[jerrison]

moin,
wollt nur mal hören ob sich jemand schon mal so ne kiste aufgebaut hat die z.b. smoothwall (oder ähnlich iptables derivate) UND openBSD (für pf) zum laufen gebracht haben.
Sinn dahinter: doppeltes NAT, sicher(rererer)es Netz, wird eine FW gehackt bleibt noch eine stehen und man hat ne grössere Responsezeit um den "Eindringling" abzuwehren
(theorie!).
also, wer´s weiss sagt an :)!

[flo]

mann kann es auch übertreiben

[jerrison]

echt?
und ich dachte 2 > 1.
zudem virtualisiert nur ein rechner gebraucht wird.
ausserdem kommt es drauf an ob man nur zu hause rumspielt oder so ne kiste in nem unternehmensumfeld aufsetzt!
und bevor ich zig tausend € für ne appliance rausschiesse check ich doch lieber die open source vertreter...eh, thema ist trotzdem: hat da jemand erfahrung?
danke auch :).

[Tarnatos]

Selber habe ich es noch nicht gemacht, aber es sollte reichen, wenn du einen PC zur/zum Firewall/Packetfilter umbaust und diesen dann an einen gescheiten Hardware Router hängst, dann hast du genau das o.g.!

Aber mal ehrlich, hast du so wichtige Daten auf dem PC das dich einer Hacken würde?!

Es gibt unzählige ungeschützte Windows PCs da draußen, da wird sich niemand die Mühe machen sich da durch zu "hacken".

Und selbst wenn speicher doch einfach alle deine wichtigen Daten in einem TrueCryp Volume welches auf einer USB HDD liegt.

So brauchst du, sollte es wirklich ernst werden, nur den USB Stecker ziehen und kann dann den Rechern vom Netz nehmen.

[jerrison]

gehen wir mal NICHT von einem privaten Heimnetzwerk aus, da reicht ein smoothie, okay, sondern von einer unternehmsweiten Lösungsansatz.
im grunde ist der gedanke auch interessant für ne DMZ nur das man halt dafür nur ein Rechner braucht.
und wie gesagt, ich frag mich ob es möglich ist oder schon mal jemand gemacht hat.
und bevor jetzt kommt: dann kauf halt mehr rechner, es geht um einen NPO mit arg beschränkten budget.

das die daten sowieso schon verschlüsselt sind ist ja kein ding, aber wie sollte das vor angriffen in der nacht schützen, etc.? naja...

noch ne frage: gibts ne möglichkeit verschlüsselte angriffe per IDS zu tracken?

[Rika]

Zitat

Es gibt unzählige ungeschützte Windows PCs da draußen, da wird sich niemand die Mühe machen sich da durch zu "hacken".

Solange die Windows-Clients im eigenen Netz mit 'm IE surfen, bleibt es doch sowieso trivial.

Zitat

noch ne frage: gibts ne möglichkeit verschlüsselte angriffe per IDS zu tracken?

Sofern das IDS hostbased arbeitet und den Endpunkt des Tunnels überprüft, z.B. weil die Windows-Clients alles über lokale Redirects mit stunnel abwicklent, dann geht das heilwegs.

[Tarnatos]

es gibt da piverse möglichkeiten z.B.:

Installiere Linux oder Windows auf einem Rechner, besser allerderings Linux, da kostenlos.

Nach dem du diese Basis dann vollständig (soweit möglich) abgesichert hast installiere z.B. VmWare auf dem System indem du dann wiederrum ein IPCop System einrichtest.

Das ganze hängst du dann an einen guten Router.

Somit müßte ein Angreifer, erst durch den Router, dann durch das Virtuelle System. Für VmWare sind bisher keine Schwachstellen bekannt die es zulassen aus der Virtuellen Umgebung auszubrechen. Was nicht heißt das es unmöglich ist.

Alle anderen Rechner hängen dann an diesem Server.

Du findest einen guten Leitfaden (allerdings für Windows) in der CT 02/05 "Server im Bauch" sowie Ergänzungen auf www.vmaschinen.de.

[Rika]

Zitat

Nach dem du diese Basis dann vollständig (soweit möglich) abgesichert hast installiere z.B. VmWare auf dem System indem du dann wiederrum ein IPCop System einrichtest.

Das ganze hängst du dann an einen guten Router.

Somit müßte ein Angreifer, erst durch den Router, dann durch das Virtuelle System.

Nein. Router -> Windows -> VMware -> IPCop -> VMware -> Windows. Was ist hier die kürzeste Entfernung zwischen "Router" und "Windows", und liegt da IPCop dazwischen?

Das ganze Konzept ist Schwachsinn, da es die Codemenge extrem erhöht und kaum was bringt.

[Tarnatos]

Die Reihenfolge ist wohl eher

Internet->Router->IpCop->VmWare->Linux->Cleint

Aber ich hab keine Lust schon wieder mit dir zu Diskutieren!

[Rika]

Nein, dann wohl wiederum eher Internet->Router->Linux->IpCop->Linux->VmWare->Linux->Cleint mit genau dem gleichen Problem. Merkst du eigentlich noch was?

[Tarnatos]

Zitat

Merkst du eigentlich noch was?

Überflüssig!

[jerrison]

eh, mädels, die idee war eigentlich KEIN vmware zu kaufen, das ist ja das tolle an XEN, da OS.
und weiterhin geht es mir darum zwei unterschiedliche firewalls zu nutzen (also nicht smoothie UND ipcop da beides auf iptables aufsetzt!).
als sicherheitsparanoider (der ich nicht bin) frage ich mich ob je jemand so ein (durchaus sinnvolles) system aufgesetzt hat.
und ich halte nicht viel davon einen router für meine internetverbindung einzusetzen wenn meine erste firewall das doch schon kann. ABER das ist ja auch nicht ausgang der fragestellung!

[jerrison]

Zitat

Sofern das IDS hostbased arbeitet und den Endpunkt des Tunnels überprüft, z.B. weil die Windows-Clients alles über lokale Redirects mit stunnel abwicklent, dann geht das heilwegs.

würde heissen jeden clienten anfassen (lassen) und ein IDS system installieren? obwohl, eigentlich geht es ja primär um server (mal egal ob MS oder *NIX). da hätte ich allerdings bedenken bzgl. performance.
gibt es also de fakto kein IDS das z.b. ssh attacken aufzeichnen kann?
ich krieg halt ab und zu "STEALTH ACTIVITY (unknown) detection" einträge in meiner log (das kommt von bekannten adressen und ist nur ne telnet session, nix böses) und frag mich ob vielleicht auch was vorbeigehen könnte was snort nicht erfasst (oder andere IDS).

[Rika]

Arg... wenn das zu schützende System nicht innerhalb des VM läuft, dann hast du den Arsch offen, weil sonst einfach direkt das äußere System geknackt wird und das innere dann keine Beachtung mehr findet.

Zitat

würde heissen jeden clienten anfassen (lassen) und ein IDS system installieren?

Ist das so ungewöhnlich?

Zitat

obwohl, eigentlich geht es ja primär um server (mal egal ob MS oder *NIX). da hätte ich allerdings bedenken bzgl. performance.
gibt es also de fakto kein IDS das z.b. ssh attacken aufzeichnen kann?

Doch, wenn es auf dem Server oder auf dem Client läuft. Ein NIDS hingegen kann mit SSH genau gar nix anfangen, ohne gleich zum Man-in-the-middle zu werden und die Prüfung der Fingerprints ad absurdum zu führen.

Zitat

ch krieg halt ab und zu "STEALTH ACTIVITY (unknown) detection" einträge in meiner log (das kommt von bekannten adressen und ist nur ne telnet session, nix böses)

Autsch, was ist denn da los?

Zitat

und frag mich ob vielleicht auch was vorbeigehen könnte was snort nicht erfasst (oder andere IDS).

Kann immer sein, auch IDS arbeiten nur mit Signaturen und Heuristik. Speziell wenn du nicht mit einem Inline-System arbeitest, können auch nachträglich Logdaten wieder bereinigt werden - deshalb lässt man IDS-Sensoren die Logdaten am besten über's Netz auf einen separaten Rechner schreiben, für paranoide mit einem UDP-Tunnel o.ä. und einem Rx-only-Ethernetkabel.

[jerrison]

okay, das zu schützende system liegt hinter dem firewall-konstrukt.
nehmen wir mal ich lass das hostsystem gar nicht ans netz (ergo: kein eth konfiguriert) sondern die karten werden einzig von den firewalls der virtuellen maschine genutzt (weiss nicht ob das geht, zu testen!), wie kommt dann jemand von aussen auf das host system drauf?

zum IDS system pro client: gibt es da verträgliche open-source systeme die schwache CPUs nicht plätten (ich googelte nicht)...abgesehen von snort.

stealth activity sind telnet zugriffe (wie erwähnt) für wirklich alte applikationen die noch betrieben werden.

auslagern der logdateien macht auf jeden fall sinn. ne externe DB tut es allerdings auch, wie gesagt: paranoid kann ich immer noch werden.

hey, aber mal danke für die zeit zum antworten!