IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 24.05.2018, 10:18

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 6 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: IPCOP Web Srv und anderes
BeitragVerfasst: 14.08.2016, 19:44 
Offline
Rookie
Themenstarter
Rookie
Benutzeravatar

Registriert: 14.08.2016
Beiträge: 3
Hallo Ipcop Gemeinde,
ich bin gerade dazu gestoßen und habe einige Fragen zu IpCOP.
.....
Ist es möglich einen Apache Webserver mit Datenbank auf IpCop zu betreiben oder selbst Deven? Wenn die Pakete selbst erzeugt werden müssen wo finde ich die Quelle bzw. Tree dazu?
Ist es möglich Radius zu betreiben und sind Sources vorhanden? Wenn nicht wie oben wo kann ich mir den Dev Tree ziehen?

Und sicherlich kommen noch haufenweise Fragen dazu.

Gruß

_________________
Alle von mir verfassten Text unterliegen kompl. und inhaltlich meinem Urheberrecht. Im schlimmsten Fall antworte ich mit Abmahnungen nicht unter 75.000€ je Einzelfall.


Nach oben
   
 Betreff des Beitrags: Re: IPCOP Web Srv und anderes
BeitragVerfasst: 15.08.2016, 07:36 
Offline
Inspector
Inspector
Benutzeravatar

Registriert: 02.05.2013
Beiträge: 98
Wohnort: Hünfeld (Konrad-Zuse-Stadt)
Loddi hat geschrieben:
Hallo Ipcop Gemeinde,
ich bin gerade dazu gestoßen und habe einige Fragen zu IpCOP.
.....
Ist es möglich einen Apache Webserver mit Datenbank auf IpCop zu betreiben oder selbst Deven? Wenn die Pakete selbst erzeugt werden müssen wo finde ich die Quelle bzw. Tree dazu?

Der IPCop ist eine Firewalllösung, daher sollten die dort laufenden Dienste aus grundsätzlichen Sicherheitserwägungen so wenig wie möglich sein.
Auf dem IPCop läuft bereits ein Apache-Webserver, sogar in mehreren virtuellen Instanzen. Port 8443 zur Administration, sowie Port 81 für 'normale' Anwender.

Loddi hat geschrieben:
Ist es möglich Radius zu betreiben und sind Sources vorhanden? Wenn nicht wie oben wo kann ich mir den Dev Tree ziehen?

Für die Authentisierung von Geräten/Anwendern i.V.m. dem Web-Proxydienst ("squid") können diverse Methoden verwendet werden u.a. auch ein externer RADIUS-Server.
Aus dem o.a. grundsätzlichen Erwägungen sollte dieser Dienst nicht auf der Firewall selbst laufen

Loddi hat geschrieben:
Und sicherlich kommen noch haufenweise Fragen dazu.

Diese werden immer wieder gerne hier beantwortet ...

_________________
... von den Baumwollfeldern der Rhön


Nach oben
   
 Betreff des Beitrags: Re: IPCOP Web Srv und anderes
BeitragVerfasst: 15.08.2016, 10:53 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1082
Wohnort: an der Oder
Um einen Webserver zu betreiben gibt es das orangene Netz (DMZ). In diesem Netzbereich kannst du die von dir genannten Dienste auf einem separatem Rechner relativ gefahrlos betreiben.

Auf dem IPCop haben die von dir gewünschten Dienste nichts zu suchen, denn er ist, so wie Blumi schon erwähnte eine Firewall mit Routing-Funktion. Jede zusätzliche auf einer Firewall bereit gestellte Funktion erhöht das Risiko für erfolgreiche Angriffe.

Gruß Frank

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
 Betreff des Beitrags: Re: IPCOP Web Srv und anderes
BeitragVerfasst: 15.08.2016, 17:24 
Offline
Rookie
Themenstarter
Rookie
Benutzeravatar

Registriert: 14.08.2016
Beiträge: 3
Hi Blumi.
Danke für die Antwort.

Ja, eine Firewall Lösung sollte so wenig wie möglich ANgriffsfläche bieten, das dürfte wohl allen klar sein, mir auch.
Da ich aber ein fauler Hund bin, ich könnte auch ein Gentoo hochfirsieren, sehe ich mir nach Jahren mal wieder IpCop an.
Ich sehe das als weniger kritisch an, wenn auf einem Brouter, denn ich suche keine Router sondern einen Brouter (Bridge und Router, Ip-less, bzw. virtuelle IPs)
Ich denke das Kern System kann durch fiese Rules so getrimmt werden, das z.B. der Zugriff von dr IpCOp Konsole selbst auf das Internet und LAN unmöglich ist, dadurch ergibt sich dann eine sogut wie kaum angreifbare Lösung..... Apache und SQL etc. dann virutualisiert auf dem Brouter mit eigener IP und schon lüppt das.....
Das... ist mein Gedankengang.
Was mich auch wundert, ist das IpCop noch immer i486 ist...... Hier war meine Überlegung schon das ich es dann einfach mal durchhebe auf i686 und dann reines 64Bit......

@RadioCarbon
DMZ ist nicht schlecht, hasse ich aber, der Grund ist recht einfach, es wird dann eine ungerfilterte Öffnung in ein LAN geöffnet, das geht, wenn das LAN Segment in dem der "Server" dann steht isoliert ist, ansonst sehe ich diese Lösung bei unsauberer Firewall Lösung als unsicher an. Der Grund ist recht einfach, wenn der am DMZ liegende Server im LAN angegriffen wurde, kann über diesen PC.. Konsole oder andere Dienste das ganze LAN infiltiert werden.

Deshalb meine Fragen.....

Gruß

_________________
Alle von mir verfassten Text unterliegen kompl. und inhaltlich meinem Urheberrecht. Im schlimmsten Fall antworte ich mit Abmahnungen nicht unter 75.000€ je Einzelfall.


Nach oben
   
 Betreff des Beitrags: Re: IPCOP Web Srv und anderes
BeitragVerfasst: 15.08.2016, 19:52 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1082
Wohnort: an der Oder
Das was du vor hast ist eine sehr unsaubere Lösung.

Durch die Trennungen beim IPCop mit seinen unterschiedlichen Netzen bist du auf der sicheren Seite.

Benutze die Netze so wie sie angedacht sind. Rot für extern, Grün für dein Produktivnetz, Blau fürs WLAN und für die Server, die von Aussen ereichbar sein sollen, gibts Orange.
Sollte der Server in Orange kompromittiert werden, ist dein Produktivnetz immer noch geschützt, ausser du hast selbst den IPCop so umgebogen, dass die Trennung nicht mehr wirkt. Ganz wichtig ist auch, wenn der Server 2 Netzwerkanschlüsse hat wird nur einer mit Orange verbunden. Der andere wird still gelegt. Ich habe schon Installationen gesehen, wo die Leute den 2. Anschluß einfach nach Grün gehangen haben. Dadurch haben sie den Server zu einer Einfallstelle für das grüne Netzwerk gemacht. Gar nicht gut für die Sicherheit.

Wie du dein Netz sicherst, ist deine Sache. Auf jeden Fall rate ich vom Betrieb einer Firewall/Router in einer virtuellen Umgebung. Das ist wirklich nur etwas für Server.

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
 Betreff des Beitrags: Re: IPCOP Web Srv und anderes
BeitragVerfasst: 15.08.2016, 22:14 
Offline
Rookie
Themenstarter
Rookie
Benutzeravatar

Registriert: 14.08.2016
Beiträge: 3
Hi RadioCarbon,

Ich sehe das ähnlich, trotzdem anders.
Wenn du den Router als Brouter fährst und den NICs keine IP zuteilst sind sie transparent, wenn dann noch der zugriff auf "lo" in alle Richtungen gesperrt ist, ist das System nicht erreichbar.
Wenn dann auf dem Brouter virtuelle IPs vergeben sind und die vHoste sauber gekonft und abgesichert sind, dafür gibt es sehr viele Boardmittel bei Linux, kannst du den Brouter selbst kaum angreifen und wenn nur den oder die vHost/Virtualisierung angreifen ohne aber den Brouter selbst zu erwischen. Isolierte Deamon......... Das alte Sandbox Denke ist dir ja sicherlich bekannt. Im Prinzip ist die Vorgehensweise mit den "farbigen Schnitstellen" die gleiche Idee von mir, nur erweitert.
Genau solch eine selbst entwickelte Lösung hatte ich mehr als 5 Jahre im 24/7 und niemand konnte ihn aufmachen. Leider ist mir dann irgendwann die Hardware verreckt.
Sicher kann kein System sein und man ist immer gefordert dafür zu sorgen auf dem laufenden Stand der Angriiffsscenarien zu sein.
Ich habe aber in der Zeit wo ich in dem Bereich tätig bin nie einen echten Elite Hacker zu besuch gehabt, denn die bemerkt man nie (sind ja auch nur wenige ;)) Die verblödeten Windows Script Kiddys versuchen es Tag täglich und bringen mich nur noch zum schmunzeln.... das ist erbärmlich was die drauf haben.
Ich vertraue grundsätzlich keiner Lösung die ich nicht selbst gebaut, oder in die Hände bekommen habe und dann zerlegt und wieder zusammen gesetzt habe ;)
Das Konzept, das ich laufen hatte ist im Hardcore Einsatz erprobt und ich werde mir IpCop ansehen ob es damit umzusetzen ist.
Was mir wie gesagt nicht ganz gefällt ist der i486 Status weil ich den einzelnen "Aufgaben und Deamon" CPU Zeit oder CPUs zuweise.
Trotzdem kommt IpCop dem am nächsten was mir vorschwebt, etwas schneller als alles nocheinmal selbst zu Deven.

Gruß bis die Tage wenn ich IpCop mal zerlegt habe.
Sicherlich wird es eine Buildumgebung zu Deven geben, die schnappe ich mir dann mal.

_________________
Alle von mir verfassten Text unterliegen kompl. und inhaltlich meinem Urheberrecht. Im schlimmsten Fall antworte ich mit Abmahnungen nicht unter 75.000€ je Einzelfall.


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 6 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de