Danke.
Toni
An Sebastian und Markus !
Ich habe die bisherige Diskussion über den Sinn und Unsinn von Personal Firewalls sehr interessiert verfolgt und mir ein paar Gedanken dazu gemacht.
Ich möchte vorausschicken, dass ich nicht der Experte auf dem Gebiet bin, Dinge die über Portscans und Phonehomes hinausgehen, wie etwa Tunneling sind mir nicht so vertraut.
Naja wie auch immer, wenn die Firewalls so nutzlos sind, wie Ihr beschreibt: Wie schützt dann Ihr Eure Systeme vor unbefugtem Zugriff und unerwünschten App-Phonehomes?
Übersteigt der Aufwand, sein System absolut dicht abzuschotten, nicht den Nutzen? 90% aller Attacken und Gefahren gehen doch von „Pseudo-Hackern“ im Schüleralter aus, die sich irgendwo mal Subseven oder Portscan-Programme von einer Warez-Site gezogen, aber sonst keine Ahnung vom Hacken haben.
Dagegen sollte doch eine Firewall in Kombination mit einem guten Virenscanner ausreichenden Schutz bieten, oder?
Natürlich, wenn man entsprechend wertvolle Daten auf seinem Rechner hat reicht das nicht aus. Aber was macht man dann?
Wo liegt die Grenze zwischen „Vorsicht“ und „Paranoia“ ?
Ich hoffe Ihr meldet Euch, ich würde gerne mehr darüber erfahren.
Grüsse
Alex
Hi Alex,
Naja wie auch immer, wenn die Firewalls so nutzlos sind, wie
Ihr beschreibt: Wie schützt dann Ihr Eure Systeme vor
unbefugtem Zugriff und unerwünschten App-Phonehomes?
Ich habe nie gesagt das ich grundsätzlich Firewalls für nutzlos halte.
Ich bezweifel nur den Sinn dieser sogenannten Personal Firewalls.
Die Gründe haben wir ja schon mehrfach erörter.
- Die Firewall macht keinen Sinn auf dem Desktop PC, da Proggys sieh um gehen können. Genau so verhält es sich bei Servern. Es macht absolut keinen Sinn einen Webserver mit einer Firewall zu schützen die direkt auf ihm läuft.
usw.
So nun zu deiner eigentliche Frage.
Ich setze zu Hause auf 2 Dinge. Hostsicherheit und eine Firewall:smile:.
Bevor jetzt einige Anfangen zu schreien:smile: Werde ich meine config begründen.
Ich habe eine extra Rechner als Router (OS GNU/Linux),
auf den zum eine ein Proxy läuft und zum anderen ein packetfilter(Firewall).
Der packetfilter ist ansich nicht nötig. Ich habe ihn aber trotzdem aufgesetzt. Zum einen da es für mich kein Problem war (ich habe Berufs bedingt sowieso firewall scripte geschriebn), zum anderen wollte ich sowieso NAT haben und dann war es kein zusätzlicher Aufwand gleich ein paar iptables Regeln zu aktivieren.
Und ich könnte mir eine Nachlässigkeit erlauben. Ich brauchte den Proxy nicht nur auf das interne Interface binden (Das würde ich natürlich in einer Produktiven umgebug machen, aber dort würde der Proxy eh nicht mit auf dem Router liegen).
Übersteigt der Aufwand, sein System absolut dicht
Absolut dicht geht nur wenn du das Netzwerkkabel kappst:smile:
abzuschotten, nicht den Nutzen? 90% aller Attacken und
Der Aufwand hält sich sowohl bei Linux und auch bei Windows in grenzen.
Installiere nur was du benötigs. Gebe nur die dienste Frei die du benötigst und das wars schon.
Gefahren gehen doch von „Pseudo-Hackern“ im Schüleralter aus
Pseudo-Hackern ist vielleicht nicht die beste wortwahl.
Script-Kiddies passt besser.
Dagegen sollte doch eine Firewall in Kombination mit einem
guten Virenscanner ausreichenden Schutz bieten, oder?
Also ein Virenscanner benötigs du dafür nicht. Ausser es geht um trojaner usw.
Ein Script-Kiddy geht meistens so vor. Automatsichen Scanner aktivieren und nur wenn das Script was findet geht er weiter vor.
Wie du nun dafür sorgst, das das Script nichts findest, ist eigentlich egal.
Natürlich, wenn man entsprechend wertvolle Daten auf seinem
Rechner hat reicht das nicht aus. Aber was macht man dann?
Kommt drauf an, wie wichtig dir deine Daten sind.
Das kann man pauschal nicht beantworten.
Wo liegt die Grenze zwischen „Vorsicht“ und „Paranoia“ ?
Irgendwo dazwischen:smile:
Du muß aber garnicht dazwischen entscheiden. Wichtig ist das du dich zwischen Sicherheit und Bequemlichkeit entscheidest.
bis dann
Markus
Ich habe die bisherige Diskussion über den Sinn und Unsinn von
Personal Firewalls sehr interessiert verfolgt und mir ein paar
Gedanken dazu gemacht.
Das ist extrem gut.
Ich möchte vorausschicken, dass ich nicht der Experte auf dem
Gebiet bin, Dinge die über Portscans und Phonehomes
hinausgehen, wie etwa Tunneling sind mir nicht so vertraut.
Naja wie auch immer, wenn die Firewalls so nutzlos sind, wie
Ihr beschreibt: Wie schützt dann Ihr Eure Systeme vor
unbefugtem Zugriff
Ich habe immerhin ein paar mehr Dienste laugen („Ports offen“) als es normalerweise unter Windowsanwendern üblich ist. Was ginter diesen Ports ist, ist sichere Software. Da gibt es keine (bekannten) Exploits.
Nun sag nicht, da sucht niemand nach: für den qmail-Exploit bekommst Du 1000 UDS, für den djbdns-Exploit 500. Das bietet eine große Redmonder Firma nicht…
und unerwünschten App-Phonehomes?
Ich installiere Programme, deren Quellcode offen liegt. Opera läuft unter einem anderen Benutzeraccount.
Übersteigt der Aufwand, sein System absolut dicht
abzuschotten, nicht den Nutzen?
Nein, absolut nicht.
90% aller Attacken und
Gefahren gehen doch von „Pseudo-Hackern“ im Schüleralter aus,
die sich irgendwo mal Subseven oder Portscan-Programme von
einer Warez-Site gezogen, aber sonst keine Ahnung vom Hacken
haben.
Ja, aber eben diese Attacken sind „per default“ nicht erfolgreich. Ein Protscan bringt bei eienm sicher konfiguriertem Windows genau keinen ‚hack valiue‘.
Dagegen sollte doch eine Firewall in Kombination mit einem
guten Virenscanner ausreichenden Schutz bieten, oder?
Nein. Das nützt nur (und auch nicht zuverlässig), wenn man sich vorher Viren installiert. Das muss man vermeiden.
Natürlich, wenn man entsprechend wertvolle Daten auf seinem
Rechner hat reicht das nicht aus. Aber was macht man dann?
Im Zweifel die Netzwerkverbindung trennen.
Wo liegt die Grenze zwischen „Vorsicht“ und „Paranoia“ ?
Das ist sicher individuell verschieden. Ich bin eher vorsichtig und halte eine Gewisse Paranoia für immer gerechtfertigter.
Ich hoffe Ihr meldet Euch, ich würde gerne mehr darüber
erfahren.
Hilft das?
Sebastian
Hallo,
nach dem ich ein wenig nachgedacht habe.
Komme ich zu folgenem Schluß. Soweit liegen unsere Meinungen
gar nicht auseinander, ich denke es ist einfach ein
Kommunikations Problem, das hauptsächlich auf dem Medium
beruht.
das glaube ich auch.
Bei einer richtigen Firewall Implementation sueht es ja auch
so ähnlich aus. Der Server steht in einer DMZ. Alle Zugriffe
von diesem müssen über den Router am Perimeter zum internen
Netz laufen - werden also im günstigsten Fall komplett
geblockt. Während Zugriffe aus dem internen Netz erlaubt sind.
Ersetze den Router zum internen Netz durch Deine Personal
Firewall und Du hast den SinnMit dem nachteil das du so an mehreren Stellen regeln warten
mußt, anstatt es an einer Zentralen Stelle zu tun. Und genau
das ist es wo rauf ich hinaus will.
Das Beispiel galt für ein kleines Home Netzwerk, mit nur ein paar Computern. Hier wäre es vielleicht einfacher es so zu Regeln. In einer grösseren Umgebung gebe ich Dir vollkommen Recht. Dort ist so ein Vorgehen in diesem Fall nicht sinnvoll.
IMHO ist es einfacher, das an einer zentralen Stelle zu
machen. Wenn jemand dort durch die Regeln schlüpft, dann
schafft er auch, wenn die Regeln auf 2 oder mehr Systemen
liegen, der Zeitaufwand wird nicht sehr viel höher sein.
Absolut meine Meinung.
Bei richtiger Konfiguration der Firewall eben nicht. Der
http-Server auf den von draussen zugegriffen wird, findetEben doch.
Zum einen bei deinem Ansatz mit der PFW. Dann gibt es nämlich
keine DMZ.
Zum anderen.
Der Server wurde gehackt und das weil er das schwächste Glied
war. (Das er gottseidank in der DMZ steht, spricht für eine
gute FW config, besser wäre gewesen er wäre nicht gehackt
worden, weil der Admin die notwendigen Patches eingespielt
hätte)
Patches kommen in den meisten Fällen erst nachdem der Exploit entdeckt wurde…
Beim Rest haben wir etwas aneinander vorbeigeredet, aber ich glaube wir meinen dasselbe. Wenn ich mich recht entsinne ging es hier nicht um eine PFW.
englisch, 2. Auflage.
Noch was über Unsicherheit vin File Sharing im internen Netz:
p. 45ff File Sharing.
p. 63ff Unterschied zwischen schwächster Punkt in der Kette,
und Stärke eines choke points (hier setzt die Firewall an).Es ist schon länger her das ich das Buch gelesen habe, aber an
etwa der selben Stelle befindet sich auch der Hinweis das es
sinnvoller ist, die Kontrolle an einem Punkt anzusetzen, als
an mehreren.
^^ da habe ich nie dagegen gesprochen.
So und nun auf zum nächsten Thread… war lang genug 
ciao
ralf
Dieser Thread ist beendet.
Hallo,
Schlußworte:
So und nun auf zum nächsten Thread… war lang genug
Da kann ich mich nur anschließen.*g*
E N D E !
Ok, danke Euch beiden!