linux-l: Netzwerkkarte UND Sicherheitskonzept

Steffen Dettmer steffen at dett.de
Sa Okt 6 13:52:38 CEST 2001 

* Sebastian Rother wrote on Thu, Oct 04, 2001 at 14:36 +0200:
> Ich möchte folgendes LAN aufbauen.
> 
> -Workstation (Win2k, LINUX, zum werkeln *fg*)
> -Server (SMTP, HTTP, FTP [obwohl, downloads funzen doch auch per HTTP
> oder?], MySQL)
> - Firewall

> Also die FW reguliert den Traffic sowie zum Internet als
> auch im LAN.

Wirklich "reguliert"? Klingt aufwendig.

> Und es ist mit hohem Trafficaufkommen zu rechnen. 

Na, so schlimm wird es aber hinter 2M meist nicht ;)

> Soweit ich weiss gibt es
> auch 1000MBit Karten, aber soviel Traffic habe auch ich nicht +fg*

Kann man ja immernoch aufrüsten.

> Und da ich diese Dienste nur für SPEZIELLE Personen
> bereitstellen möchte, und darüber hinaus sehr sensible
> Informationen in der Datenbank gespeichert werden sollen, 

Wie sensibel? Wenn diese wirklich sensibel sind, würde ich an
Deiner Stelle eine professionelle Firma hinzuziehen.
Dann ist noch wichtig, wie auf die DB zugegriffen wird.
Angenommen, der Zugriff erfolgt aus wenigen LANs hinter
Firewalls.

> muss die Datenbank gut wie möglich mit einem Sicherheitskonzept
> geschützt werden.

Hier sollte man "unten" erstmal IPSec verwenden. Die Firewall
filtert alles bis auf den Kram. In der DMZ brauchst Du vielleicht
noch einen Proxy (oder Firewall dafür nehmen), weil die DB
Maschine vermutlich DNS und so braucht; und ja nicht direkt ins
Internet darf. Wenn man es richtig macht, nimmt man da
verschiedene Systeme (also Linux und BSD oder so). 

Natürlich muß "über" IPSec vernünftige Authentifizierung
verwendet werden. Wenn man es richtig macht, nimmt man SSL/TLS
mit Zertifikaten auf beiden Seiten, werden aber kaum Clients
unterstützen. Muß man sehen.

> Physischen Zugriff auf dieses LAN habe nur ich, deshalb
> benötige ich ein wirklich richtig gutes System zum Schutz der
> Datenbank.

richtig gut wird bestimmt richtig teuer. Zuerst muß mal geschaut
werden, was der Datenbankhersteller anbietet. SmartCard basierte
Lösungen wirds wohl nicht geben ;) Und hier gibts wohl auch viele
Lösungen, die überhaupt nicht sicher sind (die Leute kaufen,
sobald Karte dabei; und wenns nur ne Speicherkarte ist :)).

> Nicht ins Internet zu gehen (weil 100% sicher) ist in diesem Fall nicht
> aktzeptabel :o)

nicht 100%! Sicherheit ist nie 100%...

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l