Benutzer:KlausHeinisch

aus C't-Server Wiki, der freien Wissensdatenbank

(Unterschied zwischen Versionen)
Version vom 11:00, 23. Feb 2006
KlausHeinisch (Diskussion | Beiträge)
Initiale Seite aus altem Wakka-Wiki
Next diff →

Version vom 11:00, 23. Feb 2006

Hi Kollegen und ~innen.

Fange nach einem Crash meines Standard-Selbstbau-Servers (typische 2-Schichtige Sicherheits-Architektur mit Linux-Router, DMZ-Ebene und Server mit Proxy/FWBuilder-Regeln) jetzt endlich ein seit 6 Monaten aufgeschobenes Projekt mit dem c't-Server an.

Darum hier zunächst nicht viel, vielleicht nur soviel, dass ich beabsichtige, hier meine Erkenntnisse zu dokumentieren und ggf. im Forum was zu schreiben...

MfG, KlausHeinisch


Inhaltsverzeichnis

[bearbeiten]

ToDo


[bearbeiten]

Was ich gerade tue:

- Momentan arbeite ich daran, dass das StartStop-Script für eine UML-Instanz (z.B. ein DMZ-Webserver) auch aus dem ct_mk_uml_instance automatisch korrekt erzeugt wird. Das sollte dann den Aufbau eines virtuellen Rechners noch enorm erleichtern. - Danach wird es einen (oder bei Bedarf mehrere) ebenfalls virtuellen Web-FTP-Proxy-Filter-Mail-Server-Bastion-Host geben. Der wird die wichtigsten Elemente enthalten, die wir im LAN nicht haben wollen, auf die wir aber aus Sicherheitsgründen nicht verzichten möchten. -

[bearbeiten]

Was noch zu tun ist 

* Mich interessiert, wie sicher der UML-Bridging-Code wirklich ist. Vielleicht gibt es ja ausserhalb des UML-Teams auch fähige Hacker, die die Sicherheit des Codes evaluieren können. Denn m.E. ist das neben dem Host- und dem IPcop-Linux-Kern die wichtigste Stelle, an der ein Ausbruch aus dem Sicherheitskonstrukt möglich ist.
* Wie sieht es mit einem echten FTP-Proxy aus? Wie sicher ist der? Was macht der SuSE-FTP-Proxy? Oder ist Frox besser?
* Wie sicher ist der UML-Kernel mit hostfs? Lassen sich damit umfangreichere Systeme aufsetzen als solche mit sehr kleinem Filesystem? Spart das Performance?
*


[bearbeiten]

Öffentlicher Überblick über meine Erfahrungen bei der Umstellung

[bearbeiten]

eines relativ sicheren Heimnetzes auf den c't-Server 

1) Infrastruktur und Randbedingungen
1) Anforderungen
1) Erste Schritte
 1) Probleme mit der Installation
 1) Lösungsansätze
[bearbeiten]

Infrastruktur und Randbedingungen

Mein vorhandenes Netz ist bisher schon relativ sicher ausgelegt: 

* Clients surfen über einen Backend-Proxy, neuerdings auch durch einen Gateway-Virenscanner geschützt (siehe http://www.trendmicro.com/).
* Nur der Proxy darf überhaupt ins Internet surfen, der LAN-Server (mit inhärenter Backend-Firewall) blockiert direkte Webzugriffe.
* Zwischen LAN-Server/Firewall und Internet ist eine weitere Schutzebene (DMZ) mit eigenem Netz, in dem sich ggf. DMZ-Server (Webserver, FTP-Proxy, Mailserver etc.) befinden.
* Zugriffe von aussen auf die DMZ-Server sind nur auf HTTP (80) und Mail (25) erlaubt. 
* Ausnahme ist der dedizierte Zugriff auf SSH aus dem Netz meines Arbeitgebers für Wartungszwecke.
* Die Frontend-Firewall ist der DSL-Router mit FLI4L und beschränktem Regelwerk. Folgen: 
 * Durch den Floppy-Schreibschutz und einen Reboot-Schutz kann die Frontend-FW nicht rebootfest okkupiert werden
 *
[bearbeiten]

Zwischenerfolge

Mittlerweile habe ich einiges zum Fliegen gebracht: 

* Die Konfiguration vom Cop ist so, wie ich sie mir vorstelle (GW ist immer auf a.b.c.254, Topologie ist korrekt abgebildet)
* Es gibt einen virtuellen Webserver in der DMZ, der von innen und aussen erreichbar ist. 
* Ein altes Webserver-Image funktioniert, nachdem ich es von einer alten CT-Server-Installation gesichert hatte und auf dem neuen Server zum Fliegen gebracht habe.

Als näxte Maßnahmen stehen an: 

* Upgrade des Cop auf 1.4.10.
 * Hier einige hilfreiche Links:
 * Wie man die Upgrades macht (IPcop-Upgrade-FAQ!): http://www.ctserver.org/fpost3387.html#3387
 * Wieso man das Forum lesen sollte (suchfunktion mit __alle worte suchen__ hilft): http://www.ctserver.org/viewtopic.php?t=502
 * Update auf 1.4.9 schlägt fehl, warum? http://www.ctserver.org/viewtopic.php?t=344
 * Wie man den Kernel für die IPcop-UML einspielt: http://www.ctserver.org/dload.php?action=file&file_id=13
 * Erfolgreich erledigt (Ugrade insgesamt ca. 30 Minuten).
* Erweiterung des IPcops um eine regelbasierte Firewall mit feinerer Regelgranulierung (Update ca. 60 Minuten).
 * www.ipcop.org hilft und dort findet man
 * Eine Erweiterung, die verspricht, dass man dedizierte Regelwerke realisieren kann: http://blockouttraffic.de/
 * Dazu benötigt man: http://firewalladdons.sourceforge.net/
 * Das alles spielt man ein und schon hat man die Möglichkeit, die Firewall weiter abzudichten. Man kann besser regeln, wer was von innen (green) nach aussen darf, kann nur dedizierte Ports und Kommunikationsbeziehungen zulassen und darüber die Sicherheit weiter steigern, v.a. auch den Schutz des Grünen Netzes erhöhen, weil die Clients längst nicht mehr alles dürfen, sondern nur noch das, was man ihnen erlaubt. 
 * Hintergrund ist ja der: Wenn man "unsichere" Bereiche haben will, kann man seine Clients problemlos in die DMZ stellen... Aber aus green sollte nicht alles erlaubt sein...
* Upgrade des Servers (Kernel)
Von "http://wiki.ctserver.org/index.php/Benutzer:KlausHeinisch"