Internetsäkerhet med Clarkconnect?

Permalänk
Medlem

Internetsäkerhet med Clarkconnect?

Har kör Clarkconnect i flera år förut,men så en dag när jag bytte laptop så skaffade jag en lite dyrare D-link roter som skulle hosta nätverket här hemma.
Dock klarade den då inte det till belåtenhet,så nu är jag tillbaka med Clarkconnect 4.3 och D-linken får agera accesspunkt bara:)

Tyvärr har jag blivit lite nojjig på sista tiden och har börjat att tänka på säkerheten kring vårt nät och vill nu ha lite hjälp:)

Hur lätt är det att forcera en Tex Clarkconnect brandvägg vs en hårdvarubrandvägg? Har några portar som måste vara öppna i brandväggen,fallerar hela säkerheten då?
Och ska jag köra en annan linuxdist istället? mwh Henke

Visa signatur

http://www.tubeamp.se
http://www.sweclockers.com/galleri/6621-rorforstarkarbygge
Nytt rörbygge på g. Hybrid stärkare klar inom kort. Bygger nu även mkt välspelade DAC ar
Ny klass A 30w pushpullstärkare färdigbyggd 2012-10-20. Ska justeras och spelas in,resultat kommer snart på hemsidan

Permalänk
Medlem

Att forcera en linux netfilter baserad brandväg utifrån går inte om den är rätt konfigurerad. Inifrån är det möjligt och därför bör publika servrar, som kan forceras, sättas i DMZ och inte tillåtas att gå in i brandväggen. Clarkconnect på en dator, som inte kör annat, är en hårdvarubrandvägg.

Du skall inte och behöver inte ha andra portar öppna i brandväggen en för SSH inifrån. Men du menar säkert portforwarding, vilket är en annan sak. Så länge som datorerna du forwardar till ligger i DMZ fallerar inte säkerheten. DMZ skall ligga på ett annat logiskt nät än LANet. T.ex. DMZ 192.168.0.0/24 och LAN 192.168.1.0/24.

Vilken Linux-dist du använder saknar betydelse så länge du inte installerar och kör andra applikationer. Alla använder kärnans netfilter, som konfigureras med iptables antingen manuellt eller av ett program.

Visa signatur

Fagerja

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av fagerja
Att forcera en linux netfilter baserad brandväg utifrån går inte om den är rätt konfigurerad. Inifrån är det möjligt och därför bör publika servrar, som kan forceras, sättas i DMZ och inte tillåtas att gå in i brandväggen. Clarkconnect på en dator, som inte kör annat, är en hårdvarubrandvägg.

Du skall inte och behöver inte ha andra portar öppna i brandväggen en för SSH inifrån. Men du menar säkert portforwarding, vilket är en annan sak. Så länge som datorerna du forwardar till ligger i DMZ fallerar inte säkerheten. DMZ skall ligga på ett annat logiskt nät än LANet. T.ex. DMZ 192.168.0.0/24 och LAN 192.168.1.0/24.

Vilken Linux-dist du använder saknar betydelse så länge du inte installerar och kör andra applikationer. Alla använder kärnans netfilter, som konfigureras med iptables antingen manuellt eller av ett program.

Jägarns fagerja,du verkar ha helkoll på detta
Du kommer nog få ett pm om du inte hittar tillabaka hit:)
Nu kommer ja verka helt bortgjord antagligen,men förr har det ju räckt med att portforwarda på CC för att "rätt" port ska hitta till rätt dator på 192.168.XXX.XXX,och lika så på D-linken.
Dmz trodde jag att man typ "kopplade" bort brandväggen och dess regler.

Min CC ligger på eget extern ip med switch bakom och delar dhcp till dom interna burkarna och den agerar bara brandvägg/dhcp i det nätet,men spelserver,foton och rubbet man sparar på ligger typ där.
Men vissa spel/server måste man ju ha öppna portar för.för att det ska fungera,och jag hittar inte ens något dmz i denna CC ?
Tacksam för ännu mer hjälp. mwh henke

Visa signatur

http://www.tubeamp.se
http://www.sweclockers.com/galleri/6621-rorforstarkarbygge
Nytt rörbygge på g. Hybrid stärkare klar inom kort. Bygger nu även mkt välspelade DAC ar
Ny klass A 30w pushpullstärkare färdigbyggd 2012-10-20. Ska justeras och spelas in,resultat kommer snart på hemsidan

Permalänk
Medlem

DMZ (DeMilitarized Zone) står för ett separat subnät så att all trafik mellan DMZ och LAN filtreras av brandväggen. Vanligtvis har man 3 nätverkskort på en brandväggsdator: WAN, LAN och DMZ. Men det går att ha LAN och DMZ på samma fysiska kort. Har du LAN och DMZ på samma kort är skall du göra en alias för det ena subnätet.

En bra guide för IP-tables är:
http://iptables-tutorial.frozentux.net/
Där ingår även exempelskript.

På svenska: http://www.lysator.liu.se/~kjell-e/tekla/linux/

Dina brandvägsregler får du fram med kommandot: iptables-save

Man skall inte ha publika serverapplikationer på en brandvägg. Interna andra än SSH, DHCP, NTP och DNS bör undvikas eller köras i chroot. Policy för INPUT till brandväggen skall vara DROP. För högsta säkerhet bör även policyn för FORWARD och OUTPUT vara DROP.

Visa signatur

Fagerja

Permalänk
Medlem

Känns som jag har en hel del att lära om en brandvägg:) Ska försöka förklara mitt "system" lite först

Från min isp (bahnhof) så kommer det fiber med 10 olika ip n,därför har jag en switch först mot fibern,så att jag har möjlighet att koppla in fler datorer utanför min brandvägg.
I en av portarna i switchen så har jag min Clarkconnect burk som alltså har ett nic med wan ip och det andra nic 192.168.xxx.xxx (gateway)och delar dhcp .

Det interna nic går till switch2 som som bland annat innehåller min lagringsburk som även kör lite program till ett spel jag lirar,därav några portar som är portforwarda. + att i switch2 sitter det ett gäng av ungarnas datorer. Så nu undrar jag lite,jag har sett i Clarkconnect att det finns så jag kan lägga in ett nic med dmz oxå,men vart ska jag ha den till för burk?
Och jag kan egenligen inget om linux utan använder web gränssnitt till Clarkconnect Tack för hjälpen Mwh Henke

Visa signatur

http://www.tubeamp.se
http://www.sweclockers.com/galleri/6621-rorforstarkarbygge
Nytt rörbygge på g. Hybrid stärkare klar inom kort. Bygger nu även mkt välspelade DAC ar
Ny klass A 30w pushpullstärkare färdigbyggd 2012-10-20. Ska justeras och spelas in,resultat kommer snart på hemsidan

Permalänk
Medlem

DMZ skall användas till publika servrar som t.ex. HTTP- (webb), FTP- eller spelserver. Om du inte har någon sådan så behöver du inte DMZ. Det är möjligt att spelet fungerar utan portforwarding då Netfilter har connection-tracking, d.v.s. att en etablerad förbindelse kan använda flera portar. Om det fungerar för spelet beror på vilket protokoll spelet använder. Om det inte fungerar så måste du använda portforwarding.

Genom att använda alias på WAN-nicet så kan du låta alla externa IP gå genom brandväggen.

Visa signatur

Fagerja

Permalänk
Hedersmedlem
Citat:

Ursprungligen inskrivet av fagerja
DMZ (DeMilitarized Zone) står för ett separat subnät så att all trafik mellan DMZ och LAN filtreras av brandväggen. Vanligtvis har man 3 nätverkskort på en brandväggsdator: WAN, LAN och DMZ. Men det går att ha LAN och DMZ på samma fysiska kort. Har du LAN och DMZ på samma kort är skall du göra en alias för det ena subnätet.

Jag skulle inte kalla det för dmz isåfall, hela idén är ju att datorer i de olika näten inte ska kunna interagera fritt med varandra. blir en server komprometterad kan attackeraren enkelt komma åt ditt lan genom att välja ett annat ip. Såvida du inte har en managed switch som separerar dem i olika vlan.

Visa signatur

I have free will but I choose to oscillate

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Aphex
Jag skulle inte kalla det för dmz isåfall, hela idén är ju att datorer i de olika näten inte ska kunna interagera fritt med varandra. blir en server komprometterad kan attackeraren enkelt komma åt ditt lan genom att välja ett annat ip. Såvida du inte har en managed switch som separerar dem i olika vlan.

Visst har du rätt i att säkerheten försämras kraftigt jämnfört med fysiskt åtskilda nät.

Visa signatur

Fagerja