Homeserver Forum

Hi,

Sorry, falls teils Off-Topic...

Mich packt der Spieltrieb. Habe vor kurzem ueber IPCop gelesen, eine fast unschlagbare Firewall.
Laut Anforderung setzt IPCop mindestens 133Mhz und 32MB Ram voraus sowie 2 Netzwerkkarten.

Ich wuerde gern IPCop als Firewall vorm WHS einsetzen. Nun waere meine Frage, ob Ihr Hardware empfehlen koenntet, die sich im Stromverbrauch als besonders guenstig gibt, vor allem, da nicht viel Leistung noetig ist und einzig IPCop laufen muss.

Naja,

welchen Sicherheitsgewinn soll IPCop denn bringen?
Du hast doch einen Router mit NAT/FW im Einsatz, oder?

Ich sehe für den Hausgebrauch in so einer Konfiguration nur Nachteile, aber keinen Gewinn an Sicherheit.

Gruß
Martin

Martin hat geschrieben:Naja,

welchen Sicherheitsgewinn soll IPCop denn bringen?
Du hast doch einen Router mit NAT/FW im Einsatz, oder?

Ich sehe für den Hausgebrauch in so einer Konfiguration nur Nachteile, aber keinen Gewinn an Sicherheit.

Gruß
Martin

Das sehe ich auch so.

Reine Spielerei... und weil ich viel gehoert und gelesen habe, dass vor allem die Dateifreigabe von Windows sehr anfaellig fuer Angriffe von aussen sein soll.

Naja, soll ja nur der Kenntnisgewinnung dienen, Thema Firewall.

RouvenE hat geschrieben:... und weil ich viel gehoert und gelesen habe, dass vor allem die Dateifreigabe von Windows sehr anfaellig fuer Angriffe von aussen sein soll.

Aber auch nur dann wenn Du die betreffenden Ports aufmachst. Wenn die zu sind spielt die Art der FW keine Rolle.

Gruß
Martin

Kommt immer drauf an wie wichtig die Daten sind ;o)

Router Firewalls sind sicherlich ausreichend für ein LAN, aber auch diese müssen vernünftig konfiguriert sein. Wenn man zB uPNP für seinen Router eingeschaltet hat und somit dem WHS erlaubt die Einstellungen am Router für den Portfoward auf den WHS einzurichten sollte sich im klaren sein das auch jede andere (Schad)Software das uPNP nutzen kann um sich Löcher in die Routerfirewall zu bohren. Drum ist auf meiner FritzBox kein uPNP an - und mit einem IPCop würde sowas erst gar nicht passieren.

Man könnte zB auch zwei Abschnitte im Netz machen - ein Router mit (dem angenommen bösen) WLAN und dann nochmal einen IPCop dahinter wo die normalen PCs stehen und der WHS. Wenn jemand ins WLAN eindringt muss er dann noch den IPCop überwinden, um auch wirklich an die Daten zu kommen.

Aber im Endeffekt braucht man das sicher nicht wirklich. Nur wenn man die Zusatzfunktionen wie VPN des IPCop nutzt macht das Teil wirklich Sinn ...

Gruß
Puh

Puh hat geschrieben:Kommt immer drauf an wie wichtig die Daten sind ;o)

Die sind erst dann halbwegs sicher, wenn man den Server nicht ans Internet haengt.

Puh hat geschrieben:Router Firewalls sind sicherlich ausreichend für ein LAN, aber auch diese müssen vernünftig konfiguriert sein. Wenn man zB uPNP für seinen Router eingeschaltet hat und somit dem WHS erlaubt die Einstellungen am Router für den Portfoward auf den WHS einzurichten sollte sich im klaren sein das auch jede andere (Schad)Software das uPNP nutzen kann um sich Löcher in die Routerfirewall zu bohren. Drum ist auf meiner FritzBox kein uPNP an - und mit einem IPCop würde sowas erst gar nicht passieren.

uPNP und ein moeglicherweise geoeffneter oder garnicht erst zu schliessender Fernwartungszugang des Routers sind klassische Probleme. uPNP ist quasi Teufelszeug

Puh hat geschrieben:Man könnte zB auch zwei Abschnitte im Netz machen - ein Router mit (dem angenommen bösen) WLAN und dann nochmal einen IPCop dahinter wo die normalen PCs stehen und der WHS. Wenn jemand ins WLAN eindringt muss er dann noch den IPCop überwinden, um auch wirklich an die Daten zu kommen.

Das heisst aber auch immer, das man doch recht viel an Infrastruktur haben muss, dieses Szenario wuerde mind. einen DSL-Router, dann einen Rechner mit IPCop, dann wieder eine Switch oder einen Wireless Accesspoint (oder beides oder einen weiteren Kombirouter) benoetigen. Man muss auch immer bedenken, das die Installation und die Wartung eines Firewallsystemes viel Knowhow und Zeit kostet. Nichts gegen derartige Loesungen, aber wenn man nicht in der Lage ist, so eine Firewall sinnig zu konfigurieren, dann waehnt man sich leider in einer Scheinsicherheit und wird so moeglichweise schneller, als einem lieb ist zum Opfer. IPTables ist nun mal nicht ein Zonealarm, da poppen keine Dialog hoch, wenn eine SW rein oder raus will.

Puh hat geschrieben:Aber im Endeffekt braucht man das sicher nicht wirklich. Nur wenn man die Zusatzfunktionen wie VPN des IPCop nutzt macht das Teil wirklich Sinn ...

Dafuer gibt es ja nun schon genug VPN-Router, sodass man dafuer auch nicht zwingend den IPCop braeuchte.

Gruss, whs_cb

das sehe ich mit der sicherheit anders. ein router hat zwar meistens eine "firewall" eingebaut, aber das sind meistens nichts anderes als paketfilter. ausserdem sind die meistens beschränkt vom funktionsumfang (kein vpn, nur eine öffentliche ip adresse, dhcp settings vorgegeben, kein proxy, kein spi - statefull paket inspektion - also erkennen von verteilten / fragmentierten angriffen usw.).

eine firewall distribution ist immer wesentlich flexibler und sicherer, denn das ist einzig ihre aufgabe - und nicht eine der funktionen, auch hat diese meistens einen größeren prozessor, mehr ram, bessere netzwerkkarten / datendurchsatz.

wenn du keinen weiteren rechner nutzen möchtest, dann mache das so wie ich as früher gemacht habe, setze das gerät in einer vm (z.b. vmware server) ein, die power reicht meistens dicke aus. einfach meherere netzwerkkarten rein und die diese dannzuordnen.

so macht es auch mittlerweile ct mit ihren office server (jedoch mit xen und einer firewallsoftware, die auch einen neuen kernel einsetzt der auch paravirtualisierung - xen macht paravirtualisierung, während vm virtualisierung macht).

aber statt ipcop würde ich mir mal astaro ansehen. das teil ist killer flexibel. ich hatte seinerzeit einen dsl anschluß, und den internet zugang von titan, da ich die gut kannte, war es auch kein problem ein kleines subnetz mit 32 öffentlichen ip adressen zu bekommen. damit konnte man richtig geile sachen machen, hatte einen dual xeon mit 2.6 ghz und 4 gb ram, darauf lief dann ein win 2003 server und der virtual server 2005, und auf dennen liefen dann 7 server (exchange, sql, sharepoint, terminal, developer server usw.) und eben astaro. damit konnte man dann richtig geile konfigs erstellen und jeden server dann sauber im dns von intern und extern ansprechen (z.b. portal.ltcs.de, sharepoint.ltcs.de, owa.ltcs.de, terminal.ltcs.de, extranet.ltcs.de usw.).

und alles nur mit kleinen kosten, die "standleitung" hatte 20€ im monat gekostet inkl. 50 gb traffic oder so, plus die kosten für einen normalen dial up adsl der telekom .

@pleibling
Das setzt lediglich ein bisschen viel Wissen voraus, das der normale WHS Anwender nicht hat. Und wenn der so ne Konfig versucht wird das sicher nicht mehr Sicherheit geben.

Gruß
Martin

@martin:

klar, aber einige hier sind admins, die ein wenig spielen wollen - warum sollten die das dann nicht auch tun.

ausserdem so schwer ist routing und firewall gar nicht .

windowsdateifreigabe über internet ist keine gute idee, da die netbios ports auch rpc (remote procedure calls) übertragen, damit können direkt aufrufe ins betriebssystem erfolgen. viren freuen sich über sowas ganz besonders. da wäre es interessanter beim iis (internet information server, wird eh eingesetzt für das webinterface) webdav (webfreigabe als internetfestplatte, erweiterung von http um dateisystemfunktionen) oder ftp (z.b. mit filezilla server, ist kostenlos und umfangreich) einzruichten um dateien freizugeben.

wenn man dann netzlaufwerke benötigt, dann kann man programme wie webdrive bzw. netdrive webdav oder ftp laufwerke auch als netzlaufwerke einbinden (ebenfalls kostenlos).

somit hat man den selben komfort, aber mehr sicherheit!

ausserdem kann man auch rechner problemlos ans internet hängen mit der richtigen infrastruktur, die geht auch mit kleinen einfachen mitteln (astaro, vmware server, wsus, virenschutz usw.). alles nur eine sache der richtigen einrichtung. wir hosten schon seit jahren terminalserver usw. für krankenkassen usw., die sind auch am internet - und da passiert nichts! wie gesagt alles eine sache der einrichtung.

das ist zumindest meine auffassung .

whs_cb hat geschrieben:Das heisst aber auch immer, das man doch recht viel an Infrastruktur haben muss, dieses Szenario wuerde mind. einen DSL-Router, dann einen Rechner mit IPCop, dann wieder eine Switch oder einen Wireless Accesspoint (oder beides oder einen weiteren Kombirouter) benoetigen. Man muss auch immer bedenken, das die Installation und die Wartung eines Firewallsystemes viel Knowhow und Zeit kostet. Nichts gegen derartige Loesungen, aber wenn man nicht in der Lage ist, so eine Firewall sinnig zu konfigurieren, dann waehnt man sich leider in einer Scheinsicherheit und wird so moeglichweise schneller, als einem lieb ist zum Opfer. IPTables ist nun mal nicht ein Zonealarm, da poppen keine Dialog hoch, wenn eine SW rein oder raus will.

Dafuer gibt es ja nun schon genug VPN-Router, sodass man dafuer auch nicht zwingend den IPCop braeuchte.

Know How brauchts auch bei einer Router FW. Wenn ich alle möglichen Ports öffne weil ich XY Programme/Server im LAN laufen lassen will und diese immer offen lasse und nicht mehr dran denke was ich alles so gebastelt habe dann hilft auch keine Firewall mehr ... und leider machen das viele so, genauso viele wie es offene WLANs gibt Und IPtables läuft im Hintergrund, IPcop (und andere ähnliche Lösungen) bereiten das ganze auch für weniger versierte grafisch recht gut auf. Und klar braucht man die Infrastruktur. Aber um das WLAN abzusichern brauchts einen Router mit WLAN und zB ne kleine stromsparende Firewallappliance (mit mir steht eine Checkpoint VPN-1) - und schon hat man für wenige Watt im Monat ein recht sicheres Netz. Ein kleines bisschen paranoia gehört aber auch dazu - mein WLAN hat WPA2, das sollte ja eigentlich schon sicher genug sein IPcop ist halt der Mehrnutzen und läuft auch auf einem betagten 486er recht reibungslos.

Und Scheinsicherheit und ZoneAlarm passt gut zusammen ;o) Aber das ist wieder ein anderes Thema. ich empfehle aber jedem sich für 30 Euro einen Router mit FW hinzustellen anstatt sich auf ZonaAlarm oder ähnlichen Kram zu verlassen ... aber wie gesagt: anderes Thema

Gruß
Puh

Mittlerweile habe ich mir IPCop angeschaut und empfinde die Oberflaeche als sehr einfach gestaltet, aber auch stark individualisierbar.
Dass keine Popups angezeigt werden, ist mir klar.

AVM (Fritz!Box-Hersteller) antwortete mir, dass die Dateifreigabe (RPC) sowieso nicht ueber die Fritzbox ins Internet geleitet werden wuerde, da es als sehr unsicher gelte.

Zum Parallelbetrieb zB vom WHS und IPCop auf einer Maschine durch (Para-) Virtualisierung steht unter Wikipedia.org im Zusammenhang mit IPCop ein sehr abschreckender Artikel, der sich auch auf den c´t-Artikel bezieht.

Dass eine Firewall wie IPCop etc. gar Know How voraussetzt, ist mir bewusst - aber man will sich ja auch beim Thema Know How weiterentwicklen und nicht Windows alles entscheiden lassen - Testen macht ja auch Spass, solange man die Zeit dafuer aufbringen moechte. Da der WHS sehr einfach gehalten ist, bleibt ein wenig Zeit fuer Spielereien.

Zur eigentlichen Sicherheit des WHS kann man momentan nicht allzuviel sagen, denke ich, aber Luecken werden bei allen Systemen immer wieder gefunden - nun ist man mit einer Direktverbindung des WHS zum Internet und DynDNS aber wesentlich leichter im Zugriff der potentiellen (chinesischen ) Hacker.

Zur Fritzbox bleibt zu sagen, dass man UPnP zwar einschalten kann, aber die UPnP-Portaenderungen der Softwares verbieten lassen kann, genauso wie die Fernwartung. Eine Firewall wie IPCop etc. wird allerdings wesentlich mehr leisten (Packet Inspection u.a.).

Mich aergert nun aber eines: Ich muesste nach dem DSL-Anschluss ein DSL-Modem betreiben, das wiederum am IPCop Rechner angeschlossen waere (externe NIC), die interne NIC des IPCops wuerde nun auf einem Switch auflaufen, an dem wiederum alle CLients angeschlossen sind sowie ein WLAN-Access-Point (WPA2) fuer die Wireless-Clients - das bedeutet sehr viel mehr Hardware als zuvor - aber man haette Spielerei, deutlich mehr Sicherheit (richtig konfiguriert) und ein internes moegliches Gigabit-LAN. Bisher laeuft alles ueber meine FritzBox, die sicherlich einen schlechteren Durchsatz bietet als ein Gigabit-Switch.
Wenn nur nicht der zusaetzliche Strom waere. 17 Cent/kwH ist schon happig.

Gibt es Geraete, die man als Hardware-Firewall zwischen DSL-Anschluss und Router setzen kann, die dann aber nicht allzuviel verbrauchen ?
Dann muesste man die NAT-Firewall der Fritzbox nur abschalten koennen. Was kostet soetwas, und wo ?

RouvenE hat geschrieben:Zum Parallelbetrieb zB vom WHS und IPCop auf einer Maschine durch (Para-) Virtualisierung steht unter Wikipedia.org im Zusammenhang mit IPCop ein sehr abschreckender Artikel, der sich auch auf den c´t-Artikel bezieht.

Nun, generell gilt, das das schuetzende System nicht auf der gleichen Hardware wie das zu schuetzende System liegen sollte.

RouvenE hat geschrieben:Dass eine Firewall wie IPCop etc. gar Know How voraussetzt, ist mir bewusst - aber man will sich ja auch beim Thema Know How weiterentwicklen und nicht Windows alles entscheiden lassen - Testen macht ja auch Spass, solange man die Zeit dafuer aufbringen moechte. Da der WHS sehr einfach gehalten ist, bleibt ein wenig Zeit fuer Spielereien.

Wissensaufbau ist immer gut. Das Problem an der ganzen Firewall-Sache ist aber, das man quasi am offenen Herzen operiert. Wenn man sich bei der FW-Konfiguration vertut und das (warum auch immer) nicht merkt, dann waehnt man sich in Sicherheit, hat aber Angreifern alle Tueren geoeffnet. Wenn man sein Handwerk aber versteht, dann bekommt man aber eine individuelle und sichere Loesung, die weit ueber das, was man so an SOHO Geraeten kaufen kann, geht.

RouvenE hat geschrieben:Zur eigentlichen Sicherheit des WHS kann man momentan nicht allzuviel sagen, denke ich, aber Luecken werden bei allen Systemen immer wieder gefunden - nun ist man mit einer Direktverbindung des WHS zum Internet und DynDNS aber wesentlich leichter im Zugriff der potentiellen (chinesischen ) Hacker.

Der WHS wird genauso sicher/unsicher sein wie ein Standard Windows Server 2003. Ich persoenlich denke aber, wenn der WHS immer sauber gepatcht ist, man evtl. noch einen Virenscanner installiert und auf die Erreichbarkeit aus dem Internet verzichtet (also generell auf diesem Server keine Dienste anbietet), dann sollten die Daten relativ sicher sein. Abgesehen davon muss man natuerlich dafuer sorgen, das man sich nicht ueber den Client Trojaner und dergleichen einfaengt, die dann die Daten oder gar den ganzern WHS kompromittieren.

RouvenE hat geschrieben:Zur Fritzbox bleibt zu sagen, dass man UPnP zwar einschalten kann, aber die UPnP-Portaenderungen der Softwares verbieten lassen kann, genauso wie die Fernwartung. Eine Firewall wie IPCop etc. wird allerdings wesentlich mehr leisten (Packet Inspection u.a.).

Das die Fritz!Box mit uPNP so umgeht, ist lobenswert. Meines Wissens haben aber die Fritz!Boxen eine SPI Firewall, zumindest die besseren ...

RouvenE hat geschrieben:Mich aergert nun aber eines: Ich muesste nach dem DSL-Anschluss ein DSL-Modem betreiben, das wiederum am IPCop Rechner angeschlossen waere (externe NIC), die interne NIC des IPCops wuerde nun auf einem Switch auflaufen, an dem wiederum alle CLients angeschlossen sind sowie ein WLAN-Access-Point (WPA2) fuer die Wireless-Clients - das bedeutet sehr viel mehr Hardware als zuvor - aber man haette Spielerei, deutlich mehr Sicherheit (richtig konfiguriert) und ein internes moegliches Gigabit-LAN. Bisher laeuft alles ueber meine FritzBox, die sicherlich einen schlechteren Durchsatz bietet als ein Gigabit-Switch.
Wenn nur nicht der zusaetzliche Strom waere. 17 Cent/kwH ist schon happig.

Ja, Sicherheit kostet Infrastruktur BTW, sollte die Kette nicht heissen: DSL-Modem - Router - Firewall - Switch - Server/Clients?

RouvenE hat geschrieben:Gibt es Geraete, die man als Hardware-Firewall zwischen DSL-Anschluss und Router setzen kann, die dann aber nicht allzuviel verbrauchen ?
Dann muesste man die NAT-Firewall der Fritzbox nur abschalten koennen. Was kostet soetwas, und wo ?

Ich hatte frueher mal ne kleine Cisco Pix gehabt, es gibt aber auch von DLink die DFL-200 SOHO Firewall, allerdings kenne ich die nicht. Es gibt da sicher auch noch Alternativen, die DLink kostet ca. 180 EUR.

Gruss, whs_cb

RouvenE hat geschrieben: Gibt es Geraete, die man als Hardware-Firewall zwischen DSL-Anschluss und Router setzen kann, die dann aber nicht allzuviel verbrauchen ?
Dann muesste man die NAT-Firewall der Fritzbox nur abschalten koennen. Was kostet soetwas, und wo ?

Wegen dem IPcop: es gibt (ich glaube von AVM) eine internes DSL Modem das vom IPcop unterstützt wird. Und es gibt WLAN Karten für den IP Cop. Damit hättest Du quasi alles in einem Gerät und brauchst kein Router mehr.

Oder als Appliance was whs_cb empfiehlt. Ich hab so ein Teil daheim stehen http://www.checkpoint.com/products/down ... asheet.pdf

Gruß
Puh

Hallo,

wenn ein tatsächlicher Einsteiger für den WHS hier liest "uPNP für einen Router", heißt das "Bahnhof", das gilt für einiges hier im Thema.

Besteht eine DSL-Verbindung zur "Außenwelt", dazu noch einen Router mit anständigem Kennwort, ein Client/PC der Virensoftware u. evtl. eine zusätzliche Firewall, macht der Benutzer regelmäßig alle Updates (eben auch automatisch), kann im Home User Bereich eigentlich fast nichts, rein gar nichts passieren. Spreche aus 10 jähriger Erfahrung mit PC in das feindliche Web.

Manko derzeitig:

Für den WHS gibt es noch keinen eigenständige Virensoftware als auch keine konkurrierende Softwarefirewall.
Die Sicherheitssoftware, die möglicherweise auch für den WHS geeignet wäre (Windows Server 2003) ist für den privaten User eher out of order.

Derzeit warte ich auf:

WHS kompatibele Sicherheitssoftware
ITunes als Serveredition

Gruß
Holger