Firewall Konfig-Tool - Eure Empfehlung?

[odysseus]

Hallo!
Ich bin derzeit dabei, mich in Sicherheitskonzepte einzuarbeiten, um eine Firewall auf meinem Rootserver (1&1) zu installieren. Leider mache ich dabei keine wirklich guten Fortschritte. Ich könnte zwar jederzeit einen befreundeten Sysadmin drum bitten, sich um die Security-Angelegenheiten meines Servers zu kümmern, aber ich würde es eigentlich ganz gerne auch alleine schaffen.

Meine Ã?berlegung war daher, ein grafisches Tool zur Verwaltung einer Firewall zu installieren. Ich hab schon ein, zwei Tools gefunden, die eine Web-based bzw. menügesteuerte Shell-Verwaltung anbieten, jedoch weiß ich nicht, ob die gut sind.

Hat jemand von euch eine Empfehlung für mich, welches Tool gut und praktisch zu bedienen ist? :)



Danke schon mal im Voraus!



PS: Der Server ist von 1&1 und es sollen keine zusätzlichen Dienste laufen als die vorinstallierten Sachen. (Also HTML, php, mysql, FTP, SSL, SSH, Mail POP3 und SMTP). Auf dem Server soll lediglich ein Forum laufen können, aber natürlich möglichst sicher. :)

PPS: Suchfunktion benutzt, aber ich weiß nicht so recht, nach was ich eigentlich suchen soll ... :?:

[standbye]

also für iptables gibts bei hotscripts.com n paar nette tools um das ganze per webinterface zu verwalten.

Aber die Frage ist warum willst du deinen Server abschotten das bringt doch nix da du sowieso nur die nötigsten Dienste laufen hast. Das reicht völlig weil andere ports die du schützen müsstest sind dann nicht offen.

also is ne firewall wieder unnötig :)

wie schon öfters erwähnt is ne Firewall nur dann sinnvoll wenn du ein netzwerk schützen willst. Also eine Firewall zwischen einem Netzwerk und dem Internet hast.
--> think linux ;)

[captaincrunch]

Wenn's denn wirklich eine FW sein soll, schau dir mal http://www.fwbuilder.org/ an ...

[odysseus]

also is ne firewall wieder unnötig :)

Hm, ist das so?
Ich dachte bisher, dass eine Firewall bzw. Sicherheits-Programme prinzipiell immer nötig sind.
Wenn ich also nur Mail, Web und FTP machen will brauch ich sowas erst garnicht? Das wäre natürlich spitze --> spart Arbeit. *g*

"Security" würde dann für mich also bedeuten: Immer schön aktuelle Patches für PHP einspielen. Seh ich das richtig?

--> think linux ;)

I really work on that. ;) Bin aber noch ganz weit am Anfang.
(Es war schon ein krasses Erfolgserlebnis für mich, als ich den PHP-Accelerator installierte und das Ding nach einem Restart des Apache sofort und ohne Probleme lief! :))

[captaincrunch]

Hm, ist das so?
Ich dachte bisher, dass eine Firewall bzw. Sicherheits-Programme prinzipiell immer nötig sind.

So sieht's aus. Du kannst zwar mit iptables einiges anstellen, so lange du aber nur Dienste laufen lässt, die laufen sollen steckt schließlich auch kein Port oder Netzwerk dahinter.
Von daher : unnötig ...

"Security" würde dann für mich also bedeuten: Immer schön aktuelle Patches für PHP einspielen. Seh ich das richtig?

Jein ... Security wäre in dem Fall, das komplette System auf dem laufenden zu halten, was Security-Updates angeht, und das ganze auch öfter mal zu prüfen.
"Security" ist kein Zustand, sondern ein immerwährender Prozess ...

[odysseus]

"Security" ist kein Zustand, sondern ein immerwährender Prozess ...

Guter Spruch ... den schreib ich mir mal hinter die Ohren! ;)

Danke für eure Hilfe!

[dea]

ich seh' das ein wenig anderscht...

wenn du noch suse drauf hast, kann ich dir nur wärmstens SuSEfirewall2 empfehlen, ein (relativ) kleines aber sehr feines skript-gedöns das mit hilfe von iptables deine büxe einigermaßen abschottet.

weiterhin lege ich dir noch logcheck/logsentry und portsentry ans herz (url findest du hier im forum hundertfach ;) ) damit du auch anständig benachrichtigt wirst, sobald jemand versucht deinen rootie zu knacken oder auch nur zu missbrauchen :twisted:

mit den drei sachen hättest du zunächst einmal sowas wie eine 'grundsicherung' erreicht und zeit und ruhe, dich um weitergehende themen zu kümmern wie beispielsweise einen anständigen inetd (ich empfehle die tools von djb (http://cr.yp.to/), einen vernünftigen dns und mta (ebenfalls von djb), sicherheit auf kernel-ebene (http://www.grsecurity.org/ und so weiter und so fort.

du kannst dir auch auf den seiten von gentoo vielfältige anregungen holen (http://www.gentoo.org/) und ansonsten eine gepflegte paranoia kultivieren.

ach so, anständige mailinglisten gehörn natürlich auch dazu (CERT, bugtraq, etc. pp.)

[odysseus]

Danke dir. Ich sehe mir mal die ersten drei Sachen an.
Hoffentlich kapier ich da was. ;)

[dea]

gern geschehen :) aber obacht - die materie ist uuuuumfangreich und komplex ;)