[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [lugbe] Linux Firewall
On Die, Nov 06, 2001 at 09:37:05AM +0100, manetschg at post.ch wrote:
> Hier fehlt eigentlich noch der Webserver etc.. . Ich gehe davon aus
> dass er in der DMZ steht. Somit wäre es möglich mit dem IDS mit zwei
> Interfaces sowohl vor als auch nach der Firewall zu wirken. Bzw. es
> ist auch denkbar das IDS mit einem Bein in der DMZ und mit dem andern
> im Privat Net zu haben. Dabei sollte auf dem Cisco bereits eine
> anständige Anti Spoofing Poclicy und gewisse Filter gesetzt werden.
>
> -------
> -----| IDS |------
> | ------- |
> | |
> ------------- | ---------- |
> +--| Cisco / ACL |----------| FW / NAT |------------+
> | ------------- ---------- PRIVATE NET
> | ¦
> | DMZ
> | |
> | ----------
> | | Webserver¦
> | ----------
> |
> + 2 MBit Standleitung zum Provider
alles falsch :o)
+----[ Cisco Outer Screening ]
[ Router mit ACL ]
|
`-[ NIDS ]--[ FW (PF) ]----[ FW (PF) NAT ]--[ AP ]
| [ Proxy ]
| |
[ DMZ ] private
[ Server ] LAN
der outer screening (border) router arbietet auf IP ebene und verhindert
spoofing. er lässt nur IP protkolle und subnetze zu. mit TCP z.b. wird
nichts gemacht. in notfällen kann dort aber vanilla tcp/ip gefiltert
werden.
das network IDS muss *vor* der firewall stehen, damit die attacken durch
einen filter nicht verfälscht werden. sonst wird ID nur halbpatzig
gemacht.
die erste firewall macht reines paket filtering auf UDP/TCP usw. ebene
und lässt nur die dienste in der DMZ auf IPs zu, die es effektiv
braucht. der rest wird gesperrt.
die zweite firewall macht nochmal paket filtering und lässt absolut
nichts in das private LAN. nur outgoing traffic oder ESTABLISHED traffic
gehen durch. zudem noch NAT. UDP wenn möglich ganz sperren. nach aussen
gehen nur daten vom application proxy. der rest wird gesperrt.
der application proxy (APP) dient als drehscheibe für allen extranet
traffic. kein client kommt direkt in's internet, es geht alles über den
proxy.
usw. usf.
könnte man bücher füllen. :)