Firewall auf Linux-Fileserver?

Quintus14 · 13.11.2010, 16:55

Hi,

ich hab' schon wo die Bemerkung gelesen, dass man Fileserver & Firewall aus Sicherheitsgründen nicht auf einem Rechner laufen lassen sollte - bei mir läuft's aber so seit vielen Jahren zur vollsten Zufriedenheit: mein Linux-Server spielt Fileserver, Firewall (daher 2 NICs), Printerserver, ...

Nachdem ich über den Bau eines neuen Linux-Servers nachdenke - wieder so? Alternative? D.h. wie groß ist die Gefahr, dass ungebetene Besucher über das Speedtouch der Telekom und die Shorewall am Centos-Server rein kommen?

Thx
Quintus

ingomar · 14.11.2010, 00:00

sagen wir mal so: grundsätzlich könnte man ja domain controller, fileserver und firewall auf einem gemeinsamen system zusammen-virtualisieren oder auch betreiben.

aus gründen einerseits der sicherheit und andererseits der betriebssicherheit mag es sinn machen, das aufzutrennen.

dazu mehr: bei einem config-fehler oder fehlerhaften update hängt der fileserver "plain" im internet - was meist als suboptimal empfunden wird.
desweiteren bedeutet ein reboot des fileservers automatisch auch, dass internet nicht geht - auch nicht gerade toll.

wenn für den einsatzzweck niedrige verfügbarkeit und die option, was falsch zu machen, akzeptabel sind, spricht nix dagegen.

enjoy2 · 14.11.2010, 06:52

es ist die Gefahr, dass jemand über das Speedtouch hereinkommt schon sehr gering

das Problem ist imho mehr, dass man selbst Lücken öffnet und da helfen auch mehrere Firewalls dann nicht

ANOther · 14.11.2010, 10:26

> sagen wir mal so: grundsätzlich könnte man ja domain controller, fileserver und firewall auf einem gemeinsamen system zusammen-virtualisieren oder auch betreiben.

SBS2000?

@OP
> wie groß ist die Gefahr, dass ungebetene Besucher über das Speedtouch der Telekom und die Shorewall am Centos-Server rein kommen?

lässt sich so nicht sagen. wenn das speedtouch auf "single-user" ist, ist es quasi gar nicht da, also kann jeder "angreifer" direkt auf die shorewall
ist es auf "multiuser", ist es erst mal ziemlich dicht, so dicht, dass niemand "aus versehen" auf deine kiste kommt. auch erscheinst du den scriptkiddies nicht als "interessant"...

alles ändert sich, wenn du der welt dienste in deinem netz anbietest

das wär dann der punkt, wo ich persönlich meine daten (fileserver) von der firewall fernhalten würde...

zonediver · 15.11.2010, 20:56

Das ist genau der Punkt - Dienst stellt man "hinter" der Firewall zur Verfügung und ned "auf" der Firewall - daher wird das immer getrennt und jeder Experte wird dir dringend davon abraten, sowas auf einem Kombirechner mit integrierter Firewall laufen zu lassen.

Quintus14 · 15.11.2010, 22:37

Zitat:

Zitat von zonediver

Das ist genau der Punkt - Dienst stellt man "hinter" der Firewall zur Verfügung und ned "auf" der Firewall...

Ich stell' ja keinen Dienst nach außen zur Verfügung - also wär's doch OK. Oder?

Quintus

superuser · 16.11.2010, 20:08

hai,

nur zur Überlegung, hackt jemand deine Firewall ist er sofort auf deinem Fileserver also auf deinen Daten.
Bei uns gibt es keine einzige Lösung bei der Firewall und Fileserver auf einem einzigen Rechner laufen.

lg

Philipp · 16.11.2010, 20:25

Eine gute Firewall lässt sich nicht Hacken

Quintus14 · 16.11.2010, 20:32

Zitat:

Zitat von superuser

hackt jemand deine Firewall ist er sofort auf deinem Fileserver also auf deinen Daten.

Macht das so viel Unterschied, wenn die Daten dann einen Rechner weiter im Netz liegen? Bringt da die interne "Arbeitsgruppe" noch was?

@Philipp: die Shorewall ist sicher besser als ich sie bedienen kann - Ihr habt mir da ja damals dankenswerterweise bei der Konfiguration geholfen (seither hab' ich da nicht mehr dran gerührt). Ob es das Optimum ist - keine Ahnung, ich hoffe.

Quintus

Philipp · 16.11.2010, 20:46

Zitat:

Zitat von Quintus14

@Philipp: die Shorewall ist sicher besser als ich sie bedienen kann - Ihr habt mir da ja damals dankenswerterweise bei der Konfiguration geholfen (seither hab' ich da nicht mehr dran gerührt). Ob es das Optimum ist - keine Ahnung, ich hoffe.

Nein, ich würde sagen das Optimum heutzutage ist:
http://www.configserver.com/cp/csf.html

CSF ist allerdings viel mehr als nur eine normale Firewall. Unter anderen erkennt es auch Veränderungen am System und verdächtige Prozesse.

13.11.2010, 16:55	#1
Quintus14 Inventar Registriert seit: 22.09.1999 Ort: Wien-West Beiträge: 3.645	Firewall auf Linux-Fileserver? Hi, ich hab' schon wo die Bemerkung gelesen, dass man Fileserver & Firewall aus Sicherheitsgründen nicht auf einem Rechner laufen lassen sollte - bei mir läuft's aber so seit vielen Jahren zur vollsten Zufriedenheit: mein Linux-Server spielt Fileserver, Firewall (daher 2 NICs), Printerserver, ... Nachdem ich über den Bau eines neuen Linux-Servers nachdenke - wieder so? Alternative? D.h. wie groß ist die Gefahr, dass ungebetene Besucher über das Speedtouch der Telekom und die Shorewall am Centos-Server rein kommen? Thx Quintus

14.11.2010, 06:52	#3
enjoy2 ------------- Registriert seit: 22.03.2000 Ort: Tullnerfeld Alter: 52 Beiträge: 14.550 Mein Computer	es ist die Gefahr, dass jemand über das Speedtouch hereinkommt schon sehr gering das Problem ist imho mehr, dass man selbst Lücken öffnet und da helfen auch mehrere Firewalls dann nicht ____________________________________ EnJoy * Kl. Anleitung, welche Infos bei Problemen benötigt werden * was ich nicht weiß, weiß Google bzw. vorm Posten Listen to Bart * BITTE, füttert keine Trolle, siehe auch Definition bzw. Merkbefreiung - Verordnung * Wie man Fragen richtig stellt

14.11.2010, 10:26	#4
ANOther Hero Registriert seit: 01.07.2008 Beiträge: 958	> sagen wir mal so: grundsätzlich könnte man ja domain controller, fileserver und firewall auf einem gemeinsamen system zusammen-virtualisieren oder auch betreiben. SBS2000? @OP > wie groß ist die Gefahr, dass ungebetene Besucher über das Speedtouch der Telekom und die Shorewall am Centos-Server rein kommen? lässt sich so nicht sagen. wenn das speedtouch auf "single-user" ist, ist es quasi gar nicht da, also kann jeder "angreifer" direkt auf die shorewall ist es auf "multiuser", ist es erst mal ziemlich dicht, so dicht, dass niemand "aus versehen" auf deine kiste kommt. auch erscheinst du den scriptkiddies nicht als "interessant"... alles ändert sich, wenn du der welt dienste in deinem netz anbietest das wär dann der punkt, wo ich persönlich meine daten (fileserver) von der firewall fernhalten würde... ____________________________________ Wenn der letzte Baum gerodet, der letzte Fluß vergiftet, der letzte Fisch gefangen ist, fressen wir die Vegetarier...

15.11.2010, 20:56	#5
zonediver 11110110001 Registriert seit: 08.04.2005 Beiträge: 3.384 Mein Computer	Das ist genau der Punkt - Dienst stellt man "hinter" der Firewall zur Verfügung und ned "auf" der Firewall - daher wird das immer getrennt und jeder Experte wird dir dringend davon abraten, sowas auf einem Kombirechner mit integrierter Firewall laufen zu lassen. ____________________________________ (\___/) (='.'=) (")_(") ...errare humanum est...

14.11.2010, 00:00	#2
ingomar rh 805007434729099 Registriert seit: 03.09.2003 Ort: wien Alter: 55 Beiträge: 710	sagen wir mal so: grundsätzlich könnte man ja domain controller, fileserver und firewall auf einem gemeinsamen system zusammen-virtualisieren oder auch betreiben. aus gründen einerseits der sicherheit und andererseits der betriebssicherheit mag es sinn machen, das aufzutrennen. dazu mehr: bei einem config-fehler oder fehlerhaften update hängt der fileserver "plain" im internet - was meist als suboptimal empfunden wird. desweiteren bedeutet ein reboot des fileservers automatisch auch, dass internet nicht geht - auch nicht gerade toll. wenn für den einsatzzweck niedrige verfügbarkeit und die option, was falsch zu machen, akzeptabel sind, spricht nix dagegen.

16.11.2010, 20:08	#7
superuser Veteran Registriert seit: 20.01.2004 Alter: 57 Beiträge: 421 Mein Computer	hai, nur zur Überlegung, hackt jemand deine Firewall ist er sofort auf deinem Fileserver also auf deinen Daten. Bei uns gibt es keine einzige Lösung bei der Firewall und Fileserver auf einem einzigen Rechner laufen. lg

16.11.2010, 20:25	#8
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Eine gute Firewall lässt sich nicht Hacken

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)