Hur säkert är nätverket?

[nojan]

Hejsan, jag skulle behöva lite hjälp med att utvärdera hur säkert nedanstående nätverk är.



Lite förklaring av bilden:
Modemet är bredbandsbolaget standard, den ger alla de noder som är anslutna till den publika IP-addresser och inget som helst brandväggiserande förekommer.

Routern är en router Alla noder bakom den får lokala IP-addresser, Den har NAT men detta är avstängt.

Nu till noderna; Samtliga Windows noder kör F-secure ver 6 med brandväggen påslagen och senaste uppdateringar.

Debian burken har varken antivirus eller brandvägg.

Den streckade (synd dåligt) linjen är en trådlös förbindelse och där används WPA med TKIP kryptering. Och en hyffsat lång nyckel.

Servern har iptables konfigurerat till att inte släppa igenom något mer än nödvändigt. Den kör HTTP,FTP,Samba samt MySQL.

Tack på förhand för era synpunkter

[mrOh]

NAT avstängt? Hur fungerar det med de lokala ip-adresserna adresserna?

Men i övrigt kan inte jag se någon uppenbar svaghet. Skulle absolut köra en portscan på burkarna utan brandvägg för att se så det ser bra ut.

[nojan]

Poor choice of words. Hade visst inte klart för mig var NAT var
Det jag borde ha sagt var att brandväggsbiten är avstängd.

[B1n4ry]

NAT betyder ju "Network Adress Translation" så det lär du nog ha igång om nu inte alla maskiner "innanför" routern har publika IP...

En uppenbar svaghet skulle väl kunna vara att servern kör FTP som använder okrypterade lösenord. Inte heller Samba och SQL är väl att rekomendera att "släppa ut" på internet pga oräkneliga säkerhetshål genom tiderna.

Du borde ha servern i ett DMZ så du kan sätta olika accesslistor mot internet respektive interna nätet. Ett billigare alternativ om inte din router klarar DMZ är kanske att sätta dubbla interface i servern, ett mot internet som du blockar allt utom kanske HTTP och ett annat mot interna nätet där du tillåter Samba och SQL och sådant. MEN då kan du lika gärna låta servern leka router iofs... Dock kräver ju dubbla interface att du vet exakt vad du håller på med, annars öppnar du ju för trafik genom servern in mot dina hemligheter...

//B1N4RY

[nojan]

Hehe det vore ju inte så bra

Ni har så rätt, NAT är påslaget men routerns brandväggs funktion är avstängd.

MySQL är inte öppet emot internet, den svarar bara på anrop från localhost.
Att samba är öppet är ett problem, vet inte riktigt hur jag ska göra med det. Hade routern haft en fast ip utåt hade det varit lätt, då jag isåfall kunde ha fixat det i iptables.

FTP ja, hur pass mycket säkrare blir det att går över till SFTP?

Att köra servern som gateway funkar tyvär inte så bra då det skulle krävas för mycket kabelomdragning

[sodjan]

Varför inte sätta Ubunty servern "bakom" routern ?
Eller att byta ut modem+router till en kombinerad ADSL-router,
lite färre burkar att strula runt med.

> Att samba är öppet är ett problem, vet inte riktigt hur jag ska göra med det.

Vad behöver den vara öppet mot ? Enbart interna nätet eller även externt ?
Är det bara internt så blir det bättre om den sitter bakom routern, och sedan
bara låta bli att "forwarda" de portar som Samba använder.

[blueint]

Rubbet bakum brandväggen. Standard responsen bör vara att neka all trafik.
Tillåt sedan port 80, 22, icmp request/reply osv utåt. Och spärra allt annat både ut & in.
Speciellt Microsoft maskiner bör spärras från att komma ut på valfria portar.
Du kan för övrigt koppla dhcpd så att giltig mac+ip gör att brandväggen tillåter ett visst ip under en begränsad tid att göra vissa saker.

[Micke_s]

Nojan: nja någon ny kabeldragninge behöver du inte om du kör 100Mbit, du kan köra en http://www.dustinhome.se/pd_5010019170.aspx
antagligen billigare att dra en ny kabel, men enklare med en sådan dosa. Om du kan klämma kablarna själv så går det fixa en sådan funktion billigt.

[nojan]

Aha en sån kan man ju köra ja.

Anledningen till att servern står utanför det inre nätet är för att vi tappar en hel del hastighet i internetförbindelsen när det går igenom routern.

Samba behöver egentligen bara vara åtkomligt från det inre nätet, det som ligger på den är sånt som alla familjemedlemmar behöver komma åt. Tilläggas bör göras att samba sharen är lösenordsskyddad.
Men å andra sidan skulle man ju kunna sätta ihop en liten billig strömsnål NAS-server till såna filer, som man då kan placera i det inre nätet.

[sodjan]

Byt router om den inte hinner med.
Svårt att uttala sig om, du redovisar inga hastigheter
eller testresultat (d.v.s hur mycket du "tappar").

[laban12]

Jag håller med! Servern ska stå bakom routern i ett DMZ.a
Hänger inte routern med så behöver du en ny, priserna på dessa är ju i dagsläget inget att bråka om.

Lägg in en ny router precis efter modemet, ställ servern bakom denna, sen kan du haka på din befintliga router på den nya. På så sätt får du ett DMZ:a mellan routrarna och din server är bättre skyddad.

Naturligtvis ska du använda brandväggsfunktionerna i routrarna!
Släpp inte in fler portar än nödvändigt.

[TomasL]

Alternativt, brygga modemet.
Sätt ihop en billig maskin, räcker typ 400MHz P2a eller dyligt.
ett par tre gig HD och några 100M minne, samt 3 NICar.
Ladda in SmothWall.
Då får du en mycket lätthanterad brandvägg/router, som är Gôrenkel att hantera.
Du får då en skyddad, en DMZ och en publik port.

[-=Fullmoon=-]

Kan rekomendera de där ' UTP OSKÄRMADE Y-KABEL 1XRJ45HA TILL 2XRJ45HO' som länkades till har 4 st själv. Fungerar fitn sitter just nu på denna datorn och kör över 2 st. lättare än att dra 25m ny kabel i trånga tprör.

använder du trådlöst om inte. stäng av det i routen och skruva bort antennen vet ja

[Nerre]

Jag tänkte precis rekommendera M0n0wall, den är BSD-baserad (och BSD anses oftast "säkrare" än Linux). En gammal PII-burk borde räcka rätt bra, M0n0wall behöver inte (använder inte) mer än 64 MB och bootar från CD (konfigurationen på floppy). Behövs alltså varken hårddisk eller några hundra MB minne.

Annars är som sagt var ett alternativ att låta servern även fungera som brandvägg, men det blir känsligare (för om du råkar klanta dig).

[TomasL]

Smothwall behöver väl egenteligen inte så mycket minne och disk.
Diskutrymmet går mestadels till loggarna.
Mer minne gör den snabbare dock.'

Kan iofs installeras på ett CF-kort, men frågan om det blir billigare än en liten disk.

Tror inte det har nån betydelse vilken dist, dessa brandväggar är baserade på, eftersom de ändå är mycket hårt moddade, för just säkerhet.