staging.inyokaproject.org

Hallo!

Ich habe vor in nächster Zeit einen Firewall/NAT-Rechner für ein kleines internes Netz mit Internetzugang zu installieren.

Natürlich bieten sich Debian und eine BSD-Variante an. Mit BSDs hab ich ein bisschen experimentiert, Debian würde ich vorziehen.
Wenn ich mir allerdings überlege, das der 2.6 Kernel, ext3 und dgl. draufkommen soll, und Debian nichts davon in der Standardinstallation dabei hat, drängt sich mir der Gedanke auf, gleich Ubuntu mit der Custom-Installation einzurichten (ohne Grafik, etc.). Ein paar Änderungen sind notwendig, aber ich erspar mir den steinigen Weg, alles selbst einzurichten.

Gibt es da Bedenken von eurer Seite? Wo seht ihr hier Probleme?

Gruß.
MaV

MaV hat geschrieben:

Hallo!

Ich habe vor in nächster Zeit einen Firewall/NAT-Rechner für ein kleines internes Netz mit Internetzugang zu installieren.

Natürlich bieten sich Debian und eine BSD-Variante an. Mit BSDs hab ich ein bisschen experimentiert, Debian würde ich vorziehen.
Wenn ich mir allerdings überlege, das der 2.6 Kernel, ext3 und dgl. draufkommen soll, und Debian nichts davon in der Standardinstallation dabei hat, drängt sich mir der Gedanke auf, gleich Ubuntu mit der Custom-Installation einzurichten (ohne Grafik, etc.). Ein paar Änderungen sind notwendig, aber ich erspar mir den steinigen Weg, alles selbst einzurichten.

Gibt es da Bedenken von eurer Seite? Wo seht ihr hier Probleme?

Gruß.
MaV

Also ein 2.6er Kernel ist nicht in Debian Woody dabei, dass stimmt. Aber warum sollte kein ext3 dabei sein?

Ich würde dir für eine Firewall auch lieber Raten Debian Woody zu benutzen. Der 2.4er Kernel ist dafür einfach ausgehärteter. Ubuntu würde ich ehrlich gesagt überhaupt nicht für ein Server nehmen.

Machst dir dort eine Debian Minimalinstallation drauf. Der 2.4er Kernel reicht volkommen aus. Konfigurierst iptables und fertig. Warum unbedingt 2.6er Kernel? Wenn du 2.6er Kernel nimmst würde ich dir jedenfalls auch empfehlen den neusten zur Zeit zu nehmen. Und das wäre der 2.6.10er. Und da kommst du ums selbst kompilieren auch nicht drum herum.

Generell wäre es sicherer wenn du deinen Kernel komplett selber Kompilierst, und alles fest im Kernel. Modul nachladen deaktivieren. Denn sollte jemand zugriff auf dein System bekommen, dann kann er keine Module nachladen, und dadurch z.B. root Rechte erhalten.

Bei Debian Woody gilt auch das selbe. Letzten verfügbaren 2.4er Kernel benutzen. Und nicht den 2.4er der auf der alten Debian Woody ist.

Sid Burn hat geschrieben:

Also ein 2.6er Kernel ist nicht in Debian Woody dabei, dass stimmt. Aber warum sollte kein ext3 dabei sein?

ext3 ist schon ab 2.4 dabei, nur kann ich bei Ubuntu gleich während der Installation die Partitionen mit ext3 formatieren. Bei Debian musst du zuerst mal den 2.4 Kernel laden, denn mit der herkömmlichen Installation bekommst du mal nur den 2.2er. :-/ Ich weiß nicht, ob ich unter woody die Möglichkeit habe gleich bei der Installation ext3 zu formatieren, aber ich habe keine Lust mich nachher damit herumzuschlagen, wenn's Ubuntu schon so anbietet. (Programmierer sind faul. 😉 )

Ich würde dir für eine Firewall auch lieber Raten Debian Woody zu benutzen. Der 2.4er Kernel ist dafür einfach ausgehärteter. Ubuntu würde ich ehrlich gesagt überhaupt nicht für ein Server nehmen.

Die custom-Installation richtet nur die notwendigsten Pakete ein, d.h. grafische Oberfläche, etc. entfallen. Sicherlich sind noch ein paar überflüssige dabei, die würde ich dann noch rauswerfen.

Machst dir dort eine Debian Minimalinstallation drauf. Der 2.4er Kernel reicht volkommen aus. Konfigurierst iptables und fertig. Warum unbedingt 2.6er Kernel? Wenn du 2.6er Kernel nimmst würde ich dir jedenfalls auch empfehlen den neusten zur Zeit zu nehmen. Und das wäre der 2.6.10er. Und da kommst du ums selbst kompilieren auch nicht drum herum.

Generell wäre es sicherer wenn du deinen Kernel komplett selber Kompilierst, und alles fest im Kernel. Modul nachladen deaktivieren. Denn sollte jemand zugriff auf dein System bekommen, dann kann er keine Module nachladen, und dadurch z.B. root Rechte erhalten.

Bei Debian Woody gilt auch das selbe. Letzten verfügbaren 2.4er Kernel benutzen. Und nicht den 2.4er der auf der alten Debian Woody ist.

Den Kernel würde ich ohnehin selbst kompilieren, damit die Module gleich fest drin sind. Wie du erwähnt hast, soll es ja Rootkits geben, die sich als Module einnisten. Das kann man damit abstellen.

@ 2.6 Kernel: Ich finde vor allem das Linux Security Module interessant - z.b. die Unterstützung für SELinux. Außerdem ist IPSec in den Kernel integriert worden, und der 2.6er hat eine gegenüber dem 2.4 neue Krypto-API. Das mag alles nicht unbedingt ein Grund sein, aber nett sind die Dinger schon. ☺

Es bleibt nicht allein bei der Firewall, ich möchte mir außerdem mittels Port-Knocking und Wake-on-LAN auch von außen Zugang zu Rechnern verschaffen, dann kann ich im Bedarfsfall mal auf Daten zugreifen, wenn ich nicht daheim bin. Und vielleicht fallen mir noch andere ähnliche Kleinigkeiten ein.

Gruß,
MaV

ext3 ist schon ab 2.4 dabei, nur kann ich bei Ubuntu gleich während der Installation die Partitionen mit ext3 formatieren. Bei Debian musst du zuerst mal den 2.4 Kernel laden, denn mit der herkömmlichen Installation bekommst du mal nur den 2.2er. :-/

Ne, du musst die Debian Woody Installation mit den Parameter "bf24" starten. Dann wird automatisch der 2.4er anstatt der 2.2er Kernel genommen.

Bei der installation von Woody wird doch cfdisk aufgerufen. Dort formatierst du zuerst einmal die Platte im "Linux" Format. "82" meine ich. Danach wenn du die Mountpoints festlegst wirst du dann gefragt ob du ext2, ext3 nehmen möchtest.

@ 2.6 Kernel: Ich finde vor allem das Linux Security Module interessant - z.b. die Unterstützung für SELinux. Außerdem ist IPSec in den Kernel integriert worden, und der 2.6er hat eine gegenüber dem 2.4 neue Krypto-API. Das mag alles nicht unbedingt ein Grund sein, aber nett sind die Dinger schon.

Da du sowieso den Kernel selber kompilierst, würde ich trotzdem lieber Woody nehmen. Du solltest ja Grundsätzlich sowieso so wenig Sachen dann installiert haben, wie nur Möglich. Und denke bei Ubuntu sind in den neueren Paketen wahrscheinlich deutlich mehr unbekannte BUGs enthalten als in Debian Woody.

Es bleibt nicht allein bei der Firewall, ich möchte mir außerdem mittels Port-Knocking und Wake-on-LAN auch von außen Zugang zu Rechnern verschaffen, dann kann ich im Bedarfsfall mal auf Daten zugreifen, wenn ich nicht daheim bin. Und vielleicht fallen mir noch andere ähnliche Kleinigkeiten ein.

Eigentlich wäre es am besten, wenn du alle zusätzlichen Dienste auf einen Server hinter der Firewall lagerst. Je mehr Dienste du offen hast. Desto größer ist die Angriffsfläche die du einen Angreifer bietest.

Hinter der Firewall kannst du dann ja zur einfachheit immer noch ein Ubuntu custom benutzen.

EDIT:
Am effizentiesten ist es sogar wenn du dann auf den Debian Server danach APT entfernst und dpkg. Sollte es nämlich jemand schaffen auf die Firewall zu kommen, hatt er ziemlich leichtes Spiel wenn APT installiert ist. Er kann sich ohne Probleme schnell mal etherreal in 1 Minute installieren, und dann das ganze Netz sniffen. Ich denke da könnten schon einige PWs von Benutzern abgehorcht werden.

Ich würde dann aber am besten vor dem Einsatz 2 Images machen. Einmal ein Image der Firewall mit APT&DPKG und einmal wenn es entfernt ist.

Ne, du musst die Debian Woody Installation mit den Parameter "bf24" starten. Dann wird automatisch der 2.4er anstatt der 2.2er Kernel genommen.

Bei der installation von Woody wird doch cfdisk aufgerufen. Dort formatierst du zuerst einmal die Platte im "Linux" Format. "82" meine ich. Danach wenn du die Mountpoints festlegst wirst du dann gefragt ob du ext2, ext3 nehmen möchtest.

Wenn ich schon bei der Installation ext3 formatieren kann, schaut woody wieder interessant aus. ☺

Eigentlich wäre es am besten, wenn du alle zusätzlichen Dienste auf einen Server hinter der Firewall lagerst. Je mehr Dienste du offen hast. Desto größer ist die Angriffsfläche die du einen Angreifer bietest.

Hinter der Firewall kannst du dann ja zur einfachheit immer noch ein Ubuntu custom benutzen.

Ein Dienst wird laufen müssen, nämlich OpenSSL, aber der Zugriff geschieht halt nur vom internen Netzwerk aus.
Port-Knocking ist kein wirklicher Dienst. Im Prinzip checkt ein Programm die log-Files nach bestimmten Zugriffsmustern von außen. Wenn das Muster auf das ausgemachte zutrifft, dann öffnet es einen Port, von dem aus ich auf einen Rechner im internen Netzwerk zugreifen kann. Gleichzeitig startet der Firewall-Rechner diesen mit Wake-Up-on-LAN.

EDIT:
Am effizentiesten ist es sogar wenn du dann auf den Debian Server danach APT entfernst und dpkg. Sollte es nämlich jemand schaffen auf die Firewall zu kommen, hatt er ziemlich leichtes Spiel wenn APT installiert ist. Er kann sich ohne Probleme schnell mal etherreal in 1 Minute installieren, und dann das ganze Netz sniffen. Ich denke da könnten schon einige PWs von Benutzern abgehorcht werden.

Ich würde dann aber am besten vor dem Einsatz 2 Images machen. Einmal ein Image der Firewall mit APT&DPKG und einmal wenn es entfernt ist.

Hm, gute Idee, aber wie aktualisierst du die Packete, wenn neue Sicherheitslücken gefunden wurden?

Grundsätzlich sollten auf dem Firewall-Rechner eigentlich keine Programmiersprachen installiert sein, aber bei Debian besteht das Hauptproblem für die Durchsetzung so einer Maßnahme darin, dass das ganze System quasi auf perl aufbaut. Wenn du es deinstallieren willst, kämpfst du mit den Abhängigkeiten bis zum Abwinken. Deswegen habe ich mir schon ein BSD überlegt, wobei ich mit diesen noch keine größeren Erfahrungen habe.

Gruß,
MaV

Hm, gute Idee, aber wie aktualisierst du die Packete, wenn neue Sicherheitslücken gefunden wurden?

Tjo, dass ist eine andere Geschichte.
Optimal ist es wenn du einen zweiten Rechner aufbaust, der baugleich zur Firewall ist, dort spielst du dann deine Patches ein, läuft alles einwandfrei überträgst du die Daten auf den Rechner zur Firewall.

Jedoch wüste ich jetzt auch erstmal nicht wie es praktisch am leichtesten ist. Ich weiß aber das man diese Methode am betsen verwenden sollte. 😉

Zu den Programmiersprachen würde ich nur darauf achten das kein C und C++ Compiler installiert ist. Bei Perl halt nur die Bibliotheken installieren die benötigt werden. Also keine weitere Bibliotheken nach der installation installieren.

Ansonsten eine leichte Möglichkeit die mir zum ersten Problem einfällt, das du einfach wichtige ausführbare Dateien zu APT und dpkg entfernst. Und diese auf einen anderen Rechner auslagerst. Auch die Konfigurationsdateien sollten ausgelagert werden. So das nicht auf einmal die sources.list angepasst wurde, und du dir durch ein Update auf einmal ein rootkit installierst. Aber wer es schafft soweit zu kommen hat sowieso schon root Rechte. \^^

Du kannst dann auch ein Bashskript schreiben (der natürlich auf einen anderen Rechner liegt) der dann bei nötigkeit die erforderlichen Dateien über scp auf die Firewall kopiert, danach kannst du Updaten, und danach kannst du wieder mittels skript die Dateien klöschen lassen.

Weiterhin kannst du auf einen anderen Rechner noch ein IDS z.B. Tripwire installieren. und dann jeden Tag mal den Firewall Rechner auf änderungen von Dateien überprüfen lassen. Damit kannst du dann leichter Rootkits entdecken.

Das Logging sollte sowieso am besten auf einen anderen Rechner laufen, und nicht auf den Firewall rechner selber. Dies könntest du z.B. auch auf dem IDS Rechner laufen lassen.

Sid Burn hat geschrieben:

- snip -
Weiterhin kannst du auf einen anderen Rechner noch ein IDS z.B. Tripwire installieren. und dann jeden Tag mal den Firewall Rechner auf änderungen von Dateien überprüfen lassen. Damit kannst du dann leichter Rootkits entdecken.

Das Logging sollte sowieso am besten auf einen anderen Rechner laufen, und nicht auf den Firewall rechner selber. Dies könntest du z.B. auch auf dem IDS Rechner laufen lassen.

*seufz* Ich wünschte, ich hätte eine Rechnerfarm daheim, dann könnte ich die Ideen in etwa verwirklichen.
Bei mir daheim stehen insgesamt 4 Rechner, wobei einer eine "Leihgabe" ist. Einer wird die Firewall, alle anderen sind dahinter mit einem 5 Port-Switch verbunden, so dass ich gelegentlich noch einen dazuhängen kann, wenn jemand im Freundeskreis wieder einmal Probleme mit seinem Windows-Rechner hat.

Was hältst du von folgender Idee?
Ein Firewall-Rechner ohne irgendwelche Dienste nach außen oder innen, der das Einloggen nur über tty0 zulässt. Darauf laufen die Skripte fürs Port-Knocking, etc.
Sollte ich Updates machen, kann ich ihm mal den Netzzugang erlauben. Schlüsselprogramme von apt werden auf Diskette gespeichert und nur für Updates kopiert, danach wieder von HD gelöscht.
Logging geschieht lokal, solange keine weiteren Rechner intern online sind. Wenn einer der Rechner online geht, bekommt er die Log-Files auf einmal, datiert und markiert. Die Logs werden auf allen Rechnern gesichert und erst dann auf dem Firewall-Rechner gekillt.
Einen der internen Rechner kann ich außerdem mit IDS-Funktionalität ausstatten, aber einen ausschließlich dafür benutzen ist nicht möglich. :-/

Gruß,
MaV

PS: 'Sid Burn' erinnert mich an einen Film aus ... 1995? 😉

Achso du machst es für ein LAN zuhause. Na dann ist es fraglich ob du es so sicher brauchst.

Ich würde die Firewall aufbauen. SSH einloggen ist erlaubt aus dem Internen Netz heraus. Aber nicht von ausen.

Ansonsten keine weiteren Dienste. Und auf einen zusätzlichen Rechner hinter der Firewall würde ich dann alle zusätzlichen Dienste wie Fileserver, IDS etc. laufen lassen. Ich denke den Aufwand mit APT/dpkg etc. zu entfernen lohnt sich da einfach nicht.

Das ganze würde dann 2 Rechner erfordern. Ich denke für Zuhause kannst du auch wenn es sein muss den Dienst auf der Firewall laufen lassen, Obwohl ich das wirklich nicht unbedingt empfehlen würde. Wenn du aber keinen anderen Rechner zur Verfügung hast. Warum dann nicht.

Ich dachte du wolltest eher so eine Lösung für ein Firmennetzwerk haben. 😉

PS: 'Sid Burn' erinnert mich an einen Film aus ... 1995? Winken

Hmm, du meinst den Film "Hackers"? Da hieß jemand "Acid Burn". Mein Name hat mit dem Film nichts zu tun. 😉

Sid Burn hat geschrieben:

Achso du machst es für ein LAN zuhause. Na dann ist es fraglich ob du es so sicher brauchst.

Ich würde die Firewall aufbauen. SSH einloggen ist erlaubt aus dem Internen Netz heraus. Aber nicht von ausen.

Ansonsten keine weiteren Dienste. Und auf einen zusätzlichen Rechner hinter der Firewall würde ich dann alle zusätzlichen Dienste wie Fileserver, IDS etc. laufen lassen. Ich denke den Aufwand mit APT/dpkg etc. zu entfernen lohnt sich da einfach nicht.

Das ganze würde dann 2 Rechner erfordern. Ich denke für Zuhause kannst du auch wenn es sein muss den Dienst auf der Firewall laufen lassen, Obwohl ich das wirklich nicht unbedingt empfehlen würde. Wenn du aber keinen anderen Rechner zur Verfügung hast. Warum dann nicht.

Ich dachte du wolltest eher so eine Lösung für ein Firmennetzwerk haben. 😉

Dass es für ein privates LAN gedacht ist, hätte ich gleich erwähnen sollen. :-/ Für ein Firmennetzwerk würde ich aber ohne zu fragen OpenBSD nehmen.

Siehst du ein großes Problem darin, ein abgespecktes Ubuntu dafür zu benutzen? Die wichtigen Pakete sind ja bei custom in Ubuntu dabei, außerdem ist es ja schon so eingestellt, dass nichts nach außen lauscht. Debian hat, wie ich gestern gesehen habe, in der Grundinstallation schon einige Dienste offen laufen, die ich erst wieder abschalten muss, dann darf ich wieder abdrehen etc. Zum 2.6-Kernel hab ich schon geschrieben, warum ich ihn gerne dabei hätte.

Gruß,
MaV

MaV hat geschrieben:

Dass es für ein privates LAN gedacht ist, hätte ich gleich erwähnen sollen. :-/ Für ein Firmennetzwerk würde ich aber ohne zu fragen OpenBSD nehmen.

Siehst du ein großes Problem darin, ein abgespecktes Ubuntu dafür zu benutzen? Die wichtigen Pakete sind ja bei custom in Ubuntu dabei, außerdem ist es ja schon so eingestellt, dass nichts nach außen lauscht. Debian hat, wie ich gestern gesehen habe, in der Grundinstallation schon einige Dienste offen laufen, die ich erst wieder abschalten muss, dann darf ich wieder abdrehen etc. Zum 2.6-Kernel hab ich schon geschrieben, warum ich ihn gerne dabei hätte.

Gruß,
MaV

Also für LAN zuhause würde ich zwar trotzdem dann Debian Woody nehmen, anstatt Ubuntu. Aber denke auch Ubuntu ist eine gute Alternative. Minimalinstallation drauf, und ansonsten ist ja bei warty alles ziemlich auf den neuesten Stand, so dass du auch nirgendswo etwas elber herumkompilieren musst. Oder ein Backport auf Woody benötigst. Denke daher beides ist Interessant. Denke aber auch das warty volkommen ausreichen wird.

Ich persönlich würde dann aber auch bei warty bleiben, und die 18 Monate Support zeit volkommen ausschöpfen und nicht bei erscheinen den Server sofort auf hoary umstellen, oder ähnliche Spielereien.