Vergleichstest Checkpoint "Next Generation" und Firewall-1 4.0?
Markus Rost
kann mir jemand ne gute quelle nennen, wo ich nen Vergleichstest finden
kann, oder ähnliches. Bräuchte Vor- und Nachteile der beiden firewalls. und
gute gründe, warum ich von Firewall-1 4.0 auf die "Next Generation" updaten
soll...
Vielen Dank...
Markus Rost
Felix von Leitner
> kann mir jemand ne gute quelle nennen, wo ich nen Vergleichstest finden
> kann, oder ähnliches. Bräuchte Vor- und Nachteile der beiden firewalls. und
> gute gründe, warum ich von Firewall-1 4.0 auf die "Next Generation" updaten
> soll...
Beide Generationen taugen nichts.
Du solltest auf ein freies Betriebssystem upgraden und dort den
Quellcode untersuchen.
Marc H.
höhö :-)
sagen wir mal so, eine checkpoint firewall-1 auf ner nokia box ist wohl DER
anerkannte standard. wird von so gut wie allen security experten als bestes
system bestätigt.
die next generation kenne ich noch nicht, aber verschlechtert haben sie die
software wahrscheinlich eher nicht!
--
marc h.
ma...@elvis-presley-superstar.de
www.elvis-presley-superstar.de
Wolfgang Kueter
> höhö :-)
Ja, genau, was anderes fällt einem zu Deinen unreflektierten Zeilen
nicht ein.
> sagen wir mal so, eine checkpoint firewall-1 auf ner nokia box ist
> wohl DER anerkannte standard. wird von so gut wie allen security
> experten als bestes system bestätigt.
security Experte != Sales Droide
> die next generation kenne ich noch nicht, aber verschlechtert haben
> sie die software wahrscheinlich eher nicht!
Du kennst NG nicht, also spekulierst Du. Das musst Du ja auch, denn Du
hast keine Möglichkeit, die Sourcen zu überprüfen.
Bei CP FW-1 sind übrigens durchaus Bugs bekannt geworden, OK es gab
Fixes, soweit also alles reichlich normal und keineswegs Zauberei.
Support und DoKu ist bei Cisco (TAC) eher deutlich besser als bei CP.
CP FW-1 ist erstmal ein zustandsorientierter Paketfilter (und es soll
Leute geben, die halten ALG's für grundsätzlich sicherer/besser!) mit
einigen ganz netten Zusatzfunktionen sowie einer klickfreundlichen GUI.
Die zustandsorientierte Paketfilterung wird dabei in der Linux Version
durch ein Kernelmodul (auch schon bei den 2.2er Kerneln) erreicht.
iptables (ab 2.4er Kernel) ist nichts anderes, allerdings ist im
Quellcode verfügbar. Die Proxy Funktionen von dem Teil will man eher
nicht benutzen, die VPN Funktionalität ist durchaus OK und
funktioniert, wobei man sich schon fragen sollte, welcher der
unterschieldichen zur Verfügung gestellten Verschlüsselungsmethoden man
trauen möchte ;-)
Das Ding ist nun gewiss kein blaues Firewallwunder, aber Checkpoint hat
zweifelsohne eine recht gut funktionierende Marketingabteilung. Man
kann geteilter Meinung sein, ob man es einsetzen möchte oder nicht, wer
es kaufen will, bitte, nur bitte nicht unreflektiert.
Wolfgang
--
A foreign body and a foreign mind,
never welcome in the land of the blind.
Peter Gabriel, Not one of us, 1980
Klaas Steinhöfel
also pros und cons fw 4.0 versus ng:
a) besser derzeit auf 4.1 SP4 ggf. SP5
b) NG hat einige Vorzüge: in der Administration (GUI verbessert);
mit der sog. SIC (secure internal communication) eine gesicherte
Kommunikation zu anderen Produkten und Bestandteilen der Firewall, hierzu
hat CP eine eigene CA die dann den "Kommunikationspartnern" eigene
Zertifikate übergeben
AES-256 Verschlüsselung (nach meinen Infos derzeit die einzige FW mit dieser
Verschlüsselung)
bei der NG ab Feature Pack 2 gibt es nur IKE, d.h. SKIP, FWZ und manual
IPSEC fällt weg.
c) Release Notes lesen, da stehen die Änderungen drin
Mit freundlichen Grüßen
i.V. Klaas Steinhoefel
Data Care AG
==========================================
Data Care AG
Geschäftsstelle Koeln
Eupener Str. 159; E2
D-50933 Koeln
Tel.: +49/221/499 82-2
Fax.: +49/221/499 82-9
Mobil: +49/171/58 38 628
mail: kstein...@datacare.de
web: www.datacare.de
==========================================
Rüsselsheim - Köln
"Markus Rost" <Marku...@sued-data.de> schrieb im Newsbeitrag
news:a775lj$25r$1...@crusher.de.colt.net...
Chris Kronberg
^^
> "Felix von Leitner" <usenet-...@fefe.de> schrieb
> | Thus spake Markus Rost (Marku...@sued-data.de):
> | > kann mir jemand ne gute quelle nennen, wo ich nen Vergleichstest finden
> | > kann, oder ähnliches. Bräuchte Vor- und Nachteile der beiden firewalls. und
> | > gute gründe, warum ich von Firewall-1 4.0 auf die "Next Generation" updaten
> | > soll...
> |
> | Beide Generationen taugen nichts.
> | Du solltest auf ein freies Betriebssystem upgraden und dort den
> | Quellcode untersuchen.
>
> höhö :-)
>
> sagen wir mal so, eine checkpoint firewall-1 auf ner nokia box ist wohl DER
> anerkannte standard. wird von so gut wie allen security experten als bestes
Von wem anerkannt ? Welcher Standard ? Kann es sein, dass Du nicht
weisst, wovon Du sprichst ?
> system bestätigt.
Ich nicht.
Cheers,
Chris.
Klaas Steinhöfel
beim bisherigen Lesen der einschlägigen Seiten im Security Umfeld und der
Newsgroups sehe ich immer eine Gruppe von Personen, die kategorisch die
Check Point Firewall und andere "closed source" Firewalls ablehnen.
Die Argumente fehlen jedoch größtenteils oder sind nicht ausreichend, um zu
behaupten, das Teil ist Müll und unsicher.
Die Entscheidung, welche FW bzw. was für Sicherheitslösungen und Konzepte
(die Firewall ist ja nur ein Bruchteil einer Sicherheitslösung), eingesetzt
werden, beruht auf ganz klar einfachen betriebswirtschaftlichen Regeln:
Wie kann ich mit minimalen Aufwand (Personal, Kosten für Infrastruktur,
etc.) die mir ausreichende Sicherheit realisieren.
Ich baue ja auch nicht in einen 20 Jahre alten Kadett eine Alarmanlage von
5000 Euro ein!
Das die Webpage eines Rattenzüchterclubs nicht zu der Gruppe derer gehört,
die ein Maximum an Sicherheit benötigen, wie z.B. ein Krankenhaus wo die
Störung des Datenstromes u.U. Menschenleben gefährtet, dürfte klar sein.
Dementsprechend ist auch der Aufwand zu betreiben.
a) Das Sicherste: eine Lösung, deren Inhalte ich kenne, nachvollziehen und
verstehen kann!
Also hier ein dickes Plus an die OpenSource Gemeinde.
Aber ich behaupte, dass es auf der Welt keine einzige Person gibt, die ein
Betriebssystem und nur die Lösung einer Firewall + Verschlüsselung,
nachvollziehen und verstehen kann! Im Prinzip müsste diese Person solche
Lösungen selber schreiben können, damit er es auch nachvollzíehen und
verstehen kann.
Da bei Open Source ja jeder seinen Senf dazu geben kann und modifizierte
Programme und Programmteile in Umlauf bringen kann, und es keine Instanz
gibt, die eine Art Qualitätstest betreibt, habe ich ein Problem, die
Authentität und Korrektheit der Programme zu überprüfen.
Beziehungsweise der Aufwand ist sehr hoch, was die Kosten einer solchen
Lösung in die Höhe treibt.
Welches Unternehmen kann sich ein Team leisten, was nicht nur die tägliche
Pflege der FW (Logdateien etc.) sondern auch noch Quellcode-Analyse
betreibt?
In der Realität darf der DV-Verantwortliche die FW so ganz nebenbei
administrieren.
In bestimmten Bereichen, kann ich also "nur" dem Hersteller trauen und
gewisse Sicherheitsregeln und Konzepte erstellen, die mir regelmäßig das
korrekte Funktionieren meiner Sicherheitslösung gewährleistet.
Desweiteren ist es einfacher einem Hersteller vor das Schienenbein zu
treten, als einer nebulösen Gruppe von freien Programmierern.
Wenn z.B. bei der FW-1 es zu kritischen Problemen (meist waren es
anwendungskritische und nicht sicherheitskritische Probleme) und den Jungs
und Mädels von CP das Problem akzeptiert wurde, so wurde auch von denen in
sehr kurzer Zeit eine Lösung präsentiert. (Ich bezeichne das mal als
"private Patch")
Daher hat sich CP als FW Hersteller als einer der wenigen Anbieter einer
akzeptablen Lösung gemausert.
Ich selbst bin nicht 100% CP mindet. Es gibt da genug Reibungspunkte die
nicht immer für CP sprechen!
b) Die FW von CP schützt den eigentlichen TCP und IP Stack! Ist doch schon
mal was! Wer macht das sonst noch?
c) Die sogenannte Stateful Inspection Technologie wurde ja von CP entwickelt
und auch patentiert.
Soweit ich weis, muss(te) jeder Hersteller von FWs, die auf diese Technik
basieren (Cisco PIX, SonicWall etc.) einen Obolus an CP entrichten.
d) Wenn ich die Listen der sicherheitsrelevanten Bugs anschaue, sieht diese
bei CP ja recht übersichtlich aus! Andere Firewalls stehen da schon
wesentlich höher in der Hitliste.
e) Vieleicht kenne ich ja noch nicht die Lücken der FW-1?
Gibt es irgendwelche,
a) die es mir erlauben hinter die FW oder auf die FW zu gelangen um
Nutzdaten zu erspähen?
b) das System instabil machen um dem jeweiligen einen Schaden
(wirtschaftlich, Reputation) zuzufügen?
f) Die meisten Sicherheitslöcher sind aufgrund des DAU zurückzuführen.
Keine oder schlechte Regeln über die Verwendung von Passwörtern.
Nicht gesicherte Verbindungen für kritische Dienste (telnet, rlogin usw.)
Betriebssysteminstallationen wie "Entire Distribution plus OEM Support".
Dieses ist mir bei Mitarbeitern von einem Unternehmen mit angeschlossener
Bank aufgefallen. Die installierten jeden Solaris Rechner so. Egal ob für
SAP, Oracle oder FW!
g) Finde VMS und Alpha sowieso besser! ;-) Aber Digital hatte da halt eine
schlechte Marketingabteilung.
Erbitte um eine sachliche Diskussion und nicht nach dem Motto, du DAU mit
dir diskutiere ich sowieso nicht.
Vieleicht gibt es ja einige Infos die ich noch nicht kenne und mein
zukünftiges Handeln beeinflussen!
Viele Grüße
Klaas
"Felix von Leitner" <usenet-...@fefe.de> schrieb im Newsbeitrag
news:3c97...@fefe.de...
Rainer Weikusat
> Hallo Newsgroup,
Hallo Trolli. Immer noch bei Puste?
[closed source 'Sicherheitssoftware']
> Die Argumente fehlen jedoch größtenteils oder sind nicht
> ausreichend, um zu behaupten, das Teil ist Müll und unsicher.
Diese Behauptung wirst Du im folgenden hoffentlich belegen.
> Die Entscheidung, welche FW bzw. was für Sicherheitslösungen und
> Konzepte (die Firewall ist ja nur ein Bruchteil einer
> Sicherheitslösung), eingesetzt werden, beruht auf ganz klar
> einfachen betriebswirtschaftlichen Regeln: Wie kann ich mit
> minimalen Aufwand (Personal, Kosten für Infrastruktur, etc.) die mir
> ausreichende Sicherheit realisieren.
Womit sich direkt folgendes Problem ergibt: Was ist eine 'ausreichende
Sicherheit'? Du meinst nicht zufällig ein 'sich ausreichend sicher
fühlen'?
> a) Das Sicherste: eine Lösung, deren Inhalte ich kenne,
> nachvollziehen und verstehen kann!
Strawman #1 (ich mogele und lese vor :->)
> Aber ich behaupte, dass es auf der Welt keine einzige Person gibt,
> die ein Betriebssystem und nur die Lösung einer Firewall +
> Verschlüsselung, nachvollziehen und verstehen kann.
Behauptung zwei, soll Strawman #1 rückwirkend 'das Plus' entziehen.
Ich behaupte das Gegenteil.
> Im Prinzip müsste diese Person solche Lösungen selber schreiben
> können, damit er es auch nachvollzíehen und verstehen kann.
Wieso?
> Da bei Open Source ja jeder seinen Senf dazu geben kann und
> modifizierte Programme und Programmteile in Umlauf bringen kann, und
> es keine Instanz gibt, die eine Art Qualitätstest betreibt,
Du lügst. Oder Du kaufst 'schwarz gebrannte RH-CDs in
Halbweltkneipen', das Stichwort lautet 'maintainer'. An den hält man
sich im Zweifelsfall für 'offizielle' Versionen.
> habe ich ein Problem, die Authentität
Non sequitur, => PGP.
> und Korrektheit der Programme zu überprüfen.
Lt Deiner Behauptung von eben gibt es niemand auf der Welt, der das
könnte, Du also auch nicht.
> Beziehungsweise der Aufwand ist sehr hoch, was die Kosten einer solchen
> Lösung in die Höhe treibt.
Behauptung #4.
> Welches Unternehmen kann sich ein Team leisten, was nicht nur die tägliche
> Pflege der FW (Logdateien etc.) sondern auch noch Quellcode-Analyse
> betreibt?
Wozu?
> In bestimmten Bereichen, kann ich also "nur" dem Hersteller trauen
Weil Du qua definitionem jedes OSS-Programm als unmaintained ansiehst
und behauptest, jeder Hersteller täte das für alle seine Produkte
gemessen von Zeitpunkt X bis unendlich. Das ist falsch.
> Desweiteren ist es einfacher einem Hersteller vor das Schienenbein
> zu treten,
Wenn man ihm doch unbedingt trauen kann, wozu 'vors Schienbein
treten'?
Wieviel Anwaltskosten kann eine Mittelstandsfirma ggf vorfeuern, bevor
sie gegen M$/ Cisco/ Oracle/ sonst irgendwas größerem vor Gericht
Recht bekommen hat, bevor sie Konkurs anmelden muß?
> als einer nebulösen Gruppe von freien Programmierern.
Die Du Dir weiter oben herbeidefiniert hast [Man beachte die
Assoziationen 'frei' <-> 'gefährlich'].
> Wenn z.B. bei der FW-1 es zu kritischen Problemen (meist waren es
> anwendungskritische und nicht sicherheitskritische Probleme) und den
> Jungs und Mädels von CP das Problem akzeptiert wurde, so wurde auch
> von denen in sehr kurzer Zeit eine Lösung präsentiert. (Ich
> bezeichne das mal als "private Patch")
Daraus folgt für zukünftiges Verhalten genau was?
> b) Die FW von CP schützt den eigentlichen TCP und IP Stack! Ist doch
> schon mal was! Wer macht das sonst noch?
Die meisten Angriffe auf ein Netz finden von innen statt (wenigstens
behauptet das MIT das auf seiner Kerberos-HP). Die Annahme, der FW-1
'Protokollstack' müsse notwendigerweise fehlerfreier sein, als jeder
anderen, gründet sich auf nichts.
> c) Die sogenannte Stateful Inspection Technologie wurde ja von CP
> entwickelt und auch patentiert.
Read: Sie haben die TCP-state machine aus dem entsprechenden RFC
auch mal teilweise implementiert.
> Vieleicht gibt es ja einige Infos die ich noch nicht kenne und mein
> zukünftiges Handeln beeinflussen!
Hier kommt einen: Du mmöchtest _dringend_ einen VHS-Kurs in Deutsch
belegen.
Rainer Weikusat
> Hallo Newsgroup,
Hallo Trolli. Immer noch bei Puste?
[closed source 'Sicherheitssoftware']
> Die Argumente fehlen jedoch größtenteils oder sind nicht
> ausreichend, um zu behaupten, das Teil ist Müll und unsicher.
Diese Behauptung wirst Du im folgenden hoffentlich belegen.
> Die Entscheidung, welche FW bzw. was für Sicherheitslösungen und
> Konzepte (die Firewall ist ja nur ein Bruchteil einer
> Sicherheitslösung), eingesetzt werden, beruht auf ganz klar
> einfachen betriebswirtschaftlichen Regeln: Wie kann ich mit
> minimalen Aufwand (Personal, Kosten für Infrastruktur, etc.) die mir
> ausreichende Sicherheit realisieren.
Womit sich direkt folgendes Problem ergibt: Was ist eine 'ausreichende
Sicherheit'? Du meinst nicht zufällig ein 'sich ausreichend sicher
fühlen'?
> a) Das Sicherste: eine Lösung, deren Inhalte ich kenne,
> nachvollziehen und verstehen kann!
Strawman #1 (ich mogele und lese vor :->)
> Aber ich behaupte, dass es auf der Welt keine einzige Person gibt,
> die ein Betriebssystem und nur die Lösung einer Firewall +
> Verschlüsselung, nachvollziehen und verstehen kann.
Behauptung zwei, soll Strawman #1 rückwirkend 'das Plus' entziehen.
Ich behaupte das Gegenteil.
> Im Prinzip müsste diese Person solche Lösungen selber schreiben
> können, damit er es auch nachvollzíehen und verstehen kann.
Wieso?
> Da bei Open Source ja jeder seinen Senf dazu geben kann und
> modifizierte Programme und Programmteile in Umlauf bringen kann, und
> es keine Instanz gibt, die eine Art Qualitätstest betreibt,
Du lügst. Oder Du kaufst 'schwarz gebrannte RH-CDs in
Halbweltkneipen', das Stichwort lautet 'maintainer'. An den hält man
sich im Zweifelsfall für 'offizielle' Versionen.
> habe ich ein Problem, die Authentität
Non sequitur, => PGP.
> und Korrektheit der Programme zu überprüfen.
Lt Deiner Behauptung von eben gibt es niemand auf der Welt, der das
könnte, Du also auch nicht.
> Beziehungsweise der Aufwand ist sehr hoch, was die Kosten einer solchen
> Lösung in die Höhe treibt.
Behauptung #4.
> Welches Unternehmen kann sich ein Team leisten, was nicht nur die tägliche
> Pflege der FW (Logdateien etc.) sondern auch noch Quellcode-Analyse
> betreibt?
Wozu?
> In bestimmten Bereichen, kann ich also "nur" dem Hersteller trauen
Weil Du qua definitionem jedes OSS-Programm als unmaintained ansiehst
und behauptest, jeder Hersteller täte das für alle seine Produkte
gemessen von Zeitpunkt X bis unendlich. Das ist falsch.
> Desweiteren ist es einfacher einem Hersteller vor das Schienenbein
> zu treten,
Wenn man ihm doch unbedingt trauen kann, wozu 'vors Schienbein
treten'?
Wieviel Anwaltskosten kann eine Mittelstandsfirma ggf vorfeuern, bevor
sie gegen M$/ Cisco/ Oracle/ sonst irgendwas größerem vor Gericht
Recht bekommen hat, bevor sie Konkurs anmelden muß?
> als einer nebulösen Gruppe von freien Programmierern.
Die Du Dir weiter oben herbeidefiniert hast [Man beachte die
Assoziationen 'frei' <-> 'gefährlich'].
> Wenn z.B. bei der FW-1 es zu kritischen Problemen (meist waren es
> anwendungskritische und nicht sicherheitskritische Probleme) und den
> Jungs und Mädels von CP das Problem akzeptiert wurde, so wurde auch
> von denen in sehr kurzer Zeit eine Lösung präsentiert. (Ich
> bezeichne das mal als "private Patch")
Daraus folgt für zukünftiges Verhalten genau was?
> b) Die FW von CP schützt den eigentlichen TCP und IP Stack! Ist doch
> schon mal was! Wer macht das sonst noch?
Die meisten Angriffe auf ein Netz finden von innen statt (wenigstens
behauptet das MIT das auf seiner Kerberos-HP). Die Annahme, der FW-1
'Protokollstack' müsse notwendigerweise fehlerfreier sein, als jeder
anderen, gründet sich auf nichts.
> c) Die sogenannte Stateful Inspection Technologie wurde ja von CP
> entwickelt und auch patentiert.
Read: Sie haben die TCP-state machine aus dem entsprechenden RFC
auch mal teilweise implementiert.
> Vieleicht gibt es ja einige Infos die ich noch nicht kenne und mein
> zukünftiges Handeln beeinflussen!
Hier kommt eine: Du mmöchtest _dringend_ einen VHS-Kurs in Deutsch
belegen.
Pascal Gienger
> c) Die sogenannte Stateful Inspection Technologie wurde ja von CP entwickelt
> und auch patentiert.
Oh ja. Mal wieder ein Patent. Wieder eines dieser Witzpatente "Du ich habe
die tolle neue Idee daß ich nicht nur ein Paket anschaue sondern die
nächsten auch noch!".
Schön daß ich mit vielen Open Source stateful firewalls (die es
gibt, google läßt grüßen) Patentverletzungen begehe. Genauso
wie ich durch Folgen von Hyperlinks Patentverletzungen begehe. Klasse. ;-)
Pascal
Robin S. Socha
> Vieleicht gibt es ja einige Infos die ich noch nicht kenne und mein
> zukünftiges Handeln beeinflussen!
http://groups.google.com/
http://learn.to/quote/
news:de.newusers.infos
Und natürlich:
http://www.google.com/search?sourceid=navclient&q=volkshochschule+deutschkurs
Und jetzt, Klaas, nimmst Du bitte Dein Outlook Express und Dein
Wissensdefizit und gehst damit irgendwohin, wo Du weniger nervst.
[xpost & fup2 de.alt.gruppenkasper]
Andreas Waschbuesch
[Wahres ...]
>
> Weil Du qua definitionem jedes OSS-Programm als unmaintained ansiehst
"qua definitionE"
Lutz Donnerhacke
>Aber ich behaupte, dass es auf der Welt keine einzige Person gibt, die ein
>Betriebssystem und nur die Lösung einer Firewall + Verschlüsselung,
>nachvollziehen und verstehen kann! Im Prinzip müsste diese Person solche
>Lösungen selber schreiben können, damit er es auch nachvollzíehen und
>verstehen kann.
Das geht schon.
>Da bei Open Source ja jeder seinen Senf dazu geben kann und modifizierte
>Programme und Programmteile in Umlauf bringen kann, und es keine Instanz
>gibt, die eine Art Qualitätstest betreibt, habe ich ein Problem, die
>Authentität und Korrektheit der Programme zu überprüfen.
Man nimmt eben nur das ins sein Portfolio auf, was man selbst angeschaut hat.
>Welches Unternehmen kann sich ein Team leisten, was nicht nur die tägliche
>Pflege der FW (Logdateien etc.) sondern auch noch Quellcode-Analyse
>betreibt?
Hier.
>In der Realität darf der DV-Verantwortliche die FW so ganz nebenbei
>administrieren.
Tja, das honoriert die Versicherung inzwischen mit Prämienaufschlägen.
>Desweiteren ist es einfacher einem Hersteller vor das Schienenbein zu
>treten, als einer nebulösen Gruppe von freien Programmierern.
Du darfst Dir nur selbst an Schienenbein treten. Und die Änderungen dann an
die Gruppe senden.
>Wenn z.B. bei der FW-1 es zu kritischen Problemen (meist waren es
>anwendungskritische und nicht sicherheitskritische Probleme) und den Jungs
>und Mädels von CP das Problem akzeptiert wurde, so wurde auch von denen in
>sehr kurzer Zeit eine Lösung präsentiert. (Ich bezeichne das mal als
>"private Patch")
Ach. Und als FreeRadius Speicher verlor, wollte niemand was davon wissen, so
daß ich den Patch in zwei Tagen selbst gemacht habe. Wie sieht es denn aus,
wenn die Dein Problem wegdefinieren? So ala: Hier ist ein Workaround, sehen
Sie zu, wie Sie das einarbeiten?
>Daher hat sich CP als FW Hersteller als einer der wenigen Anbieter einer
>akzeptablen Lösung gemausert.
IYHO.
>b) Die FW von CP schützt den eigentlichen TCP und IP Stack! Ist doch schon
>mal was! Wer macht das sonst noch?
Wovon redest Du?
>c) Die sogenannte Stateful Inspection Technologie wurde ja von CP entwickelt
>und auch patentiert.
Ein Marketingbegriff.
>Soweit ich weis, muss(te) jeder Hersteller von FWs, die auf diese Technik
>basieren (Cisco PIX, SonicWall etc.) einen Obolus an CP entrichten.
Nur, wenn sie den Marketingbegriff nutzen wollten. IPtables nutzt das auch
und zahlt nicht.
>d) Wenn ich die Listen der sicherheitsrelevanten Bugs anschaue, sieht diese
>bei CP ja recht übersichtlich aus! Andere Firewalls stehen da schon
>wesentlich höher in der Hitliste.
;-) Mein NeXTSTEP 3.3 hat noch weniger Meldungen in der Liste.
>Erbitte um eine sachliche Diskussion und nicht nach dem Motto, du DAU mit
>dir diskutiere ich sowieso nicht.
Dann höre bitte mit TOFU und der CP Verblendung auf.
Urs [Ayahuasca] Traenkner
> beim bisherigen Lesen der einschlägigen Seiten im Security Umfeld und der
> Newsgroups sehe ich immer eine Gruppe von Personen, die kategorisch die
> Check Point Firewall und andere "closed source" Firewalls ablehnen.
Scheint also noch mehr zu geben. Gut so.
> Die Argumente fehlen jedoch größtenteils oder sind nicht ausreichend, um zu
> behaupten, das Teil ist Müll und unsicher.
"Muell & unsicher" =|= "fuer die offerierte Loesung ganz schoen
teuer und billiger zu haben"
> Die Entscheidung, welche FW bzw. was für Sicherheitslösungen und Konzepte
> (die Firewall ist ja nur ein Bruchteil einer Sicherheitslösung), eingesetzt
> werden, beruht auf ganz klar einfachen betriebswirtschaftlichen Regeln:
> Wie kann ich mit minimalen Aufwand (Personal, Kosten für Infrastruktur,
> etc.) die mir ausreichende Sicherheit realisieren.
Was den meisten "Entscheidern" abgeht, ist
a) ein Konzept fuer's LAN und Bedrohungen von da her
b) eine Ahnung, dass ein unfaehiger Admin ein auch noch so tolles
Sicherheitsprodukt schon irgendwie durch Fehlkonfiguration ad
absurdum fuehren wird
> Ich baue ja auch nicht in einen 20 Jahre alten Kadett eine Alarmanlage von
> 5000 Euro ein!
Nicht alles, was hinkt, ist ein Vergleich.
> Das die Webpage eines Rattenzüchterclubs nicht zu der Gruppe derer gehört,
> die ein Maximum an Sicherheit benötigen, wie z.B. ein Krankenhaus wo die
> Störung des Datenstromes u.U. Menschenleben gefährtet, dürfte klar sein.
> Dementsprechend ist auch der Aufwand zu betreiben.
Ach. Und Du glaubst, ein Homepagehoster stellt dem
Rattenzuechterclub Buxtehude einen ganz persoenlichen Rechner
hin? Das wage ich fast zu bezweifeln.
[snip]
> Da bei Open Source ja jeder seinen Senf dazu geben kann und modifizierte
> Programme und Programmteile in Umlauf bringen kann, und es keine Instanz
> gibt, die eine Art Qualitätstest betreibt, habe ich ein Problem, die
> Authentität und Korrektheit der Programme zu überprüfen.
> Beziehungsweise der Aufwand ist sehr hoch, was die Kosten einer solchen
> Lösung in die Höhe treibt.
> Welches Unternehmen kann sich ein Team leisten, was nicht nur die tägliche
> Pflege der FW (Logdateien etc.) sondern auch noch Quellcode-Analyse
> betreibt?
Dafuer gibt es Authentifizierungsmechanismen.
Irgendwie kann ich das Argument, closed source deswegen zu
nutzen, weil open source auditing zu teuer ist, nicht
nachvollziehen.
> In der Realität darf der DV-Verantwortliche die FW so ganz nebenbei
> administrieren.
Leider.
> In bestimmten Bereichen, kann ich also "nur" dem Hersteller trauen und
> gewisse Sicherheitsregeln und Konzepte erstellen, die mir regelmäßig das
> korrekte Funktionieren meiner Sicherheitslösung gewährleistet.
Checkpoint liest man oefters mal auf bugtraq. So wie alles andere
da regelmaessig vorbeiflattert, von den Loesungen eines gewissen
Hr. Bernstein vielleicht mal abgesehen.
Am Mitlesen der Sicherheitsmailinglisten kommst Du als
verantwortungsvoller Sysadmin so oder so nicht drumrum.
Und ob ich nun Patch von Hersteller oder Patch von Distributor
einspiele, bleibt sich doch letztendlich gleich.
> Desweiteren ist es einfacher einem Hersteller vor das Schienenbein zu
> treten, als einer nebulösen Gruppe von freien Programmierern.
Dass es hier in der Praxis vorne und hinten stinkt, ist Dir
sicherlich bekannt. Bisher habe ich jedenfalls noch nie ein
mittelstaendisches Unternehmen Microsoft verklagen sehen, weil
der DV damit ueberfordert ist, auf allen Clients fuer den Browser
und Mailreader alle 2 Wochen ein neues Patchpaket zu
installieren.
Also laesst man es bleiben, lebt mit der Bedrohung und
installiert sich lieber einen Virenscanner, weil das
augenscheinlich fuer M$ Software das sinnvollste ist. Mir faellt
da nur das Wort Folgekosten ein, anyway.
> Wenn z.B. bei der FW-1 es zu kritischen Problemen (meist waren es
> anwendungskritische und nicht sicherheitskritische Probleme) und den Jungs
> und Mädels von CP das Problem akzeptiert wurde, so wurde auch von denen in
> sehr kurzer Zeit eine Lösung präsentiert. (Ich bezeichne das mal als
> "private Patch")
> Daher hat sich CP als FW Hersteller als einer der wenigen Anbieter einer
> akzeptablen Lösung gemausert.
> Ich selbst bin nicht 100% CP mindet. Es gibt da genug Reibungspunkte die
> nicht immer für CP sprechen!
Ist doch schoen.
> b) Die FW von CP schützt den eigentlichen TCP und IP Stack! Ist doch schon
> mal was! Wer macht das sonst noch?
Der Administrator?
Der IP stack selbst? Ich habe noch nie einen remote root exploit
ip stack gesehen oder davon gehoert.
[Rest gesnippt]
> Vieleicht gibt es ja einige Infos die ich noch nicht kenne und mein
> zukünftiges Handeln beeinflussen!
Wenn ich mir Dein Tofu so anschaue, waere vielleicht der Text
ueber das Quoten in news:de.newusers.infos ein guter Anfang.
Gruss Urs...
--
Ehrlich, Adj. - Im Geschaeftsleben schwerbehindert.
Ambrose Bierce, "Des Teufels Woerterbuch"
Michael Bergbauer
> Hallo Newsgroup, Hallo Felix
Pi's Law. You loose.
Fup2me
--
Michael Bergbauer <mic...@noname.franken.de>
use your idle CPU cycles - See http://www.distributed.net for details.
Visit our mud Geas at geas.franken.de Port 3333
Klaas Steinhöfel
besten Dank für Mail.
a) Etikette: Irgendwo stand mein Name in Klartext! Oder soll ich dich
Trolli2 nennen?
b) Rest im Text.
From: "Rainer Weikusat" <weik...@students.uni-mainz.de>
Newsgroups: de.comp.security.firewall
Sent: Wednesday, March 20, 2002 12:01 PM
Subject: Re: Vergleichstest CP; AN die Felix von Leitner und Co.
> "Klaas Steinhöfel" <kstein...@datacare.de> writes:
> > Hallo Newsgroup,
>
> Hallo Trolli. Immer noch bei Puste?
>
> [closed source 'Sicherheitssoftware']
>
> > Die Argumente fehlen jedoch größtenteils oder sind nicht
> > ausreichend, um zu behaupten, das Teil ist Müll und unsicher.
>
> Diese Behauptung wirst Du im folgenden hoffentlich belegen.
===
Habe deine Kommentare gelesen und nichts darin gefunden, was gegen CP
spricht.
===
>
> > Die Entscheidung, welche FW bzw. was für Sicherheitslösungen und
> > Konzepte (die Firewall ist ja nur ein Bruchteil einer
> > Sicherheitslösung), eingesetzt werden, beruht auf ganz klar
> > einfachen betriebswirtschaftlichen Regeln: Wie kann ich mit
> > minimalen Aufwand (Personal, Kosten für Infrastruktur, etc.) die mir
> > ausreichende Sicherheit realisieren.
>
> Womit sich direkt folgendes Problem ergibt: Was ist eine 'ausreichende
> Sicherheit'? Du meinst nicht zufällig ein 'sich ausreichend sicher
> fühlen'?
===
Erst wenn ich ausreichend gesichert bin (technischer Level), kann ich mich
sicher fühlen (emotionaler Level).
Die Sicherheit kann in dieser schnelllebigen Welt u.U. nur von kurzer Dauer
sein. Muss also regelmässig angepasst werden. Den Aufwand, den ich für eine
ausreichende Sicherheit, betreiben muss, ergeben sich aus mehreren
Randbedingungen, die im Einzelfall erarbeitet werden müssen.
======
>
> > a) Das Sicherste: eine Lösung, deren Inhalte ich kenne,
> > nachvollziehen und verstehen kann!
>
> Strawman #1 (ich mogele und lese vor :->)
>
> > Aber ich behaupte, dass es auf der Welt keine einzige Person gibt,
> > die ein Betriebssystem und nur die Lösung einer Firewall +
> > Verschlüsselung, nachvollziehen und verstehen kann.
>
> Behauptung zwei, soll Strawman #1 rückwirkend 'das Plus' entziehen.
>
> Ich behaupte das Gegenteil.
====
Korrekt gelesen und verstanden.
Kenne leider keinen, der so fit ist.
Biete diesen Personen einen Job an!
======
>
> > Im Prinzip müsste diese Person solche Lösungen selber schreiben
> > können, damit er es auch nachvollzíehen und verstehen kann.
>
> Wieso?
===
Weil letztendlich nur der, der selber programmiert auch die beste Fähigkeit
hat, Programme zu analysieren
Wenn er das nicht kann (das Programmieren), dann kann er zwar vieleicht 80
Prozent analysieren, in den restlichen 20 Prozent, wo der Müll
einprogrammiert ist, enteckt er aber nicht!
====
>
> > Da bei Open Source ja jeder seinen Senf dazu geben kann und
> > modifizierte Programme und Programmteile in Umlauf bringen kann, und
> > es keine Instanz gibt, die eine Art Qualitätstest betreibt,
>
> Du lügst. Oder Du kaufst 'schwarz gebrannte RH-CDs in
> Halbweltkneipen', das Stichwort lautet 'maintainer'. An den hält man
> sich im Zweifelsfall für 'offizielle' Versionen.
>
> > habe ich ein Problem, die Authentität
>
> Non sequitur, => PGP.
>
> > und Korrektheit der Programme zu überprüfen.
>
> Lt Deiner Behauptung von eben gibt es niemand auf der Welt, der das
> könnte, Du also auch nicht.
=========
Stimmt, ich kann es nicht!
Habe hier sicherlich das "Besorgen" der Software etwas schwarz gemalt.
Meine RH-CDs kommt auch nur von dem offiziellen Distributor.
Aber worauf ich damit hinaus wollte, ist z.B. der Fall eines unvorsichtigen
Administrators, der für seinen neusten Rechner neuste Treiber benötigt. RH
hat z.B. diese noch nicht und per Suchmaschine hat er irgendeinen gefunden,
der schon so etwas programmiert hat. Download geklickt und installiert. Neue
HW läuft, der Download seiner Daten auch. Aber er merkt nichts davon, weil
er nur auf das Funktionieren seiner neuen HW fixiert ist.
Ich bin mir nicht sicher, wie die QS bei RH ausschaut. Wird dort das
geprüft, was auf der Verpackung steht? Oder wird alles, inkl. nicht
gewünschter Eigenschaften, überprüft?
=========
>
> > Beziehungsweise der Aufwand ist sehr hoch, was die Kosten einer solchen
> > Lösung in die Höhe treibt.
>
> Behauptung #4.
====
Ja, eine Behauptung.
Personalkosten kennst Du ja. Ich denke, du bist so fit und kannst abschätzen
wieviel Manntage für Quellcode-Analysen benötigt werden.
Habe dieses mal im Rahmen von Softwarequalitätssicherung betrieben. Black
Box and White Box Testing.
=====
>
> > Welches Unternehmen kann sich ein Team leisten, was nicht nur die
tägliche
> > Pflege der FW (Logdateien etc.) sondern auch noch Quellcode-Analyse
> > betreibt?
>
> Wozu?
>
======
Was empfehlen die meisten OSS Befürworter?
OSS installieren und Quellcode prüfen!
========
> > In bestimmten Bereichen, kann ich also "nur" dem Hersteller trauen
>
> Weil Du qua definitionem jedes OSS-Programm als unmaintained ansiehst
> und behauptest, jeder Hersteller täte das für alle seine Produkte
> gemessen von Zeitpunkt X bis unendlich. Das ist falsch.
=====
Es gibt ein blindes Vertrauen.
Das ist tötlich und hier nicht gemeint.
Gewisse Regeln zur Kontrolle müssen implementiert sein. Denn wie du
zustimmen kannst, ist das Know How von heute schon morgen veraltert. Dieses
betrifft insbesondere Sicherheitslösungen.
=====
>
> > Desweiteren ist es einfacher einem Hersteller vor das Schienenbein
> > zu treten,
>
> Wenn man ihm doch unbedingt trauen kann, wozu 'vors Schienbein
> treten'?
>
====
s.o.
====
> Wieviel Anwaltskosten kann eine Mittelstandsfirma ggf vorfeuern, bevor
> sie gegen M$/ Cisco/ Oracle/ sonst irgendwas größerem vor Gericht
> Recht bekommen hat, bevor sie Konkurs anmelden muß?
>
> > als einer nebulösen Gruppe von freien Programmierern.
>
> Die Du Dir weiter oben herbeidefiniert hast [Man beachte die
> Assoziationen 'frei' <-> 'gefährlich'].
>
=======
Es besteht die Möglichkeit gegenüber M$ und Co. im Extremfall es zu einem
Prozess kommen zu lassen.
Bei RH?
Freie SW = gefährliche SW ist pauschalisiert und sicher nicht zutreffend.
Aber in freier SW ohne Kontrolle ist wesentlich mehr Gefahrenpotential.
======
> > Wenn z.B. bei der FW-1 es zu kritischen Problemen (meist waren es
> > anwendungskritische und nicht sicherheitskritische Probleme) und den
> > Jungs und Mädels von CP das Problem akzeptiert wurde, so wurde auch
> > von denen in sehr kurzer Zeit eine Lösung präsentiert. (Ich
> > bezeichne das mal als "private Patch")
>
> Daraus folgt für zukünftiges Verhalten genau was?
======
Auch bei komerzieller SW die Augen aufhalten
======
>
> > b) Die FW von CP schützt den eigentlichen TCP und IP Stack! Ist doch
> > schon mal was! Wer macht das sonst noch?
>
> Die meisten Angriffe auf ein Netz finden von innen statt (wenigstens
> behauptet das MIT das auf seiner Kerberos-HP). Die Annahme, der FW-1
> 'Protokollstack' müsse notwendigerweise fehlerfreier sein, als jeder
> anderen, gründet sich auf nichts.
>
========
Behaupte ja nicht, das damit die FW-1 100% geschützt ist!
Kein Motorrad fahren ist sicherer als mit Helm fahren. Aber mit Helm fahren
ist sicherer als ohne Helm fahren.
Das die meisten Angriffe von innen stattfinden ist sicher korrekt. Daher ist
die FW ja letztendlich nur ein Bruchteil einer Sicherheitslösung. Ich muss
zusätzlich noch Vorsorge für die "innere" Sicherheit tragen.
========
> > c) Die sogenannte Stateful Inspection Technologie wurde ja von CP
> > entwickelt und auch patentiert.
>
> Read: Sie haben die TCP-state machine aus dem entsprechenden RFC
> auch mal teilweise implementiert.
>
> > Vieleicht gibt es ja einige Infos die ich noch nicht kenne und mein
> > zukünftiges Handeln beeinflussen!
>
> Hier kommt eine: Du mmöchtest _dringend_ einen VHS-Kurs in Deutsch
> belegen.
========
Habe ich so viele Grammatik-, Rechtschreib- und Seichensetzungsfehler
gemacht?
======
Viele Grüße
Klaas
Denis Jedig
> Erst wenn ich ausreichend gesichert bin (technischer Level), kann ich
> mich sicher fühlen (emotionaler Level).
Wie genau für dich erschaffen existieren diverse Angebote diverser
Dienstleister, die sich um die Sicherheit deines Netzes kümmern und bereits
in ihren Verträgen die Haftung penibel genau festlegen und sich absichtlich
zu Haftbarkeit bei durch fehlerhafte Software oder Miskonfiguration
entstandenem Schaden verpflichten. Wenn du ruhig schlafen willst, greife
darauf zurück und bezahle entsprechend.
--
Denis Jedig
Felix von Leitner
> sagen wir mal so, eine checkpoint firewall-1 auf ner nokia box ist wohl DER
> anerkannte standard.
Nein.
> wird von so gut wie allen security experten als bestes system
> bestätigt.
Nein.
> die next generation kenne ich noch nicht, aber verschlechtert haben sie die
> software wahrscheinlich eher nicht!
Geht ja auch kaum.
Felix von Leitner
> AES-256 Verschlüsselung (nach meinen Infos derzeit die einzige FW mit dieser
> Verschlüsselung)
Du bist ja so derartig inkompetent, da tränen mir die Augen.
> Mit freundlichen Grüßen
> i.V. Klaas Steinhoefel
> Data Care AG
> ==========================================
> Data Care AG
> Geschäftsstelle Koeln
> Eupener Str. 159; E2
> D-50933 Koeln
> Tel.: +49/221/499 82-2
> Fax.: +49/221/499 82-9
> Mobil: +49/171/58 38 628
> mail: kstein...@datacare.de
> web: www.datacare.de
> ==========================================
> Rüsselsheim - Köln
Oh Mann.
Ein IT-Dienstleister, der Outlook benutzt, in Newsgroup trollt, weder
Quoten noch Signaturen abtrennen kann, Marketing-Bullshit von Checkpoint
als Fakten verteilt, und sich dann noch für einen Sicherheits-
Dienstleister hält, das ist wirklich Realitätsverlust, wie wir ihn
selbst hier nur selten zu Gesicht bekommen.
Pascal Gienger
[... Marketinggewäsch von Datacare gelöscht...]
> Du bist ja so derartig inkompetent, da tränen mir die Augen.
Ack.
> Oh Mann.
> Ein IT-Dienstleister, der Outlook benutzt, in Newsgroup trollt, weder
> Quoten noch Signaturen abtrennen kann, Marketing-Bullshit von Checkpoint
> als Fakten verteilt, und sich dann noch für einen Sicherheits-
> Dienstleister hält, das ist wirklich Realitätsverlust, wie wir ihn
> selbst hier nur selten zu Gesicht bekommen.
Leider _kaufen_ das die Leute wie blöd. Es muß 19"-Format haben,
sehr viel Geld kosten, von mindestens 4 $KOLLEGEN von $ENTSCHEIDER genauso
eingesetzt werden und es muß $FIRMA dahinterstehen die $SUPPORTTELEFON-
NUMMER draufklebt und auf viel $MONETARY_UNIT verklagbar ist. Daneben muß
$HOCHGLANZPROSPEKT existieren.
Nur denkt halt $ENTSCHEIDER nicht über das Wohl seiner $FIRMA sondern über
das eigene. Und mit der Taktik von oben wird aus $ENTSCHEIDER ein
$CHEF($ENTSCHEIDER).
Traurig. :(
Pascal
Wolfgang Kueter
> * Pascal Gienger <fin...@gmx.de> wrote:
>> [Die Welt will beschi**en werden]
> [Die Welt will beschi**en werden]
Mag das das ja alles beweinen. Eine Frage sei allerdings gestattet:
Kauft Ihr eigentlich ein Auto (oder ein anderes technisches Gerät), von
dem es keinen Hochglanzprospekt oder irgendwelches sonstige
profesionell gestaltete Werbematerial gibt?
Nein? Oooops.
Wolfgang
Felix von Leitner
> Leider _kaufen_ das die Leute wie blöd.
Was, ihm seinen Müll ab? Nein.
Checkpoint ist zwar scheiße, aber man kann es einsetzen und wehrt damit
möglicherweise sogar den einen oder anderen inkompetenten
Trottel-Angreifer ab. Daß Datacare die Leute in Massen ihren Müll
abkaufen, das glaubst du doch wohl selber nicht?
> Es muß 19"-Format haben, sehr viel Geld kosten, von mindestens 4
> $KOLLEGEN von $ENTSCHEIDER genauso eingesetzt werden und es muß $FIRMA
> dahinterstehen die $SUPPORTTELEFONNUMMER draufklebt und auf viel
> $MONETARY_UNIT verklagbar ist. Daneben muß $HOCHGLANZPROSPEKT
> existieren.
Das ist Unfug. Niemand wird wegen schlechter Software verklagt.
Und Prospekte fliegen überall in den Müll. Wo nicht mit Beziehungen
Aufträge geholt werden, entscheidet der Zufall, wer gerade vor Ort war,
als der Entscheider das Problem hatte.
> Nur denkt halt $ENTSCHEIDER nicht über das Wohl seiner $FIRMA sondern über
> das eigene.
Klar. Also wird ein erfolgreiches Verkaufsgespräch dem Entscheider
vermitteln, wieso es in seinem Interesse ist, bei mir zu kaufen. Und
natürlich gibt es kein Argument dafür, schlechte Produkte einzusetzen.
Entscheider tun das auch nicht absichtlich, sondern weil sie in ihrer
Verwirrung glauben, sie täten etwas gutes. Ich jedenfalls habe noch nie
gehört, daß jemand Outlook einsetzt, weil das so effizient Viren
verteilt. Also ist es am Ende wieder eine Frage des Vertriebs.
> Und mit der Taktik von oben wird aus $ENTSCHEIDER ein
> $CHEF($ENTSCHEIDER).
Solche Firmen gehen entweder pleite oder werden groß genug, daß sie von
den Politikern wegen der Arbeitsplätze subventioniert und gedeckt
werden.
Nur ist das auch keine langfristige Sicherung, siehe Philipp Holtzmann.
D.h. über kurz oder lang gehen die ganzen Idioten pleite. Ich vertraue
da voll der Reinigungskraft des Marktes.
Felix von Leitner
> Mag das das ja alles beweinen. Eine Frage sei allerdings gestattet:
> Kauft Ihr eigentlich ein Auto (oder ein anderes technisches Gerät), von
> dem es keinen Hochglanzprospekt oder irgendwelches sonstige
> profesionell gestaltete Werbematerial gibt?
Ja. Du nicht?
Dann bist du Teil des Problems, nicht Teil der Lösung.
Je mehr Werbematerial es für ein Produkt gibt, desto geringer ist die
Wahrscheinlichkeit, daß ich es kaufe.
Wolfgang Kueter
> Je mehr Werbematerial es für ein Produkt gibt, desto geringer ist die
> Wahrscheinlichkeit, daß ich es kaufe.
Die Wahrscheinlichkeit, dass Du ein Produkt kaufst, für das überhaupt
keine Werbung gemacht wird, ist nun allerdings null, weil Du nicht mal
von der Existenz des Produktes erfährst.
Selbst wenn Du einen Sack voll Gold zu verschenken hast (ein für Dich
nach landläufiger Meinung sehr schlechtes, für den Empfänger hingegen
ein exzellentes Geschäft), wirst Du ihn nicht los, solange Du es
niemandem sagst (also Werbung machst).
Wolfgang Kueter
Das meiste Geblafasel lohnt die Kommentierung nicht, aber dieser eine
Absatz ...
> Es besteht die Möglichkeit gegenüber M$ und Co. im Extremfall es zu
> einem Prozess kommen zu lassen.
> Bei RH?
> Freie SW = gefährliche SW ist pauschalisiert und sicher nicht
> zutreffend. Aber in freier SW ohne Kontrolle ist wesentlich mehr
> Gefahrenpotential.
Aha, und jetzt erklär mir doch mal bitte leicht verständlich und in
einfachen Worten, wieso CP FW-1, nach Deinen Worten eine Software bei
der man im Zeifelsfall ja den Hersteller auf Schadenersatz verklagen
kann, eigentlich vom Hersteller für ein freies Betriebssystem angeboten
wird. Dir dürfte bekannt sein, dass das Ding (neben diversen anderen
Plattformen) auch für Linux angeboten wird und ein Kernelmodul
mitbringt, also für einen Kernel, der ja nach Deiner Meinung unsicher
ist, weil man keinen Hersteller auf Schadensersatz verklagen kann.
Entweder die Jungs von Checkpoint betreiben Harakiri oder sie haben
begriffen -bspw duch Tests und Quellcodeanalyse- dass das Open Source
Teil so viel unsicherer als die kommerziellen Plattformen, für die sie
ihre Software sonst noch so anbieten, nicht sein kann.
Aber nach pi's Law hattest Du ja sowieso schon verloren.
Alexander Stielau
> Das die Webpage eines Rattenzüchterclubs nicht zu der Gruppe derer gehört,
> die ein Maximum an Sicherheit benötigen, wie z.B. ein Krankenhaus wo die
> Störung des Datenstromes u.U. Menschenleben gefährtet, dürfte klar sein.
> Dementsprechend ist auch der Aufwand zu betreiben.
Ja, für die Rattenzüchter reicht durchaus auch ne FW-1, zumindest, was
Sicherheit betrifft. Das hast Du richtig erkannt.
Das gibt einen Punkt, Glühstrumpf.
Allerdings ziehe ich Dir diesen gleich wieder ab, weil auch ein
Rattenzüchterverein mit der besseren Lösung besser bedient ist, weil
sie einfach viel billiger ist (Du nennst sowas wahrscheinlich 'besser
skaliert' - anyway.
> Aber ich behaupte, dass es auf der Welt keine einzige Person gibt, die ein
> Betriebssystem und nur die Lösung einer Firewall + Verschlüsselung,
> nachvollziehen und verstehen kann! Im Prinzip müsste diese Person solche
> Lösungen selber schreiben können, damit er es auch nachvollzíehen und
> verstehen kann.
Es gibt genügend Leute, die in ihrem speziellen Bereich so gut
sind, daß ihre Meinungen von anderen, die im gleichen Bereich gut
sind, anerkannt werden und meist mit diesen konform gehen. Dadurch
bildet sich eine Art WebofTrust.
Dafür muß ich Dir leider noch einen Punkt abziehen. Da Du bisher keine
Punkte hast, muß ein Joker dran glauben. Du verzichtest auf den Anruf?
Okay.
Im Zweifel werden die o.g. Leute für Dich zum Beispiel BigBlue sein, oder
auch die NSA.
> Da bei Open Source ja jeder seinen Senf dazu geben kann und modifizierte
> Programme und Programmteile in Umlauf bringen kann, und es keine Instanz
> gibt, die eine Art Qualitätstest betreibt, habe ich ein Problem, die
> Authentität und Korrektheit der Programme zu überprüfen.
Der Review wird durch soviele Leute gemacht, das es praktisch
unmöglich ist, wesentliche Teile des Mainstreams auszutauschen, ohne
das es bemerkt würde. Und natürlich sind wesentliche Teile wie zum
Beispiel die Kernelsourcen signiert.
Das ist die übliche M$/Closed-Source-Propaganda. Du bist schlecht
informiert.
Ich will mal nicht so sein, das zähle ich zum vorhergehenden Absatz,
deswegen kein gesonderter Punktabzug.
> In bestimmten Bereichen, kann ich also "nur" dem Hersteller trauen und
Dem Hersteller, der bis zu zwei Monate benötigt, um bei einer
IP-Änderung auf einem bestehenden System eine neue Lizenz
herauszurücken?
Trauen? Damit ist der Zuschauerjoker auch weg - tut mir leid.
> Desweiteren ist es einfacher einem Hersteller vor das Schienenbein zu
> treten, als einer nebulösen Gruppe von freien Programmierern.
Siehe oben. Da kannst Du treten wie Du willst, bis zur Erteilung einer
neuen Lizenz bist Du offline. Erkläre das mal deinem Kunden.
> Wenn z.B. bei der FW-1 es zu kritischen Problemen (meist waren es
> anwendungskritische und nicht sicherheitskritische Probleme) und den Jungs
> und Mädels von CP das Problem akzeptiert wurde, so wurde auch von denen in
^^^^^^^^^^^^^^^^^^^^^^
Und wenn Ceckpoint dies nicht als Problem sieht, was machst Du dann?
Was machst Du, wenn Du bei CP nach einer konkreten Lösung für
ALG-Proxies anfragst, und CP Dir mitteilt, daß es eine Schnittstelle
für Drittanbieter gibt, um dort ein entsprechendes Modul
einzuschleifen, daß CP aber keine Garantie für das gemeinsame
Funktionieren unter genau definierten Bedingungen geben kann, weil ja
eben ein Drittanbieter beteiligt ist?
Und abgesehen davon die exakte Schnittstellen-Definition nur gegen ein
NDA zu kaufen ist, d.h. Du nur sehr teuer mit sehr hohem
Spezial-Knowhow etwas selbst frickeln kannst, was dort deine Ansprüche
erfüllt?
Was machst Du, wenn Dir Mitarbeiter eben dieser Firma auf einer
Veranstaltung zusagen, daß mit FW-1 https-Verbindungen transparent
über einen ALG geschossen werden können? Und Du verwundert nachfragst,
ob $SALESDROID wirklich ssl meint, und dieses bejaht wird? Vorführen
wollte man das denn doch nicht - kein Wunder kann ja protokollbedingt
auch nicht funktionieren.
> b) Die FW von CP schützt den eigentlichen TCP und IP Stack! Ist doch schon
> mal was! Wer macht das sonst noch?
So, damit ist der 50/50-Joker auch weg. Du hast ja scheinbar richtig
schwer Plan von dem, von dem Du so redest.
> c) Die sogenannte Stateful Inspection Technologie wurde ja von CP entwickelt
> und auch patentiert.
Dafür gibts allerdings einen Bonuspunkt für 'Orginalität der Aussage'.
Klar. Und ich habe ne wasserdichte Gitarre, und Bill Gates hat das
Internet erfunden.
> Soweit ich weis, muss(te) jeder Hersteller von FWs, die auf diese Technik
> basieren (Cisco PIX, SonicWall etc.) einen Obolus an CP entrichten.
*prust*
> e) Vieleicht kenne ich ja noch nicht die Lücken der FW-1?
Lese bugtraq.
> Gibt es irgendwelche,
> b) das System instabil machen um dem jeweiligen einen Schaden
> (wirtschaftlich, Reputation) zuzufügen?
Auf jeden Fall. Und zwar dadurch, daß Du Dich hier gerade mit
einer Firmenadresse ziemlich lächerlich machst.
> Nicht gesicherte Verbindungen für kritische Dienste (telnet, rlogin usw.)
Wie geht bitte eine gesicherte Verbindung für telnet oder rlogin,
außer diese komplett zu verbieten?
Du schreibst Dich um Kopf un Kragen.
> Vieleicht gibt es ja einige Infos die ich noch nicht kenne und mein
> zukünftiges Handeln beeinflussen!
Si tacuises, ...
Oder für die Nicht-Altsprachler:
http://www.nuhr.de/data/FRESSEHA.MP3
Aleks
> "Felix von Leitner" <usenet-...@fefe.de> schrieb im Newsbeitrag
> news:3c97...@fefe.de...
*ARG* Und noch einen Fullquote.
Damit ist dein Punktekonto leider wieder auf Null und die Show zuende.
Der näxte bitte.
--
we are apt of borg - rpm is futile - you will be dpkg'ed.
Felix von Leitner
> keine Werbung gemacht wird, ist nun allerdings null, weil Du nicht mal
> von der Existenz des Produktes erfährst.
Was für ein unglaublicher Unfug!
Rainer Weikusat
> Weil letztendlich nur der, der selber programmiert auch die beste Fähigkeit
> hat, Programme zu analysieren
Daraus folgt direkt, das alle Programme allein deswegen fehlerfrei
sein müssen. Das ist offensichtlicher Unsinn. Die Gegenannahme, ich
könne deswegen Kernel schreiben, weil ich auch schon mal am
Linux-Kernel herumgeschraubt habe, ist schmeichelhaft, aber
bestenfalls wacklig.
> Aber worauf ich damit hinaus wollte, ist z.B. der Fall eines unvorsichtigen
> Administrators, der für seinen neusten Rechner neuste Treiber benötigt. RH
> hat z.B. diese noch nicht und per Suchmaschine hat er irgendeinen gefunden,
> der schon so etwas programmiert hat. Download geklickt und installiert. Neue
> HW läuft, der Download seiner Daten auch.
Wer binary-only Kernel-Module verwendet, vertraut dem Hersteller. Gibt
es eigentlich Firmen in Hongkong/ Taiwan, die Win-only-Hardware
produzieren und nur binaries anbieten? Wieviele M$-Aktien hat die
Mafia? [vermutlich keine :->>. Die wollen schließlich mit
Investitionen Geld verdienen und nicht mit stock market gambling].
Spekulieren kann man immer viel.
> Ja, eine Behauptung.
> Personalkosten kennst Du ja. Ich denke, du bist so fit und kannst abschätzen
> wieviel Manntage für Quellcode-Analysen benötigt werden.
Quellcode-Analyse von was?(*) Warum muß ich die selber machen, bzw
allgemeiner: Mit welcher absonderlichen Hilfskonstruktion folgt aus der
Tatsache, das jemand sich in die Karten sehen läßt, dem wäre ein
größeres Mißtrauen entgegenzubringen, als jemandem, der das nicht tut?
(*) Ob ein mir in C vorliegender Irgendwas-Treiber
systematisch meine Dateisysteme abgrast und 'übers Internet'
wegschickt, dürfte sich durch sehr kursorisches Lesen
ausschließen lassen, außer er enthält einen kompletten Stack
incl Kartentreiber. Schlecht zu verstecken.
Zumal das am Thema vorbeigeht: Falls checkpoint morgen in Konkurs
gehen sollte, sitzt Du mit einer FW-1 auf einem disaster waiting to
happen (evtl werden sie von Cisco aufgekauft und die lassen das
Produkt 'mangels Interesse' auslaufen :->).
'Wartbarkeit'.
> Was empfehlen die meisten OSS Befürworter?
Schick bitte alle, von denen Du redest, einzeln bei mir vorbei, damit
ich sie auch fragen kann (und eine realistische Abschätzung bekomme,
wieviel % Deiner Meinung nach 'den meisten' entspricht).
> Gewisse Regeln zur Kontrolle müssen implementiert sein.
Quid custodiet ipsos custodes?
[mit Bitte um Korrektur, falls angebracht]
> Denn wie du zustimmen kannst, ist das Know How von heute schon
> morgen veraltert.
Nein. Räder sind immer noch rund.
> Es besteht die Möglichkeit gegenüber M$ und Co. im Extremfall es zu einem
> Prozess kommen zu lassen.
Gerade in diesem Fall wird das schwierig, denn das Fehlen nicht
zugesicherter Eigenschaften kann schlecht bemängelt werden. Falls ich
als Einzelperson (meinetwegen 3-Mann-Klitsche) mit Gewerbeschein 'im
Zweifelsfall' $big_company verklagen kann, bringt mir das genau
nichts, denn dann kann ich gleich einen Konkursbetrug machen und mich
in die Karibik absetzen, falls mein Kapital wenigstens dafür langt und
spare mir bei unverändertem Ausgang die Gerichtskosten für 1-3
Instanzen.
> Aber in freier SW ohne Kontrolle ist wesentlich mehr
> Gefahrenpotential.
Ein Gegenbeispiel hieß 'Clipper'.
> Habe ich so viele Grammatik-, Rechtschreib- und Seichensetzungsfehler
> gemacht?
Der Satzbau war 'kreativ', ums mal ganz harmlos auszudrücken ;-).
Klaas Steinhöfel
Also rückblickend auf die vielen Beiträge bezieht sich kaum eins auf die
Fragestellung, was an der CP FW Müll ist bzw. welche Gründe gegen den
Einsatz von
dieser FW sprechen.
Hatte da etwas mehr Fachwissen der Schreiber erwartet!
Einzig und allein Alexander Sielau konnte einige Probleme mit dem Umgang mit
CP und deren FW beschreiben.
Und Rainer Weikusat wurde in seinem zweiten Beitrag wenigstens sachlich und
vom Umgangston akzeptabel.
Alles andere weicht letztendlich von o.g. Fragestellung ab.
Warum?
Doch keine tragfähigen Argumente oder Inkompetenz?
Viele Beiträge in dieser NG (nein, nicht Next Generation von CP sondern
Newsgroup) gehören doch wohl eher in de.soc.weltanschauung.
Zumindestens lässt sich kein Entscheider von diesen Beiträgen davon
abbringen, nicht closed source Lösungen einzusetzen. Er wird dorthin gehen,
wo er für
sich nachvollziebare und verständliche Lösungen präsentiert bekommt. Und
natürlich dorthin, wo der Umgangston stimmt.
Schliesse damit die Diskussion!
ENDE
PS:
Stimmt OE ist nicht die gerade sicherste Lösung. Hat gewisse Anfälligkeit
gegenüber Würmern etc.
Aber ein heisses Eisen packt man ja auch nur mit Handschuhen an. Man muss
halt wissen, das das Eisen heiss ist.
OE hat bis dato halt einige Features (nicht nur die, der Würmer) die andere
Lösungen nicht hatten. Aber vieleicht ist Opera ja jetzt eine alternative
Lösung.
Rainer Weikusat
> Also rückblickend auf die vielen Beiträge bezieht sich kaum eins auf die
> Fragestellung, was an der CP FW Müll ist bzw. welche Gründe gegen den
> Einsatz von dieser FW sprechen.
Du kannst das noch 20x behaupten und ich werde Dir wenigstens noch 2x
widersprechen, bevor ich Dich in einem Scorefile versenke.
------------------
Zumal das am Thema vorbeigeht: Falls checkpoint morgen in Konkurs
gehen sollte, sitzt Du mit einer FW-1 auf einem disaster waiting to
happen (evtl werden sie von Cisco aufgekauft und die lassen das
Produkt 'mangels Interesse' auslaufen :->).
'Wartbarkeit'.
------------------
Was macht man in so einem Fall beim nächsten bekanntwerdenden Fehler
(von dessen Vorhandensein man sicherheitshalber ausgehen sollte)?
'Sofort was neues kaufen' (mit hoffentlich längerer Halbwertzeit).
Die Möglichkeit, den Quellcode gegen Entgelt von einer unabhängigen
Dritt-Instanz prüfen zu lassen, ist auch nicht vollkommen
uninteressant, das 'keiner kann das'-Argument zielt ins Leere.
Es gibt noch einen angenehmen psychologischen Effekt: Wenn ich davon
ausgehen muß, das andere Leute meinen Code lesen, sinkt die
Motivation, irgendwelche Hintertürchen einzubauen, denn wahrscheinlich
werden die (falls ich überhaupt Benutzer habe) recht schnell gefunden.
Als Beispiel böte sich hier InterBase an, das von Borland jahrelang
als closed-source mit einem Backdoor-password verkauft worden ist, das
nach Offenlegung der Quellen ziemlich schnell (weniger als ein Jahr)
entdeckt wurde. Und ein DBMS ist mit Sicherheit kein triviales
Programm.
> Hatte da etwas mehr Fachwissen der Schreiber erwartet.
Die 'sales fraggle'-Abteilung ist woanders.
> Einzig und allein Alexander Sielau konnte einige Probleme mit dem
> Umgang mit CP und deren FW beschreiben. Und Rainer Weikusat wurde
> in seinem zweiten Beitrag wenigstens sachlich und vom Umgangston
> akzeptabel.
Was Du jetzt wiederum als Freibrief nimmst, Deine durchsichtigen
Tricks aus der Abteilung 'angewandte PR', als da im besonderen wären:
- 'ad nauseam'-Argumentation (dh schlichte Wiederholung)
- Diskussionsverweigerung durch geeignetes Umdefinieren
des Themas
- Themawechsel weg vom sachlichen ins persönliche, dh
'Gegenargument <=> Inkompetenz das Äußernden'
- rethorische Fragen, 'deren Antwort man sich denken kann'
- agreement sequence points
etc zu verwenden.
> Alles andere weicht letztendlich von o.g. Fragestellung ab.
Nicht so, wie Du sie formuliert hast, und der 'Wir löschen den Bezug
und behaupten das Gegenteil'-Trick (aka 'big lie') funktioniert um
USENET nicht: Der Kontext bleibt erhalten.
Medienkompetenz: Mangelhaft. :->
> Viele Beiträge in dieser NG (nein, nicht Next Generation von CP sondern
> Newsgroup) gehören doch wohl eher in de.soc.weltanschauung.
Zum Beispiel Dein gesammeltes Gequatschte bzgl 'nebulöser
Programmierergruppen' oder 'inhärent gefährlichem Kontrollverlust',
sowie obiger Satz: Der repräsentiert eine _Weltanschauung_ im
Wortsinne.
> Zumindestens lässt sich kein Entscheider von diesen Beiträgen davon
> abbringen, nicht closed source Lösungen einzusetzen. Er wird dorthin gehen,
> wo er für sich nachvollziebare und verständliche Lösungen
> präsentiert bekommt.
Read: Zur Zeit haben die Trickbetrüger, die 'Umgangston' gelernt
haben, *noch* Oberwasser.
Aber das wird sich ändern, nur keine Bange :->.
> Schliesse damit die Diskussion.
Welche?
Juergen P. Meier
> Felix von Leitner wrote:
>
>> Je mehr Werbematerial es für ein Produkt gibt, desto geringer ist die
>> Wahrscheinlichkeit, daß ich es kaufe.
>
> Die Wahrscheinlichkeit, dass Du ein Produkt kaufst, für das überhaupt
> keine Werbung gemacht wird, ist nun allerdings null, weil Du nicht mal
> von der Existenz des Produktes erfährst.
Da bist *du* (vermutlich von der Werbeindustrie) aber falsch Informiert.
Es gibt neben Werbung noch andere Wege von der Existenz und den
Vorzuegen eines Produktes zu erfahren. Da fuer die Webeindustrie diese
Wege allerdings kein Einkommen bedeutet, wird mit Eigenwerbung (wie
oft auf Plakaten zu sehen ist) dem Dumm^WVerbraucher eingeredet,
Werbung sei ein Grundrecht und ein integraler Bestandteil der
Gesellschaft.
> Selbst wenn Du einen Sack voll Gold zu verschenken hast (ein für Dich
> nach landläufiger Meinung sehr schlechtes, für den Empfänger hingegen
> ein exzellentes Geschäft), wirst Du ihn nicht los, solange Du es
> niemandem sagst (also Werbung machst).
Unsinn. Die Realitaet sieht zum glueck anders aus als auf den
Eigenwerbungsplakaten der Werbeindustrie abgebildet.
Juergen
--
_ _ | Juergen P. Meier
/.._ _ _ /_) /|/| . _ | "This World is about
\_/(// (/(`// / . / |(`/(`/ | to be Destroyed."
=======_/======================== | J...@lrz.fh-muenchen.de
Andreas Waschbuesch
[Wahres ...]
>
> Quid custodiet ipsos custodes?
>
> [mit Bitte um Korrektur, falls angebracht]
D. Iunius Iuvenalis. Saturae (A. Persi Flacci et D. Iuni Iuvenalis
Saturae, ed. W. V. Clausen, 1959). carmen 6, versus 348 seq.:
audio quid ueteres olim moneatis amici,
'pone seram, cohibe.' sed quiS custodiet ipsos
custodes? cauta est et ab illis incipit uxor.
Felix von Leitner
> Also ich kenne da jemanden, der Outlook wegen der Sicherheit benutzt.
> Kein Scherz!
Wieso sollte das ein Scherz sein?
Ist doch genau meine Aussage! Die Leute sind dämlich und halten
Exchange für einen MTA. Die setzen Outlook nicht ein, weil es so
schlecht ist, sondern weil sie das mangels Wissen für eine gute
Entscheidung halten.
Denis Jedig
Ihr habt ein unglaubliches Definitionsproblem.
--
Denis Jedig
Wolfgang Kueter
> Es gibt neben Werbung noch andere Wege von der Existenz und den
> Vorzuegen eines Produktes zu erfahren.
Was sind diese anderen Wege anderes als Werbung? Vielleicht sind sie
keine _kommerzielle_ Werbung, aber in dem Moment, wo jemand sagt, er
stelle $PRODUKT her oder biete $PRODUKT zum Kauf an, macht er Werbung.
Alles weitere ist eine Frage der eingesetzten Mittel und des Stils.
Juergen P. Meier
> Juergen P. Meier wrote:
>
>> Es gibt neben Werbung noch andere Wege von der Existenz und den
>> Vorzuegen eines Produktes zu erfahren.
>
> Was sind diese anderen Wege anderes als Werbung? Vielleicht sind sie
> keine _kommerzielle_ Werbung, aber in dem Moment, wo jemand sagt, er
> stelle $PRODUKT her oder biete $PRODUKT zum Kauf an, macht er Werbung.
Vergleiche.
Reports.
Besichtigung.
Oeffentliche Benutzung durch dritte. (z.b. andere Autofahrer im
Strassenverkehr)
u.v.m.
> Alles weitere ist eine Frage der eingesetzten Mittel und des Stils.
Nein.
Stefan Heinecke
> Alles weitere ist eine Frage der eingesetzten Mittel und des Stils.
Du kennst den Unterschied zwischen:
Werbung, Produktinformation und Erfahrung?
fup2p da offtopic
Franz-Josef Vorspohl
Felix von Leitner wrote:
Dann faehrst Du kein gutes Auto ;-)
SCRN
Franz-Josef