Der sicherste Weg (was mit iptables möglich ist) ist alles zu sperren und explizit zu öffnen, was man unbedingt braucht.

Ein einfaches Script findest Du auf www.8ung.at/tuxsoft das Du Deinen Bedürfnissen einfach anpasst.
Eine GUI wäre Kmyfirewall, aber machs lieber selber oder schau Dir das erzeugte Script wenigstens an.

Auf www.netfilter.org sollte sich auch etwas finden.

grüße wickey

Schau dir die mal an:

http://apps.kde.com/na/2/info/id/666
http://apps.kde.com/na/2/info/id/417
http://apps.kde.com/na/2/info/id/1505

was auch intressant sein dürfte:

http://www.pl-berichte.de/work/firewall/index.html
http://www.pl-berichte.de/work/server/andere/fire_doc.html
http://www.pl-berichte.de/work/server/andere/firewall.html
http://www.pl-berichte.de/t_netzwerk/firewall-eigenbau.html

hier direct für iptables
http://www.pl-berichte.de/t_netzwerk/iptables.html


@wickey
wie du auf deinen links siehst: es steckt immer iptables dahinter bzw. ipchains. (das alte)

an english musste dich gewöhnen.
ich merk den utnerschied meisten net.. hab net bemerkt, dass die links die net von mir waren meisten englisch sind...

versuchs halt mal durch den googleübersetzler lafuen zu lassen ) ) )

Recht amüsant, diese Diskussion )
Auch dass manch einer meint, eine "richtige" Firewall müsste sich so verhalten, wie diese popeligen "Möchtegern-Desktop-Firewalls" unter Windows ...
Denn Anwendungen Netzwerk "verbieten" mag schön und gut sein, es vermittelt aber leider nur eine allzu trügerische Sicherheit ...

Wenn ich ein selbstgeschriebenes Programm unter Windows "nach Hause telefonieren" lassen wollte, hätte ich durchaus Chancen solch eine FW zu umgehen ... mit Hilfe von Programmen, die wahrscheinlich die Erlaubnis haben, das Internet zu erreichen ) (z.B. Mozilla oder Internetexplorer)
Um das zu verhindern, müsste man die Desktopfirewall immer nachfragen lassen "das Programm so und so möchte da und dahin eine Verbindung aufnehmen", was der Benutzer irgendwann entnervt immer bejaht, bzw. den Desktop-FW auf die jetzige Methode zurückstellt oder gar deinstalliert ...

So, zur Frage was ist eine Firewall:
Netzwerkregeln, welche Protokolle, Dienste, Ports, Hosts angesprochen/benutzt werden dürfen, bzw. einen (eigenen Dienst) ansprechen/benutzen dürfen ...
Das hat also ursprünglich nichts direkt mit Anwendungen zu tun! Aber die Leute lassen sich ja auch DSDSS als cool verkaufen ...

Dazu sind erstmal Kenntnisse zu TCP/IP sinnvoll.
Dann kann eine grundlegende Bedienung der User-Space Tools (iptables, ipchains, ipfilter) auch nicht schlecht sein ...
Mann beachte: diese stellen keine Firewall dar, sondern werden zum Setzen, Ändern oder Löschen von Regeln benötigt; die eigentliche Firewallfunktionalität stellt der Kernel!

Tja, für Linux gibt's z.B. ein nettes Buch von der SuSE-Press, da sind dann Kapitel zu TCP/IP, Diensten, Proxys und Filtern enthalten; gut für einen ersten Überblick mit partieller Vertiefung ...
Wer sich also in dieser Richtung Kenntnisse aneignen möchte: Netzwerke sind ein aufregendes aber auch recht umfangreiches Thema und bedarf unbedingt "richtiger Literatur"!
Ich habe hier schonmal eine Reiche von Büchern zum Thema erwähnt, weswegen ich das jetzt nicht wiederholen möchte.

Ich werde wohl demnächst mal eine Literaturliste auf meiner HP anfangen, das kann aber noch ein wenig dauern (Streß) ...

So, mein Akku geht alle ...
Michael

@Michael
wenn ud den text so verstanden hast tut es mir leid.
aber versuch du mal jemand der nach der richtigen firewall fragt in ein paar worten zu erklären, dass das unter win net so doll is...
was glaubst du is der grund, dass manche leute einen linuxgateway haben bzw. einen router mit ner firewall bzw. ne standalonefirewall einsetzen.

zu dem thema über ie:
klar geht das, ist ja auch das einfachste...
aber die meisten hersteller suchen hatl den direkten weg zu den servern zwecks kompatibilität.

Zitat

Original von popserias
nur eins: was ist DSDSS?

Ha , das hab ich auch erst hier aufm Board gelernt (ich glaube es war SIC): "Deutschland sucht den Superstar"
(könnte auch DSDS geheissen haben, aber is mir eh einerlei ))
Hehe, ausm Google Zeitgeist sind sie auch schon wieder raus (März 2003 April 2003)

Zitat

also ähneln sich die fws der einzelnen distris einigermaßen bis sehr, nur sehen sie anders aus und unterscheiden sich in der konfig usw.?

Naja, in den grafischen Tools, den möglichen Regeln, der individuellen Anpassbarkeit, etc. gibt es wohl schon Unterschiede; ein besser oder schlechter traue ich mir jetz aber nicht zu:
Die wirklich coolen Sachen muss man per Hand machen (eingeschränkte oder mehrdimensionale DMZ, Inhalte von Datenpaketen filtern, etc.).
Ich erstelle ausserdem immer FWs per Hand, um bessere Kontrolle zu haben!
Dazu kommen dann des öfteren noch selbstgeschriebene Scripte zu Analyse oder Dynamisierung von Firewalls! (z.B. die FW meines Webservers sieht täglich anders aus! ))

Michael

Zitat

Original von Pharao
@Michael
wenn ud den text so verstanden hast tut es mir leid.

Ach was, das braucht Dir nicht leid zu tun )
Wie gesagt, ist ein umfangreiches Thema!
Und sich richtig Sicherheit bietet das Firewallkonzept nie, das ist bekannt!
Man kann versuchen, seine eigene Umgebung mit der Benutzung verschiedenster Tools "sicherer" zu bekommen!

Michael

jap... aber ich glaube langasm immer mehr, dass die hardwarelösungen die besseren sind..

hätte ich gerne mal ienen vgl.

als ich damals mim linuxgateway online ging, war es schon ne arbeit das einzurichten und usw.
als dann der router kam war es etwas schneller getan.
und ne richtige hardwarefw für en paar 1000€ würd mich auch mal reizen...

hat da jemand einen vergleich ?

Naja, Sicherheit hat zwar schon etwas mit Geld zu tun, wenn ich mir die vielen Sicherheitslöcher bei "Hardwareroutern" (auch nur Software!!!) anschaue, dann ist das so alleine nicht getan!

Viel wichtiger ist ein stimmiges Konzept!
Virenscanner, Firewall(s), geeignete sichere Software, Überwachung/Monitoring (automatisiert als auch manuell), etc.

Ich werd's jetzt nicht ausplaudern, aber unter den Admins von Cisco-Routern gibt es z.B. ein übliches Passwortschema!
Schlecht, wenn man eine Firma dann plötzlich nicht mehr lieb hat

Dieses Konzept nennt man dann "Sicherheits Policy", und jede Firma sollte sich soetwas schoneinmal erstellt haben(bzw. erstellen lassen).

Aber ich plaudere jetzt "Geschäftsgeheimnisse" aus ) ...


Michael

Ich persoenlich halte nicht viel von Hardware"firewalls". Hier ist es genau wie bei allen anderen Sicherheitsprodukten wie Paketfiltern, Gateways etc. Nur das Konzept zaehlt. Es gibt keine allgemeine Sicherheitsloesung. Eine Firewall ist ein Konzept, dass auf das jeweilige Netz, in dem es eingesetzt werden soll, zugeschnitten und danach ausgerichtet ist. Hier kommen entweder Linuxgateways (oder auch durchaus ein richtiges OS [tm]) zum Einsatz als auch Hardwaregateways etc.

Der Nachteil bei diesen Hardware-Teufelswerkzeugen, ist wohl, dass man auf Firmware Updates des Herstellers abhaengig ist. Ist eine Router/Gateway Serie mal nicht mehr aktuell, kommt meistens dann die beruehmte "End-of-Life" zum Einsatz und man kann das Teil eigentlich getrosst in die Tonne kloppen (hab das jetzt etwas ueberzogen dargestellt). Ausserdem sind Hardware-Loesungen bei weitem nicht so flexibel wie es z. B. ein Linux-Gateway ist. Ausserdem laufen viele dieser Hardwareloesungen noch via telnet-remotesteuerung. Da pack' ich mir doch an den Kopf. Das Teil soll Sicherheit bringen und dann werden die Passwoerter zur Administration (halb-)oeffentlich im LAN verteilt.

Bei einer Linux- (oder auch anderen OSes) Loesung liegt der Vorteil auf der Hand... Weiss der Admin was zu tun ist, hat er die Regeln verhaeltnissmaessig schnell konfiguriert, baut noch ein IDS ein und setzt noch einen Honeypot dahinter. Das ganze natuerlich via ssh2 (public-key, kein keyboard-interact.) gesteuert und natuerlich zu einem Preis bei dem die Hardwareloesungen nasse Socken bekommen.

Aber wie bereits gesagt, dies ist 1. meine Meinung (mit der ich recht gut fahre) und 2. bringt das nur was, wenn $Kuechentischadmin auch weiss, was er dort macht und nicht nur wild irgendwelche Regeln in das "Firewall-GUI [1]" einklickt.

Footnote:
1 = Die buntesten Fenster gibts von Zonealarm *scnr*

@Michael
so kanns dir aber auch bei nem linuxgw gehen.

@popserias
so gut wie jeder hardwarerouter hat schon solche firewalls mit dirn.. wäre ja schon beinahe teurer die wegzulassen *g*

hier nur mal kleines beispiel aus meinem smc

Zitat

Intrusion Detection

When the SPI (Stateful Packet Inspection) firewall feature is enabled, all packets can be blocked. Stateful Packet Inspection (SPI) allows full support of different application types that are using dynamic port numbers. For the applications checked in the list below, the Barricade will support full operation as initiated from the local LAN.

The Barricade firewall can block common hacker attacks, including IP Spoofing, Land Attack, Ping of Death, IP with zero length, Smurf Attack, UDP port loopback, Snork Attack, TCP null scan, and TCP SYN flooding.

* Intrusion Detection Feature

SPI and Anti-DoS firewall protection :
RIP defect :
Discard Ping From WAN :

* Stateful Packet Inspection

Packet Fragmentation
TCP Connection
UDP Session
FTP Service
H.323 Service
TFTP Service

* When hackers attempt to enter your network, we can alert you by e-mail

Your E-mail Address :
SMTP Server Address :
POP3 Server Address :
User name :
Password :

* Connection Policy

Fragmentation half-open wait: secs
TCP SYN wait: sec.
TCP FIN wait: sec.
TCP connection idle timeout: sec.
UDP session idle timeout: sec.
H.323 data channel idle timeout: sec.

* DoS Detect Criteria:

Total incomplete TCP/UDP sessions HIGH: session
Total incomplete TCP/UDP sessions LOW: session
Incomplete TCP/UDP sessions (per min) HIGH: session
Incomplete TCP/UDP sessions (per min) LOW: session
Maximum incomplete TCP/UDP sessions number from same host:
Incomplete TCP/UDP sessions detect sensitive time period: msec.
Maximum half-open fragmentation packet number from same host:
Half-open fragmentation detect sensitive time period: msec.
Flooding cracker block time: sec.

dann der macfilter nicht nur bei wlan interessant.

Zitat

MAC Filtering Table

This section helps provides MAC Filter configuration. When enabled, only MAC addresses configured will have access to your network. All other client devices will get denied access. This security feature can support up to 32 devices and applies to clients.

das sind nur ein paar funktionen die mitgerbacht werden und sicher kein ersatz für ne andere auf dem system, aber sie helfen immerhon sconmal.

Kannst dir das auch mal anschauen:

http://www.astaro.com/ (Freeware-Version)
http://www.smoothwall.org/

@Pharao: Alles hat seine Berechtigung, aber nur in einem stimmigen Gesamtkonzept!
Das ist was ich die ganze Zeit sage
Und mit Sicherheit gibt es akzeptable Anwendungsszenarien für die ein oder andere Hard- und Softwarelösung.
Aber zu sagen "Das Teil hat mich viel Geld gekostet, das hat jetzt auch sicher zu sein", kann unter Umständen gefährlich sein!


Michael

Zitat

Original von Pharao
[...] Land Attack, Ping of Death, IP with zero length, Smurf Attack

Nunja, klingt alles sehr protzig, aber diese Attaken funktionieren eh bloss gegen Win9x etc.

Solche Texte sind ja schoen und gut, aber ich wuerd mich eher auf das verlassen, was sie wirklich bringen und nicht was die Marketingabteilung schreibt.

Zitat

Original von Michael
Aber zu sagen "Das Teil hat mich viel Geld gekostet, das hat jetzt auch sicher zu sein", kann unter Umständen gefährlich sein!

Genau so ist es! Leider denken viele Firmen so. Wenn Cisco nicht so 'ne gute Marketingabteilung haette, wuerden die auch nicht so viel verkaufen.