Installationshandbuch:Systemsicherheit: Unterschied zwischen den Versionen

Version vom 1. August 2005, 07:31 Uhr

Diese Seite sollte nochmals überarbeitet werden. Eine Begründung befindet sich in der Regel unter Diskussion (oben).

Das Sicherheitsmenü

In der Sysadm-Oberfläche finden Sie unter dem Menüpunkt Verwalten - Firewall ein Menü, mit dem verschiedene sicherheitsrelevante Dienste ein- und ausgeschaltet werden können. Das Bild zeigt die Ausgangslage nach der Installation.

Abbildung 1: Das Sicherheitsmenü

Erläuterung der einzelnen Menüpunkte

Firewall

Die 'Firewall' sollte immer eingeschaltet sein. Nur zu Kontroll-Zwecken bietet sich eine Abschaltung an, oder wenn der Server ausschließlich in einem geschützten, vertrauens- würdigen Netzbereich arbeitet (was eigentlich nicht dem erwarteten Einsatzbereich entspräche ;-).

Ping

Ermöglicht es dem Server, auf 'Internet-Kontroll-Pakete' zu antworten. Das ist erforderlich, damit Arktur zum Beispiel auf 'ping'-Anfragen reagiert. Somit ist der Server im Netzwerk und auch im Internet 'sichtbar'. Zugleich steigt die Gefahr von unberechtigten Zugriff-Versuchen! Sie können diese Funktion sperren und nur dann einschalten, wenn System- und Netzwerk-Pflegearbeiten die Nutzung von ICMP-Paketen erfordern.

SSH

Erlaubt den SSH-Zugriff aus dem Internet auf den Arktur - Schulserver. Da jeder verfügbare Service eine zusätzliche Gefahrenquelle bedeutet, ist es auch für diesen Dienst besser, darauf zu verzichten. Wird ein Terminalzugang benötigt, so ist "SSH" dem alternativen "Telnet" im allgemeinen vorzuziehen.

FTP

Erlaubt den ftp-Zugriff aus dem Internet auf den Arktur - Schulserver. Da jeder verfügbare Service eine zusätzliche Gefahrenquelle bedeutet, ist es auch für diesen Dienst besser, darauf zu verzichten. Gerade ein ftp-Server wird gern zum Tauschen von verbotenen Dateien genutzt.

HTTP

Erlaubt den http-Zugriff aus dem Internet auf den Arktur - Schulserver. Da jeder verfügbare Service eine zusätzliche Gefahrenquelle bedeutet, ist es auch für diesen Dienst besser, darauf zu verzichten.

NAT

Ermöglicht es Rechnern aus dem lokalen Netzwerk, direkte Verbindungen zu Internet-Servern herzustellen. Jeder denkbare Dienst kann dann genutzt werden. Steht diese Funktion nicht bereit, so ist für lokale Arbeitsrechner nur der Zugang zu HTTP- FTP- Mail- und News- Diensten möglich, die von Arktur als 'proxy'-Service bereitgestellt werden. Das ermöglicht eine bessere Kontrolle der Aktivitäten.

Zusammenfassung

Im default Modus sind eingeschaltet:

   * Firewall
   * Ping Antwort
   * NAT (IP-Maquerading)

Im default Modus sind ausgeschaltet:

   * Der Zugriff auf den Webserver (HTTP),
   * Der Zugriff auf den FTP-Server und
   * Der Zugriff auf den SSH-Server aus dem Internet

zurück | Hauptseite

@@ Zeile 16: / Zeile 16: @@
 === Erläuterung der einzelnen Menüpunkte ===
-==== Sofort ====
+==== Firewall ====
-Ermöglicht es (im Gegensatz zum Menüpunkt "- Ping"), mit sofortiger Wirkung die Beantwortung von 'ping'-Anfragen über das Netzwerk zu ermöglichen. Die Aktion wird deshalb auch nicht vorgemerkt. Nach einem Neustart des Rechners ist diese befristete Änderung jeweils aufgehoben.
+Die 'Firewall' sollte immer eingeschaltet sein. Nur zu Kontroll-Zwecken bietet sich eine Abschaltung an, oder wenn der Server ausschließlich in einem geschützten, vertrauens- würdigen Netzbereich arbeitet (was eigentlich nicht dem erwarteten Einsatzbereich entspräche ;-).
 ==== Ping ====
-Ermöglicht es dem Server, auf 'Internet-Kontroll-Pakete' zu antworten. Das ist erforderlich, damit Arktur zum Beispiel auf 'ping'-Anfragen reagiert. Somit ist der Server im Netzwerk und auch im Internet 'sichtbar'. Zugleich steigt die Gefahr von unberechtigten Zugriff-Versuchen! Besser ist es, diese Funktion gesperrt zu lassen und nur einzuschalten, wenn System- und Netzwerk-Pflegearbeiten gerade die Nutzung von ICMP-Paketen erfordern.
+Ermöglicht es dem Server, auf 'Internet-Kontroll-Pakete' zu antworten. Das ist erforderlich, damit Arktur zum Beispiel auf 'ping'-Anfragen reagiert. Somit ist der Server im Netzwerk und auch im Internet 'sichtbar'. Zugleich steigt die Gefahr von unberechtigten Zugriff-Versuchen! Sie können diese Funktion sperren und nur dann einschalten, wenn System- und Netzwerk-Pflegearbeiten die Nutzung von ICMP-Paketen erfordern.
-==== Telnet ====
+==== SSH ====
-Startet bei Bedarf den Telnet-Server auf Arktur. Da jeder verfügbare Service eine zusätzliche Gefahrenquelle bedeutet, ist es besser, auf Telnet-Service zu verzichten. Ein Zugang über das Netzwerk zu einem Bedienterminal ist auch mit dem SSH-Server möglich.
+Erlaubt den SSH-Zugriff aus dem Internet auf den Arktur - Schulserver. Da jeder verfügbare Service eine zusätzliche Gefahrenquelle bedeutet, ist es auch für diesen Dienst besser, darauf zu verzichten. Wird ein Terminalzugang benötigt, so ist "SSH" dem alternativen "Telnet" im allgemeinen vorzuziehen.
-==== SSH ====
+==== FTP ====
-Startet bei Bedarf den SSH-Server auf Arktur. Da jeder verfügbare Service eine zusätzliche Gefahrenquelle bedeutet, ist es auch für diesen Dienst besser, darauf zu verzichten. Wird ein Terminalzugang benötigt, so ist "SSH" dem alternativen "Telnet" im allgemeinen vorzuziehen.
+Erlaubt den ftp-Zugriff aus dem Internet auf den Arktur - Schulserver. Da jeder verfügbare Service eine zusätzliche Gefahrenquelle bedeutet, ist es auch für diesen Dienst besser, darauf zu verzichten. Gerade ein ftp-Server wird gern zum Tauschen von verbotenen Dateien genutzt.
-==== World ====
+==== HTTP ====
-Das Einschalten dieser Funktion kontrolliert die Netzwerkaktivität derart, dass Zugang zu einigen IP-Ports vom Internet aus möglich wird. Die Nutzung im lokalen Netz ist nicht betroffen. Da der Internetzugang mit Arktur typischer Weise über dynamisch aufgebaute Verbindungen erfolgt und somit keine feste IP-Adresse im Internet vorhanden ist, können Dienste von Arktur nur auf Umwegen (dyn-DNS, etc.) öffentlich bekannt gemacht werden. In der Regel ist das Angebot also für niemanden nutzbar. Vorsicht! Es bietet jedoch Gelgenheit für Angriffe auf Arktur. Sollen nicht ALLE DREI Dienste freigegeben werden, so kann zusätzlich in der Datei "/etc/sysconfig/ipfilter" eine Auswahl gemacht werden.
+Erlaubt den http-Zugriff aus dem Internet auf den Arktur - Schulserver. Da jeder verfügbare Service eine zusätzliche Gefahrenquelle bedeutet, ist es auch für diesen Dienst besser, darauf zu verzichten.
 ==== NAT ====
-Ermöglicht es Rechnern aus dem lokalen Netzwerk, direkte Verbindungen zu Internet-Servern herzustellen. Jeder denk- bare Dienst kann dann genutzt werden. Steht diese Funktion nicht bereit, so ist für lokale Arbeitsrechner nur der Zugang zu HTTP- FTP- Mail- und News- Diensten möglich, die von Arktur als 'proxy'-Service bereitgestellt werden. Das ermöglicht eine bessere Kontrolle der Aktivitäten.
+Ermöglicht es Rechnern aus dem lokalen Netzwerk, direkte Verbindungen zu Internet-Servern herzustellen. Jeder denkbare Dienst kann dann genutzt werden. Steht diese Funktion nicht bereit, so ist für lokale Arbeitsrechner nur der Zugang zu HTTP- FTP- Mail- und News- Diensten möglich, die von Arktur als 'proxy'-Service bereitgestellt werden. Das ermöglicht eine bessere Kontrolle der Aktivitäten.
-==== NAT_Port80 ====
-Diese Funktion ist nur erreichbar, wenn "- NAT" bereits zur Aktivierung gewählt wurde. Wird auch dieser Verbindungs- weg freigegeben, so müssen die Lokalen Rechner nicht mehr den 'web proxy service' (Squid) nutzen. Dann ist allerdings auch keine 'URL-Filterung' (Schmuddel-Liste) möglich.
-==== Firewall ====
-Die 'Firewall' sollte immer eingeschaltet sein. Nur zu Kontroll-Zwecken bietet sich eine Abschaltung an, oder wenn der Server ausschließlich in einem geschützten, vertrauens- würdigen Netzbereich arbeitet (was eigentlich nicht dem erwarteten Einsatzbereich entspräche ;-).
-==== Bootoption ====
-Zu Beginn des Betriebssystem-Start können Options-Anweisungen eingegeben werden, die das Start-Verhalten modifzieren. Ist das erwünscht, so sollte entweder mit Anwahl dieser Funktion ein Geheimwort angegeben werden, oder es sollte sichergestellt sein, dass kein unbefugter Zugang zum Rechner (-Raum) möglich ist!
-Default
-Bewirkt, dass alle im gleichen Menü befindlichen Einstellungen auf typische und halbwegs sichere Definitionen gesetzt werden.
+=== Zusammenfassung ===
 Im default Modus sind eingeschaltet:
+    * Firewall
      * Ping Antwort
-     * SSH Server
+     * NAT (IP-Maquerading)
-    * Firewall eingeschaltet
 Im default Modus sind ausgeschaltet:
-     * Telnet Server
+     * Der Zugriff auf den Webserver (HTTP),
-     * Der Zugriff auf den Web-, FTP- und SSH-Server aus dem Internet
+     * Der Zugriff auf den FTP-Server und
-    * Network Adress Translation (Masquerading)
+    * Der Zugriff auf den SSH-Server aus dem Internet
-    * Zugriff auf Webserver im Internet ohne Proxy
-    * Die Eingabe von Bootoptionen am lilo-Prompt
 ----
 <div align="right">[[Installationshandbuch|zurück]] | [[Hauptseite]]</div>