Hi ittk und Ihr Glücklichen, die Ihr schon fit im Thema seid,
im letzten Thread schreibt ittk:
>Setze lieber die LCOS Firewall ein.
Das hab ich nun vor, sobald ich sicher sein kann, mir nicht durch Anfängerfehler ein Sicherheitsrisiko einzufangen.
Also: was ist an Konfiguration zu tun um sicher im Web zu sein. Könnt Ihr mir einen Link geben, wo ich das verständlich nachlesen kann?
Wir wollen hier mit einem kleinen Netware 4.11-Netz versehen einigen Arbeitsplätzen das normale Surfen und Mailverkehr ermöglichen. Keine Spiele, kein VoIP, aber einige Downloads von Dateien bei Lieferanten.
ittk schrieb weiter:
>ein wahrlich perfekte SPI-Firewall
Was ist SPI?
Danke für alle Hinweise.
Davidek
DSL/10 Office: sichere Basiskonfiguration der Firewall
Moderator: Lancom-Systems Moderatoren
Hallo davidek,
eine SPI ist eine sog. Statefull also Zustantsorientierte Firewall, die anhand deines Traffics z.B. ausgehend ist erlaubt auch dann dynamisch die dazugehörige eingehende Richting für genau diese Verbindung erlaubt. Sprich es hat bei einer Deny-All Strategie "alles wird geblockt, und nur das benötigte erlaubt" den entscheidenen Vorteil, dass nur ausgehender Traffic explixit erlaubt werden muss.
Du erstellt am Besten eine Deny-All Regel im Lancom siehe Ref.Manual zum Begriff und Strategien.
Von Quelle Zu allen Stationen Aktion verwerfen (alles geblockt)
Für SMTP/POP3/DNS/HTTP mit dne IP Protokollen TCP und UDP ausgehend den Traffic erlauben. Also von Alle stationen lokales Netzwerk zum Ziel alle Stationen.
In der entsprechenden Regel oder Regeln, falls du es für jeden Dienst aufsplitten magst, auf den Reiter "Dienste" klicken und dort die entsprechenden Protokolle auswählen, die du benötigst.
Deine Dienste sind schon vordefiniert. Du brauchst Sie also nur auswählen. Ansonsten benutzerdefiniert wählen und die Ports selber eintragen.
eine SPI ist eine sog. Statefull also Zustantsorientierte Firewall, die anhand deines Traffics z.B. ausgehend ist erlaubt auch dann dynamisch die dazugehörige eingehende Richting für genau diese Verbindung erlaubt. Sprich es hat bei einer Deny-All Strategie "alles wird geblockt, und nur das benötigte erlaubt" den entscheidenen Vorteil, dass nur ausgehender Traffic explixit erlaubt werden muss.
Du erstellt am Besten eine Deny-All Regel im Lancom siehe Ref.Manual zum Begriff und Strategien.
Von Quelle Zu allen Stationen Aktion verwerfen (alles geblockt)
Für SMTP/POP3/DNS/HTTP mit dne IP Protokollen TCP und UDP ausgehend den Traffic erlauben. Also von Alle stationen lokales Netzwerk zum Ziel alle Stationen.
In der entsprechenden Regel oder Regeln, falls du es für jeden Dienst aufsplitten magst, auf den Reiter "Dienste" klicken und dort die entsprechenden Protokolle auswählen, die du benötigst.
Deine Dienste sind schon vordefiniert. Du brauchst Sie also nur auswählen. Ansonsten benutzerdefiniert wählen und die Ports selber eintragen.