Hallo Admins, habe mal eine Frage.

Wir haben einen eigenen RootServer unter RedHat9. Welche
Firewall würdet ihr empfehlen? Wenn ich unsere ServerIp scanne,
kommen 8 offene Port heraus. Ok, das sind allgemeingebräuchliche
Ports, aber kann ich durch eine Firewall nicht sogar unterbinmden, dass
überhaupt Pings beantwortet werden ?

Danke

Holger

Ich geh mal davon aus, dass dieser Rootserver bei nem Hoster steht. Dann ist es sehr wahrscheinlich, dass dort bereits eine Firewall im Einsatz ist und auf dieser halt die gebräuchlichsten Ports freigegeben sind. In dem Falle müsstest Du nur den Hoster veranlassen, dass er die Pings (und was sonst noch nicht benötigt wird) sperrt.

Falls noch keine Firewall vorhanden ist, wär eine angebracht. Aber bitte keine Software-Firewall, schon gar nicht für einen Server. Es müsste also eine separate Box sein; deren Auswahlkriterien hängen davon ab, was sie alles können soll resp. für was der Server verwendet wird (und was sie kosten darf).

Griessli
Irene

danke, irene.

ja, der server steht bei einem hoster. ich kann dir allerdings nicht sagen,
ob da eine firewall vorgeschaltet ist, laut agb´s wohl nicht.
wie soll ich den da hardwäremässig eine firewall installieren? steht ja nicht bei
uns, das gerät. und warum keine software firewall?

holger

Ersteinmal sollten von den acht Port nur die vom Server belauscht werden, wo eine benötigte Anwendung läuft.

Wahrschienlich läuft auf der Redhat der inet.d-Dienst, der alle anderen Dienste startet.
Eventuell noch mit pstree überprüfen, wie die Dienste heißen, die man abstellen möchte und dann die Dienste austragen.

Zum Schutz der noch laufenden Dienste vor Attacken und ähnlichem kann man dann zusätzlich noch eine Firewall installieren.

Keine "Software-Firewall" würde ich eher in keine "Personal-Firwall-Software auf Windows" ummünzen. M.E. sind die ip-Tables Firewalls von Linux und den BSDs sehr leistungsfähig.
Eine Hardware-Firewall hat ihre Vorteile meist dann, wenn man ein fertiges Produkt kaufen will, wo die üblichen Regeln schon angelegt sind.

Frag doch einfach mal nach beim Hoster. Da werden ja noch mehr Server stehen, und die meisten sind wohl Webserver, also müssten die alle irgendwie geschützt sein. Wenn wirklich noch keine Firewall da ist, ist der Hoster sicher gerne bereit, eine dazwischenzuhängen - wenn auch wohl nicht gratis ;-)

Eine Software-Firewall verhindert nicht, dass evtl. gefährliche Pakete beim Server ankommen. Sie sollte nur dafür sorgen, dass diese Pakete keinen Schaden anrichten. Da sie aber auf dem Betriebssystem läuft, ist sie grundsätzlich genauso "verletzlich" wie das Betriebssystem selbst. IP-Tables sind sicher besser als eine Windows-Personal-Firewall, aber eine richtige Firewall können sie nicht ersetzen.

Griessli
Irene

Grundsätzlich hast du sicher recht, Irene.
Mich stört allerdings der Begriff "richtige Firewall".
Denn im Enfeffekt haben die Hardware-Firewalls keinen Chip, wo alle Funktionen drauf eingelötet sind, sondern auch ein Betriebssystem, dass auch verletzlich sein kann.
Im Kern laufen da sicherlich auf vielen von denen abgespeckte Linuxe.

Mit einer Firewall alleine kann man sich m.E. die Sicherheit nicht erkaufen.
Die Firewall ist nur ein Teil eines Sicherheitskonzeptes für ein Netzwerk und sollte Teil einer schlüssigen Gesamtstrategie sein.

Es nützt nichts, wenn man alles mögliche abblockt und am Ende der nicht blockierte smtp-Dienst leicht kompromittierbar ist, weil seit Monaten keine Sicherheitsupdates eingespielt wurden.

Den Begriff verwende ich nur der Einfachheit halber - jedesmal "dedizierte Hardware-Firewall" zu schreiben, ist mir zu mühsam ;-)

Du hast recht, auch diese Dingens haben die Funktionen nicht auf einem Chip (oder höchstens teilweise). Ich kenne keine Firewall-Appliance, die *nicht* auf Linux basiert, aber es sind wenigstens speziell gehärtete und teils abgeänderte Systeme, die keine der üblichen Löcher mehr aufweisen. Und es laufen keine der üblichen Dienste.

Mit dem Rest hast Du absolut recht, eine Firewall alleine deckt nicht die gesamte Sicherheit ab. Es nützt ja auch nichts, sich ne hochmoderne Alarmanlage im Haus einzubauen und am Ende den Schlüssel unter den Fussabtreter vor der Haustür zu legen ;-)

Griessli
Irene

Hallo.


Alles schön und gut, was Ihr hier ratet, aber 2 Sachen gibt es da zu klären.

1.) Firewall ist ein Konzept, ein Konzept zur Sicherheit eines Rechner oder Netzwerkes.
2.) Die einzigsten Vorteile, die eine sogenannte "dedizierte Hardware-Firewall" bietet, sind, dass diese meistens einen größeren Datendurchsatz bewältigen können als ein normaler Server, somit eher Sinnvoll für größere Netzwerke sind, zum Anderen ist es etwas sichtbares und lässt sich dadurch besser verkaufen/vermarkten. Ein weiterer Effekt ist, dass die Bedingung eines IP-Filters meistens wesentlich einfacher ist und weniger Vorkenntnisse dafür benötigt werden.


Doch ich kann auch einen Rechner mit einen abgespeckten Betreibssystem (auch ohne Festplatte) starten und dieses auch vorher fest Konfigurieren, dann habe ich im Grundprinzip das gleiche wie eine sogenannte "dedizierte Hardware-Firewall". Letzendlich baut beides auf ein Betriebssystem auf und beides ist damit auch anfällig, wenn diese nicht regelmäsig gewartet werden. Bei den sogenannten "dedizierten Hardware-Firewalls" ist es oft ein abgespecktes und angepasstes Unix-basierendes Betriebssystem.


Ich persönlich würde hier wirklich überlegen, was ich haben möchte und dafür auszugeben bereit bin, bzw. was ich selber kann. Außerdem kann davon ausgegangen werden, wenn wirklich jemand mit Ahnung auf das System kommen möchte, dann wird er darauf kommen, man kann nur versuchen es so unangenehm und schwierig zu machen, wie es geht.



MfG Sascha

@Sascha Ahlers
Was ist jetzt konkret deine Aussage?
Du hast die Posts von mir und Irene nochmal mit anderen Worten wiederholt.

Das ist meine Kernaussage, ihr meint von Firewalls zu reden, doch letzendlich redet ihr von Paket-Filtern und nicht von einer Firewall, da Firewall ein Konzept ist.


MfG Sascha

Für mich bedeutet Firewall nach wie vor Software - evtl. mit Hardware - die bestimmte Funktionen erledigt. Unter einem Konzept versteh ich was anderes.
Aber da könnten wir wohl stundenlang drüber streiten

Griessli
Irene