-uLtrA- Geschrieben 15. März 2007 Geschrieben 15. März 2007 Hallo Leute, ich stehe diesmal wieder vor einem Realisierungsproblem. Und zwar habe ich nicht die ausreichenden Kentnisse wie ich folgendes Konzept umsetzen könnte. Es dreht sich um eine Serverlandschaft in einem RZ für einen Internetauftritt. Folgendes Szenario: - Es gibt 2x Loadbalancer (Softwareseitig) - Mehrere Webserver im Backend - Datenbankserver - Mailserver - 1-2 Server mit verschiedenen Diensten Das ganze soll an ein managbares Switch gebracht werden und dieses Switch bekommt einen Uplink an das Rechenzentrum. Mein Problem liegt nun in der Umsetzung von mehr Sicherheit. Ich möchte gerne eine Firewall einsetzen und zusätzlich ein IDS um bestimmten Traffic zu filtern. Zusätzlich wäre natürlich noch interessant die ganzen Systeme in einem „internen Netz/VLAN“ laufen zu lassen, eine Art „DMZ“ und in dieses Netz komme ich dann nur mittels eines VPN-Zugangs. D.h. ich habe dann einen öffentlichen IP-Range für Mailserver und die beiden Load-Balancer + FTP-Server. Die ganzen Dinge wie NFS, rsync, snmpd, Apache, Datenbank, SSH etc. etc. sollen alle in einem internen Netz laufen das von außen natürlich nicht erreichbar sein soll. Ließe sich ja mittels VLAN lösen… Um in dieses Netz zu kommen, brauche ich irgendeine Verbindungsstelle, also irgendein Server der mich dann quasi in mein internes VLAN lässt und verbindet, denn nur dort innerhalb möchte ich Wartungsarbeiten durchführen und auf evtl. Webinterfaces zugreifen. Das Problem, ich möchte mir kein fertiges Hardwaregerät kaufen, stellt nicht OpenVPN dasselbe da? Und ist es damit möglich so was wie RSA SecureID zu benutzen. Diese coolen RSA-Tokens am Schlüsselbund. Oder ist das wieder eine eigene Software die nicht auf Linux funktioniert (Dieser Agent)? Bzw. wie teuer würde so was für ca. 4 Personen kommen? Wenn ich ganz falsch liege bitte gleich hinweisen Bei der Firewall müsste es doch möglich sein, diese vor dem Switch zu integrieren und als eine Art „Bridge“ einzusetzen, ist so etwas möglich? Sprich diese sollte unsichtbar zwischengeschaltet sein ohne eine öffentliche IP. Welche Software kann das realisieren? (m0n0wall & IPcop auch?). Ich hätte dann quasi „Anschlusskabel 1 (Internet vom Provider) -> rein die Firewall prüft und Kabel 2 geht dann weiter zu einem NIDS und von dort zu den öffentlichen Servern. Und eine Schnittstelle ist nur für das Managment da und geht ins interne VLAN. Hier hätte ich zwar ein SPoF aber der ließe sich ja mit einer Backupleitung ohne Firewall umgehen. Bei dem IDS würde ich gerne Snort einsetzen und dieses als NIDS deklarieren und hinter meiner Firewall einsetzen. Dieser Server soll hauptsächlich den http Traffic analysieren. Wäre es dort auch möglich diesen Server Transparent einzusetzen? Ich möchte nämlich keinen Angriffspunkt haben. Auch habe ich Angst über eine Überlastung des NIDS bei Spitzenlasten von über 60mbit/s netto (Es sind vor allem die vielen TCP Verbindungen die mir Angst machen). Daher sah ich was von einer Unterteilung in mehrere logische Segemente? (Tecchannel Bericht) Bei mir: 1.Segment (produktiv-Traffic -> Load-Balancer + Mailserver) 2.Segment (Work-Traffic -> FTP, Entwicklungsmaschine etc.) Reicht dafür trotzdem eine IDS-Maschine und ließe sich das über Regeln und Netzwerkkarten definieren oder müsste ich dann zwei Systeme einsetzen? Das ist jetzt ein ganz schöner Haufen Text, aber ich wollte das nicht Splitten da man sonst die Zusammenhänge nicht kennt. Das wichtigste wäre mir zu wissen ob ich mit meinen Ansäßen in die richtige Richtung gehe oder gerade dabei bin ein völlig falsches Konzept zu entwickeln. Ich bin also über jede Antwort wenn’s auch nur von einem Teil ist, dankbar grüße Jens! Zitieren
lordy Geschrieben 15. März 2007 Geschrieben 15. März 2007 Und zwar habe ich nicht die ausreichenden Kentnisse wie ich folgendes Konzept umsetzen könnte. Dann solltest du dir professionelle Unterstützung suchen. Damit meine ich kein Web-Forum Mein Problem liegt nun in der Umsetzung von mehr Sicherheit. Ich möchte gerne eine Firewall einsetzen und zusätzlich ein IDS um bestimmten Traffic zu filtern. Zusätzlich wäre natürlich noch interessant die ganzen Systeme in einem „internen Netz/VLAN“ laufen zu lassen, eine Art „DMZ“ und in dieses Netz komme ich dann nur mittels eines VPN-Zugangs. D.h. ich habe dann einen öffentlichen IP-Range für Mailserver und die beiden Load-Balancer + FTP-Server. Die ganzen Dinge wie NFS, rsync, snmpd, Apache, Datenbank, SSH etc. etc. sollen alle in einem internen Netz laufen das von außen natürlich nicht erreichbar sein soll. Ließe sich ja mittels VLAN lösen… So sollte man das machen. Möglichst viele Systeme sollten RFC1918-Adressen bekommen und nur Geräte wie Firewall/LoadBalancer sollten mit öffentlichen Adressen und entsprechendem NAT ausgestattet sein. Um in dieses Netz zu kommen, brauche ich irgendeine Verbindungsstelle, also irgendein Server der mich dann quasi in mein internes VLAN lässt und verbindet, denn nur dort innerhalb möchte ich Wartungsarbeiten durchführen und auf evtl. Webinterfaces zugreifen. Das Problem, ich möchte mir kein fertiges Hardwaregerät kaufen, stellt nicht OpenVPN dasselbe da? Und ist es damit möglich so was wie RSA SecureID zu benutzen. Diese coolen RSA-Tokens am Schlüsselbund. Oder ist das wieder eine eigene Software die nicht auf Linux funktioniert (Dieser Agent)? Bzw. wie teuer würde so was für ca. 4 Personen kommen? Wenn ich ganz falsch liege bitte gleich hinweisen OpenVPN. Punkt. Diese Tokens kosten zwar pro Stück nur ca. 150 EUR, die entsprechende Server-Software ist jedoch richtig teuer und einfach Overkill. Bei der Firewall müsste es doch möglich sein, diese vor dem Switch zu integrieren und als eine Art „Bridge“ einzusetzen, ist so etwas möglich? Sprich diese sollte unsichtbar zwischengeschaltet sein ohne eine öffentliche IP. Welche Software kann das realisieren? (m0n0wall & IPcop auch?). Ich hätte dann quasi „Anschlusskabel 1 (Internet vom Provider) -> rein die Firewall prüft und Kabel 2 geht dann weiter zu einem NIDS und von dort zu den öffentlichen Servern. Und eine Schnittstelle ist nur für das Managment da und geht ins interne VLAN. Hier hätte ich zwar ein SPoF aber der ließe sich ja mit einer Backupleitung ohne Firewall umgehen. Du kannst natürlich eine Layer-2 Firewall aufbauen, Stichwort ebtables. Davon rate ich aber ab. Das ganze ist aufwändiger zu konfigurieren und zu warten als ein normales IPtables-Setup. Ich würde eher zusehen, das auf der Firewall so wenig wie möglich läuft und installiert ist. Bei dem IDS würde ich gerne Snort einsetzen und dieses als NIDS deklarieren und hinter meiner Firewall einsetzen. Dieser Server soll hauptsächlich den http Traffic analysieren. Wäre es dort auch möglich diesen Server Transparent einzusetzen? Ich möchte nämlich keinen Angriffspunkt haben. Auch habe ich Angst über eine Überlastung des NIDS bei Spitzenlasten von über 60mbit/s netto (Es sind vor allem die vielen TCP Verbindungen die mir Angst machen). Daher sah ich was von einer Unterteilung in mehrere logische Segemente? (Tecchannel Bericht) Bei mir: 1.Segment (produktiv-Traffic -> Load-Balancer + Mailserver) 2.Segment (Work-Traffic -> FTP, Entwicklungsmaschine etc.) Reicht dafür trotzdem eine IDS-Maschine und ließe sich das über Regeln und Netzwerkkarten definieren oder müsste ich dann zwei Systeme einsetzen? Das IDS würde ich ersatzlos streichen. Ein IDS bringt nämlich nur unter 2 Vorraussetzungen etwas: 1) Es wird ständig mit aktualisierten Regeln versorgt 2) Jemand kontrolliert die Logs Snort scheitert meiner Meinung nach schon an 1 aber spätestens nach einer Woche wirst du eh keine Lust mehr haben 1000 Alarme am Tag durchzuschauen. Zitieren
-uLtrA- Geschrieben 15. März 2007 Autor Geschrieben 15. März 2007 Hi lordy, danke schonmal. Von dir bekommt man immer gute Antworten Ich weiß professionelle Hilfe wäre schon, kostet aber Geld und davon habe ich/wir nicht gerade viel wenn man das Projekt nur nebenbei macht. Das die Sache mit den Token's so teuer ist hätte ich nicht gedacht. uFF Mit dem reinen IPTables Setup meinst du sicherlich die fertigen Dinge wie IPcop etc. oder habe ich das jetzt falsch herrausgelesen? Und zum NIDS, das wäre zu stressig? Ich habe zwar auch schon vermutet das es einige Fehlalarme gibt, aber jetzt wo du es schreibst. Ich dachte nämlich auch das enorm viele Ressourcen verbraucht. Weil es dummerweise jetzt schon bis zu 1500 HTTP Requests pro Sekunde sind. Also ohne IDS wäre auch kein Beinbruch in puncto Sicherheit? Ich hatte halt mal gelesen das es für Snort eine spezialisierte Modul für HTTP Traffic gibt. Das wäre halt sicher praktisch gewesen. Was würdest du eigentlich statt einer aufgesetzten FW und OpenVPN von einer Watchguard Firebox halten? Die Firebox X750e würde ja z.b. beides erfüllen. a) Firewallfunktionen VPN Gateway Der Preis liegt ja um die 2000€ das schon recht happig. Damit ließe sich sicherlich das gewünschte realisieren. Zumal das Gerät ja 8x100mbit Ports hat. Und laut Angaben 300mbit/s packt. Zitieren
lordy Geschrieben 15. März 2007 Geschrieben 15. März 2007 Das die Sache mit den Token's so teuer ist hätte ich nicht gedacht. uFF Ja, das läßt sich RSA gut bezahlen. Mit OpenVPN auf Zertifikats-Basis erreichst du aber ein ähnliches Sicherheitslevel praktisch umsonst. Mit dem reinen IPTables Setup meinst du sicherlich die fertigen Dinge wie IPcop etc. oder habe ich das jetzt falsch herrausgelesen? Hier geht grundsätzlich jede Linux-Box, am besten natürlich mit GR-Security. Beim Frontend hast du dann die freie Wahl. Und zum NIDS, das wäre zu stressig? Ich habe zwar auch schon vermutet das es einige Fehlalarme gibt, aber jetzt wo du es schreibst. Ich dachte nämlich auch das enorm viele Ressourcen verbraucht. Weil es dummerweise jetzt schon bis zu 1500 HTTP Requests pro Sekunde sind. Also ohne IDS wäre auch kein Beinbruch in puncto Sicherheit? Ich hatte halt mal gelesen das es für Snort eine spezialisierte Modul für HTTP Traffic gibt. Das wäre halt sicher praktisch gewesen. Also bei dieser Masse von Traffic mußt du Snort schon sehr ordentliche Hardware geben. Die Frage ist dann auch, welche Aktion willst du überhaupt aus Alarmen ableiten ? Was bringt es dir, zu wissen, das gerade wieder irgendein Wurm versucht hat, cmd.exe aufzurufen ? Ich glaube nicht, das ein Snort wirklich deine Sicherheit erhöht. Du solltest stattdessen deine Zeit lieber in die Webserver investieren, um Apache in ein Chroot zu sperren, mod_security zu konfigurieren, usw. Davon hast du auf lange Sicht mehr. Was würdest du eigentlich statt einer aufgesetzten FW und OpenVPN von einer Watchguard Firebox halten? Die Firebox X750e würde ja z.b. beides erfüllen. a) Firewallfunktionen VPN Gateway Der Preis liegt ja um die 2000€ das schon recht happig. Damit ließe sich sicherlich das gewünschte realisieren. Zumal das Gerät ja 8x100mbit Ports hat. Und laut Angaben 300mbit/s packt. Ich bin kein Freund von solchen Appliances. Dafür habe ich die Freiheit auf einer Linux-Box einfach zu sehr lieben gelernt Für den Preis kannst du dir ohne Probleme sogar zwei Server kaufen und damit eine HA-Firewall bauen... Zitieren
DocInfra Geschrieben 16. März 2007 Geschrieben 16. März 2007 Ich bin kein Freund von solchen Appliances. Dafür habe ich die Freiheit auf einer Linux-Box einfach zu sehr lieben gelernt Dann beschäftige dich mal mehr mit solchen "Appliances". Zur Info: Auf der Watchguard läuft auch nicht mehr als ein Linux. Eine Netscreen von Juniper kann da schon mehr als ein Linux mit ein bisschen IPtables. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.