DSL-Router mit FLI4L und beschränktem Regelwerk. Folgen:
  • Durch den Floppy-Schreibschutz und einen Reboot-Schutz kann die Frontend-FW nicht rebootfest okkupiert werden

Zwischenerfolge

Mittlerweile habe ich einiges zum Fliegen gebracht:

• Die Konfiguration vom Cop ist so, wie ich sie mir vorstelle (GW ist immer auf a.b.c.254, Topologie ist korrekt abgebildet)
• Es gibt einen virtuellen Webserver in der DMZ, der von innen und aussen erreichbar ist.
• Ein altes Webserver-Image funktioniert, nachdem ich es von einer alten CT-Server-Installation gesichert hatte und auf dem neuen Server zum Fliegen gebracht habe.

Als näxte Maßnahmen stehen an:

• Upgrade des Cop auf 1.4.10.
  • Hier einige hilfreiche Links:
  • Wie man die Upgrades macht (IPcop-Upgrade-FAQ!): http://www.ctserver.org/fpost3387.html#3387
  • Wieso man das Forum lesen sollte (suchfunktion mit __alle worte suchen__ hilft): http://www.ctserver.org/viewtopic.php?t=502
  • Update auf 1.4.9 schlägt fehl, warum? http://www.ctserver.org/viewtopic.php?t=344
  • Wie man den Kernel für die IPcop-UML einspielt: http://www.ctserver.org/dload.php?action=file&file_id=13
  • Erfolgreich erledigt (Ugrade insgesamt ca. 30 Minuten).
• Erweiterung des IPcops um eine regelbasierte Firewall mit feinerer Regelgranulierung (Update ca. 60 Minuten).
  • www.ipcop.org hilft und dort findet man
  • Eine Erweiterung, die verspricht, dass man dedizierte Regelwerke realisieren kann: http://blockouttraffic.de/
  • Dazu benötigt man: http://firewalladdons.sourceforge.net/
  • Das alles spielt man ein und schon hat man die Möglichkeit, die Firewall weiter abzudichten. Man kann besser regeln, wer was von innen (green) nach aussen darf, kann nur dedizierte Ports und Kommunikationsbeziehungen zulassen und darüber die Sicherheit weiter steigern, v.a. auch den Schutz des Grünen Netzes erhöhen, weil die Clients längst nicht mehr alles dürfen, sondern nur noch das, was man ihnen erlaubt.
  • Hintergrund ist ja der: Wenn man "unsichere" Bereiche haben will, kann man seine Clients problemlos in die DMZ stellen... Aber aus green sollte nicht alles erlaubt sein...
• Upgrade des Servers (Kernel)