Ich möchte hier BITTE keine Grundsatz- oder OpenSource-Diskussion über FWs
eröffnen!
Unser sehr großes Unternehmen arbeitet schon seit längerer Zeit mit
Checkpoint sehr gut zusammen.
Ich würder trotzdem gerne von den Verfechtern der Checkpoint-FWs wissen, was
daran so schlecht ist (aus rein
technischer Sicht).
Also bitte keine LINUX/UNIX/WINDOWS/OPENSORCE-Diskussionen, die
interessieren mich einfach nicht!
Vielen Dank!
lg
Martin
Du meinst von den Gegnern? Es ist eigentlich ganz einfach. Wenn Ihr im
Betrieb mit der CP1 keine Probleme habt, dann kann Sie für Euch nicht so
schlecht sein. Die Sicherheit des Netzes haengt eh von ganz anderen Faktoren
ab. Die bekannt gewordenene Schwachstellen der CP1 weisen zwar auf schlechte
QA und schlechte Architektur hin, aber die Loecher wurden ja gestopft (mehr
oder weniger).
Gruss
Bernd
lg
Martin
"Bernd Eckenfels" <ecki-new...@lina.inka.de> schrieb im Newsbeitrag
news:a7icv2$e7t$2...@sapa.inka.de...
Die Checkpoint Firewall ist aber nunmal grundsätzlich schlecht.
Sie ist auch im Speziellen schlecht. Gegen entsprechende Stundensätze
findet sich sicher jemand, der Merkbefreiten bugtraq vorliest (und ihnen
erklärt, wie ein Realname aussieht).
Also solche Argumente will ich da nicht gelten lassen. Einfach kategorisch
zu sagen, dass Checkpoint
schlecht ist.
Wir haben uns etliche FWs angesehen. Und in Summe (Support, Wartung,
Skalierbarkeit, etc.) sind wir
mit Checkpoint seh zu frieden!!!
Dass es einige "Fehler" gibt, das haben wir schon selbst gemerkt. Aber der
Support hat uns fast immer einen
Workaround geboten oder hat uns ein Bugfix geschickt. Weiters ist die
inoffizielle Supportseite von Checkpoint (www.phoneboy.com) extrem gut.
Ist es denn wirklich so schwer, einfach emotionslos über techn. Dinge bei
FWs (speziell bei Checkpoint) zu sprechen.
Welche FWs sind denn dann nach Eurer Meinung "besser"?
DANKE!
lg
Martin
> Also solche Argumente will ich da nicht gelten lassen. Einfach kategorisch
> zu sagen, dass Checkpoint
> schlecht ist.
> Wir haben uns etliche FWs angesehen. Und in Summe (Support, Wartung,
^^^^^^^
> Dass es einige "Fehler" gibt, das haben wir schon selbst gemerkt. Aber der
> Support hat uns fast immer einen
> Workaround geboten oder hat uns ein Bugfix geschickt. Weiters ist die
> inoffizielle Supportseite von Checkpoint (www.phoneboy.com) extrem gut.
^^^^^^^^^^^^^^^^^^^^^^^^^
Warum führst Du "Wartung" und "Support" als Vorteil für die FW-1 an
und einen Absatz tiefer bemerkst Du die "inoffizielle Supportseite" als
wichtige Informationsquelle?
Was hat Euch denn an der Lösung "Kiste hinstellen und konfigurieren"
gereizt? War es die Supporttelefonnummer? Die "Möglichkeit", die Firma
Checkpoint zu verklagen? Der Hochglanzprospekt? Das typische Entscheider-
gestammel "ist vom Marktführer also geht man kein Risiko ein"?
Welche anderen Lösungen habt ihr Euch angesehen?
Pascal
Mit phoneboy.com meinte ich, dass es schon mal vorkam, dass der Support von
Checkpoint nicht so toll war, man aber trotzdem
eine sehr gute Informationsquelle hatte.
Wir haben uns die PIX (die wir um Haus auch benutzen) und diverse
CISCO-Kisten angesehen.
Auf Deine restlichen Fragen antworte ich nicht, denn das wird dann wieder
eine "Endlosmailerei" (siehe unten). Und ausserdem hasse ich es,
wenn es nur um Wortklauberein geht bzw. um irgendwelche Glaubensfragen geht
(so nach dem Motto, "..jede Software die was kostet ist schlecht....alles
andere ist TOLL...")... Das trifft zum Teil sicher zu aber ab einer gewissen
Größe eines Unternehmens gibt es andere Maßstäbe..
aber ist ja egal....
Eine wirklich kompetente Aussage bekommt man anscheinend in der Newsgroup
wirklich nicht!
Martin
"Pascal Gienger" <fin...@gmx.de> schrieb im Newsbeitrag
news:a7kcht$j69$01$1...@news.t-online.com...
Gehe bitte schnell nach http://learn.to/quote und besorge Dir auf dem
Weg beim Einwohnermeldeamt einen Realnamen.
Andreas
--
Diese Message wurde erstellt mit freundlicher Unterstützung eines frei-
laufenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert
frei von Micro$oft'schen Viren. (#97922 http://counter.li.org)
Was, Sie wissen nicht, wo Kaufbach ist? : N 51.05082°, E 13.56889° ;-)
"---==< Martin >==---" schrieb:
...
> Welche FWs sind denn dann nach Eurer Meinung "besser"?
Besser?
Ich habe noch keinen (vernünftigen) Vergleichstest gefunden, aber sehr
gut ist der "Novell Bordermanager". Natürlich auf Novell Netware.
--
Mit freundlichen Gruessen Dipl.-Ing.(FH) Thomas Budich
E-Mail bitte bei Bedarf von http://www.ISA-Analytik.de holen
Exakt. Du möchtest das in Zukunft bitte lassen.
> Unser sehr großes Unternehmen arbeitet
Read: Wir haben schon 1 (in Worten: EINE) Garage und
demnächst sogar ein Auto.
Argument by greater numbers. Uninteressant.
> Ich würder trotzdem gerne von den Verfechtern der Checkpoint-FWs
> wissen, was daran so schlecht ist (aus rein technischer Sicht).
Dann solltest Du 'erst lesen, dann posten beachten' (was Du ja auch
tust) ...
> Also bitte keine Linux/Unix/Windows/Opensorce-Diskussionen, die
> interessieren mich einfach nicht!
... und etwas geschickter lügen.
F'up2 poster
--
Log off now or risk your files being damaged
Dein Realname ist kaputt.
> Ich würder trotzdem gerne von den Verfechtern der Checkpoint-FWs wissen,
> was daran so schlecht ist (aus rein
> technischer Sicht).
Die Security-Server sind nur zur Authentifizierung zu gebrauchen. CVP
sollte man lieber nicht benutzen, da es nur bis zu einem gewissen Grad
funktioniert und dann nicht genau sagen kann wo der Fehler liegt (auf
Seite von CP oder des anderen Produkts). Der Support ist leidlich gut, so
existiert in der jetzigen 4.1 SP5 ein Bug wo ein @ in der URL falsch
interpretiert wird. Abhilfe ist erst für SP6 angekündigt, wann es das
gibt weiss ich nicht. Die Dokumentation kann man eigentlich auch nur zum
Einstieg benutzen, viele Dinge muss man sich selbst erarbeiten oder
erfragen (weswegen auch Phoneboy so gut ist). Durch die Möglichkeit das
System immer mehr zu "verteilen", also Firewall-Modul hier,
Management-Server da und dort noch einen Policy-Server, wird das ganz
sehr unübersichtlich und damit anfällig für Fehlkonfigurationen.
Ungeschlagen finde ich dagegen das GUI für das Regelwerk.
Gruss Jörn
--
overnewsed but underinformed
lg
Martin
"Joern Seemann" <jo...@aumund.org> schrieb im Newsbeitrag
news:pan.2002.03.24.14...@aumund.org...
"Felix von Leitner" <usenet-...@fefe.de> schrieb im Newsbeitrag
news:3c9d...@fefe.de...
Du musst Fefes Antworten komplett lesen, und nicht nur was du (nicht) sehen
willst:
>> Gegen entsprechende Stundens?tze
>> findet sich sicher jemand, der Merkbefreiten bugtraq vorliest
Weil CP1 _ständig_ Sicherheitslücken hat.
Wie ich in meinem Posting schon schrieb, wenn Euch das nix ausmacht und wenn
Ihr keine Probleme habt muest Ihr ja nicht wechseln. Die Sicherheit des
Netzes wird nicht vom Firewall Produkt bestimmt.
Aber mal Andersrum, wieso fragst du hier überhaupt nach CP1 wenn du nur
bekräftigt werden willst? Steht bei Euch eine Investiotionsentscheidung an?
Hast du Angst vor Auditing? Wolltest du dir die Zeit vertreiben?
Gruss
Bernd
> Ungeschlagen finde ich dagegen das GUI für das Regelwerk.
Dieses tolle GUI welches im Configfile dann bei jeder Regel noch den
Namen des zugehörigen Icons abspeichert?
Manchmal frage ich mich wo wir hier sind. In einer debilen Welt in der alles
nach "bunt" und "klick" schreit und dafür sogar seine Hausaufgaben liegen
läßt? ;(
Welches Vertrauen soll ich in Programmierer haben die derartigen Schrott als
"Konfigurationsdatei" implementieren? Wenn das keine Rückschlüsse auf
den Rest gibt!
Das GUI von Checkpoint FW-1 ist der letzte Rotz. Es ist
a) elend langsam.
b) Der Namen des Icons wird im Configstatus bei jeder Regel gespeichert.
Das ist Unsinn.
c) Suchfunktionen sind umständlich und teilweise auch dämlich.
Ein "grep" bringt schon weitaus mehr (und geht schneller). Wenn dies
denn nur noch möglich wäre...
d) Es gibt keinen öffentlich einsehbaren Source dazu (wahrscheinlich
würde es dann zuvielen Leuten schlecht werden).
e) Die Implementierung von "Gateway" als Quelle oder Ziel ist schwachsinnig.
f) Das GUI gibt es nur noch für Windows.
Nein, man möchte keinen Microsoft-Rechner eine Verbindung zu einem
statusbehafteten Paketfilter aufbauen lassen um ihm eine Konfiguration
zu geben. Nein, wirklich nicht. Vor allem dann nicht wenn dieser
Rechner dann noch in irgendeiner Form Verbindung zum Internet hat.
Ach dann tut die Auto-Update-Funktion nicht mehr?
Wer eine GUI für ein Regelwerk braucht der hat etwas grundlegend falsch
gemacht.
Wer über 100 Regeln hat sollte dringend mal sein Netzkonzept anschauen
ob da denn nicht einer ganz gehörige Sch...e gebaut hat.
Aber wahrscheinlich wurde dieses übelriechende Pamphlet von einem
"Consultingunternehmen" entwickelt, höchstwahrscheinlich ein "Microsoft
Certified Partner" und für mindestens 100 kEUR in Rechnung gestellt.
Pascal
rumtrollen, wie immer.
*BITTE BEACHTEN*: Ein nennenswerter Teil, wenn nicht alle dieser
hübsch klingenden Pseudonym-User sind identisch.
Es gibt professionelle Techniker. Und dann gibt es Kinder und solche,
die mal professionell werden wollen. Die Art und Weise, wie Du Deinen
Namen schreibst, macht Dich nicht besonders professionell (das
Equivalent zum Unterschreiben von Firmendokumenten mit Deinem
Vornamen, einem Herzchen und einem stilisierten Penis, Andere haben
das nach der Grundschule aufgegeben). Ich werde meine Antwort also
Deinem Niveau anpassen.
> Also solche Argumente will ich da nicht gelten lassen. Einfach
> kategorisch zu sagen, dass Checkpoint schlecht ist.
Das bedeutet, dass Du nur Argumente hoeren willst, die Dir in den Kram
passen? Die Marketing-Dokumente auf http://www.checkpoint.com koennen
Dir mit sowas sicherlich besser helfen als wir.
> Wir haben uns etliche FWs angesehen. Und in Summe (Support, Wartung,
> Skalierbarkeit, etc.) sind wir mit Checkpoint seh zu frieden!!!
Ich beneide Dich. Du hast also die API und INSPECT-Dokus bekommen?
Ohne die ist eine CP wirklich scheisse, aber nachdem Du sagst, dass Du
mit der CP zufrieden bist, musst Du diese Dokumente haben. Ich frage
mich, was ich bei meinen ~600 CPs damals falsch gemacht habe, dass ich
nicht einmal als Grosskunde die Docs bekommen habe.
> Dass es einige "Fehler" gibt, das haben wir schon selbst gemerkt.
> Aber der Support hat uns fast immer einen Workaround geboten oder
> hat uns ein Bugfix geschickt. Weiters ist die inoffizielle
> Supportseite von Checkpoint (www.phoneboy.com) extrem gut.
Wann hast Du zum letzten Mal einen Packetsniffer vor die CP gehaengt?
Wieviele SYNs hast Du bei Deinen Testreihen vor dem Kauf im Testaufbau
geschickt bevor die Firewall nicht mehr wusste, wo oben und Unten ist.
Wer hat die cryptanalytische Auswertung der Verbindung zwischen
Konfig-Tool und CP gemacht? Ohne diese Ansaetze kannst Du nicht viel
ueber die CP sagen.
> Ist es denn wirklich so schwer, einfach emotionslos über techn. Dinge bei
> FWs (speziell bei Checkpoint) zu sprechen.
technische Maengel ist nur einer von vielen Faktoren, die Du bei der
Auswahl von Netzwerkkomponenten beachten solltest.
> Welche FWs sind denn dann nach Eurer Meinung "besser"?
Fuer was? Welcher Zweck, welcher Einsatz? Firewalls sind hal wie
Router oder Switche keine "Security"-Devices sondern
Netzwerk-Infrastruktur. Und deshalb gibt es kein 'besser' oder
'schlechter' sondern nur ein 'geeignet' oder 'ungeeignet'.
Was hast Du gegen GUIs? Der Mensch merkt sich einfach bildliche
Darstellungen leichter. Ich finde diese
GUIs nicht schlecht (diese sind meistens einfach leichter zu bedienen, ich
gebe es ja zu).
Welchen Programmierern vertraust Du denn überhaupt?
Da dürftest ja nicht mal einen Taschenrechner bedienen, weil die "Software"
kannst ja auch nicht debuggen oder analysieren!
Dass das GUI verdammt langsam und instabil ist...da stimme ich Dir
vollkommen zu.
Das mit den 100 Rules kann ich nicht bestätigen, denn ein Unternehmen mit
über 70 Internetdiensten, mit ca. 10 weltweiten Lokationen
wird das mit weniger als 100 Rules sicher nicht schaffen... das behaupte ich
mal...das ist reine Theorie...
Aber langsam driften wir in die alte Diskussion ab (wie vor ein paar Tagen).
Martin
"Pascal Gienger" <fin...@gmx.de> schrieb im Newsbeitrag
news:a7l1cn$4jp$04$1...@news.t-online.com...
Sie ist nicht kategorisch schlecht, sondern grundsätzlich.
Und du hast dir grundsätzliche Argumente ausdrücklich verbeten.
Also kriegst du keine Antwort, die dir weiterhilft.
Nicht, daß dir hier irgendjemand weiterhelfen könnte, denn deine
Hirnkapazität reicht ja offensichtlich nicht mal zur Bedienung eines
Newsreaders aus.
> Ist es denn wirklich so schwer, einfach emotionslos über techn. Dinge bei
> FWs (speziell bei Checkpoint) zu sprechen.
Nein. Die Beobachtung, daß Checkpoint Müll verkauft, war gänzlich frei
von Emotionen.
> Welche FWs sind denn dann nach Eurer Meinung "besser"?
We could tell you, but then we'd have to kill you.
ROTFL
>> > Welche FWs sind denn dann nach Eurer Meinung "besser"?
>> Besser?
>> Ich habe noch keinen (vernünftigen) Vergleichstest gefunden, aber sehr
>> gut ist der "Novell Bordermanager". Natürlich auf Novell Netware.
>
> ROTFL
Er hat doch nur gesagt, dass er gut ist. Nicht fuer was. Als
Tuerstopper kann man die Bordermanager-Box prima verwenden. Sehr gut,
wirklich.
Kauf Dir einen Namen, schnell.
Besorge Dir einen Newsreader, der nicht diese ekelhaften Kammquotings
erzeugt.
> Wir haben uns etliche FWs angesehen. Und in Summe (Support, Wartung,
Welche?
> mit Checkpoint seh zu frieden!!!
Multiple exclamation marks...
> Support hat uns fast immer einen
^^^^
Klar. Das 'fast' ist bei einer Sicherheitslösung irgendwie irrelevant.
Ihr zieht solange den Stecker, oder wie darf ich mir das vorstellen?
> inoffizielle Supportseite von Checkpoint (www.phoneboy.com) extrem gut.
Was denn nun? Ist der Support gut, oder braucht es eine inoffizielle
Webseite?
Wo ist der Nachteil eine inoffiziellen Webseite nach deiner Denke?
Warum gilt dieser Nachteil genau in diesem Fall deiner Ansicht nach
nicht?
Schlicht: Du trollst.
Aleks
--
we are apt of borg - rpm is futile - you will be dpkg'ed.
Felix von Leitner schrieb:
> Thus spake Thomas Budich (nos...@msn.com):
> > Ich habe noch keinen (vernünftigen) Vergleichstest gefunden, aber
> > sehr gut ist der "Novell Bordermanager". Natürlich auf Novell
> > Netware.
> ROTFL
Hauptsache Du stößt Dich nicht an der 'Scheuerleiste'. ;-)
Hast Du auch sachliche Argumente, Tests odgl.?
Jonas M Luster schrieb:
Wieso Box? (klar jede FW-Sw steckt in irgendeine Box)
Hast Du auch sachliche Argumente, Tests odgl.?
--
Man kann sich Fachleute ranholen und - wichtig - Fehler selbst beheben.
>Was hast Du gegen GUIs? Der Mensch merkt sich einfach bildliche
>Darstellungen leichter. Ich finde diese GUIs nicht schlecht (diese sind
>meistens einfach leichter zu bedienen, ich gebe es ja zu).
GUIs erzählen nicht, was EXAKT passiert. Das ist aber bei
Sicherheitsimplementationen wichtig.
>Das mit den 100 Rules kann ich nicht bestätigen, denn ein Unternehmen mit
>über 70 Internetdiensten, mit ca. 10 weltweiten Lokationen wird das mit
>weniger als 100 Rules sicher nicht schaffen... das behaupte ich mal...das
>ist reine Theorie...
Irrtum. Ich kenne mindestens ein Unternehmen in der Größenordnung, die genau
vier öffentliche IPs benutzen und sehr übersichtliche Regeln haben.
>> Er hat doch nur gesagt, dass er gut ist. Nicht fuer was. Als
>> Tuerstopper kann man die Bordermanager-Box prima verwenden.
>
> Wieso Box? (klar jede FW-Sw steckt in irgendeine Box)
>
> Hast Du auch sachliche Argumente, Tests odgl.?
print("Ready, Aim, Say Goodbye...")
a_thread = py_hping2(FLAG_S || FLAG_R, ip_addr,
[{'iphlen': 8, 'fragoff','16'}])
for conn in range(0,8000):
mythread[range] = thread.new(a_thread)
thread.init(mythread)
print("Booooommm........")
while thread.collect().get:
thread.collect().close
Paß auf, daß sie dich nicht wegen des DMCA einbuchten, Alter! ;)
> Paß auf, daß sie dich nicht wegen des DMCA einbuchten, Alter! ;)
Ah, geh :) - Wenn sie mich einbuchten, dann wegen Unfaehigkeit
(code-fehler habe ich wohlwollend aus dem Quoting geloescht) :)
Jonas M Luster schrieb:
> Quoting: Thomas Budich (nos...@msn.com):
> > Hast Du auch sachliche Argumente, Tests odgl.?
> print("Ready, Aim, Say Goodbye...")
> a_thread = py_hping2(FLAG_S || FLAG_R, ip_addr,
...
Ich wollte nicht wissen, ob Du das Programmbeispiel bringen kannst,
sondern was Argumente gegen den NBM sind.
Das von Dir hier aufgeworfene Problem betraf den tcpip-stack
(tcpip.nlm), und nicht den BM! Du bist also (höchstwahrscheinlich) nicht
aktuell im Bilde.
Ich kann Dir aber bei Bedarf die jeweils aktuelle ip-Nummer für Deine
Hackversuche geben.
Im übrigen wird 'dein' Linux natürlich gegen solche Attacken immer und
ewig resistent sein.
Wieviele Angriffspunkte sind bislang zu Linux Systemen und zu Netware
Systemen bekannt geworden? Zu welchem System mehr?
Was gibt es denn nun für Argumente gegen den BorderManager, oder weitere
gegen den Novell tcpip-stack (NW. 5.1 bzw. NW4.11)?
Wenn Code-Fehler verboten wäre, wäre ganz Kalifornien ein einziger
Groß-Knast.
> Ich wollte nicht wissen, ob Du das Programmbeispiel bringen kannst,
> sondern was Argumente gegen den NBM sind.
Das _ist_ ein Argument.
> Das von Dir hier aufgeworfene Problem betraf den tcpip-stack
> (tcpip.nlm), und nicht den BM! Du bist also (höchstwahrscheinlich)
> nicht aktuell im Bilde.
Du bestreitest also, dass der NBM seine Sessions vergisst, wenn ich
das Ganze tue?
> Im übrigen wird 'dein' Linux natürlich gegen solche Attacken immer und
> ewig resistent sein.
Ich verwende kein Linux. Und als Netzwekt-Infrastruktur schon gar
nicht.
>> Ungeschlagen finde ich dagegen das GUI für das Regelwerk.
>
> Dieses tolle GUI welches im Configfile dann bei jeder Regel noch den
> Namen des zugehörigen Icons abspeichert?
Und? Auch in Ipchains-Scripten sind Anmerkungen und wenn jemand
Unberechtigtes darauf Zugriff hat ist es eh zu spät.
> Manchmal frage ich mich wo wir hier sind. In einer debilen Welt in der
> alles nach "bunt" und "klick" schreit und dafür sogar seine Hausaufgaben
> liegen läßt? ;(
Mir geht es um Übersichtlichkeit. Für _mich_ sind Regelwerke für
ipchains und Konsorten unübersichtlich und damit eine Fehlerquelle die
ich gerne vermeiden möchte. Wenn Du es damit anders umgehts - fein.
> f) Das GUI gibt es nur noch für Windows.
Hmm, das Motif-GUI ist auf den CD's noch drauf.
> Wer eine GUI für ein Regelwerk braucht der hat etwas grundlegend falsch
> gemacht.
Du kannst sicher Begründen warum Dein Ansatz für alle Menschen gilt.
> Wer über 100 Regeln hat sollte dringend mal sein Netzkonzept anschauen
> ob da denn nicht einer ganz gehörige Sch...e gebaut hat.
Was hat das mit einem GUI zu tun?
> Aber wahrscheinlich wurde dieses übelriechende Pamphlet von einem
> "Consultingunternehmen" entwickelt, höchstwahrscheinlich ein "Microsoft
> Certified Partner" und für mindestens 100 kEUR in Rechnung gestellt.
Keine Ahnung wovon Du redest, aber dein Posting hatte auch sonst
inhaltlich nicht viel mit meinem zu tun. Trotzdem nett das wir drüber
gesprochen haben.
Was ist eigentlich so schwierig daran, sachlich über ein *Thema* zu
diskutieren, anstatt zum xten Mal (mit x >> 100) undedingt
demonstrieren zu müssen, das 'man' (also Du) 'Computer' und 'PC' für
identisch hält und lieber in dca spielen möchte?
> Wieviele Angriffspunkte sind bislang zu Linux Systemen und zu Netware
> Systemen bekannt geworden? Zu welchem System mehr?
Falls bei NW wenige Fehler verbessert werden, könnte das daran liegen,
das es keine gibt. Ich hatte allerdings mal das Mißvergnügen, 1½ Jahre
lang 'care & feeding' in einem Novell-Netz zu machen (als
Aushilfskraft), deswegen wäre ich mir da nicht so sicher :->.
Jonas M Luster schrieb:
> Quoting: Thomas Budich (nos...@msn.com):
> > Ich wollte nicht wissen, ob Du das Programmbeispiel bringen kannst,
> > sondern was Argumente gegen den NBM sind.
> Das _ist_ ein Argument.
Nur eins (Oder war es).
> Du bestreitest also, dass der NBM seine Sessions vergisst, wenn ich
> das Ganze tue?
Die aktuelle Version vermeintlich nicht, und im System bist du dann noch
nicht. Trotz alle dem wäre es ein Problem des tcp-ip Stack.
Zum 'BM-Kern' sind (Dir) also noch keine Sicherheitslücken bekannt?
> Ich verwende kein Linux. Und als Netzwekt-Infrastruktur schon gar
> nicht.
Was dann? MacOS und BSD? BSD ist aber ein Unix-Derivat.
Rainer Weikusat schrieb:
> Thomas Budich <nos...@msn.com> writes:
> > Wieviele Angriffspunkte sind bislang zu Linux Systemen und zu
> > Netware Systemen bekannt geworden? Zu welchem System mehr?
> Falls bei NW wenige Fehler verbessert werden, könnte das daran liegen,
> das es keine gibt. Ich hatte allerdings mal das Mißvergnügen, 1½ Jahre
> lang 'care & feeding' in einem Novell-Netz zu machen (als
> Aushilfskraft), deswegen wäre ich mir da nicht so sicher :->.
Insofern ist prinzipiell ein System zum selber compilieren besser, weil
man selbst Fehler ändern könnte. Aber nicht jeder kann das auch. Wäre ja
auch 'langweilig' wenn es nur Programmierer gäbe.
In denen, die Du kennst, scheinbar nicht.
> Mir geht es um Übersichtlichkeit. Für _mich_ sind Regelwerke für
> ipchains und Konsorten unübersichtlich
Read: Ich kenne nur Leute, die Chaos-Sourcen produzieren.
Das ist zwar ein Problem, aber ein anderes.
<URL:http://www.inter-i.wohnheim.uni-mainz.de/~rw/ipf.conf>
[eine Reorganisation wäre allerdings 'irgendwann mal' sinnvoll]
'Übersichtlichkeit' verliert IMO im allgmeinen gegenüber Lesbarkeit.
> > Wer eine GUI für ein Regelwerk braucht der hat etwas grundlegend falsch
> > gemacht.
>
> Du kannst sicher Begründen warum Dein Ansatz für alle Menschen gilt.
Sinnvollerweise plant man die Struktur vorher, hat also bereits eine
Liste. Diese Liste kann man auch direkt am Computer schreiben, statt
auf totem Baum, dann hat man am Ende der Planung nämlich bereits eine
funktionierende Konfiguration, der Zwischenschritt 'Liste durchs GUI
passieren' ist redundant.
Zusätzlicher Vorteil: Falls man einigermaßen sinnvolle Kommentare
einfügt, ist die nicht-graphische Variante außerdem noch
selbstdokumentierend.
Felix' Bermerkungen über Dipl-Ing (FH) scheinen einen zutreffenden
Hintergrund zu haben ...
Die Volte von 'security' zurück zu 'steinaltem Advocacy-Gelalle auf
Basis 10^5 mal widerlegter strawmen' ist mir ein bißchen zu dämlich,
sorry.
Insofern: Welche Probleme hast Du damit nicht, einen Klempner zu
rufen, die Du 'by magic' damit hättest, andere Fachkräfte zu
beauftragen?
Vielleicht das übliche 'will ich aber auch können, *menno*, aber mag
ich nicht lernen'-Problem, welches 'üblicherweise' durch schlichtes
Leugnen der Existenz eines 'Berufes' Programmierer seitens der
verhochschulten Möchtegerns pseudokompensiert wird?
F'up2 poster, Antworten nach hier sind sicher sinnlos.
>> Ich verwende kein Linux. Und als Netzwekt-Infrastruktur schon gar
>> nicht.
>
> Was dann? MacOS und BSD? BSD ist aber ein Unix-Derivat.
Thomes, Du möchtest in dieser Reihenfolge ein paar Dinge lernen:
1. Wenn Jonas redet, bist Du besser still.
2. Wenn Du sonst keinen Peil hast, einfach mal Fresse halten.
3. BSD ist Unix. Unixer wird's nicht.
Und jetzt geh wieder Vorschweißflanschen verramschen, Thomas.
>> Du bestreitest also, dass der NBM seine Sessions vergisst, wenn ich
>> das Ganze tue?
>
> Die aktuelle Version vermeintlich nicht, und im System bist du dann noch
Vermeintlich? In der Informationssicherheit gibt es kein
"vermeintlich".
> nicht. Trotz alle dem wäre es ein Problem des tcp-ip Stack.
Nein, es ist ein Problem der schlecht implementierten State-Tabelle.
> Zum 'BM-Kern' sind (Dir) also noch keine Sicherheitslücken bekannt?
Doch. Aber Obiges muss ausreichen um NBM als unsicher/unbrauchbar zu
erkennen. Wenn es Dich wirklich interessiert, dann ueberlege mal, wie
Novell seine In-Speicher-Komprimierung von Vergleichsdaten vornimmt
(man zlib).
>> Ich verwende kein Linux. Und als Netzwekt-Infrastruktur schon gar
>> nicht.
>
> Was dann? MacOS und BSD? BSD ist aber ein Unix-Derivat.
Nicht als Netzwerkinfrastruktur. Server, ja, sonst nein.
Ich habe es derzeit weder getestet noch eine Äußerung von Novell & Co.
Für Tester unsere aktuelle IP#: 217.85.109.160
Besser kannst Du Deine Minderwertigkeitskomplexe und Dein übersteigertes
Geltungsbedürfnis im Sandkasten austoben.
(de.comp.security.firewall ist keine sandbox)
> Und jetzt geh wieder Vorschweißflanschen verramschen, Thomas.
Du kannst ja noch nicht einmal richtig lesen, geschweige denn verstehen.
Derzeit hat euereins nur bewiesen, daß ihr eine große Klappe habt und
keine Ahnung vom NBM (aber tut so als ob).
Ende.
> Felix' Bermerkungen über Dipl-Ing (FH) scheinen einen zutreffenden
> Hintergrund zu haben ...
Ihr habt beide eine kleine Macke. Wozu treibst Du Dich denn an einer UNI
rum? Als Aushilfe oder als Dauerstudent?
Ich bezweifle, daß Ihr beide auf meinem Fachgebiet genausoviel könnt
wie ich nebenbei in Sachen EDV.
Du schriebselst in <87lmcf6...@winter.inter-i.wohnheim.uni-mainz.de>
ja mal was von sachlich diskutieren, machst es aber nicht.
Außer daß Du Dir in Sachen Novell Netware nicht sicher bist kam noch
nichts bei rüber!
> Die Volte von 'security' zurück zu 'steinaltem Advocacy-Gelalle auf
> Basis 10^5 mal widerlegter strawmen' ist mir ein bißchen zu dämlich,
> sorry.
Du schreibst hier bezugloses und somit sinnloses Zeug.
> Insofern: Welche Probleme hast Du damit nicht, einen Klempner zu
> rufen, die Du 'by magic' damit hättest, andere Fachkräfte zu
> beauftragen?
Wer hat das ausgeschlossen?
Und wenn ich Dich beauftrage, kann ich da Vertrauen haben?
Oder mehr Vertrauen als irgendeiner, ggf. großen, Firma gegenüber?
> Vielleicht das übliche 'will ich aber auch können, *menno*, aber mag
> ich nicht lernen'-Problem, welches 'üblicherweise' durch schlichtes
> Leugnen der Existenz eines 'Berufes' Programmierer seitens der
> verhochschulten Möchtegerns pseudokompensiert wird?
Meinst du dich selber?
> Derzeit hat euereins nur bewiesen, daß ihr eine große Klappe habt und
> keine Ahnung vom NBM (aber tut so als ob).
Ach?
> Für Tester unsere aktuelle IP#: 217.85.109.160
Sag mal bist du völlig bekifft?
Wirst du das ganz alleine wegrauchen oder reichst du es mal rum?
Wir sollten dich mal mit Helmut Schellong zusammenbringen.
Dann könnt ihr euch beide gegenseitig einen vom Pferd erzählen, was für
großartige EDV-Götter ihr seid und daß niemand euch das Wasser reichen
kann. Novell, daß ich nicht lache. Fast so großartig wie Helmut mit
seiner Unixware-Lachnummer.
Hey, ist es nicht schlimm, sein Leben so vollkommen verpfuscht zu haben
wie das bei dir offensichtlich der Fall ist. Schlecht ist nur, wenn man
dann auch noch beratungsresistent und stur wie ein Ochse ist.
Was für eine verkrachte Existenz. Geradezu bemitleidenswert. Wenn du
nicht so aktiv abstoßend wärest mit deinem Verhalten, würde sich
vielleicht tatsächlich der eine erbarmen und mit dir eine Konversation
zu betreiben versuchen, aber so... Naja, stirb wohl.
Felix von Leitner wrote:
t-online dyn IP?
IMHO harmlos, eine neue Anwahl und das wars.
Franz-Josef
Thomas Budich <nos...@msn.com> writes:
> Rainer Weikusat schrieb:
> > Felix' Bermerkungen über Dipl-Ing (FH) scheinen einen zutreffenden
> > Hintergrund zu haben ...
>
> Ihr habt beide eine kleine Macke. Wozu treibst Du Dich denn an einer UNI
> rum? Als Aushilfe oder als Dauerstudent?
Kommen wir jetzt von 'OS-Getrolle' direkt zu 'ad hominem'-Getrolle,
wiederum unter Rückgriff auf 'beliebiges Klischee von woanders'?
Ist Dir die Existenz eines Phänomenes namens 'Plusquamperfekt'
bekannt, sowie die Tatsache, das man es verwendet, um 'in der
Vergangenheit bereits abgeschlossene Ereignisse' zu beschreiben?
Vermutlich nicht.
> Ich bezweifle, daß Ihr beide auf meinem Fachgebiet genausoviel könnt
> wie ich nebenbei in Sachen EDV.
Dem wird wohl so sein, aber mangels Inhalt beyond dicksizing scheint
mir das etwas irrelevant.
> Du schriebselst in <87lmcf6...@winter.inter-i.wohnheim.uni-mainz.de>
> ja mal was von sachlich diskutieren, machst es aber nicht.
> Außer daß Du Dir in Sachen Novell Netware nicht sicher bist kam noch
> nichts bei rüber!
Ungeschickt gefälscht, Thommy 'dipling' B.
> > Insofern: Welche Probleme hast Du damit nicht, einen Klempner zu
> > rufen, die Du 'by magic' damit hättest, andere Fachkräfte zu
> > beauftragen?
>
> Wer hat das ausgeschlossen?
Du.
Die ganzen so genannten Experten sollten sich mal überlegen, wie hier
miteinander umgegangen wird
bzw. finde ich es einfach toll wie man vom Thema abgleiten bzw. nicht auf
Fragen antworten kann.
Ihr alle (oder fast alle) habt ein gewaltiges Problem!! Und es scheint mir,
dass Ihr Euch selbst am liebsten
reden (oder lesen) hört!!!
Diese Newsgroup ist es zum Kotzen!!
lg
Martin
Und zum Unterschied zu Euch, bin ich lernfähig und ändere sogar meinen
Namen!!!
"Jonas M Luster" <jlu...@baysec.org> schrieb im Newsbeitrag
news:a7l4np$30r6$1...@baldur.baysec.org...
> Quoting: ---==< Martin >==--- (m.pei...@a1.net):
>
> Es gibt professionelle Techniker. Und dann gibt es Kinder und solche,
> die mal professionell werden wollen. Die Art und Weise, wie Du Deinen
> Namen schreibst, macht Dich nicht besonders professionell (das
> Equivalent zum Unterschreiben von Firmendokumenten mit Deinem
> Vornamen, einem Herzchen und einem stilisierten Penis, Andere haben
> das nach der Grundschule aufgegeben). Ich werde meine Antwort also
> Deinem Niveau anpassen.
>
> > Also solche Argumente will ich da nicht gelten lassen. Einfach
> > kategorisch zu sagen, dass Checkpoint schlecht ist.
>
> Das bedeutet, dass Du nur Argumente hoeren willst, die Dir in den Kram
> passen? Die Marketing-Dokumente auf http://www.checkpoint.com koennen
> Dir mit sowas sicherlich besser helfen als wir.
>
> > Wir haben uns etliche FWs angesehen. Und in Summe (Support, Wartung,
> > Skalierbarkeit, etc.) sind wir mit Checkpoint seh zu frieden!!!
>
> Ich beneide Dich. Du hast also die API und INSPECT-Dokus bekommen?
> Ohne die ist eine CP wirklich scheisse, aber nachdem Du sagst, dass Du
> mit der CP zufrieden bist, musst Du diese Dokumente haben. Ich frage
> mich, was ich bei meinen ~600 CPs damals falsch gemacht habe, dass ich
> nicht einmal als Grosskunde die Docs bekommen habe.
>
> > Dass es einige "Fehler" gibt, das haben wir schon selbst gemerkt.
> > Aber der Support hat uns fast immer einen Workaround geboten oder
> > hat uns ein Bugfix geschickt. Weiters ist die inoffizielle
> > Supportseite von Checkpoint (www.phoneboy.com) extrem gut.
>
> Wann hast Du zum letzten Mal einen Packetsniffer vor die CP gehaengt?
> Wieviele SYNs hast Du bei Deinen Testreihen vor dem Kauf im Testaufbau
> geschickt bevor die Firewall nicht mehr wusste, wo oben und Unten ist.
> Wer hat die cryptanalytische Auswertung der Verbindung zwischen
> Konfig-Tool und CP gemacht? Ohne diese Ansaetze kannst Du nicht viel
> ueber die CP sagen.
>
> > Ist es denn wirklich so schwer, einfach emotionslos über techn. Dinge
bei
> > FWs (speziell bei Checkpoint) zu sprechen.
>
> technische Maengel ist nur einer von vielen Faktoren, die Du bei der
> Auswahl von Netzwerkkomponenten beachten solltest.
>
> > Welche FWs sind denn dann nach Eurer Meinung "besser"?
>
> Fuer was? Welcher Zweck, welcher Einsatz? Firewalls sind hal wie
> Router oder Switche keine "Security"-Devices sondern
> Netzwerk-Infrastruktur. Und deshalb gibt es kein 'besser' oder
> 'schlechter' sondern nur ein 'geeignet' oder 'ungeeignet'.
"Rainer Weikusat" <weik...@students.uni-mainz.de> schrieb im Newsbeitrag
news:87it7mu...@winter.inter-i.wohnheim.uni-mainz.de...
> "---==< Martin >==---" <m.pei...@a1.net> writes:
> > Ich möchte hier bitte keine Grundsatz- oder OpenSource-Diskussion über
FWs
> > eröffnen!
>
> Exakt. Du möchtest das in Zukunft bitte lassen.
>
> > Unser sehr großes Unternehmen arbeitet
>
> Read: Wir haben schon 1 (in Worten: EINE) Garage und
> demnächst sogar ein Auto.
>
> Argument by greater numbers. Uninteressant.
>
> > Ich würder trotzdem gerne von den Verfechtern der Checkpoint-FWs
> > wissen, was daran so schlecht ist (aus rein technischer Sicht).
>
> Dann solltest Du 'erst lesen, dann posten beachten' (was Du ja auch
> tust) ...
>
> > Also bitte keine Linux/Unix/Windows/Opensorce-Diskussionen, die
> > interessieren mich einfach nicht!
>
> ... und etwas geschickter lügen.
>
> F'up2 poster
Jemand der so ein TOFU (s.u.) erzeugt, sollte sich wirklich nicht zum Thema
Schreibweise äußern.
>Und zum Unterschied zu Euch, bin ich lernfähig und ändere sogar meinen
>Namen!!!
Realsatire?
>"Jonas M Luster" <jlu...@baysec.org> schrieb im Newsbeitrag
>news:a7l4np$30r6$1...@baldur.baysec.org...
>> Quoting: ---==< Martin >==--- (m.pei...@a1.net):
>>[TOFU]
Ralf
> Diese Newsgroup ist es zum Kotzen!!
Genau.
Geh lieber nach microsoft.public.de.*
Da kannst Du mit Gleichgesinnten TOFU und Millionen Ausrufezeichen
tauschen und ihr koennt euch gegenseitg beglueckwuenschen, wie toll sicher
euer teuer bezahlter Scheiss ist.
Winke winke...
> Ihr alle (oder fast alle) habt ein gewaltiges Problem!!
Nein. Das Problem hast du. Wenn es dir hier nicht gefällt, VERPISS DICH.
> Diese Newsgroup ist es zum Kotzen!!
Ah ja. Dem deusches Grammatiken sein schwere.
Geh. Weit. Schnell. Und durch möglichst viele Einbahnstraßen.
Sebastian