Hardware Firewall zwischen 2 Rechnern

Kullberg

Computer Schach Freak
Thread Starter
Mitglied seit
18.02.2005
Beiträge
5.898
Mein Problem ist folgendes: ich möchte mit einem Rechner, der absolut sicher sein muss, eine Verbindung ins Internet aufnehmen. Der sichere Rechner soll nur Schach spielen - und er soll nur über meinen Internet Rechner ans Netz gehen. Ich will, dass die Verbindung zwischen meinem Internetrechner und dem Schach Rechner nur gewisse Kommandos ausführen kann. Auf keinen Fall dürfen irgendwelche Files über die Verbindung gesendet werden - nur UCI Schach Befehle und die passenden Ergebnisse.

Gibt es eine Hardware Lösung (Firewall), die mir erlaubt, nur gewisse Befehle und passende Antworten zu übertragen und alles andere zu blocken? Besonders wichtig ist es, die Antworten des Schach Rechners zu filtern. Geht sowas? Oder kann ich eine Verbindung mit reduzierter Funktionalität zwischen den beiden Rechnern einrichten, die den File Transfer verhindert? Oder ist sowas besonders unsicher?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ein Packetfilter kann diese Aufgabe erledigen. Die Frage wäre, bis auf welchen Layer das Gerät den Datenstrom analysieren muss, um diese "Schach-Kommandos" zu erkennen.

Ein alter Cisco aus der Bucht kann schon recht viel, erfordert aber etwas Know How.

Mirko
 
Danke schonmal für die Antwort. Die Kommandos sind sehr begrenzt - z.B. "go infinite" oder "setoption name hash value 2048" oder "startpos e2e4 e7e5"- alles Klartext, keine Sonderzeichen.
 
nimm doch nen vernüftigen router und mach ne DMZ als router software etwas mit guten paket filter wo du einstellen kannst was nur durchgehn darf etc.


mfg
mafri
 
Aber wie sehen diese Kommandos im Netzwerk aus?

Mirko
Keine Ahnung :(
Wie kann ich das 'rauskriegen? Gibt es da ne Software, die das aufzeichnen kann? Meine Switches haben die Möglichkeit, nen sniffer Port einzurichten - falls das weiterhilft.
 
wireshark oder microsoft network monitor zeigen an was über deine netzwerkkarte fließt.
 
Wenn du einen Router hinstellst, dann kann dein Rechner nach außen senden was er will, ist aber von außen net erreichbar. Erstmal.

Jetzt ist die Frage, ob es wirklich nur diese commands sein dürfen.
Würde es nicht schon reichen, wenn du nur eine Verbindung VON deinem Rechner zum dem Schachserver erlaubst und sonnst nirgends hin.
(RechnerXYZ darf nur auf IP sowieso,sowieso,sowieso,sowieso zugreifen.)
Das könnte man noch so erweitern, dass nur bestimmte Ports auf der ZielIP angesprochen werden dürfen.

(Das alles läßt sich leicht mit einem Paketfilter erledigen.)
 
Zuletzt bearbeitet:
Jetzt ist die Frage, ob es wirklich nur diese commands sein dürfen.
Würde es nicht schon reichen, wenn du nur eine Verbindung VON deinem Rechner zum dem Schachserver erlaubst und sonnst nirgends hin.

Ein Router mit hardware Firewall ist schon aktiv - mein Internet Computer ist also von Außen nicht sichtbar. Aber wenn jemand über Trojaner o.ä. Schadsoftware auf meinen Internet Rechner bringen würde, könnte er von da aus auf den Master des Clusters erreichen. Und das wollen wir auf alle Fälle verhinder.
Übrigens haben sich Russische Hacker Monate lang Zeit genommen, um die (noch) aktuelle kommerzielle Version unseres Programmes (Rybka 3) zu hacken und den Source Code in Form eines "eigenen", nur minimal verändetren Programmes als Open Source zu veröffentlichen. Die würden sicher sich auch anstrengen, an meine privaten Versionen dranzukommen.
 
Das Schachprogramm wird vermutlich nur bestimmte UDP- oder TCP-Ports nutzen. Versuche mal einen Trace mit Wireshark zu erstellen. Wenn du dann den Zugang auf diese Ports begrenzt, blockst du schon mal 99% aller Angriffe auf das System.

Mirko
 
Der IPCOP könnte man dazu auch mißbrauchen.

Dein Schach Netzwerk kommt an den Grünen. Grün kann überall hinconnecten.
Dein normales Netzwerk kommt in Blau. Von Blau aus kannst du ins inet, aber nicht nach grün und somit nicht zum Schachnetzwerk.
 
Das Schachprogramm wird vermutlich nur bestimmte UDP- oder TCP-Ports nutzen. Versuche mal einen Trace mit Wireshark zu erstellen. Wenn du dann den Zugang auf diese Ports begrenzt, blockst du schon mal 99% aller Angriffe auf das System.

Mirko
Wir verwenden für die Übertragung von einem zum anderen Rechner ein privates Programm. Das verwendet einen Port, den ich einstellen kann. Andere Ports sind nicht offen - per Windows Firewall.
Aber wir wollen halt absolut sicher sein.
 
hmm schau dir mal die Astaro Firewall an... sagen wir so, die hat noch ein grafisches Interface... andernfalls kannst du dich natürlich auch mit Filterregeln etwas (viel) genauer auseinander setzen oder wie schon gesagt wurde prof. Hilfe in Anspruch nehmen... achte aber hierbei auf die Referenzen.
 
Dann sollte man auch professionelle Hilfe in Betracht ziehen.

Ich hab den Eindruck, dass hier sehr professionelle Leute 'rumlaufen ;)


@WickedClown
Das Astaro Teil haben wir in der Klinik, in der ich arbeite. Letzte Woche war das System 2 Tage down - lahmgelegt durch nen Virus ;)
Der kann natürlich auch anderweitig 'reingekommen sein.
 
Im Prinzip reicht ja jedes Gerät was auf TCP- oder UDP-Ports filtern kann. Je einfacher, desto besser. Meine Vorschläge wären etwas kleines von Cisco aus der Bucht oder eine m0n0wall auf einem WRAP/ALIX. Dort wirklich dann alles verbieten und nur die eine IP und den Port erlauben. Management der Firewall nur out-of-band.

Mirko
 
Oder nen Linksys mit Layer-7-Modul für Linux' IPTABLES... wäre auch ne Lösung. Filter kann man selbst schreiben. Ist nicht so schwer.

gruß
hostile
 
Werde mich mal näher mit Endian Firewall beschäftigen. Das scheint ein gangbarer Weg zu sein. Alternativ ist ne proprietäre Hardwarelösung in der Diskussion.
 
Endian ist IMHO viel zu komplex für diese Aufgabe. KISS.

Mirko
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh