Betriebssysteme > Sonstige
SSS LX als ISDN-Firewall mit OpenBSD
mg-midget:
na klar, du kannst soviele maschinen in dein netz bauen, wie du
willst.
die SS-LX ist aber problemlos in der lage, router UND firewall zu sein.
die datenraten gehen ja nicht soo hoch ...
SunISDN laeuft ab Sol 2.5.1, soviel ich weiss, die vorkompilierten
IP-filter-pakete brauchen aber mindestens Sol 7.
mach dir ueber das firewalling erst mal gar nicht so viele gedanken,
sieh erst mal zu, dass du das ISDN-gateway zu laufen kriegst, das
hat mich naemlich ziemlich (nerven-)kraft gekostet.
datendurchleitung ist dann ziemlich einfach:
IP_forwarding auf 1 setzen (wie das genau nochmal hiess, muss ich
nachgucken, es laeuft ja seitdem ...) aber dann brauchst du immer
noch ein tool fuer NAT - denn mit dem gateway surft man nicht ...
die SOLARIS sicherheitsloecher kann man ganz gut stopfen, da
ist man in guter gesellschaft. das machen viele, und da gibt es
gute webpages drueber. google mal nach HARDENING SOLARIS
da wirst du fuendig.
generell gilt: ALLES, aber auch wirklich alles runterschmeissen,
was ein gateway nicht braucht. was nicht da ist, kann nicht gehackt
werden! und wenn nicht viel installiert ist, hat die arme kleine SS-LX
auch nicht viel zu tun und kann ungestoert vor sich hin routen, und
laeuft ausserdem schoen schnell hoch.
auf http://www.sunhelp.org/ lungert irgendwo ein einfaches textfile
namens fixsolaris rum, damit kommst du schon sehr weit.
Hse
blende4711:
SOL_9 ist auf einer LX überhaupt kein Problem.
Am einfachsten man baut (wenigstens kurzfristig) 128MB Speicher ein, dann kann man ganz normal installieren.
Ohne X und co. wie von SmellyCat empfohlen, gibt es auch mit 64MB keine Probleme.
mg-midget:
mein gateway laeuft (unter Sol 7, wie erwaehnt) mit nur 48 MB RAM
(3 x 16 MB) und es reicht. man muss nur den wildwuchs an services
beschneiden.
@smellycat: frueher hiess das 1TR6 (Telekom-Richtlinie), graussliche
zeiten muessen das gewesen sein. als der aufbau ost kam, ist das
gar nicht mehr neu aufgestellt worden ...
@agent zitrone: dieses eben erwaehnte 1TR6 steht aber in der
SunISDN-software fuer deutschland drin - wenn du das einrichtest,
musst du frankreich nehmen, dann nimmt die kiste DSS1 (es gibt
noch mehr solcher fallen ...)
Hse
erisch:
Hallo
Zum Thema Sicherheit:
Ich hab auf meinem Router (SS5) Solaris 7 drauf. Die Löcher kommen wirklich erst mit X. Der Fontserver zum Beispiel.
Das einzige was mir Nessus als unsicher einstuft, ist der route-Dämon, der wohl nicht sonderlich sicher aussieht. Denn dieser ist auch ohne X am Start.
Allerdings kann man mit der passenden Firewall diese löcher gut verstopfen.
Ich hab bei mir IPFilter drauf und schaff es dami, komplett unsichtbar von außen zu werden. Zumindest melden alle möglichen Scanner: "Host may be down" obwohl man auf den Webserver (einzig freier Port) zugreifen kann :D
Und trotzdem funktioniert von mir nach draußen alles: Web,Mail,ICQ, ...
Wenn du Interesse hast, kann ich dir ja beim Konfigurieren von IPFilter behilflich sein.
Mfg. Erisch
SmellyCat:
--- Zitat ---
Die Löcher kommen wirklich erst mit X. Der Fontserver zum Beispiel.
--- Ende Zitat ---
noch besser sind die Buffer Overflows bei diversen CDE Teilen, wenn man sich die CERTs durchsieht findet man fast jeden Monat einen, ob Irix, Solaris, HP Unix oder AIX... einfach ein Traum ;)
Ich würde jedem anraten der einen sicheren Solaris Router/Firewall will CDE/X/OpenWindow wirklich unten zu lassen, denn wie die anderen schon sagten die dicken, bösen Sachen kommen erst damit auf's System. Auch wenn dtlogin gerade für einen Server eine superfeine Sache ist: forget it
bye
Mats
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln