Re: Firewall mit Whitelist für IPs
Lutz Donnerhacke
* Georg Braun wrote:
> ich suche eine Firewall (Soft/Hardwarel�sung) die von einem
> vertrauensw�rdigen Server immer frisch mit aktualisierten Whitelist versorgt
> wird.
Eine anst�ndige Whitelist gibt es im Beh�rdenverband Bonn-Berlin.
Frank-Michael Gann
grundsï¿œtzlich beginnt es damit zu welchem Zweck du eine White-
Blacklist?! brauchst.
Hast du eine Blacklist?
Welchen Zweck/ Anforderung stellst du an deine Whitelist?
Von wo beziehst du dein DNS Routing?
Die Einstellungen einer Firewall beginnen nicht am Ende, "huch was mach
ich nun - Flaschenhals oder pauschal Reglementierung?".
Was willste mit der Firewall, privat - gewerblich, inwieweit willst die
Usergruppen eingrenzen, begrenzen, welche Hard- Software nutzt du.
Fï¿œr was brauchste denn dein technisches Wunderwerk und welche Firewall,
Hard- Softwarelï¿œsungen, nutzt du?
mfg
fmg
Georg Braun schrieb:
> Hallo
> ich suche eine Firewall (Soft/Hardwarelï¿œsung) die von einem
> vertrauenswï¿œrdigen Server immer frisch mit aktualisierten Whitelist versorgt
> wird.
--
"Je suis un Monarchiste, la Rᅵpublique n'est pas le rᅵgime qu'il faut ᅵ
la Allemagne."
frei in Anlehnung eines Zitates von Charles Andrᅵ Joseph Marie de Gaulle
Georg Braun
"Frank-Michael Gann" <fmg...@gmx.de> schrieb im Newsbeitrag
news:4b1797e2$0$6715$9b4e...@newsspool2.arcor-online.net...
> Hi
>
> grunds�tzlich beginnt es damit zu welchem Zweck du eine White-
> Blacklist?! brauchst.
>
> Hast du eine Blacklist?
>
> Welchen Zweck/ Anforderung stellst du an deine Whitelist?
>
sozialen e.V. im Raum K�ln
die halt ihre Mails abrufen und Web-Seiten im Raum K�ln besuchen.
Ich will verhindern, dass irgendwelche Trojaner (die vielleicht sogar schon
drauf sind), eine Verbindung
nach draussen aufbauen k�nnen. Mit den g�ngigen Malwarescannern konnte ich
bisher nichts finden.
> Von wo beziehst du dein DNS Routing?
NS Netcologne
>
> Die Einstellungen einer Firewall beginnen nicht am Ende, "huch was mach
> ich nun - Flaschenhals oder pauschal Reglementierung?".
> Was willste mit der Firewall, privat - gewerblich, inwieweit willst die
> Usergruppen eingrenzen, begrenzen, welche Hard- Software nutzt du.
Eher privat w�rde ich sagen
>
> F�r was brauchste denn dein technisches Wunderwerk und welche Firewall,
> Hard- Softwarel�sungen, nutzt du?
>
> mfg
> fmg
Bisher Vigor 2910 und Zone Alarm Freeware
>
>
> Georg Braun schrieb:
>> Hallo
>> ich suche eine Firewall (Soft/Hardwarel�sung) die von einem
>> vertrauensw�rdigen Server immer frisch mit aktualisierten Whitelist
>> versorgt
>> wird.
>
>
> --
> "Je suis un Monarchiste, la R�publique n'est pas le r�gime qu'il faut �
> la Allemagne."
> frei in Anlehnung eines Zitates von Charles Andr� Joseph Marie de Gaulle
Robert Jasiek
<xgeo...@hotmail.com> wrote:
>Ich will verhindern, dass irgendwelche Trojaner (die vielleicht sogar schon
>drauf sind), eine Verbindung nach draussen aufbauen k�nnen.
Whiteliste mit Software Restriction Policies oder AppLocker die
Softwares statt der IPs! Das ist erheblich einfacher, weil es viel
weniger benutzte Softwares auf dem lokalen PC als IPs gibt. Du musst
allerdings sicher sein, dass C:\Windows clean ist. Im Zweifel
installiere das Betriebssystem neu. (Standardbenutzer und
Benutzerrechte wirst du ja eh schon verwenden?)
http://home.snafu.de/jasiek/vista_security_concept.html
Nat�rlich kann man auch Firewalls nach Whitelist-Konzept nutzen, aber
dies anhand von IPs zu tun ist so ziemlich die arbeitsintensivste
M�glichkeit, es sei denn, es wird nicht das Internet generell, sondern
nur ein bekanntes soziales Netzwerk mit durchweg statischen IPs
miteinander verbunden.
Frank-Michael Gann
> "Frank-Michael Gann" <fmg...@gmx.de> schrieb im Newsbeitrag
>> Welchen Zweck/ Anforderung stellst du an deine Whitelist?
Kleiner freundlicher Hinweis, abstrahiere deine Anfragen. Wen geht es
etwas an wo und was du installierst?
> Es sollten die "gï¿œngigen" Internetseiten gelistet sein. Ich betreuen einen
> sozialen e.V. im Raum Kï¿œln
> die halt ihre Mails abrufen und Web-Seiten im Raum Kï¿œln besuchen.
"Gï¿œngige Internetseiten" gibt es nicht. Was willst du verhindern?
Porno, Maildienste, sowas wie localisten oder was muss ich mir darunter
vorstellen?
> Ich will verhindern, dass irgendwelche Trojaner (die vielleicht sogar schon
> drauf sind), eine Verbindung
> nach draussen aufbauen kï¿œnnen. Mit den gï¿œngigen Malwarescannern konnte ich
> bisher nichts finden.
1. Deine Hardware bzgl. Port voll blocken und nur die Dienste
durchlassen die notwendig sind. Dein Vigor mï¿œsste das hergeben. if not,
try proxy, why not - is it a problem?
2. Trojaner sind schon drauf? Hᅵ? Was soll der Unfug, du sollest
Backup's haben ï¿œber die Grundinstallation, Daten auf -> Samba_Server,
also, zurï¿œck zu Los. Deine Unsicherheit bringt nur Unruhe. "Am Start
erkennt man den Sieger" Noodles in "once upon a time"
>> Von wo beziehst du dein DNS Routing?
> NS Netcologne
naja, if it's required
> Eher privat wï¿œrde ich sagen
Ok, setze hinter deinen vigor eine ip-cop Kiste und wechsel auf
Zwangsproxy, ordne nachhaltig deine Usergruppen zu und aus die Maus.
> Bisher Vigor 2910 und Zone Alarm Freeware
Laᅵ den Zonealarm weg, achte auf die updates und gehe ᅵber Zwangsproxy
und eine whitelist over IP kostet Kraft, Arbeit und Nerven. Ich rate
davon ab.
mfg
fmg
--
"Je suis un Monarchiste, la Rᅵpublique n'est pas le rᅵgime qu'il faut ᅵ
la Allemagne."
Juergen P. Meier
> On Thu, 3 Dec 2009 14:50:32 +0100, "Georg Braun"
><xgeo...@hotmail.com> wrote:
>>Ich will verhindern, dass irgendwelche Trojaner (die vielleicht sogar schon
>
> Whiteliste mit Software Restriction Policies oder AppLocker die
> Softwares statt der IPs! Das ist erheblich einfacher, weil es viel
> weniger benutzte Softwares auf dem lokalen PC als IPs gibt. Du musst
Das hilft nichts gegen akute Privileg-Erhoehungs-Luecken in Verbindung
mit entsprechend aktueller Schadware.
> Natï¿œrlich kann man auch Firewalls nach Whitelist-Konzept nutzen, aber
> dies anhand von IPs zu tun ist so ziemlich die arbeitsintensivste
> Mï¿œglichkeit, es sei denn, es wird nicht das Internet generell, sondern
> nur ein bekanntes soziales Netzwerk mit durchweg statischen IPs
> miteinander verbunden.
Ich hatte mal ein Kiosksystem gebaut, wo das Whitelist-Konzept im
Routing verankert war. Es hielt den Studenten gut 3 Jahre lang stand.
Der erste erfolgreiche Hack kam nur Tage nachdem meine Nachfolger das
Routing aufgedreht haben und alleine auf Hostbasierte
Sicherheitsvorkehrungen verlassen wollten.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Robert Jasiek
<nospa...@jors.net> wrote:
>> Whiteliste mit Software Restriction Policies oder AppLocker die
>> Softwares statt der IPs! Das ist erheblich einfacher, weil es viel
>> weniger benutzte Softwares auf dem lokalen PC als IPs gibt. Du musst
>
>Das hilft nichts gegen akute Privileg-Erhoehungs-Luecken in Verbindung
>mit entsprechend aktueller Schadware.
Welche L�cken meinst du? Live-Betriebssysteme? Ok... Aber innerhalb
von Windows, wenn der ONU kein Admin-Konto aufrufen kann?
Jens Hektor
> Ich hatte mal ein Kiosksystem gebaut, wo das Whitelist-Konzept im
> Routing verankert war. Es hielt den Studenten gut 3 Jahre lang stand.
Das hï¿œtte ich von Dir so nicht erwartet.
Interessehalber: welche Netze waren denn erlaubt?
Thomas Dreher
> On Fri, 04 Dec 2009 04:50:02 +0000 (UTC), "Juergen P. Meier"
> <nospa...@jors.net> wrote:
>>> Whiteliste mit Software Restriction Policies oder AppLocker die
>>> Softwares statt der IPs! Das ist erheblich einfacher, weil es viel
>>> weniger benutzte Softwares auf dem lokalen PC als IPs gibt. Du musst
>>
>>Das hilft nichts gegen akute Privileg-Erhoehungs-Luecken in Verbindung
>>mit entsprechend aktueller Schadware.
>
> Welche Lücken meinst du? Live-Betriebssysteme? Ok... Aber innerhalb
> von Windows, wenn der ONU kein Admin-Konto aufrufen kann?
http://en.wikipedia.org/wiki/Privilege_escalation
hth
Gruß
Thomas