SSS LX als ISDN-Firewall mit OpenBSD

[Agent Zitrone]

Hallo,
ich würde ganz gerne meine SunSparcStation LX mit OpenBSD als Firewall benutzten. Glücklicherweise hat die LX ISDN on-board. Leider wird ISDN von OpenBSD nicht unterstützt. Auch NetBSD unterstützt kein ISDN. Hat irgendwer eine Idee wie ich ISDN mit einer Sun umsetzen kann? Je nachdem wäre ich auch bereit noch Hardware zuzulegen. Vielleicht so was wie ein exterenes ISDN Modem, oder so? Ich hätte auch noch eine SSS IPC,   eine SSS 1, eine SSS 2 und eine SSS 5 umso was zu realisieren.
Vielen Dank für Antworten.
        Agent Zitrone

[SmellyCat]

Hi,

gernerell wirst Du 2 Möglichkeiten haben: einmal ein Serielles ISDN Modem von Elsa z. B. und die NetBSD/OpenBSD Tools dafür auf Deine SUN portieren (ich weiss aus dem Kopf nicht wie das Tool dazu heisst - das Pondon zu wvdial) oder eine SBus ISDN Card auftreiben.

iirc gibt es 2 Arten: einmal eine von SUN und einmal eine von... war das Bintec? Irgend eine mir recht bekannte Firma stellte als 2. Hersteller auch SBus ISDN Cards her und die rennen iirc zumindest unter Linux, also läge NetBSD nicht gar so fern.

Alternativ nen 2. NIC und nen DSL Router - wäre das einfachste wenn DSL verfügbar... aber hier geht es ja um ISDN also lassen wir das beiseite

bye
Mats

[mg-midget]

die ISDN-unterstuetzung sieht allgemein recht mau aus, nicht nur
unter OPEN-, Net- und anderen BSDs, sondern auch unter LINUX.
der chipsatz ist recht exotisch in europa (AT&T); und ISDN ist
recht selten in USA und anderen "rural areas".

auch ich habe eine SS-LX. da laeuft das ganze mit SOLARIS 7
(schoen hochgepatcht und alle pakete raus, die keiner braucht - da
kommt ne ganze menge zusammen), SunISDN 1.04, und dann noch
(fuer NAT und firewalling) ipfilter.

Solaris 8 geht wohl auch noch, aber danach sind die sun4m-kisten
nicht mehr unterstuetzt.

SunISDN gibt hier:   http://ftp.xanthos.se/pub/solaris/drivers/
IP-Filter hier:   http://www1.maraudingpirates.org:8080/ipfilter/

alternativ geht natuerlich ein externer ISDN-TA mit seriellem
anschluss - aber da steht man natuerlich sofort vor dem problem
der langsamen seriellen ports bei den alten SUN-kisten. und wenn man ISDN und eine SUN hat, die das kann, dann siollte man sich nicht
auch noch von der hardware ausbremsen lassen ...


viel spass


Hse


@smellycat: BinTec stimmt, aber von da gibt es auch keine
unterstuetzung mehr, die fa. hat einige kapriolen durch - und dann
via S-Bus auf ISDN-hardware zugreifen wollen mit selbst kompilierten
treibern ... das artet schnell in echte arbeit aus.

[Agent Zitrone]

Danke schön erstmal, das sieht ja nach einer Menge Arbeit aus. Mir ist inzwischen die Überlegung gekommen, ich könnte vielleicht die LX als ISDN Router mit Solaris benutzen und dahinter erst meine OpenBSD Firewall schalten. Die Frage ist nur, kann man sein Solaris so einrichten, daß die LX einfach nur durchleitet auf das niemand von außen die Solaris Sicherheitslöcher ausnutzen kann. So hast du es eingerichtet mg-midget, oder? Mir kam die Idee letzte Nacht, weil ich eben noch kein externen ISDN Terminaladapter habe. Nebenbei mit Solaris 6 funktioniert SUNISDN wohl auch.
Deutsches ISDN (DSS1) wird ja unterstützt, oder?

[SmellyCat]

Hi,

ich habe das nie so beobachtet das es mich herzlich wenig interessierte, da ich erst mit Solaris 8 richtig einstieg:

Hat Sol 7 und kleiner so viele Bugs und Löcher? Ich glaube doch nicht wirklich oder? Das meiste wird von CDE, Motif und Freewaretools wie openssh und Apache herrühren und dafür sollte es neue, bereinigte Versionen auch für Sol 7 und kleiner geben nehme ich an, CDE & Co hat eh wenig auf nem Server verlohen (ok, "dtlogin" evtl. schon) .

Abgesehen davon: Auch wenn es eine nette Spielerei ist - Du wirst wohl kaum eine DMZ und ein Hochsicherheitsnetz brauchen oder? *g*
Normale Verfahrensweisen wie einfach Dienste runterfahren und X gar nicht mitinstallieren so wie Ports dichtmachen sollten doch für den Hausgebrauch mangels Interesse von Hackern (über Viren und Würmer brauchste Dir bei Unix eh keine Sorgen machen) locker ausreichen.
Zudem sparst Du Dir Zeit und viele Nerven wenn Du Solaris nutzt (nicht dass es besser als OpenBSD ist - aber es kommt klarerweise besser mit SUN Hardware zurecht )

bye
Mats

PS: "Deutsches ISDN (DSS1) wird ja unterstützt, oder?" Im Bezug auf SUN Software und Hardware? Ja, sicherlich... bei extrem alten Sachen könntest Du über diese blöde Euro Norm oder wie die hiess (der nie genutzte Vorgänger von DSSS1) stolpern, das ist alles

[mg-midget]

na klar, du kannst soviele maschinen in dein netz bauen, wie du
willst.

die SS-LX ist aber problemlos in der lage, router UND firewall zu sein.
die datenraten gehen ja nicht soo hoch ...

SunISDN laeuft ab Sol 2.5.1, soviel ich weiss, die vorkompilierten
IP-filter-pakete brauchen aber mindestens Sol 7.

mach dir ueber das firewalling erst mal gar nicht so viele gedanken,
sieh erst mal zu, dass du das ISDN-gateway zu laufen kriegst, das
hat mich naemlich ziemlich (nerven-)kraft gekostet.

datendurchleitung ist dann ziemlich einfach:
IP_forwarding auf 1 setzen (wie das genau nochmal hiess, muss ich
nachgucken, es laeuft ja seitdem ...) aber dann brauchst du immer
noch ein tool fuer NAT - denn mit dem gateway surft man nicht ...

die SOLARIS sicherheitsloecher kann man ganz gut stopfen, da
ist man in guter gesellschaft. das machen viele, und da gibt es
gute webpages drueber. google mal nach HARDENING SOLARIS
da wirst du fuendig.

generell gilt: ALLES, aber auch wirklich alles runterschmeissen,
was ein gateway nicht braucht. was nicht da ist, kann nicht gehackt
werden! und wenn nicht viel installiert ist, hat die arme kleine SS-LX
auch nicht viel zu tun und kann ungestoert vor sich hin routen, und
laeuft ausserdem schoen schnell hoch.

auf http://www.sunhelp.org/ lungert irgendwo ein einfaches textfile
namens fixsolaris rum, damit kommst du schon sehr weit.

Hse

[blende4711]

SOL_9 ist auf einer LX überhaupt kein Problem.

Am einfachsten man baut (wenigstens kurzfristig) 128MB Speicher ein, dann kann man ganz normal installieren.
Ohne X und co. wie von SmellyCat empfohlen, gibt es auch mit 64MB keine Probleme.

[mg-midget]

mein gateway laeuft (unter Sol 7, wie erwaehnt) mit nur 48 MB RAM
(3 x 16 MB) und es reicht. man muss nur den wildwuchs an services
beschneiden.

@smellycat: frueher hiess das 1TR6 (Telekom-Richtlinie), graussliche
zeiten muessen das gewesen sein. als der aufbau ost kam, ist das
gar nicht mehr neu aufgestellt worden ...

@agent zitrone: dieses eben erwaehnte 1TR6 steht aber in der
SunISDN-software fuer deutschland drin - wenn du das einrichtest,
musst du frankreich nehmen, dann nimmt die kiste DSS1 (es gibt
noch mehr solcher fallen ...)

Hse

[erisch]

Hallo

Zum Thema Sicherheit:

Ich hab auf meinem Router (SS5) Solaris 7 drauf. Die Löcher kommen wirklich erst mit X. Der Fontserver zum Beispiel.
Das einzige was mir Nessus als unsicher einstuft, ist der route-Dämon, der wohl nicht sonderlich sicher aussieht. Denn dieser ist auch ohne X am Start.
Allerdings kann man mit der passenden Firewall diese löcher gut verstopfen.
Ich hab bei mir IPFilter drauf und schaff es dami, komplett unsichtbar von außen zu werden. Zumindest melden alle möglichen Scanner: "Host may be down" obwohl man auf den Webserver (einzig freier Port) zugreifen kann

Und trotzdem funktioniert von mir nach draußen alles: Web,Mail,ICQ, ...

Wenn du Interesse hast, kann ich dir ja beim Konfigurieren von IPFilter behilflich sein.

Mfg. Erisch

[SmellyCat]

Die Löcher kommen wirklich erst mit X. Der Fontserver zum Beispiel.

noch besser sind die Buffer Overflows bei diversen CDE Teilen, wenn man sich die CERTs durchsieht findet man fast jeden Monat einen, ob Irix, Solaris, HP Unix oder AIX... einfach ein Traum

Ich würde jedem anraten der einen sicheren Solaris Router/Firewall will CDE/X/OpenWindow wirklich unten zu lassen, denn wie die anderen schon sagten die dicken, bösen Sachen kommen erst damit auf's System. Auch wenn dtlogin gerade für einen Server eine superfeine Sache ist: forget it

bye
Mats

[Agent Zitrone]

Das hört sich ja alles schon gut, ich werde mich dann mal nach Solaris 7 um schauen. Ich würde gerne meine SparcStation LX von 40 MB Ram auf 72 MB Ram ausbauen. Ich weiß, das ich dafür 2 * 16 MB 60ns Simm brauche. Könnte ihr irgendwelche Firmen und Quellen empfehlen? Kann ich eigentlich jeden 60ns 72-poligen Ram nehmen?


@SmellyCat
Natürlich brauche ich kein Hochsicherheitsnetz, dafür habe ich Windows. Mich interessiert es nur wie man sowas macht.

@mg-midget
Mir ging es gar nicht darum, ob die LX das schafft, sondern ich wollte OpenBSD, aus verschiedenen Gründen, als Firewall benutzen.  Natürlich werde versuchen auf Solaris eine Firewall einzurichten und zwar deswegen weil nach dem eventuellen Überwinden der Solaris Firewall man einfach nur vor der nächsten Firewall steht. Allerdings nehme ich nicht an, jemand mich als Ziel aussucht.

@blende4711
In eine SSS LX kann man nur 96 MB einbauen, oder ist das falsch?

[hplehner]

Hallo,

mach doch Solaris 8 drauf. Da ist dann auch als Firewall die SunScreen dabei.

Gruß
Hans-Peter

[mvsparky]

@blende4711
In eine SSS LX kann man nur 96 MB einbauen, oder ist das falsch?

ja, falsch. max sind 128 mb möglich. 2 32er in' 1. und 4. slot. die anderen mit 16ern füllen.

gruß
yves

[Agent Zitrone]

Hab es gerade auch zufälligerweise in einem alten Thread gefunden. Dann werde ich jetzt mal nach 60 ns 72-poligen PS/2 RAM schauen um meine LX und meinen 486 auszustatten.

[Agent Zitrone]

Ich wollte probeweise mal Solaris 8 installieren, aber leider man braucht man dafür mindestens 24 MB mehr. Kennt irgendwer eine günstige Quelle für 2*16 MB FPM 60ns 72pol. PS/2 Ram, außer ebay?