[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [lugbe] Linux Firewall

To: lugbe at lugbe.ch
Subject: Re: [lugbe] Linux Firewall
From: Mathias Gygax <mg at trash.net>
Date: Tue, 6 Nov 2001 11:43:29 +0100
In-Reply-To: <A3EB2C9C9897D411AE890000F831192E26E971 at hcwe74.post.ch>; from manetschg at post.ch on Die, Nov 06, 2001 at 09:37:05AM +0100
Mail-Followup-To: lugbe at lugbe.ch
References: <A3EB2C9C9897D411AE890000F831192E26E971 at hcwe74.post.ch>
Sender: owner-lugbe at kalinka.catatec.ch
User-Agent: Mutt/1.2.5i

On Die, Nov 06, 2001 at 09:37:05AM +0100, manetschg at post.ch wrote:
> Hier fehlt eigentlich noch der Webserver etc.. . Ich gehe davon aus
> dass er in der DMZ steht. Somit wäre es möglich mit dem IDS mit zwei
> Interfaces sowohl vor als auch nach der Firewall zu wirken. Bzw. es
> ist auch denkbar das IDS mit einem Bein in der DMZ und mit dem andern
> im Privat Net zu haben. Dabei sollte auf dem Cisco bereits eine
> anständige Anti Spoofing Poclicy und gewisse Filter gesetzt werden.
> 
>                                  ------- 
>                            -----|  IDS  |------
>                           |      -------       |
>                           |                    | 
>        -------------      |     ----------     |
>    +--| Cisco / ACL |----------| FW / NAT |------------+
>    |   -------------            ----------        PRIVATE NET
>    |                                ¦
>    |                               DMZ
>    |                                |
>    |                            ----------
>    |                           | Webserver¦
>    |                            ----------
>    |
>    + 2 MBit Standleitung zum Provider

alles falsch :o)

+----[ Cisco Outer Screening ]
     [ Router mit ACL        ]
                  |
                  `-[ NIDS ]--[ FW (PF) ]----[ FW (PF)  NAT ]--[ AP    ]
                                          |                    [ Proxy ]
                                          |                        |
                                      [  DMZ   ]                private
                                      [ Server ]                  LAN

der outer screening (border) router arbietet auf IP ebene und verhindert
spoofing. er lässt nur IP protkolle und subnetze zu. mit TCP z.b. wird
nichts gemacht. in notfällen kann dort aber vanilla tcp/ip gefiltert
werden.

das network IDS muss *vor* der firewall stehen, damit die attacken durch
einen filter nicht verfälscht werden. sonst wird ID nur halbpatzig
gemacht.

die erste firewall macht reines paket filtering auf UDP/TCP usw. ebene
und lässt nur die dienste in der DMZ auf IPs zu, die es effektiv
braucht. der rest wird gesperrt.

die zweite firewall macht nochmal paket filtering und lässt absolut
nichts in das private LAN. nur outgoing traffic oder ESTABLISHED traffic
gehen durch. zudem noch NAT. UDP wenn möglich ganz sperren. nach aussen
gehen nur daten vom application proxy. der rest wird gesperrt.

der application proxy (APP) dient als drehscheibe für allen extranet
traffic. kein client kommt direkt in's internet, es geht alles über den
proxy.

usw. usf.

könnte man bücher füllen. :)

References:
- RE: [lugbe] Linux Firewall
  - From: manetschg at post.ch

Prev by Date: RE: [lugbe] vortrag: LIDS
Next by Date: Re: [lugbe] vortrag: LIDS
Prev by thread: RE: [lugbe] Linux Firewall
Next by thread: [lugbe] Wer bin ich + Medientyp setzen bei 3c59x
Index(es):
- Date
- Thread