Antwort auf Fragen zu ZoneAlarm und Norton Personal Firewall (lang)
Andreas Franz
Jedoch treten eben diese Fragen nervend häufig auf. Es gibt zwar FAQs,
aber diese liest wohl niemand :-(
Deshalb frage ich mich, wie wohl andere hier, wie man sinnvoll mit eben
diesen Anfragen umgehen sollte.
Lutz' FAQ beschreibt -in genervter Form- die Problematik recht treffend,
jedoch hilft dies den Anfragenden, welche sich nach der Benennung der
Group richten, recht wenig (aus deren Sicht).
Die -bereits häufig gestellte- Frage lautet nun: Wie antwortet man? Hier
häufige Antworten:
o "geh sterben" - ist verständlich, besonders nach der 200000sten
Frage nach "was ist TCP und was ist UDP"
Message-ID: <9u11ck$8f8$03$1...@news.t-online.com>
o "du brauchst das nicht" - ist auch verständlich: Einerseits
hat der Standarduser sowieso auf Grund der laufenden
Reinstallationen seines Systems nix Wichtiges auf der Platte und
andererseits hilft ein Portfilter nicht viel, wenn man nicht
über Tunnelung und die Tatsache Bescheid weiß, dass Portnummern
nix mit dem dahinter stehenden Dienst zu tun haben.
(Videostreams gehen schließlich auch über Port 80)
o "informiere dich zuerst"
Irgendwie nicht dass, was die Frager erwarten, bloß: Was antwortet man?
o Verweise auf:
http://www.tecchannel.de/internet/682/0.html
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm
http://www.fefe.de/pffaq/halbesicherheit.txt
o Verwendet einen _externen_ NAT-fähigen DSL/ISDN Zugangsrouter
mit Portfilterfähigkeit, lasse diese aber unbenutzt, da sie ohne
tiefere Kenntnis der Materie nur zu Problemen führt
o wie oben, erlaube aber nur Port 53, 443, 110, 25, 119, 43, 123,
20-21, einige ICMP-Nachrichten, je nach Bedarf auch die Ports
1214 und 6346-6347 für Raubkopien
o ALG mit Active-X/Flash, bzw. Javascript-Filterung
Ich persönlich komme aus dem Bereich der Programmierung
(Original Roots: Atari ST-Demos)
und favorisiere die nachfragebasierte Antwort, also die Antwort auf
DAU-Fragen; beschäftige mich aber seit Jahren mit dem MacOS -welches
Mangels offener Dienste und Verbreitung- relativ sicher ist), muss mich
aber "Dank" MacOS X seit einiger Zeit ernsthaft mit obiger Problematik
beschäftigen, da entsprechende Kundennachfrage besteht und ich gerne
weiß, wovon ich rede (sorry, ist meine unkonventionelle Auffassung von
Support)
Häufige Nachfragen lauten leider auf:
o Tiny/ZA
o Norton (hat einen Namen)
o Brickhouse (MacOS X)
Auf meine Anfrage, was _der Kunde_ von diesen Schutzvorrichtungen
erwartet, erhalte ich als Antwort:
1. Virenschutz
2. kein Zugriff auf meine Daten
3. ich probiere schon einmal Software aus und möchte wissen, wenn
diese "ins Netz" will (z.B. "Photoshop 6")
4. Dialer
5. Würmer (nette Effekte zu Neujahr, Weihnachten, Geburtstag)
Bislang lauten meine Antworten zu:
1. Diplomatische Version von: "Einschalten des Teils zwischen
Mund und Ohren", d.h. _keine_ Ausführung von aktiven Inhalten
noch so vertrauenswürdiger Freunde.
_Kein Aktive-X_ (ich habe kein WIN-System, umfasst dies auch
Flash und QuickTime?)
Laufende (und nicht monatliche) Aktualisierung
2. Eine NAT trennt einigermaßen zuverlässig das Intranet vom
Internet, sofern die genutzen Dienste nicht auf externe
Vermittlungsserver zugreifen (wie: Gnutella, etc.)
-> Verwendung eines DSL/ISDN Zugangsmoduls wie den Vigor 2200X
3. Keine Ahnung. Hilft dort die "Tiny" wirklich, oder kann man mit
der unter:
http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm#Firewall
genannten URL auch die aktuellen Versionen austricksen?
Klappt der Trick, sich hinter dem Namen eines anderen Programms
zu maskieren wirklich?
4. Stecker des Modems ziehen; nur DSL; sonst: siehe (1)
5. siehe (1), teilweise Blockierung durch (2)
Ich meine, was soll man den Leuten bloß antworten?
Einfach irgend eine Freeware auf die Kiste zu spülen und dann so lange
an deren Einstellungen zu "drehen", bis das gewünschte Programm
schließlich läuft, ist zwar wohl die Regel, aber sicherlich nicht das
korrekte Konzept, einen Rechner abzusichern.
Wenn ich bloß an die "Ratschläge" denke, die man zu den typischen Fragen
so im Netz findet, bekomme ich teilweise das kalte Grausen:
Antwort auf die Anfrage, wie man einen FTP-Server hinter einer NAT des
Vigor 2200x nach "außen" sichtbar macht:
"Probier mal die Ports 20 und 21 freizugeben, eventuell per
"Portredirection". Falls das auch nicht hilft, setze den Rechner in die
DMZ......"
Als ich vor einiger Zeit die verschiedenen FAQ dieser Gruppe las, fand
ich die dortigen Antworten auch recht "herb", leider blieb mir auch nur
die Erkenntnis, dass es wirklich nicht ohne einiges an Hintergrundwissen
(z.B. wie IP-Pakete aufgebaut sind, wie Dienste angesprochen werden)
geht.
Ohne das Wissen, dass es aktives und passives FTP gibt und wie sie sich
unterscheiden, endet die Konfiguration eines billigen Portfilters
garantiert in wildem Gebastel....
Deshalb wieder zurück zur Ursprungsfrage: Wäre nicht ein "Textbaustein",
basierend auf den obigen drei Antworten ein akzeptabler Weg der Antwort?
(Zusammen mit dem Hinweis, dass ein "mehr" an Sicherheit nur mit
etlichem Hintergrundwissen möglich ist)
--
"Andreas Franz" <Andreas...@epost.de>
PGP Fingerprint: 83A1 7AE9 A9C6 B4DE C20F 3946 9D03 F17F, ID:0xC0F0D5FD
Lutz Donnerhacke
>DAU-Fragen; beschäftige mich aber seit Jahren mit dem MacOS -welches
>Mangels offener Dienste und Verbreitung- relativ sicher ist),
MacOS ist nicht sicher, weil es weniger Verbreitung hat. Es ist genauso
unsicher, wie andere Systeme auch.
>1. Diplomatische Version von: "Einschalten des Teils zwischen
> Mund und Ohren", d.h. _keine_ Ausführung von aktiven Inhalten
> noch so vertrauenswürdiger Freunde.
Ack.
> _Kein Aktive-X_ (ich habe kein WIN-System, umfasst dies auch
> Flash und QuickTime?)
Paritell. Aktuelle Flash und QuickTime Player müssen schon sein.
> Laufende (und nicht monatliche) Aktualisierung
Eben.
>2. Eine NAT trennt einigermaßen zuverlässig das Intranet vom
> Internet, sofern die genutzen Dienste nicht auf externe
> Vermittlungsserver zugreifen (wie: Gnutella, etc.)
NAT ist kein Sicherheitsmerkmal, da es nur den Erstkontakt auf "ausgehend"
beschränkt. Dies genügt aber oft.
>3. Keine Ahnung. Hilft dort die "Tiny" wirklich, oder kann man mit
> der unter:
> http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm#Firewall
> genannten URL auch die aktuellen Versionen austricksen?
Ja.
> Klappt der Trick, sich hinter dem Namen eines anderen Programms
> zu maskieren wirklich?
Ja.
>Ich meine, was soll man den Leuten bloß antworten?
Die Wahrheit. Und ihr Konzept begutachten.
>Einfach irgend eine Freeware auf die Kiste zu spülen und dann so lange
>an deren Einstellungen zu "drehen", bis das gewünschte Programm
>schließlich läuft, ist zwar wohl die Regel, aber sicherlich nicht das
>korrekte Konzept, einen Rechner abzusichern.
*grins*
>Deshalb wieder zurück zur Ursprungsfrage: Wäre nicht ein "Textbaustein",
>basierend auf den obigen drei Antworten ein akzeptabler Weg der Antwort?
Mach es. Versuche es. Andere sind damit schon gescheitert. Aber das ist ja
Apple-typisch.
Rainer Weikusat
> Man müsste diese vielleicht nochmals übergehen, eventuell
> editierend verbessern,
ls -lF | awk '$3 ~ /pflock/{ print $NF; }' | \
grep -v / | sed 's/\*$//' | while read;
do ed $REPLY <<TT; done
1,$d
w
q
TT
F'up2 poster
--
VERONICA
Stefan Heinecke
>DAU-Fragen; beschäftige mich aber seit Jahren mit dem MacOS -welches
>Mangels offener Dienste und Verbreitung- relativ sicher ist
*groehl* MacOS ist sicher *roll* weil IIS und Netbios nicht per
default installiert sind - was fuer eine Argumentation.
Schlag doch bitte mal "Security by obscurity" nach, beschäftge
dich mit MacOS, und Du wirst feststellen das nicht sicher ist.
>da entsprechende Kundennachfrage besteht und ich gerne
>weiß, wovon ich rede (sorry, ist meine unkonventionelle Auffassung von
>Support)
Da du dich als Kunden siehst, wohin drüfen wir/ich die Rechnungen schicken?
Rainer Weikusat
> Rainer Weikusat schrieb am 20 Feb 2002 13:48:37 +0100:
> >ls -lF | awk '$3 ~ /pflock/{ print $NF; }' | \
> > grep -v / | sed 's/\*$//' | while read;
> > do ed $REPLY <<TT; done
> >1,$d
> >w
> >q
> >TT
>
> oben musst Du in einer Shell Deines Vertrauens einhacken, nicht in
> Deinen Newsreader.
Ich habe gar nicht die Absicht, die Plock'schen Ergüsse
'redaktioniell zu überarbeiten', halte obiges aber für die geeignete
Methode.
> >F'up2 poster
>
> Das hätte heissen müssen: x-post & f'up2 bash. ;-)
Nee, das heißt Du bist unhöflich und trollst wahrscheinlich.
Kein F'up2 -- bringt ja doch nix.
--
VERONICA
Andreas Franz
> >DAU-Fragen; beschäftige mich aber seit Jahren mit dem MacOS -welches
> >Mangels offener Dienste und Verbreitung- relativ sicher ist
>
> *groehl* MacOS ist sicher *roll* weil IIS und Netbios nicht per
> default installiert sind - was fuer eine Argumentation.
Mir ist klar, dass die Kisten nicht _sicher_ sind; deshalb schrieb ich
auch _relativ_
Das z.B. _alte_ Versionen das Passwort im _Klartext_ versendet haben,
ist mir schon bekannt.
Sie sind halt nur nicht zentraler Angriffpunkt, wie es z.B. beim IIS der
Fall ist. Deshalb wird man bei 0815-Angriffen schnell mal ignoriert.
Das dies nicht "sicher" heißt, ist mir klar (s.o.). "Sicher" ist nur die
Firewall des Herstellers KnippEx ;-)
> >da entsprechende Kundennachfrage besteht und ich gerne
> >weiß, wovon ich rede (sorry, ist meine unkonventionelle Auffassung von
> >Support)
>
> Da du dich als Kunden siehst, wohin drüfen wir/ich die Rechnungen schicken?
Bitte lies den Text noch einmal genauer (sorry): Mich stören, wie viele
hier, die ewigen Nachfragen nach ZA&CO, weshalb ich versuche, so eine
Art Textbaustein als Antwort auf die häufigsten Fragen zu erstellen.
Ich finde es einfach besser, mit einem Textbaustein, z.B. aus der ZA-FAQ
um mich zu werfen, statt einfach nur "das brauchst du nicht" zu
schreiben. Und dies bezog sich *auch* auf dcsf
Manche Leute sind leider zu faul, auf eine URL zu klicken, deshalb der
leidige Textbaustein...
Außerdem: Was ist an
> >und ich gerne weiß, wovon ich rede (sorry, ist meine unkonventionelle
> >Auffassung von Support)
denn unbedingt falsch? Ich habe FAQs und Manpages gelesen, um mich in
die Materie einzuarbeiten und um eben _nicht_ "Laberantworten" zu geben,
wie man diese leider zu häufig bei Nachfragen erhält.
Somit _weiß_ ich, das und warum eine NAT kein Sicherheitsmerkmal ist und
das einfache Portfilter nettes Beiwerk ohne echte Schutzwirkung sind,
also nur als _zusätzliche_ Maßnahme wirken können.
Aber das hängt schließlich davon ab, was die Leute wollen. Wie Lutz
schon sagte, oft genügt eine NAT.
Friede?
Stefan Heinecke
>Das dies nicht "sicher" heißt, ist mir klar (s.o.). "Sicher" ist nur die
>Firewall des Herstellers KnippEx ;-)
Das ist hier offtopic: "Sicherheit trotz Netz".
>> Da du dich als Kunden siehst, wohin drüfen wir/ich die Rechnungen schicken?
>Bitte lies den Text noch einmal genauer (sorry): Mich stören, wie viele
>hier, die ewigen Nachfragen nach ZA&CO, weshalb ich versuche, so eine
>Art Textbaustein als Antwort auf die häufigsten Fragen zu erstellen.
http://home.pages.at/heaven/sec0092.htm fuer die es haben moechten.
>Ich finde es einfach besser, mit einem Textbaustein, z.B. aus der ZA-FAQ
>um mich zu werfen, statt einfach nur "das brauchst du nicht" zu
>schreiben. Und dies bezog sich *auch* auf dcsf
Prima, das unterstuetzt dann ungemein die "wir stellen hier immer und
immer wieder die gleichen schlecht formulierte Fragen Fraktion".
>Manche Leute sind leider zu faul, auf eine URL zu klicken, deshalb der
>leidige Textbaustein...
If you can't get help here, get help somewhere else. Wenn jemand nicht
in der Lage ist die dargebotenen Informationen anzunehmen, darf er
sterben gehen, alles andere wird nicht funktionieren, von den unzaehligen
redundanten Postings mal abgesehen.
>denn unbedingt falsch? Ich habe FAQs und Manpages gelesen, um mich in
>die Materie einzuarbeiten und um eben _nicht_ "Laberantworten" zu geben,
>wie man diese leider zu häufig bei Nachfragen erhält.
Wenn Du dich wirklich mit dem Thema beschäftigst hättest, wären dir
die konzeptionellen Schwächen der PFs bekannt, sie funktionieren nur
bei abgeschaltetem Learningmode (siehe einige Threads weiter oben
Lutz Beschreibung zu Tiny als Service unter NT/2000), und selbst
dann blockieren PFs P2P Networks wie Gnutella etc. pp. die ihre
Ports selbst aushandeln. Eine PF schützt dich weder vor Plugins
oder Active X. In nahezu jeder Implementation von Gnutella, Morpheus
whatever war es möglich per remote zu kompromitieren.
>Somit _weiß_ ich, das und warum eine NAT kein Sicherheitsmerkmal ist und
>das einfache Portfilter nettes Beiwerk ohne echte Schutzwirkung sind,
>also nur als _zusätzliche_ Maßnahme wirken können.
NAT bringt ein wenig Besserung, aber populäre Filesharingprogramme,
IRC/DCC, Messaging, VoIP, alles was Lusern Spass macht geht nicht
ohne weiteres mit Pauschal-NAT.
>Aber das hängt schließlich davon ab, was die Leute wollen. Wie Lutz
>schon sagte, oft genügt eine NAT.
Vom Sicherheitsaspekt her, ja, aber jede Lösung die dir ein gewisses
Mass an Sicherheit bringt, zieht auch Probleme nach sich, gut wenn man
es durch eine Policy abfangen kann, ansonsten gilt leider FdI#330.
>Friede?
Ist Krieg?
Ralf Gross
>Stefan Heinecke schrieb am Wed, 20 Feb 2002 16:17:22 +0100:
>
>>ansonsten gilt leider FdI#330.
>
>Kann mich mal jemand über diese Namenskonvention aufklären?
Umbruch!
<URL: http://www.iks-jena.de/mitarb/lutz/usenet/Fachbegriffe.der.Informa
tik.html>
Ralf
--
Right now, I'm listening to...
Artist: Pavement
Album : Terror Twilight # Song: Folk Jam
Dominik Ruf
> Stefan Heinecke schrieb am Wed, 20 Feb 2002 16:17:22 +0100:
>>ansonsten gilt leider FdI#330.
> Kann mich mal jemand über diese Namenskonvention aufklären?
Fachbegriffe der Informatik
http://www.iks-jena.de/mitarb/lutz/usenet/Fachbegriffe.der.Informatik.html#330
Vielleicht konnte ich ja wenigstens diesesmal helfen. ;-)
Gruß Dominik
Andreas Berger
"Stefan Heinecke" <sh+news...@hub.ircelite.org> wrote:
[MacOS X]
> *groehl* MacOS ist sicher *roll* weil IIS und Netbios nicht per
> default installiert sind - was fuer eine Argumentation.
AFAIK ist es durch den BSD-kernel für manche/die meisten rootkits
nicht knackbar?
regards, Andreas
Martin Wysada
[Problem]
> 4. Dialer
[Lösung]
> 4. Stecker des Modems ziehen; nur DSL;
dem könnte man auch mit einem Proxy vorbeugen, diesem einfach eine
feste DFÜ Verbindung eingeben und gut ist. Mein Rechner zB. hängt an
der Nebenstelle und das "automatisch 0 für Amt" wählen habe ich
deaktiviert, die "0" habe ich explizit in jeder Verbindung von Hand
eingefügt.
ODER gibt es Dialer die den Namen der alten Verbindung übernehmen,
bzw. dessen Nummer verändern?
Neugierig
Martin
--
Tactical Ops: Visit us at www.aeon-clan.org
IRC: irc.de.quakenet.eu.org, channel #æON
http://how.to/dchn Faq aus de.comp.hardware.netzwerke
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
Andreas Franz
> http://home.pages.at/heaven/sec0092.htm
Alles so schön bunt hier ;-)
> Prima, das unterstuetzt dann ungemein die "wir stellen hier immer und
> immer wieder die gleichen schlecht formulierte Fragen Fraktion".
Da muss ich dir leider Recht geben -> habe ich nicht bedacht
> >denn unbedingt falsch? Ich habe FAQs und Manpages gelesen, um mich in
> >die Materie einzuarbeiten und um eben _nicht_ "Laberantworten" zu geben,
> >wie man diese leider zu häufig bei Nachfragen erhält.
>
> Wenn Du dich wirklich mit dem Thema beschäftigst hättest, wären dir
> die konzeptionellen Schwächen der PFs bekannt,
Sie sind es im Rahmen dessen, was hier gepostet wird. Das Problem an
einer FAQ ist nur, dass sie auch veralten kann, weshalb ich über Lutz'
Auskunft, die Maskierungstricks klappten immer noch, recht dankbar bin.
>, sie funktionieren nur
> bei abgeschaltetem Learningmode (siehe einige Threads weiter oben
> Lutz Beschreibung zu Tiny als Service unter NT/2000)
MID?
Ich finde nur die hier:
Message-ID: <slrna674b...@taranis.iks-jena.de>
und das wirst du nicht meinen
> Eine PF schützt dich weder vor Plugins
> oder Active X. In nahezu jeder Implementation von Gnutella, Morpheus
> whatever war es möglich per remote zu kompromitieren.
Bekannt. Dummerweise glauben die Leute aber, sie würden davor geschützt.
Deshalb der Ansatz des aufklärenden Textbausteins. Aber du hast Recht,
solche Antworten auf FAQs würden noch mehr Einfachstfragen in diese
Newsgroup ziehen.
>
> >Somit _weiß_ ich, das und warum eine NAT kein Sicherheitsmerkmal ist und
> >das einfache Portfilter nettes Beiwerk ohne echte Schutzwirkung sind,
> >also nur als _zusätzliche_ Maßnahme wirken können.
>
> NAT bringt ein wenig Besserung, aber populäre Filesharingprogramme,
> IRC/DCC, Messaging, VoIP, alles was Lusern Spass macht geht nicht
> ohne weiteres mit Pauschal-NAT.
Weshalb man dann so Sachen, wie die mit der "Vigor DMZ" als Rat zu lesen
bekommt (Ursprungsposting).
>
> >Aber das hängt schließlich davon ab, was die Leute wollen. Wie Lutz
> >schon sagte, oft genügt eine NAT.
>
> Vom Sicherheitsaspekt her, ja, aber jede Lösung die dir ein gewisses
> Mass an Sicherheit bringt, zieht auch Probleme nach sich,
Habe ich bei meinen frühen "Anfängerversuchen" auf der Suche nach einer
"sicheren" Konfiguration recht schnell festgestellt ;-)
Naja, man lernt halt. dcsf lese ich seit ca. 8 Monaten mit, klemme
allerdings Threads, sowie sie "abgleiten". Dadurch entgeht mir leider
auch eine Menge. Halt die alte Filterproblematik.
Ich weiß jetzt halt, dass sich IP-Fragmente durch Überlagerung auch für
Attacken nutzen lassen und dass man die IP-Pakete deshalb besser "vorne"
wieder zusammen setzt.
Aber _das_ ist eine Kategorie über dem, was ich vermutlich in absehbarer
Zeit brauchen werde. Aber nett zu wissen. Man bekommt ein Gefühl davon,
dass die Sache doch _ein wenig_ komplizierter ist...
> >Friede?
> Ist Krieg?
Sig-Trenner ok?
MID ok?
Quoting ok?
Rechtschreibung ok?
kein OjE?
Realname?
kein "W" im Namen?
->Friede
SCNR
Stefan Heinecke
>> http://home.pages.at/heaven/sec0092.htm
>Alles so schön bunt hier ;-)
Zielgruppengerecht, hmm wundert mich eigentlich das dieser
Punkt noch nicht an dcsf-faq bekrittelt wurde ;).
>Sie sind es im Rahmen dessen, was hier gepostet wird. Das Problem an
>einer FAQ ist nur, dass sie auch veralten kann, weshalb ich über Lutz'
>Auskunft, die Maskierungstricks klappten immer noch, recht dankbar bin.
Eine FAQ ist ein wenig Work-in-progress, wobei sich das Prinzip
von getrennten Netzbereichen schlicht und ergreifend bewährt,
es finden von "innen" keine direkten Verbindungen nach aussen
statt. Proxies, Webserver stehen in der DMZ die von zwei
Paketfiltern umschlossen werden.
>MID?
>Ich finde nur die hier:
>Message-ID: <slrna674b...@taranis.iks-jena.de>
>und das wirst du nicht meinen
Ich bin grad zu faul zum suchen, es ging im Prinzip darum,
das PFs auf/ab WinNT/2K als Dienst, in diesem Fall TinyFW ohne
Eingriffsmöglichkeiten in die Konfiguration, wesentlich besser
aussehen als auf Win95/98/ME - hier lässt sich die Konfiguration
in einigen Produkten per Passwort schützen - was aber Angriffe
auf Eventhandler schwieriger macht, letztendlich aber nicht
verhindern kann das eine freigegebene Applikation als Tunnel
benutzt wird, oder die Firewall schlicht und ergreifend
termininiert, was im besten Fall auf einem Verbindungsabbruch
hinausläuft.
>Bekannt. Dummerweise glauben die Leute aber, sie würden davor geschützt.
>Deshalb der Ansatz des aufklärenden Textbausteins. Aber du hast Recht,
>solche Antworten auf FAQs würden noch mehr Einfachstfragen in diese
>Newsgroup ziehen.
Ja, davon ab ist die Integration von Clients in das OS für den
Hersteller sicherlich ein Pluspunkt, aber das Komponentenmodell
funktioniert dann leider nur wenn der Client entsprechend
restriktiv konfiguiert ist und eben vertrauenswürdige Anbieter
von nicht vertrauenswürdigen unterscheiden kann.
Die Frage die sich stellt ist, ist der mündige Surfer in der
Lage das selbst zu beurteilen, oder soll er zum Surferschaf
werden, das nur noch kontrollierte und abrechenbare Inhalte
zu Gesicht bekommt, ist vielleicht noch etwas weit gegriffen,
aber das kommt dann mit der nächsten Release ;).
>Weshalb man dann so Sachen, wie die mit der "Vigor DMZ" als Rat zu lesen
>bekommt (Ursprungsposting).
Ich habe eine Abneigung gegen kombinierte/integrierte Geräte, ein
Router routet, ein Paketfilter filtert, sicherlich können viele
Produkte mehr (z.B. die PIX, FW-1 mit diversten Contentfiltern versagt
kläglich bei End-to-End Kompression und Verschlüsselung, wie jedes
andere Produkt auch). Paralell dazu musst im Falle des Ausfalls
mehrere Komponenten gleichzeitig ersetzen, insofern macht je nach
Konzept ein eine zweistufige Umsetzung mit dedizierten Maschinen
durchaus Sinn, inwiefern das sinnvoll "konsolidiert" wird,
hängt von Skalierbarkeit und weiteren Faktoren ab. Inwiefern
man sich das als "Surfer" hinstellen möchte sei mal dahingestellt,
aber die Verhältnismässigkeit bleibt dabei nicht gewahrt.
Ich würde sogar soweit gehen das sich die Verhältnismässigkeit
einer PF, und sei sie auch umsonst, kaum noch vorhanden ist.
Unter Berücksichtigung der Anfangs sehr steilen Lernkurve,
dem nichtfunktionieren von "dynamischen" Protokollen wie
FTP, Gnutella, Morpheus, ICQ, IRC-DCC die eine Aufweichung
der Regeln zur folge haben, kann man die Firewall gleich
wieder entfernen. Besser ist es dann die NetBios-Bindungen
auf dem externen Interface zu entfernen und jegliches Skripting
zu verbieten, und schon kann man freundlich surfen. Seiten die
nicht mehr funktionieren bieten idR. keine Informationen die
man wirklich braucht. Sensible Daten lagern in der Schublade
auf dem Wechselmedium.
>Habe ich bei meinen frühen "Anfängerversuchen" auf der Suche nach einer
>"sicheren" Konfiguration recht schnell festgestellt ;-)
YAMMV, ich komme mit HTTP, SSH, SSL überall hin wo ich hinmöchte,
ist per NAT mehr oder weniger trvial zu konfigurieren.
>Aber _das_ ist eine Kategorie über dem, was ich vermutlich in absehbarer
>Zeit brauchen werde. Aber nett zu wissen. Man bekommt ein Gefühl davon,
>dass die Sache doch _ein wenig_ komplizierter ist...
Ja, wiegesagt jede Regel zieht einen Rattenschwanz an Komplikationen
nach sich, die bestenfalls zu Timeouts führen, und selbst das möchte
man nicht.
(..)
>->Friede
Eher Waffenstillstand ;)
Juergen P. Meier
Seit 10.1 hat es ein brauchbares Standard-Konzept.
(User, Rechtevergabe, Netzwerkdienste)
Juergen
--
_ _ | Juergen P. Meier
/.._ _ _ /_) /|/| . _ | "This World is about
\_/(// (/(`// / . / |(`/(`/ | to be Destroyed."
=======_/======================== | J...@lrz.fh-muenchen.de
Pascal Gienger
> NAT bringt ein wenig Besserung, aber populäre Filesharingprogramme,
> IRC/DCC, Messaging, VoIP, alles was Lusern Spass macht geht nicht
> ohne weiteres mit Pauschal-NAT.
Na und? Diese Protokolle sind halt "kaputt".
Wer auf die Schnapsidee kommt, Informationen über Ebene 3 (IP) und 4
(TCP/UDP) in Ebenen 5-7 zu übermitteln als Teil des Protokolles gehört
erschlagen. Ja auch das FTP-Protokoll ist so ein Fall. PORT 1,2,3,4,10,20 sa-
ge ich da nur.
Wie die dann IPv6 überleben wollen ist mir - gelinde gesagt - nicht
bekannt und eigentlich auch egal.
Pascal
Felix von Leitner
> Andreas Berger <Andreas...@de.bosch.com> wrote:
> > AFAIK ist es durch den BSD-kernel für manche/die meisten rootkits
> > nicht knackbar?
> Seit 10.1 hat es ein brauchbares Standard-Konzept.
> (User, Rechtevergabe, Netzwerkdienste)
Warum redest du mit so offensichtlich unfähigen Leuten noch?
Ich meine, "bosch.com", keine weiteren Fragen! Da kam bisher _nur_ Müll
von der Domain!
Sebastian Posner
>
>> Das dies nicht "sicher" heißt, ist mir klar (s.o.). "Sicher" ist nur die
>> Firewall des Herstellers KnippEx ;-)
> Das ist hier offtopic: "Sicherheit trotz Netz".
Wer sagt daß er nicht ein Tarn-Nez über seinen Rechner gespannt hat
damit die pöhsen hAx0rZ ihn nicht entdecken *g*
Sebastian
Stefan Heinecke
>Wer sagt daß er nicht ein Tarn-Nez über seinen Rechner gespannt hat
>damit die pöhsen hAx0rZ ihn nicht entdecken *g*
man infrarot - oder "you can run, but you can't hide" ;)
Andreas Franz
Nicht ganz falsch: Wurfnetz zum einfangen genervter Admins ;-=
fup2p
Andreas Berger
"Felix von Leitner" <usenet-...@fefe.de> wrote:
> > > AFAIK ist es durch den BSD-kernel für manche/die meisten rootkits
> > > nicht knackbar?
> > Seit 10.1 hat es ein brauchbares Standard-Konzept.
> > (User, Rechtevergabe, Netzwerkdienste)
> Warum redest du mit so offensichtlich unfähigen Leuten noch?
> Ich meine, "bosch.com", keine weiteren Fragen! Da kam bisher _nur_ Müll
> von der Domain!
Ja, so sollten Sie sein, die Beiträge in Diskussionsforen, sachlich, technisch
versiert, die/alle Leser des threads bereichern, frei von Polemik und
jeglichen persönlichen Attitüden, eben alles, was halt so von einem Menschen
mit einem gewissen sozialen Niveau zu erwarten ist.
Carsten Hodes
Joe Saccone schrieb:
> bekommen den Eindruck, dass es hier nur "Puristen"[1] gibt, haken die
> ganze Diskussion einfach unter "Glaubenskrieg" und
> "Anti-MS-Stimmung"[2] ab, und benutzen deswegen trotzig weiterhin ZA.
> [1] Ähnlich wie mit dem Tee: die Idioten tun Zucker rein (ZA), die
> Pseudokenner tun Kandis rein (Tiny), und die wahren Kenner _gar
> nichts_.
Bachem's Law: Jeder Thread läßt sich in einen Teethread umbiegen.
CUall, Carsten