Welches FW-Konzept ist empfehlenswerter???
Joachim
zu realisieren. Momentan läuft der Internetzugang und Mailabruf nur über
einen Bintec-Router, ca8-10 User.
Jetzt liegen uns 2 Angebote vor: ( Userzahl soll auf ca 25 wachsen)
1.) Watchguard-Firewall und Linux-Mailserver dahinter
2.) externe Linux-Firewall - DMZ mit Linux-Mailserver - interne Linux-Firewall
Kann mir ein Experte mal seine Meinung dazu sagen? Ist die DMZ-Lösung
für einen reinen Mailserver nicht etwas übertrieben? Jeweilige Kosten sind
zweitrangig, bzw. ich möchte nur wissen, wie sinnvoll die beiden
Konzepte in Bezug auf die Anforderung sind, also Internetzugang
und Mailverkehr, keine angebotenen Dienste nach außen.
Vielen Dánk.
Eugen Neu
Realname. Score:: -1
> Jetzt liegen uns 2 Angebote vor: ( Userzahl soll auf ca 25 wachsen)
> 1.) Watchguard-Firewall und Linux-Mailserver dahinter
>
> 2.) externe Linux-Firewall - DMZ mit Linux-Mailserver - interne Linux-Firewall
Wie wäre es mit
3.) Linux-Mailserver
Eugen
--
Checkpoint liest man oefters mal auf bugtraq. So wie alles andere da
regelmaessig vorbeiflattert, von den Loesungen eines gewissen
Hr. Bernstein vielleicht mal abgesehen.
Urs [Ayahuasca] Traenkner in dcsf
Robin S. Socha
> Unsere Firma hat 2 Angebote vorliegen, einen neuen Mailserver +
> Firewall zu realisieren. Momentan läuft der Internetzugang und
> Mailabruf nur über einen Bintec-Router, ca8-10 User. Jetzt liegen uns
> 2 Angebote vor: ( Userzahl soll auf ca 25 wachsen) 1.)
> Watchguard-Firewall und Linux-Mailserver dahinter
>
> 2.) externe Linux-Firewall - DMZ mit Linux-Mailserver - interne
> Linux-Firewall
>
> Kann mir ein Experte mal seine Meinung dazu sagen? Ist die DMZ-Lösung
> für einen reinen Mailserver nicht etwas übertrieben?
OpenBSD/qmail braucht keine Firewall - Eure Maschinen dahinter
vielleicht schon.
> Jeweilige Kosten sind zweitrangig, bzw. ich möchte nur wissen, wie
> sinnvoll die beiden Konzepte in Bezug auf die Anforderung sind, also
> Internetzugang und Mailverkehr, keine angebotenen Dienste nach außen.
Junge, das ist hier nun schon *so* oft durchgekaut worden...
--
begin Winblows.mpg.exe
"a@b c"@d
Joe Saccone
>Junge, das ist hier nun schon *so* oft durchgekaut worden...
Genialer Spruch.
"Meister, wie erkenne ich ob auf dem Draht noch Strom drauf ist?"
"Junge, das ist hier nun schon *so* oft durchgekaut worden..."
"Herr Lehrer, warum darf ich nicht Wasser in die Säure tun sondern nur
umgekehrt?"
"Junge, das ist hier nun schon *so* oft durchgekaut worden..."
"Darf ich nun beim Baden den Fön mitnehmen oder nicht?"
"Junge, das ist hier nun schon *so* oft durchgekaut worden..."
Im übrigen bin ich der Meinung, dass diese Gruppe eingefroren werden
und lediglich einmal im Monat ein Link auf ein Archiv gepostet werden
sollte, da ja eh schon alles mal durchgekaut wurde. Wozu also noch
diese Interaktionen.
Gruß
Joe
--
/"\ ASCII Ribbon Campaign
\ /
X No HTML in
/ \ email & news
Joern Seemann
> Watchguard-Firewall und Linux-Mailserver dahinter
>
> 2.) externe Linux-Firewall - DMZ mit Linux-Mailserver - interne
> Linux-Firewall
Es kommt ganz darauf an wer dies aufsetzt und später betreut. Ansonsten
habe ich keine gute Erfahrungen mit Watchguard gemacht, dann lieber
iptables.
Gruss Jörn
--
overnewsed but underinformed
Christian Loew
> habe ich keine gute Erfahrungen mit Watchguard gemacht, dann lieber
> iptables.
darf man Fragen welche schlechte Erfahrungen das waren?
Chris
--
end
This posting is incompatible with broken newsreaders
Edin Dizdarevic
Joachim schrieb:
Hi,
1. Dass ein "nicht Experte" über solche Sachen entscheiden soll, ist schon mal
sehr unvorteilhaft
2. Man kann in diesem Fall nicht einfach sagen dieses Konzept ist besser als
jenes. Da keiner hier eure tatsächliche Lage/Anforderungen kennt, gibt es
so wenig antworten.
3. Lasst euch in Ruhe beraten und schreibt vorher die Anforderungen nieder.
Beste Grüße,
Edin
--
Edin Dizdarevic
Urs [Ayahuasca] Traenkner
Keine Dienste nach aussen? Dann tut eigentlich ein Rechner, auf dem Euer
Mailserver nach intern laeuft, und der ferner (via NAT, Proxy, sucht
Euch was aus) Inet fuer das LAN bereitstellt.
Problem 1: wenn der Rechner gekapert wird, dann ist das LAN offen.
Schlecht. Also arbeiten sollte daran keiner.
Problem 2: Fuer das Angriffsmuster LAN --> Internet gilt dasselbe.
Sprich, der Rechner sollte nicht gerade alles an Services anbieten, was
die entspr. Linux-Version so hergibt.
Was spricht denn gegen eine dreibeinige Loesung? (ein Linuxrechner mit 3
Netzwerkkarten und Paketfiltersoftware, an dritter NW-Karte der
Mailserver). Waere mir jetzt mal am sympathischsten. Dann ist auch nicht
gleich Polen offen, falls doch mal jemand aus Versehen die Kiste
aufkriegt (auch wenn ich jetzt nicht wuesste, wie das gehen soll, aber
eventuell soll in Zukunft ja nochmal ein kleiner Webserver dahin?).
Gruss Urs...
--
Schnueffelschmatzsauger...
Eugen Neu
>>Junge, das ist hier nun schon *so* oft durchgekaut worden...
>
> Genialer Spruch.
> "Meister, wie erkenne ich ob auf dem Draht noch Strom drauf ist?"
> "Junge, das ist hier nun schon *so* oft durchgekaut worden..."
Erkennst du die Dummheit dieses Vergleichs wirklich nicht?
Kein Meister wird täglich die selbe Frage beantworten, besonders nicht,
wenn der Lehrling die Antwort mit etwas Selbsinitiative alleine
herausfinden kann.
<http://groups.google.de>
<http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html>
> Im übrigen bin ich der Meinung, dass diese Gruppe eingefroren werden
> und lediglich einmal im Monat ein Link auf ein Archiv gepostet werden
> sollte, da ja eh schon alles mal durchgekaut wurde. Wozu also noch
> diese Interaktionen.
Score:: -1
Wenn das deine Meinung ist, warum liest du hier noch mit und lässt auch
noch unqualifizierte Bemerkungen von dir?
Eugen
--
Checkpoint liest man oefters mal auf bugtraq. So wie alles andere da
regelmaessig vorbeiflattert, von den Loesungen eines gewissen
Hr. Bernstein vielleicht mal abgesehen.
Urs Traenkner in dcsf
Joe Saccone
>Kein Meister wird täglich die selbe Frage beantworten, besonders nicht,
>wenn der Lehrling die Antwort mit etwas Selbsinitiative alleine
>herausfinden kann.
Mal völlig davon abgesehen, dass es sich bei dem einfachem Beispiel
einfach nur um eben ein einfaches Beispiel handelt, glaube ich nicht,
dass der Ursprungsposter Joachim täglich diesselbe Frage immer und
immer wieder gestellt hat. Ferner kann man _alles_ mit etwas
Selbstinitiative herausfinden, was ein weiterer Grund für das
Einfrieren dieser NG wäre.
Ja eben: wozu also noch diese NG? Ist doch alles archiviert, wurde
schliesslich alles schon mal durchgekaut. Deswegen nochmals meine
Meinung: dcsf einfrieren, und lediglich einmal im Monat einen Link zu
einem Archiv posten.
><http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html>
Du möchtest mir bitte mal zeigen, wo in diesem Link hervorgeht,
- ob die DMZ-Lösung für einen reinen Mailserver nicht
etwas übertrieben ist.
- ob in Bezug auf die Anforderungen für einen Internetzugang und
Mailverkehr das DMZ-Konzept oder eine Lösung mit der
Watchguard-Firewall und einem Linux-Mailserver hinten dran
sinnvoller ist.
Danke im voraus.
Gruß
Joe
Ulrich Eckhardt
>
> Unsere Firma hat 2 Angebote vorliegen, einen neuen Mailserver + Firewall
> zu realisieren. Momentan läuft der Internetzugang und Mailabruf nur über
> einen Bintec-Router, ca8-10 User.
> Jetzt liegen uns 2 Angebote vor: ( Userzahl soll auf ca 25 wachsen)
> 1.) Watchguard-Firewall und Linux-Mailserver dahinter
>
> 2.) externe Linux-Firewall - DMZ mit Linux-Mailserver - interne Linux-Firewall
Hi,
so ohne euer Konzept genau zu kennen, kann man eigentlich nur
etwas orakeln.
Konzept 1+2 sehen eher aus, als wären die von einem Marketingmensch
erstellt. z.B. die korrekte Beschreibung für Konzept 2 wäre
Packetfilter auf Linux-Basis - DMZ mit Mailserver - Packetfilter.
Je nach dem, was euer Bintec router genau an Möglichkeiten bietet,
könnte der erste Packetfilter euer Router sein.
> Kann mir ein Experte mal seine Meinung dazu sagen? Ist die DMZ-Lösung
> für einen reinen Mailserver nicht etwas übertrieben? Jeweilige Kosten sind
Es kommt halt drauf an, was Ihr genau machen wollt. Konzept 2 ist die
klassische Lehrbuchlösung. Da läßt sich dann auch problemlos
der eigene Webserver und eventuell weitere Services dazustellen.
> zweitrangig, bzw. ich möchte nur wissen, wie sinnvoll die beiden
> Konzepte in Bezug auf die Anforderung sind, also Internetzugang
> und Mailverkehr, keine angebotenen Dienste nach außen.
Dumme Frage, warum bittet Ihr nicht einfach eueren Provider,
25 pop Accounts zur Verfügung zu stellen. AFAIK kann der
Bintec Router Masquerading und unterbindet damit genauso
zuverlässig Verbindungsversuche von Ausserhalb wie Konzept
1+2.
Zudem kommts auch stark darauf an, wer euere Lösungen wartet,
welche Netzanbindung etc. Wartung ist übrigens ein wichtiges
Kriterium, da Linux oder Watchguard nicht gleichbedeutend mit
immerwährender Sicherheit ist.
Uli
--
Ulrich Eckhardt Transcom
http://www.uli-eckhardt.de http://www.transcom.de
Lagerstraße 11-15 A8
64807 Dieburg Germany
Bernd Eckenfels
> Was spricht denn gegen eine dreibeinige Loesung? (ein Linuxrechner mit 3
> Netzwerkkarten und Paketfiltersoftware, an dritter NW-Karte der
> Mailserver).
Das duerfte die Watchguard Loesung sein, die hat ein DMZ Interface.
Wenn Ihr keinen Linux Experten habt der 2 Firewalls warten kann, dann ist
das clicki clicki interfacer der watchguard sicher besser. Was die Loesung
zwar nicht gut macht, aber immerhin besser :)
Gruss
Bernd
Joern Seemann
>> habe ich keine gute Erfahrungen mit Watchguard gemacht, dann lieber
>> iptables.
>
> darf man Fragen welche schlechte Erfahrungen das waren?
Das "Regelwerk" welches vom Policy-Editor angezeigt wird ist für mich
nicht eindeutig bzw. missverständlich. Desweiteren ist die Reihenfolge
der Regeln abhängig von bestimmten Vorgaben und ich habe auch nichts
entdeckt wie ich diese ändern könnte. Das schafft Verwirrung und ist
damit Kontraproduktiv.
Felix J. Ogris
>
> Das "Regelwerk" welches vom Policy-Editor angezeigt wird ist für mich
> nicht eindeutig bzw. missverständlich. Desweiteren ist die Reihenfolge
> der Regeln abhängig von bestimmten Vorgaben und ich habe auch nichts
Inwiefern ist die Reihenfolge der Regeln von Vorgaben abhängig? Die
Regeln kann man doch zusammenklicken, wie man möchte, da sie
(hoffentlich) von der Firebox korrekt aufgelöst werden.
Felix
Juergen P. Meier
> Joe Saccone <no_e...@gmx.net> wrote:
>
>>>Junge, das ist hier nun schon *so* oft durchgekaut worden...
>>
>> Genialer Spruch.
>> "Meister, wie erkenne ich ob auf dem Draht noch Strom drauf ist?"
>> "Junge, das ist hier nun schon *so* oft durchgekaut worden..."
>
> Erkennst du die Dummheit dieses Vergleichs wirklich nicht?
>
> Kein Meister wird täglich die selbe Frage beantworten, besonders nicht,
> wenn der Lehrling die Antwort mit etwas Selbsinitiative alleine
> herausfinden kann.
..sie zum bleistift an der Grossen Tafel an der Wand haengen (FAQ-liste).
><http://groups.google.de>
><http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html>
>
>> Im übrigen bin ich der Meinung, dass diese Gruppe eingefroren werden
>> und lediglich einmal im Monat ein Link auf ein Archiv gepostet werden
>> sollte, da ja eh schon alles mal durchgekaut wurde. Wozu also noch
>> diese Interaktionen.
>
> Score:: -1
> Wenn das deine Meinung ist, warum liest du hier noch mit und lässt auch
> noch unqualifizierte Bemerkungen von dir?
Trolleritis...
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
This is it. Nothing more to come. There is no more text. It's the
end
Joe Saccone
Juergen P. Meier schrieb am Sat, 1 Jun 2002 07:37:12 +0000 (UTC):
>..sie zum bleistift an der Grossen Tafel an der Wand haengen (FAQ-liste).
>><http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html>
Ich fragte das folgende ja bereits Herrn Egon, aber wahrscheinlich
schlummere ich dort sowieso schon ob meines Frevels in den Tiefen des
Killfilters bei Wasser und Brot:
Wo geht aus der FAQ heraus:
- ob die DMZ-Lösung für einen reinen Mailserver nicht
etwas übertrieben ist.
- ob in Bezug auf die Anforderungen für einen Internetzugang und
Mailverkehr das DMZ-Konzept oder eine Lösung mit der
Watchguard-Firewall und einem Linux-Mailserver hinten dran
sinnvoller ist.
Du willst also allen Ernstes behaupten, dass diese Fragen hier in dcsf
nicht diskutierbar sind? Das musst Du aber schon genauer erklären.
>Trolleritis...
Ja genau: ich halte die obigen Fragen des Ursprungsposters für
diskutierwürdig, und deswegen bin ich ein Troll. Klasse!
Gruß
Joe
p&m
--
Alle angegebenen Email-Adressen sind
rfc-konform und bouncen nicht.
Jens Hoffmann
Joe Saccone <no_e...@gmx.net> wrote:
>
>- ob die DMZ-Lösung für einen reinen Mailserver nicht
> etwas übertrieben ist.
>
>- ob in Bezug auf die Anforderungen für einen Internetzugang und
> Mailverkehr das DMZ-Konzept oder eine Lösung mit der
> Watchguard-Firewall und einem Linux-Mailserver hinten dran
> sinnvoller ist.
Fuer Dich scheint das Krawattenargument tauglich zu sein.
Berechne, was es maximal kostet, wenn Deine Sicherungsmassnahmen durchbrochen werden.
Entscheide, welchen Prozentsatz davon Du investieren willst.
Investiere dieses Geld um die maximal sicherste Leosung zu implementieren,
die es fuer dieses Geld gibt.
Auf Anfrage gerne in Powerpoint und huebsch (Dann allerdings gegen Kohle, die
bei 3 einzurechnen ist ;))
Gruss,
Jens
Joe Saccone
>Fuer Dich scheint das Krawattenargument tauglich zu sein.
Ne, ich bin nicht der Ursprungsposter, sondern per definitionem eines
gewissen Juergen P. Meier nur ein einfacher Troll.
>Berechne, was es maximal kostet, wenn Deine Sicherungsmassnahmen durchbrochen werden.
(...)
Das sollte wenn überhaupt den Ursprungsposter interessieren. Wer
weiss, vielleicht bezahlt er Dich ja wirklich für ein paar schöne
Sheets.
Gruß
Joe
Bernd Eckenfels
> Berechne, was es maximal kostet, wenn Deine Sicherungsmassnahmen durchbrochen werden.
> Entscheide, welchen Prozentsatz davon Du investieren willst.
Statt eine Zahl zu raten und eine zahl willkuerlich festzulegen kann man
auch gleich ein Budget bestimmen. Ist einfacher. Das hat aber nix mit der
Auswahl der Lösung zu tun (ich gehe davon aus dass die Loesungen die nicht
im Budget liegen nicht aufgefuehrt wurden).
> Investiere dieses Geld um die maximal sicherste Leosung zu implementieren,
> die es fuer dieses Geld gibt.
Dies setzt voraus, dass die sicherste Loesung auch die teuerste ist, eine
gewagte Annahme.
Schlipstraeger sind nicht immer so doof oder haben es so einfach wie ihr das
darstellt.
Gruss
Bernd
Joern Seemann
>> Das "Regelwerk" welches vom Policy-Editor angezeigt wird ist für mich
>> nicht eindeutig bzw. missverständlich. Desweiteren ist die Reihenfolge
>> der Regeln abhängig von bestimmten Vorgaben und ich habe auch nichts
>
> Inwiefern ist die Reihenfolge der Regeln von Vorgaben abhängig?
IIRC Handbuch S.102 bei Version 5
> Die Regeln kann man doch zusammenklicken, wie man möchte, da sie
> (hoffentlich) von der Firebox korrekt aufgelöst werden.
Allein Dein Wort "hoffentlich" drückt genau aus was ich meine. Wenn ich
eine Firewall habe und hoffen muss ist das Schlicht Unsicher.
Bernd Raschke
>> "Meister, wie erkenne ich ob auf dem Draht noch Strom drauf ist?"
>> "Junge, das ist hier nun schon *so* oft durchgekaut worden..."
>
>wenn der Lehrling die Antwort mit etwas Selbsinitiative alleine
>herausfinden kann.
rausfinden wollte, wie man Strom auf dem Draht findet? "Wir brauchen einen
neuen Timmy!"
SCNR,
Arty
--
Bernd Raschke NetAge Solutions GmbH
Opinions expressed herein are my own and may not represent those of my employer.
Jens Hoffmann
Bernd Eckenfels <ecki-new...@lina.inka.de> wrote:
>Jens Hoffmann <j...@bofh.de> wrote:
>> Berechne, was es maximal kostet, wenn Deine Sicherungsmassnahmen durchbrochen werden.
>> Entscheide, welchen Prozentsatz davon Du investieren willst.
>
>Statt eine Zahl zu raten
Wer redet hier von raten? Ausser Dir niemand. Berechnen und Entscheiden waren die Verben.
>und eine zahl willkuerlich festzulegen kann man
>auch gleich ein Budget bestimmen. Ist einfacher.
LOL.
>Das hat aber nix mit der
>Auswahl der Lösung zu tun (ich gehe davon aus dass die Loesungen die nicht
>im Budget liegen nicht aufgefuehrt wurden).
Ehm. Du liegst zu Frueh. Nach dem Dritten Satz beschaeftigst Du Dich
langsam mit Loesungen. Loesungen die ausserhalb des Budgets leigen werden
naturgemaess nicht implementiert. Die AUswahl kostet uebrigens auch Geld.
Also erst recht erst nach dem Dritten Satz moeglich ;)
>> Investiere dieses Geld um die maximal sicherste Leosung zu implementieren,
>> die es fuer dieses Geld gibt.
>
>
>Dies setzt voraus, dass die sicherste Loesung auch die teuerste ist, eine
>gewagte Annahme.
Nein, ich gab eine obere Schranke der Menge Geld, die man ausgeben kann,
ich habe nicht gesagt, kaufe die maximal teure Loesung.
>Schlipstraeger sind nicht immer so doof oder haben es so einfach wie ihr das
>darstellt.
Du musst noch ein bischen Knoten binden ueben ;))
Gruss,
Jens
Urs [Ayahuasca] Traenkner
> Urs [Ayahuasca] Traenkner <urs.tr...@rz.tu-ilmenau.de> wrote:
>> Was spricht denn gegen eine dreibeinige Loesung? (ein Linuxrechner mit 3
>> Netzwerkkarten und Paketfiltersoftware, an dritter NW-Karte der
>> Mailserver).
> Das duerfte die Watchguard Loesung sein, die hat ein DMZ Interface.
Wie teuer is'n das Ding? Support?
> Wenn Ihr keinen Linux Experten habt der 2 Firewalls warten kann, dann ist
> das clicki clicki interfacer der watchguard sicher besser. Was die Loesung
> zwar nicht gut macht, aber immerhin besser :)
Hm, naja, haengt sehr stark von der Art Internet, die den Clients
offeriert werden soll, ab, wuerde ich sagen. Wenn es nur
definiert http und aehnlich "einfaches" Zeug sein soll, dann bis
Du mit einer kleinen Linux-Distribution und ipchains schonmal gut
bedient. Wenn es dann doch aktive Protokolle a la P2P sein
sollen, muss schon mind. iptables ran usw.
Aber so unendlich kompliziert ist die Einarbeitung in die
Thematik nun auch nicht.
Gruss Urs...
--
Wenn man nur einen Hammer als Werkzeug hat, sieht jedes
Problem aus wie ein Nagel.
Eugen Neu
>><http://groups.google.de>
>
> Ja eben: wozu also noch diese NG? Ist doch alles archiviert, wurde
> schliesslich alles schon mal durchgekaut. Deswegen nochmals meine
> Meinung: dcsf einfrieren, und lediglich einmal im Monat einen Link zu
> einem Archiv posten.
Nein, es wurde noch nicht alles durchgekaut. Sein Problem jedoch, oder
zumindest ein ähnlich, wurde hier bestimmt schon ein dutzend Mal
besprochen.
Um mal wieder einen konstruktiven Beitrag zu diesem Thread zu leisten:
>><http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html>
>
> Du möchtest mir bitte mal zeigen, wo in diesem Link hervorgeht,
Natürlich steht es dort nicht explizit drin, man kann es daraus jedoch
ableiten.
> - ob die DMZ-Lösung für einen reinen Mailserver nicht
> etwas übertrieben ist.
Für einen einzelnen Mailserver benötigt man weder DMZ noch Paketfilter.
Verbindungsaufnahmen zum Mailserver müssen möglich sein, also können
auch Sicherheitslücken in $SMTP_SERVER_SOFTWARE ausgenutzt werden.
Andere Dienste haben auf dem Host nichts zu suchen.
> - ob in Bezug auf die Anforderungen für einen Internetzugang und
> Mailverkehr das DMZ-Konzept oder eine Lösung mit der
> Watchguard-Firewall und einem Linux-Mailserver hinten dran
> sinnvoller ist.
Die Frage ist doch, was damit restriktiert/geschützt werden soll. Welche
positiven Auswirkungen auf die Sicherheit des Mailservers haben die oben
genannten Konzepte?
Eugen
--
Checkpoint liest man oefters mal auf bugtraq. So wie alles andere da
regelmaessig vorbeiflattert, von den Loesungen eines gewissen
Hr. Bernstein vielleicht mal abgesehen.
Urs [Ayahuasca] Traenkner in dcsf
drill.ing
gruß
noch´n troll
"Joe Saccone" <no_e...@gmx.net> schrieb im Newsbeitrag
news:3cfe8fe5...@news.23annuitcoeptis5.org...
Dietz Proepper
> Hi,
>
> Bernd Eckenfels <ecki-new...@lina.inka.de> wrote:
>>Jens Hoffmann <j...@bofh.de> wrote:
>>> Berechne, was es maximal kostet, wenn Deine Sicherungsmassnahmen durchbrochen werden.
>>> Entscheide, welchen Prozentsatz davon Du investieren willst.
>>
>>Statt eine Zahl zu raten
>
>
> Wer redet hier von raten?
Wenn man es öfters macht und u.U. auch mal die eigenen Zahlen bei
mehr als 10 (Kunden*Jahre) verfolgen kann dann weiß man daß Raten
durchaus der angemessene Begriff ist.
> Ausser Dir niemand. Berechnen und Entscheiden waren die Verben.
Die Berechnung ist in aller Regel nicht seriös durchführbar. Bzw.
man bekommt Zahlen heraus die auch mit Kilogrämmern an Salz ge-
nossen nicht wirklich weiterbringen.
Dietz
Dietz Proepper
> Urs [Ayahuasca] Traenkner <urs.tr...@rz.tu-ilmenau.de> wrote:
>> Was spricht denn gegen eine dreibeinige Loesung? (ein Linuxrechner mit 3
>> Netzwerkkarten und Paketfiltersoftware, an dritter NW-Karte der
>> Mailserver).
>
> Das duerfte die Watchguard Loesung sein, die hat ein DMZ Interface.
>
> Wenn Ihr keinen Linux Experten habt der 2 Firewalls warten kann,
Wenn sie keinen Experten haben dann müssen sie entweder ohne auskommen
oder sich einen mieten. Das müssen sie btw. auch für das
click'er'di'click-Produkt.
> dann ist das clicki clicki interfacer der watchguard sicher besser.
Zumindest die GF kann sich beruhigt zurücklehnen. Ob die Verwendung
von Dingen auf der Watchguard-Ebene irgendeine messbare Veränderung
der "Sicherheit" des Anwenders bringt halte ich für äußerst fraglich.
Nachwievor ist ein GUI kein Ersatz für Wissen.
> Was die Loesung
> zwar nicht gut macht, aber immerhin besser :)
Das Problem ist weniger das konkret verwendete Produkt. Das Problem
ist die Kompetenz des deployenden. Hat er solche so wird er normaler-
weise Dinge wie Watchguard, Checkpoint o.ä. nicht ins Gespräch bringen.
Dietz
Felix von Leitner
> Kann mir ein Experte mal seine Meinung dazu sagen? Ist die DMZ-Lösung
> für einen reinen Mailserver nicht etwas übertrieben? Jeweilige Kosten sind
> zweitrangig, bzw. ich möchte nur wissen, wie sinnvoll die beiden
> Konzepte in Bezug auf die Anforderung sind, also Internetzugang
> und Mailverkehr, keine angebotenen Dienste nach außen.
Beide können gut und schlecht implementiert werden. Laß das von
jemandem machen, der sich damit auskennt.
Die DMZ-Installation macht in jedem Fall Sinn.
Felix
Joe Saccone
(...)
>Welche
>positiven Auswirkungen auf die Sicherheit des Mailservers haben die oben
>genannten Konzepte?
Keine Ahnung, das sollte man den Ursprungsposter Joachim fragen, der
sich aber scheinbar nach dem Abschicken seines Postings in Luft
aufgelöst hat.
Felix von Leitner
> OpenBSD/qmail braucht keine Firewall - Eure Maschinen dahinter
> vielleicht schon.
http://freshmeat.net/releases/86421/
Changes: This release includes some major security fixes.
Focus License
Major security fixes BSD License
Und nach SECURITY FIX kannst du ja selber im Changelog greppen.
OpenBSD ist vielleicht sicherer als NetBSD (ich bin mir da übrigens
nicht so sicher), aber als sicheres Betriebssystem kann man es lange
nicht bezeichnen.
Felix
Stefan Rohr
ich weis nicht, ob du schon eine Entscheidung getroffen hast.
Ich kann dazu nur sagen, dass wir auch die Lösung 1 am laufen hatten
(Watchguard und Linux Mail Relay in der DMZ und einen Exchange im Trustet
net).
Die Watchguard hat in meinen Augen den für Firewall Anfänger den ganz
grossen Vorteil einer sehr guten Management Software und eines sehr gut
funktionierenden Supports. Sprich du generiertst eine Rule (in einer
grafischen Oberfläche) und siehst dann im real time Monitor ob ein Paket
allowed oder denied ist. Ich habe jetzt mit einem ISA Server zu kämpfen und
suche verzweifeld nach einem ähnlichen tool. Also wenn du das Kleingeld zur
verfügung hast, kann ich dir die Watchgurad nur empfehlen.....
cu
stefan