kleine Grundsatzfrage oder mehr Kartenlesen :)

Ich möchte einen kleinen Router mit FTP/Mail/Proxy/File/Backup/Dsl für ein kleines Netzwerk mit ~5 Rechner aufsetzen und habe dafür Suse 9.2/10 zur Verfügung.Wenn ich den Rechner jetzt aufsetzte und mich 2 Jahre nicht darum kümmern will,wie sicher wird der Rechner in 2 Jahren noch sein?

Kann dieser noch bedenkenlos in einer kleinen Ecke im Büro stehen und sein Dienst tun,dabei aber 24/7 online sein?

Wenn die Frage zu schwer zu beantworten ist, nehmen wir mal an ich hätte Suse 6 benutzt und bis heute keine Patches eingespielt,wäre er noch sicher im Netz?

"Sicher" ist immer so eine Frage. Es kommt ganz darauf an, wer oder was versucht, in dein Netzwerk zu kommen. Wenn heute ein Schadprogramm ins Netz kommt, das einen spezifischen Bug in deiner Distribution ausnutzt und sich automatisch verbreitet, dann ist's natürlich nicht "sicher", außerdem hängt die ganze Sache natürlich auch davon ab, ob und inwiefern jemand versucht, in dein Netz einzudringen.
Anders gesagt: Man weiß nicht, ob's sicher ist, weil man es nicht sagen kann. Regelmäßige Sicherheitsupdates kannst du eventuell sogar automatisch beziehen und installieren lassen, insofern dürfte das kein Problem sein. Sinnvoller als die Installation einer "aufgeblähten" Distribution wie Suse wäre allerdings das genaue Aussuchen der benötigten Komponenten und deren Installation auf Basis einer sehr spärlich ausgestatteten Distribution, um unnötige Risiken durch Sicherheitslücken in Software, die du nicht brauchst, aber dennoch nebenher läuft, zu vermeiden.

-huha

Sicherheit?

Was ist den das - definition bitte ....

Die meisten Geschichten passieren z.b. über Injections oder manipulierte Post strings beim Apache + mangelnden Skils des Admins und Faulheit.

Sicherheit fängt schon damit an, seine Logs zu lesen.
Dann braucht man Wissen über die Software für Serverdienste die man bereitstellt.
Einen Apache kriege ich nicht gesichert in dem ich ein paar Rules per Statefull Filter runteratter und die Box ins Eck stell. Das geht nur über z.B. Proxis und dem wissen wie die ganze Kommunikation funktioniert, sprich wie ein normaler request aussieht und halt eben eine Attacke. Das abscannen nach verdächten Request's auf meinem Serverdienst kann Software auf dem besagten Proxi teils übernehmen, aber zum grösstenteil muss ich hier selbst ein Auge drauf haben und entsprechende Reaktionen an den Tag legen wenn etwas nicht ganz koscher ist.

Das jetzt mal gaanz grob aufgeführt um diese elendigen Urban Legends von 'Sicherheit' mal wegzuräumen.
Irgendwelche ominösen Sichherheitslücken die per irgendwelchen oninösen Exploits zu komprimittierung des Systems führen, kommen in der Praxis auf's Jahr gesehen im Promille bereich an öffentlich gemachten Serverdiensten zum Einsatz.
Die sind viel mehr theoretischer Natur und betreffen in seltensten Fällen eine standard Box die ein paar Dienste nach aussen liefert.
Einzig und alleine der Skil und die Wachsamkeit des Admins entscheiden über 'Sicherheit' einer solchen Box.
Ich kenne Jungs die dir nen NT 4.0 SP2 (!) + IIS und SQL 7 direkt an einem Uplink so dicht rammeln und mit Adleraugen drüber wachen, das du praktisch kaum eine Chance hast die Mühle zu kompromittieren ;)

Daher ist die Wahl der distri nebensächlich, du musst sie und die Dienste beherschen <- das ist entscheidend.
Und zu sagen 'hach ich stell da ne Box hin und will sie nicht mehr sehen, aber sicher solls sein' .. naja dann ist eh alles egal, da kann sogar ein Win98 drauf sein, kommt auf's gleiche raus. Sicher ist das nie und nimmer, schon garnicht wenn Personen die solche Aussagen runtereissen das Ding 'administrieren'.

Um den Post zu beantworten:
Wenn das eine Private Spielerei ist, ist es Wurscht was da drauf läuft und wie es läuft - juckt eh keinen, irgend ein Router Gerödel das Stateful rumfiltert und nicht grade durch Script Kiddies per ARP manipulation oder P fragemente mit lustigen Frames weggeknüppelt werden kann, wird da über Jahre rumstehen.
Das OS ist da weitgehends schnurzpipeegal, hau Win95 drauf von mir aus.

Wenn es alerdings eine 'reale' Sache ist, die auch ein wenig in der öffentlichkeit hängt und so interresse auf sich ziehen kann/könnte, würde ich die gelben Seiten hernehemen und jemanden Fragen der sich damit auskennt ;)

Edit: passte nicht zum Thema .....

Wenn die Frage zu schwer zu beantworten ist, nehmen wir mal an ich hätte Suse 6 benutzt und bis heute keine Patches eingespielt,wäre er noch sicher im Netz?
mein suse 7.3 hat mal ein rootkit verpasst bekommen - und der rechner war nicht 24/7 im netz.
allerdings mußte ich mir da hinterher auch eingestehen, dass ich da zu nachlässig (um nicht zu sagen: stümperhaft) war.

Wichtig ist, dass nach außen keine Ports offen (netstat -tulpena) sind - und falls doch welche offen sein müssen, dass man die Anwendungen kennt und wenigstens diese auf dem neuesten Stand hält.
Genau das passiert aber speziell bei SuSE nicht: die Standardinstallation ist fröhlich in alle Richtugnen offen und wartet nur darauf, gehackt zu werden.
Und die Online-Updates... naja...

Machs doch einfach so: Nimm ein Debian, konfigurier ihn ordentlich (!) und mach einmal im Monat ein update ("apt-get update" oder so ähnlich) - die Inet-Verbindung ist ja eh da.
Das wäre imho ausreichend sicher und das mit minimalem Aufwand (wenn der Rechner wirklich 24/7 läuft, kannst du das updaten vll sogar per cron machen).

Die jetzige Lösung für den Rechner scheint aber Ipcop mit vsftpd,BlockOutTraffic,Copfilter und Samba addon zu werden,einfach zu installieren und schön übersichtlich :)

Stimmt, das hatte ich ganz vergessen...

es gibt da ein schönes debian derivat von c´t mit einem ipcop in einer uml, ist sowas wie eine virtuelle maschine, weil auf dem router sollte nun wirklich nichts anderes laufen... davon abgesehen ist ein hardware router alles andere als teuer.

naja, und ich denke das bei so einem kleinen projekt wuzels gedanken einfach zu weit gegriffen sind. alle dienste die von aussen verfügbar sind sollten halt in einer demilitarisierten Zone stehen. wäre mir aber zu aufwendig wenns nicht ganz so heikel ist mit der sicherheit. auf den ftp sollte man aber wohl schon immer ein auge haben, evtl. sftp einsetzen für eine verschlüsselte übertragung. so, das war meine senf.

solange keine überflüssigen ports offen sind sollts schon eine weile halten, sicherheitsupdates einspielen nicht vergessen!!

c´t Server (http://www.heise.de/ct/ftp/projekte/srv/)

abgesehen davon , dass man einen router immer von einem server trennen sollte,
kannst du bei einem kleinen projekt auch www.fli4l.de oder eben
den besagten www.ipcop.org nehmen und es wird lang kein prob geben.