cane

1) Warum keine aktuellere Version von Solaris? Gerade in der 10er hat sich eine Menge in Punkto Sicherheit getan... 2) Um dir zu helfen muss man wissen was für Dienste überhaupt laufen sollen... mfg cane

Naja das IDS/IPS müsste wohl nicht sein - ich interessiere mich aber dafür. Demnächst kommt auch noch ein Honeypot mit dazu der dan per Portforwarding direkt am Internet hängt. Ich finde das Konzept ist ein gutes Mittelding - im Unternehmen handhabe ich solche Dinge noch deutlich restriktiver. Wirtschaftsspionage boomt und viele merken gar nicht wie ihre Daten flöten gehen... mfg cane

Hallo, hier mal das was mir spontan einfällt: DSL-Router mit integrierter SPI-Firewall, dahinter (kommt demnächst) ein Linux-Gateway mit Proxy inklusive Virenscanner und Inhaltsfilter (Squid, Squidguard, amavisnew) und IDS (Snort). Vielleicht wirds auch ein IPSauf basis von Snort-Inline... Auf den Clients wird nur als User gearbeitet und die Rechte sind zusätzlich beschränkt. Der IE kommt nur in Notfällen (ActiveX) zum Einsatz, Outlook, MSN und der restliche "Müll" ist überall deinstalliert. Software die ereiterte Rechte benötigt wird per RunAs gestartet. Auf allen Clients Antivir und eine Sygate Firewall. Überall neueste Updates - XP ist auf Automatisches Update eingestellt. Die Uhrzeit (oft vernachlässigt aber sehr wichtig um bei Infektionen auf allen Rechnern eine gleiche Timeline zu haben) wird per NTP mit einem deutschen Timeserver abgeglichen. WichtigeDaten werden in einer True-Crypt Partition sicher gespeichert. Alle unnötigen Dienste wurden beendet. mfg cane

Also in einen Augen ist openVP wesentlich einfacher zu konfigurieren als ein VPN unter Windows-Server. Die nervige klickerei entfält - Du brauchst lediglich eine Textdatei zu editieren. Etwas komplexer wird das ganze wen Du wirklich hohe Sicherheit und zertifikatsbasierte Authentifizierung, optional mit CRLs nutzen möchtest. Dazu empfiehlt sich die Lektüre von http://openvpn.net und vor allem http://vpnforum.de mfg cane

Über was für eine Leitung? Hardware Appliance oder selber installierter router?

Ist ein nettes Projekt - leider hab ich am WE keine Zeit. Ich werd mich der Sache aber in der nächsten Woche annehmen und dann mal meine Lösung schildern und ausführen. Hast Du eventuell ICQ? Dann ließe sich vieles schneller hinterfragen? Wenn ja schick mir deine UIN doch einfach per PN... Ich sehe da teilweise Probleme was die Sicherheit angeht - das ist alles "zu verteilt"... mfg cane

Einfaches Beispiel: Physikalisch können alle Rechner in einem Subnetz hängen --> Logisch könnten per 802.1q oider anderen techniken VLANs gebildet werden... mfg cane

In der c't ist ein Vergleichstest. mfg cane

Die squid.conf ist ein wenig länger und hat andere Parameter die da reinspielen können. Alle kenne ich auch nicht aber es wäre vorteilhaft die (entpersonalisierte) squid.conf zu posten... mfg cane

Eine Menge Infos: http://www.google.de/search?hl=de&q=IT+recovery+plan&btnG=Google-Suche&meta= Ansonsten richte ich mich meistens auch nach dem BSI... mfg cane

Wobei man die der damals c't beiliegende Knopiccilin per jigdo aktualisieren muss da das Updaten der Signaturen sonst nicht funktioniert. Ein Vorteil der Lösung ist das auch Backdors gefunden werden die bei laufendem System über ein Rootkit für den NT-Kernen oder ähnliches ausgeblendt werden... mfg cane

haben die Dienste keine manpages? man firewall man shorewall mfg cane

Ich sehe da überhaupt kein problem: Die Login-Seite im Hotel wird ja aufgerufen bevor der VPN-Client startet. Also verbindet man die restriktiven Einstellungen einfach mit dem Start des VPN-Client. Benutzerschulung ist unumgänglich... mfg cane

Für die Verschlüsselung des gesamten Verkehrs empfehle ich OpenVPN. Einzelne Protokolle lassen sich prima durch einen SSH-Tunnel schleusen. mfg cane

Was soll eine Software-Firewall auf dem Server bringen? Hängt er etwa ungeschützt am Internet??? Am wichtigsten ist es die nicht benötigten Dienste abzuschalten und die restlichen sicher zu konfigurieren. Die Software-Firewalls (beispiel Kerio) haben meist selbst Sicherheitslücken... mfg cane

Das ist falsch. Es gibt verschiedene PKI-Modelle. Bei PGP wird ein Web Of Trust verwendet was eigentlich nur für nicht wirklich sensible Daten taugt da keine vertrauenswürdige Instanz bestätigt das Du derjenige bst der im Zertifikat angegeben ist. Viel weiter geht die PIKIX-Architektur - erläutern möchte ich das jetzt nicht (das thema gehört zu den spannendsten unserer zeit, füllt aber auch Bücher) Wer Fragen hat - immer her damit mfg cane

Du mußt dir gegen Aufpreis ein SSL-Zertifikat erstellen lassen - dieses sollte dann auch von einer im Browser eingetragenen, vertrauenswürdigen CA signiert sein. Ab dann können User einfach per HTTPS auf deine Page zugreifen. mfgh cane

Mit speziellen Antennen lassen sich Pakete bis zu einer entfernung von ~ 5 km mitschneiden. Ein Notebook zu verwenden um die Reichweite zu testen ist daher unsinnig... mfg cane

Was einem egal sein kann wenn man wie ich per Firefox Extensions: a) JavaScript nur für einige eingetragene Seiten erlaubt Flash nur per Klick startet und nicht automatisch mfg cane

Beispiele: http://imt.uni-paderborn.de/internetsicherheit.html#Surfspuren http://www.google.de/search?hl=de&q=internet+tracking+technology&btnG=Suche&meta= mfg cane

Bist Du dir sicher das Du in der Lage bist eine Firewall zu konfigurieren wenn du es noch nicht mal schaffst eine Bedienungsanleitung zu lesen? Bitte überlege Dir das genau denn trügerische Sicherheit ist schlimmer als keine Sicherheit! mfg cane

Wer denkt Surfgewohnheiten lassen sich nur über Cookies nachvollziehen hat wohl ein paar Jahre geschlafen Das ist ohne weiteres auch mit Webbugs, Flash und Scriptsprachen möglich... mfg cane

gegenfrage: Warum sollte es nicht gehen? Mir ist noch kein Programm untergekommen das nicht unter VMware läuft... mfg cane

Es gibt mehrere Versionen von WPA, der Schlüssel ist mindestens 128 Bit lang. google listet zahlreiche Quellen, hier ein Beispiel: http://www.wireless-forum.ch/forum/viewtopic.php?t=1120 mfg cane

Das stimmt so nicht. Die sehr nette VPN-Implementierung OpenVPN kann das ohne weiteres! Bei IPSEC ist AH für den Transport- und ESP für den Tunnel-Modus zuständig. mfg cane