Eure heillige FAQ
Andreas Grau
erstmal: Diese Meinung ist nicht böse gemeint, sondern als Vorschlag zu
sehen...!!!
Ich wollte hier eigentlich eine Frage zu Zonelarm loswerden (Kenn mich net
so recht mit Firewalls aus abba mit Windows ziemlich gut).
Dann hab ich mir ein paar Topics angeguckt um zu sehen ob schon mal jemand
meine Frage gestellt hat... dabei bin ich auf eure FAQ gestossen die mich
einigermassen aufgeklärt hat (über Firewalls) und ich hab mir dann eure
Antworten auf frühere Fragen von Newbiees (wie mich) angeschaut....
Das hat mich dann schon erschreckt... es gibt hier viele (NICHT ALLE !!!)
die diese FAQ vergöttern und Newbiees verachten die diese nicht ganz
kapieren oder teilweise für überheblich halten (auch meine Meinung, denn zum
Beispiel....
1)Die Firewall schützt mich aber vor Zugriffen auf meine Windowsfreigaben!
Warum hast Du Deine Festplatte und Deinen Drucker denn an jeden im Internet
freigegeben? Warum stellst Du es nicht einfach ab?
2)Der Hersteller meiner Software bietet aber keine Patches zur
Fehlerbehebung an. Also brauche ich eine Firewall!
Warum kaufst Du bekanntermaßen defekte Technik? Wenn Du diesen Fehler erst
nach dem Kauf bemerkst, hast Du rechtlich die Möglichkeit, auf Wandlung oder
Geldrückzahlung zu bestehen. Fehler zu machen ist nicht schlimm, sie nicht
einzusehen, dagegen unverzeihlich
.... zu 1.) Ich habe ein Netzwerk (privat und klein) und gebe da
Verzeichnisse/Drucker frei
Zu 2.) Nicht jeder User verklagt MS blos weil er Windows benutz (weil es
Standard/Einfach ist weil man damit Spielen kann oder...) und nicht jeder
hat die Zeit und die Lust sich mit einem alternativen OS zu
beschäftigen....)
Also mein Vorschlag: Bitte helft den Newbiees mit für sie sinnvollen
Vorschlägen und nicht mit Vorschlägen ala "installiere Linux" oder "du hast
doch keinen Plan von Firewalls deswegen brauchst du auch keine". Dann sagt
lieber gar nix dazu, denn das ist nicht sehr hilfreich für das NG Klima
(siehe Topic: "Was ist von Zonealarm zu halten?" was ja ziemlich ausgeartet
ist) und der Hilfesuchende ist genauso klug bzw. dumm wie vorher.
Genauso finde ich es nicht nett wenn man dann auf jemanden schimpft der
Rechtschreib-/Grammatikfehler macht, denn nicht jeder ist ein Deutschlehrer
(ich bezieh mich da auch mit ein und entschuldige mich hiermit für alle
Fehler)
Zum Beispiel kann man ja auf ne Frage auch so antworten:
Zonealarm bringt net so viel Sicherheit, da es aber kostenlos ist, nicht
unbedingt schadet und wenigstens ein paar Sicherheitslöcher schliesst kannst
du es ja installieren. Für den Privatgebrauch also net unbedingt schlecht
aber für eine professionellere Lösung solltest du dich nach anderen
Programmen (z.B. xxx) oder Betriebssystemen umschauen.
Damit wäre einem Newbiee geholfen und es würde kein Kleinkrieg unter den
NG-lern ausbrechen...
So jetzt halte ich meine Klappe und ihr könnt losbashen.... ;-)
Ciao und einen guten Rutsch ins neue Jahr,
Andreas
Lars Gebauer
> Ich wollte hier eigentlich eine Frage zu Zonelarm loswerden
Lieber nicht. :)
> Dann hab ich mir ein paar Topics angeguckt um zu sehen ob
> schon mal jemand meine Frage gestellt hat...
Das ist ein sehr empfehlenswertes Verhalten.
> dabei bin ich auf
> eure FAQ gestossen die mich einigermassen aufgeklärt hat (über
> Firewalls)
Das ist der Sinn der FAQ. Sie soll ein paar grundlegende Fragen ab-
decken.
> .... zu 1.) Ich habe ein Netzwerk (privat und klein) und gebe da
> Verzeichnisse/Drucker frei
Ja, aber warum gibst Du das nach _aussen_ frei? Das muss nicht sein.
> oder "du hast doch keinen Plan von Firewalls deswegen
> brauchst du auch keine".
Nun, eine Firewall in den Haenden von Jemanden der keine Ahnung davon
hat ist tatsaechlich schlechter als keine Firewall.
Diese "Desktop-Firewalls" sind, ausser zum Lernen, komplett ueber-
fluessig.
Meist sind sie sogar eher gefaehrlich da sie ihren Benutzer in fal-
scher Sicherheit wiegen und ausserdem ein zusaetzliches Angriffsziel
auf dem Rechner darstellen. Das wird umso kritischer je weniger der
Nutzer davon Ahnung hat.
> Dann sagt lieber gar nix dazu, denn das
> ist nicht sehr hilfreich für das NG Klima (siehe Topic: "Was ist
> von Zonealarm zu halten?" was ja ziemlich ausgeartet ist) und der
> Hilfesuchende ist genauso klug bzw. dumm wie vorher.
Hat man ihm nicht gesagt das von ZoneAlarm nichts zu halten ist? :)
Also hat er doch zumindest _das_ erfahren.
> Zum Beispiel kann man ja auf ne Frage auch so antworten:
> Zonealarm bringt net so viel Sicherheit,
...in den Haenden eines Unerfahrenen: Gar keine.
> da es aber kostenlos ist,
...ist kein Grund es zu benutzen. Software installieren _nur_ weil
sie kostenlos ist?
> nicht unbedingt schadet
...was (s.o.) aeusserst fraglich ist.
> und wenigstens ein paar Sicherheitslöcher
> schliesst
GGI Ganz Grosser Irrtum[tm]! Sie schliesst keine Sicherheitsloecher.
Sie gaukelt ihrem Benutzer nur vor Sicherheitsloecher zu schliessen.
Und diese Sicherheitsloecher koennte der User auch ganz leicht selber
schliessen in dem er a) keine unkontrollierten Dienste laufen laesst,
b) alles von der Netzverbindung schmeisst was nicht TCP/IP heisst, c)
keine noch so tollen Programme aus unsicheren Quellen installiert und
d) sich ein kleines bischen Grundlagenwissen aneignet.
> kannst du es ja installieren.
Und wozu noch?
> Damit wäre einem Newbiee geholfen
Du meinst, man wuerde ihm helfen in dem man ihn anluegt? Glaub' ich
Dir nicht.
> und es würde kein Kleinkrieg
> unter den NG-lern ausbrechen...
Tja, wer faengt die "Kriege" meistens an? :)
> Ciao und einen guten Rutsch ins neue Jahr,
Gleichfalls.
--
reH boch qutluch lo'lu'bogh.
Ein benutztes kut'luch ist immer blank.
Bernd Eckenfels
> .... zu 1.) Ich habe ein Netzwerk (privat und klein) und gebe da
> Verzeichnisse/Drucker frei
Ja, man kann die Freigabe aber auf das Netzwerk beschraenken und nicht auf
dem DFUE-Adapter. Das ganze ist sehr gut bei grc,com ShieldsUp erklärt.
> Zu 2.) Nicht jeder User verklagt MS blos weil er Windows benutz (weil es
> Standard/Einfach ist weil man damit Spielen kann oder...) und nicht jeder
> hat die Zeit und die Lust sich mit einem alternativen OS zu
> beschäftigen....)
Es ging um fehlerhafte anwendungen, Fehlerhafte Betriebsysteme sind ein
tieferliegendes Übel. Wenn dein Realplayer nach Hause telefoniert und du das
nicht willst, dann beschwer dich bei real und nicht bei uns.
Ausserdem ist das hier kein Newbee Hilfsforum sondern eine Experten
diskussionsgruppe. Du glaubst garnicht vieviel man hier vom lesen ohne zu
fragen lernen kann.
Gruss
bernd
M.Jerger
Ne andere Frage, unter welcher Adresse finde ich die
vielgerühmte FAQ ?
cu
micha
Urs [Ayahuasca] Traenkner
> Hallo,
> erstmal: Diese Meinung ist nicht böse gemeint, sondern als Vorschlag zu
> sehen...!!!
Einverstanden.
> .... zu 1.) Ich habe ein Netzwerk (privat und klein) und gebe da
> Verzeichnisse/Drucker frei
Auch auf die ISDN-Karte? Warum stellst Du es nicht einfach
ab?
> Also mein Vorschlag: Bitte helft den Newbiees mit für sie sinnvollen
> Vorschlägen und nicht mit Vorschlägen ala "installiere Linux" oder "du hast
> doch keinen Plan von Firewalls deswegen brauchst du auch keine".
Letzteres ist aber das einzig sinnvolle, das man jemandem
raten kann, der Sicherheit ohne Verstaendnis der Materie
erwartet.
> Ciao und einen guten Rutsch ins neue Jahr,
Dir und den Mitlesern auch. Gruss Urs...
--
Masturbation ist Sex an und fuer sich.
Aus der Sign. von Tobias Zimpel
Was ist nymphoman? Zwangslaeufig.
Wolfgang Obstmayer-ufp
>
> # Andreas Grau wrote:
>
> > oder "du hast doch keinen Plan von Firewalls deswegen
> > brauchst du auch keine".
>
> Nun, eine Firewall in den Haenden von Jemanden der keine Ahnung davon
> hat ist tatsaechlich schlechter als keine Firewall.
Kannst du das näher erläutern?
Annahme: In den Händen eines jemanden der ein bischen Ahnung hat.
> Diese "Desktop-Firewalls" sind, ausser zum Lernen, komplett ueber-
> fluessig.
> Meist sind sie sogar eher gefaehrlich da sie ihren Benutzer in fal-
> scher Sicherheit wiegen
Du meinst sie bringt nichts und hat keinen Angreifer/Dienst
abhaltenden Nutzen?
>und ausserdem ein zusaetzliches Angriffsziel auf dem Rechner darstellen.
^^^^^^^^^^^^^^^^^^^^^^^^^^
Kannst du das näher erläutern?
Weil die Eindringlinge wissen: Desktop Firewall soundso hat die und die
Löcher, also kann ich dort hinen?
> > da es aber kostenlos ist,
>
> ...ist kein Grund es zu benutzen. Software installieren _nur_ weil
> sie kostenlos ist?
Sag warum müssen gute Programm immer etwas kosten? Gibts denn über-
haupt kein Programm, muß ja keine Firewall sein, die kostenlos _und_
gut ist? Nein, nie, not?
> Und diese Sicherheitsloecher koennte der User auch ganz leicht selber
> schliessen in dem er a) keine unkontrollierten Dienste laufen laesst,
Die da wären, Druckerfreigaben, Festplattenfreigabe....
Frage:
Wenn ich diese also nach außen nicht freigeben, wie kommt dann ein
Eindringlin in mein System? Abgesehen von Sicherheitslöchern.
Und abgesehen von Trojanern, gibts da noch, andere, Möglichkeiten?
> b) alles von der Netzverbindung schmeisst was nicht TCP/IP heisst,
Du meinst aber nicht die Netzwerkkomponente(n) wie z.B.
Client für Microsoft Netzwerke, oder doch?
> > und es würde kein Kleinkrieg unter den NG-lern ausbrechen...
>
> Tja, wer faengt die "Kriege" meistens an? :)
Du meinst nicht das die FAQ genau so und deshalb so geschrieben worden
ist, nämlich Provokant?
Also warum wundert "ihr" Regulars euch noch darüber?
wo
--
Wolfgang Fruitmayer ;-) What's your favorite scary movie? <veg>
Verein für Internetuser in Österreich: AT.UG http://www.atug.at
Mitbe(ab-)stimmen im Österr.Usenet? --> news:at.usenet.announce
http://chello.teleweb.at/wo/ Member of Birgit26 :-)
Urs [Ayahuasca] Traenkner
> Lars Gebauer wrote:
> > # Andreas Grau wrote:
> > Nun, eine Firewall in den Haenden von Jemanden der keine Ahnung davon
> > hat ist tatsaechlich schlechter als keine Firewall.
> Kannst du das näher erläutern?
Nicht nochmal bitte.
> Annahme: In den Händen eines jemanden der ein bischen Ahnung hat.
Haengt davon ab, ob derjenige sich bewusst ist, dass er
seine bisherigen Massnahmen nicht vernachlaessigen darf,
"weil er ja jetzt eine schuetzende FW hat".
> > Meist sind sie sogar eher gefaehrlich da sie ihren Benutzer in fal-
> > scher Sicherheit wiegen
> Du meinst sie bringt nichts und hat keinen Angreifer/Dienst
> abhaltenden Nutzen?
Das meint er.
> >und ausserdem ein zusaetzliches Angriffsziel auf dem Rechner darstellen.
> ^^^^^^^^^^^^^^^^^^^^^^^^^^
> Kannst du das näher erläutern?
> Weil die Eindringlinge wissen: Desktop Firewall soundso hat die und die
> Löcher, also kann ich dort hinen?
Ich wuerde das mal als "ueber das Ziel in der Argumentation
hinausgeschossen" bezeichnen.
Zusaetzliches Angriffsziel, hm. Ressourcenfresser, ja.
> > Und diese Sicherheitsloecher koennte der User auch ganz leicht selber
> > schliessen in dem er a) keine unkontrollierten Dienste laufen laesst,
> Die da wären, Druckerfreigaben, Festplattenfreigabe....
Jup. Und andere.
> Frage:
> Wenn ich diese also nach außen nicht freigeben, wie kommt dann ein
> Eindringlin in mein System? Abgesehen von Sicherheitslöchern.
Angriff auf tcp/ip-stack. Laufen keine Dienste, und ist der
TCP/IP-Stack unangreifbar, ist IMO der Rechner unangreifbar.
Also per Netzwerk, von aussen.
Was uebrig bleibt, sind Loecher in den Programmen, die ins
Internet gehen. Stichwort brown orifice bei Netscape.
> > b) alles von der Netzverbindung schmeisst was nicht TCP/IP heisst,
> Du meinst aber nicht die Netzwerkkomponente(n) wie z.B.
> Client für Microsoft Netzwerke, oder doch?
Sicher, auch. Das einzige, was man auf die ISDN-Karte /
Modem binden muss, ist der RAS-Wrapper. Der Rest ist nur
fuer internes Netz gut.
> > Tja, wer faengt die "Kriege" meistens an? :)
> Du meinst nicht das die FAQ genau so und deshalb so geschrieben worden
> ist, nämlich Provokant?
Kurz und praegnant, nicht provokant. Wer zu daemlich ist,
sein OS zu bedienen, dem wird auch eine FAQ nix helfen.
> Also warum wundert "ihr" Regulars euch noch darüber?
Woher stammt eigentlich der bescheuerte Begriff "regular"?
So ein Schmarrn, willkommen ist doch jeder, der was
sinnvolles zu sagen hat. Ob er dazu nun ein Posting oder 3
Jahre braucht, who cares?
Gruss Ur"rutscht gut rein, Rechner aus, bis naechstes
Jahr"s...
Martin Werthmoeller
>Hallo,
>erstmal: Diese Meinung ist nicht böse gemeint, sondern als Vorschlag zu
>sehen...!!!
>
Ist ja auch netterweise in einigermaßen sachlichem Ton gehalten :).
>Ich wollte hier eigentlich eine Frage zu Zonelarm loswerden (Kenn mich net
>so recht mit Firewalls aus abba mit Windows ziemlich gut).
>Dann hab ich mir ein paar Topics angeguckt um zu sehen ob schon mal jemand
>meine Frage gestellt hat... dabei bin ich auf eure FAQ gestossen die mich
>einigermassen aufgeklärt hat (über Firewalls) und ich hab mir dann eure
>Antworten auf frühere Fragen von Newbiees (wie mich) angeschaut....
>Das hat mich dann schon erschreckt... es gibt hier viele (NICHT ALLE !!!)
>die diese FAQ vergöttern und Newbiees verachten die diese nicht ganz
>kapieren oder teilweise für überheblich halten (auch meine Meinung, denn zum
>Beispiel....
>
Ich glaube, daß hier kaum jemand Newbiees "verachtet", sondern nur
sauer wird, wenn jemand hier hereingepoltert kommt und sich nicht an
die grundlegenden Regeln/Übereinkünfte für ein sinnvolles
Zusammenleben hält. Du hast Dir _vorher_ einige Threads angesehen und
hast dir die FAQ durchgelesen. Das ist aber bei vielen, die Du als
Newbies bezeichnest leider nicht der Fall. Wenn diese Personen dann
einen Hinweis auf die FAQ erhalten, liest ein Teil sie erst garnicht
und nörgelt nur herum, daß er keine vorverdaute Antwort auf seine vage
Fragestellung bekommt.
Diejenigen die die FAQ lesen teilen sich in Personen auf, die auf die
FAQ schimpfen und keinen konstruktiven Vorschläge machen sie zu
verbessern und diejenigen, die weitergehende Fragen stellen. Letztere
werden idR konstruktive Antworten erhalten (Eigene Erfahrung).
>..... zu 1.) Ich habe ein Netzwerk (privat und klein) und gebe da
>Verzeichnisse/Drucker frei
Im lokalen Netz oder Weltweit? Letzeres ist warscheinlich nicht nötig.
Die Lösung dieses Problems ist warscheinlich nur, daß Du dich mit dem
OS auseinandersetzt.
>Zu 2.) Nicht jeder User verklagt MS blos weil er Windows benutz (weil es
>Standard/Einfach ist weil man damit Spielen kann oder...) und nicht jeder
>hat die Zeit und die Lust sich mit einem alternativen OS zu
>beschäftigen....)
>
Windows ist Standard? Nach welcher DIN/ISO oder ANSI Norm? :)
Wenn ich keine Lust habe mich mit Sicherheit auseinanderzusetzen,
brauche ich auch niemanden zu fragen, sondern kann jemanden
beautragen, daß er das Problem für mich löst.
>Also mein Vorschlag: Bitte helft den Newbiees mit für sie sinnvollen
>Vorschlägen und nicht mit Vorschlägen ala "installiere Linux" oder "du hast
>doch keinen Plan von Firewalls deswegen brauchst du auch keine". Dann sagt
>lieber gar nix dazu, denn das ist nicht sehr hilfreich für das NG Klima
Einige sinnvolle Vorschläge sind in der FAQ angerissen. Der
Fragesteller braucht ja nur in seiner nächsten Frage darauf einzugehen
und um eine nähere Erläuterung zu bitten.
>(siehe Topic: "Was ist von Zonealarm zu halten?" was ja ziemlich ausgeartet
>ist) und der Hilfesuchende ist genauso klug bzw. dumm wie vorher.
>Genauso finde ich es nicht nett wenn man dann auf jemanden schimpft der
>Rechtschreib-/Grammatikfehler macht, denn nicht jeder ist ein Deutschlehrer
>(ich bezieh mich da auch mit ein und entschuldige mich hiermit für alle
>Fehler)
IMHO hat hier noch niemand vereinzelte Rechtschreibfehler
angeprangert. Aber wenn jemand meint, die allgemeinn akzeptierten
Regeln der Höflichkeit nicht einhalten zu müssen werde ich auch sauer.
Die Hinweise auf Rechtschreibfehler kamen meiner Erinnerung nach immer
dann, wenn der Artikel so extrem vor Fehlern wimmelte, daß das Lesen
anstrengend wird. Unter Rechtschreibfehler fällt meines Wissens nach
auch die konsequente Kleinschreibung, die das Lesen sehr erschwert.
>Zum Beispiel kann man ja auf ne Frage auch so antworten:
>Zonealarm bringt net so viel Sicherheit, da es aber kostenlos ist, nicht
>unbedingt schadet und wenigstens ein paar Sicherheitslöcher schliesst kannst
>du es ja installieren. Für den Privatgebrauch also net unbedingt schlecht
>aber für eine professionellere Lösung solltest du dich nach anderen
>Programmen (z.B. xxx) oder Betriebssystemen umschauen.
>
Könnte z.B. als Erläuterung zur FAQ niedergelegt werden. Formuliere
das doch aus, und frage Lutz wie man das einbauen kann, oder ob man in
der FAQ auf eine solche Erläuterung verweisen könnte (HTML bietet sich
für so etwas förmlich an :).
>Damit wäre einem Newbiee geholfen und es würde kein Kleinkrieg unter den
>NG-lern ausbrechen...
>
>So jetzt halte ich meine Klappe und ihr könnt losbashen.... ;-)
>
Gut so? :)
>Ciao und einen guten Rutsch ins neue Jahr,
>Andreas
>
tschau,
martin!
--
The sum of intelligence on earth is a constant; population is growing
Lars Gebauer
>> Du meinst sie bringt nichts und hat keinen Angreifer/Dienst
>> abhaltenden Nutzen?
>
> Das meint er.
Yep.
>>> und ausserdem ein zusaetzliches Angriffsziel auf dem Rechner
>>> darstellen.
>> ^^^^^^^^^^^^^^^^^^^^^^^^^^
>> Kannst du das näher erläutern?
>> Weil die Eindringlinge wissen: Desktop Firewall soundso hat die
>> und die Löcher, also kann ich dort hinen?
>
> Ich wuerde das mal als "ueber das Ziel in der Argumentation
> hinausgeschossen" bezeichnen.
>
> Zusaetzliches Angriffsziel, hm. Ressourcenfresser, ja.
Es ist ein Angriffsziel. Stichwort DoS-Attack. Aber nur im simpelsten
Fall. Tatsaechlich sind weit komplexere Szenarien denkbar.
> Gruss Ur"rutscht gut rein, Rechner aus, bis naechstes
> Jahr"s...
Y2K ist vorbei. :)
--
reH tay' ghot tuqDaj je.
Man gehoert immer zu seinem Stamm.
Lars Gebauer
>> Nun, eine Firewall in den Haenden von Jemanden der keine Ahnung
>> davon hat ist tatsaechlich schlechter als keine Firewall.
>
> Kannst du das näher erläutern?
> Annahme: In den Händen eines jemanden der ein bischen Ahnung hat.
Eine Firewall steht und faellt mit dem Admin. Aber nicht linear.
>> Diese "Desktop-Firewalls" sind, ausser zum Lernen, komplett
>> ueber- fluessig.
>> Meist sind sie sogar eher gefaehrlich da sie ihren Benutzer in
>> fal- scher Sicherheit wiegen
>
> Du meinst sie bringt nichts und hat keinen Angreifer/Dienst
> abhaltenden Nutzen?
Yep.
>> und ausserdem ein zusaetzliches Angriffsziel auf dem Rechner
>> darstellen.
> ^^^^^^^^^^^^^^^^^^^^^^^^^^
> Kannst du das näher erläutern?
Angriff _auf_ die Firewall. Was ist daran schwer zu verstehen? Du
hast ein weiteres Stueck Software "am Netz" haengen.
>>> da es aber kostenlos ist,
>>
>> ...ist kein Grund es zu benutzen. Software installieren _nur_
>> weil sie kostenlos ist?
>
> Sag warum müssen gute Programm immer etwas kosten?
Sag' ich nicht. Nur, warum soll ich Software benutzen _nur_ weil sie
kostenlos ist?
> Gibts denn
> über- haupt kein Programm, muß ja keine Firewall sein, die
> kostenlos _und_ gut ist? Nein, nie, not?
Doch. Gibt's. Ohne Ende.
>> Und diese Sicherheitsloecher koennte der User auch ganz leicht
>> selber schliessen in dem er a) keine unkontrollierten Dienste
>> laufen laesst,
>
> Die da wären, Druckerfreigaben, Festplattenfreigabe....
Yep. Dieses ganze NetBIOS Geruempel.
> Frage:
> Wenn ich diese also nach außen nicht freigeben, wie kommt dann ein
> Eindringlin in mein System?
Haengt von der Professionalitaet des Angreifers ab.
Das uebliche Scriptkid hast Du damit locker ausgebremst, ein
wirklicher Profi wird sich nicht unbedingt fuer Deine Kiste
interessieren.
> Abgesehen von Sicherheitslöchern.
> Und abgesehen von Trojanern, gibts da noch, andere, Möglichkeiten?
Jede Menge.
>> b) alles von der Netzverbindung schmeisst was nicht TCP/IP
>> heisst,
>
> Du meinst aber nicht die Netzwerkkomponente(n) wie z.B.
> Client für Microsoft Netzwerke, oder doch?
Wozu brauchst Du den auf der aeusseren Karte?
--
ta'mey Dun, bommey Dun.
Grosse Taten, grosse Lieder.
Ingo Froehlen
wrote:
Hallo Bernd (und alle anderen),
>Ausserdem ist das hier kein Newbee Hilfsforum sondern eine Experten
>diskussionsgruppe. Du glaubst garnicht vieviel man hier vom lesen ohne zu
>fragen lernen kann.
Ist das Usenet nicht für _alle_ offen?
Muss ich erst Informatik studiert haben (oder mich aus sonstigen
Gründen "Experte" schimpfen dürfen), damit ich hier posten darf?
Tschuldigung, aber irgendwie geht mir der arrogante Tonfall in dieser
Gruppe ganz schön auf die Nerven. Einige Leute hier scheinen wirklich
arge Schwierigkeiten damit zu haben, dass es Leute gibt, die weniger
Wissen haben und schon mal eine "blöde" Frage stellen.
Statt aber mal kurz und knapp auf diese Fragen zu antworten, werden
meterlange Threads geschrieben, die dem Frageden keinen Zentimeter
weiterhelfen.
Richtig ist, man kann wirklich viel lernen, wenn man einfach nur
mitliest - genau das habe ich die letzten Tage getan. Und doch kann es
doch mal vorkommen, dass ich zu irgendeinem Thema noch eine Frage
habe, die vielleicht "dumm" erscheinen mag, weil ich mich mit der
Thematik erst seit kurzer Zeit befasse.
Bisher habe ich noch keine Frage stellen mögen, weil ich ohnehin mit
einer Abbügel-Antwort rechne (á la: schau in die FAQ).
Damit wird ganz sicher niemand auch nur annähernd zum Experten...
Ingo
Ulrich Eckhardt
>
> 1)Die Firewall schützt mich aber vor Zugriffen auf meine Windowsfreigaben!
> Warum hast Du Deine Festplatte und Deinen Drucker denn an jeden im Internet
> freigegeben? Warum stellst Du es nicht einfach ab?
> 2)Der Hersteller meiner Software bietet aber keine Patches zur
> Fehlerbehebung an. Also brauche ich eine Firewall!
> Warum kaufst Du bekanntermaßen defekte Technik? Wenn Du diesen Fehler erst
> .... zu 1.) Ich habe ein Netzwerk (privat und klein) und gebe da
> Verzeichnisse/Drucker frei
Da solltes du besser eine ordentliche Firewall anstatt ein "Desktop
Firewall"
verwenden.
> Zu 2.) Nicht jeder User verklagt MS blos weil er Windows benutz (weil es
> Standard/Einfach ist weil man damit Spielen kann oder...) und nicht jeder
> hat die Zeit und die Lust sich mit einem alternativen OS zu
> beschäftigen....)
Da isz nicht nur MS gemeint, wobei deren Software halt die meisten
Sicherheitsprobleme mit sich bringen, die aber von einem Firewall
nicht abgefangen werden können (Stichwort ILOVEYOU).
> Also mein Vorschlag: Bitte helft den Newbiees mit für sie sinnvollen
> Vorschlägen und nicht mit Vorschlägen ala "installiere Linux" oder "du hast
> doch keinen Plan von Firewalls deswegen brauchst du auch keine".
Wenn man sagt, du hast keinen Plan von FW deswegen brauchst du keinen,
da
ist das eine korrekte Aussage.
> lieber gar nix dazu, denn das ist nicht sehr hilfreich für das NG Klima
> (siehe Topic: "Was ist von Zonealarm zu halten?" was ja ziemlich ausgeartet
> ist) und der Hilfesuchende ist genauso klug bzw. dumm wie vorher.
Der Hilfesuchende dieses Threads ist definitv klüger geworden und hat
sich
doch am Ende weitestgehend der Argumentation angeschlossen.
> Genauso finde ich es nicht nett wenn man dann auf jemanden schimpft der
> Rechtschreib-/Grammatikfehler macht, denn nicht jeder ist ein Deutschlehrer
Bei "normalen" Fehlern sagt hier niemand was, nur bei extremer Ignoranz.
> Zum Beispiel kann man ja auf ne Frage auch so antworten:
> Zonealarm bringt net so viel Sicherheit, da es aber kostenlos ist, nicht
> unbedingt schadet und wenigstens ein paar Sicherheitslöcher schliesst kannst
> du es ja installieren.
Die obige Aussage ist leider falsch, vielleicht liest du dir den
doch recht umfangreichen Thread "Was ist von Zonealarm zu halten?"
noch ein zweites mal durch.
> Damit wäre einem Newbiee geholfen und es würde kein Kleinkrieg unter den
> NG-lern ausbrechen...
Im Prinzip bekommt jeder Newbee die Antwort, entweder sich mit
der Materie auseinander zu setzten, oder sich eine Firewall
einfach zu sparen.
Uli
--
Ulrich Eckhardt Tr@nscom
http://www.uli-eckhardt.de http://www.transcom.de
Lagerstraße 11-15 A8
64807 Dieburg Germany
Urs [Ayahuasca] Traenkner
[Bernd Eckenfels]
> >Ausserdem ist das hier kein Newbee Hilfsforum sondern eine Experten
> >diskussionsgruppe. Du glaubst garnicht vieviel man hier vom lesen ohne zu
> >fragen lernen kann.
> Ist das Usenet nicht für _alle_ offen?
Schon. Ist eine sinnvolle Antwort nicht optional?
> Statt aber mal kurz und knapp auf diese Fragen zu antworten, werden
> meterlange Threads geschrieben, die dem Frageden keinen Zentimeter
> weiterhelfen.
Wenn Dich als Automechaniker zum zehnten Mal einer in Deiner
Freizeit fragt, wie rum man den Zuendschluessel drehen muss,
dann reagierst Du auch irgendwann genervt.
> Richtig ist, man kann wirklich viel lernen, wenn man einfach nur
> mitliest - genau das habe ich die letzten Tage getan. Und doch kann es
> doch mal vorkommen, dass ich zu irgendeinem Thema noch eine Frage
> habe, die vielleicht "dumm" erscheinen mag, weil ich mich mit der
> Thematik erst seit kurzer Zeit befasse.
Man sieht der Fragestellung an, ob sich jemand _ueberhaupt_
damit befasst hat. Das ist der Unterschied. Bisher habe ich
seltenst erlebt, dass derartige Fragen ohne Information
belassen werden.
> Bisher habe ich noch keine Frage stellen mögen, weil ich ohnehin mit
> einer Abbügel-Antwort rechne (á la: schau in die FAQ).
Dann lies nochmal.
Gruss Urs...
Felix von Leitner
> >Ausserdem ist das hier kein Newbee Hilfsforum sondern eine Experten
> >diskussionsgruppe. Du glaubst garnicht vieviel man hier vom lesen ohne zu
> >fragen lernen kann.
> Ist das Usenet nicht für _alle_ offen?
Nein.
Das Usenet ist für Leute offen, die sich benehmen können.
Das heißt, daß sie vor dem Posten denken, keine Fragen stellen, die in
der FAQ oder per Suchmaschine Seite 1 zu beantworten sind.
> Muss ich erst Informatik studiert haben (oder mich aus sonstigen
> Gründen "Experte" schimpfen dürfen), damit ich hier posten darf?
Du mußt nur nachdenken vor dem Posten, dann wird sich niemand über dich
aufregen.
> Tschuldigung, aber irgendwie geht mir der arrogante Tonfall in dieser
> Gruppe ganz schön auf die Nerven.
Was machst du dann hier noch?
> Einige Leute hier scheinen wirklich arge Schwierigkeiten damit zu
> haben, dass es Leute gibt, die weniger Wissen haben und schon mal eine
> "blöde" Frage stellen.
Ob eine Frage blöd ist oder nicht, steht in keinem Zusammenhang zum
Wissensstand des Fragestellenden.
> Statt aber mal kurz und knapp auf diese Fragen zu antworten, werden
> meterlange Threads geschrieben, die dem Frageden keinen Zentimeter
> weiterhelfen.
Das ist die Idee.
Vielleicht gehen sie dann ja freiwillig weg.
> Richtig ist, man kann wirklich viel lernen, wenn man einfach nur
> mitliest - genau das habe ich die letzten Tage getan.
Guter Plan!
> Und doch kann es doch mal vorkommen, dass ich zu irgendeinem Thema
> noch eine Frage habe, die vielleicht "dumm" erscheinen mag, weil ich
> mich mit der Thematik erst seit kurzer Zeit befasse.
Wenn anhand deiner Frage erkennbar ist, daß du dir Mühe gegeben hast,
die Frage selbständig zu klären, und uns nicht einfach nur unsere Zeit
rauben willst, dann wird dir geholfen werden. Oh ja, die Frage sollte
auch freundlich gestellt sein.
> Bisher habe ich noch keine Frage stellen mögen, weil ich ohnehin mit
> einer Abbügel-Antwort rechne (á la: schau in die FAQ).
> Damit wird ganz sicher niemand auch nur annähernd zum Experten...
Doch. Mit dem Wissen aus der FAQ kannst du erfolgreich IT Security
betreiben.
Felix
Hanno Wagner
Am Tue, 02 Jan 2001 03:08:12 +0100 meinte Ingo Froehlen:
>Ist das Usenet nicht für _alle_ offen?
Ja.
>Muss ich erst Informatik studiert haben (oder mich aus sonstigen
>Gründen "Experte" schimpfen dürfen), damit ich hier posten darf?
Nein. Die Frage ist vielmehr was die anderen dann von dir halten :-)
>mitliest - genau das habe ich die letzten Tage getan. Und doch kann es
>doch mal vorkommen, dass ich zu irgendeinem Thema noch eine Frage
>habe, die vielleicht "dumm" erscheinen mag, weil ich mich mit der
>Thematik erst seit kurzer Zeit befasse.
Kennst Du de.newusers.(questions|infos)? Es gibt auch dort
Einfuehrungstexte, in denen steht "Bitte erst eine Weile mitlesen,
die FAQ der Gruppe lesen, dann Fragen stellen".
>Bisher habe ich noch keine Frage stellen mögen, weil ich ohnehin mit
>einer Abbügel-Antwort rechne (á la: schau in die FAQ).
>Damit wird ganz sicher niemand auch nur annähernd zum Experten...
Nicht sofort. Aber es hilft ungemein. Und vermeidet es, dass die
Leute die hilfsbereit sind, dadurch vergraetzt werden, dass zehnmal
pro Tag genau die Fragen gestellt werden die in der FAQ beantwortet
werden.
Ciao, Hanno
--
#"Bringen Sie sich ins Internet - die neuen C-Netze."
# -- nach Jochen Erwied (ma...@joker.ruhr.de)
Nicolas Sander
Andreas Grau wrote:
[...]
> Also mein Vorschlag: Bitte helft den Newbiees mit für sie sinnvollen
> Vorschlägen und nicht mit Vorschlägen ala "installiere Linux" oder "du hast
> doch keinen Plan von Firewalls deswegen brauchst du auch keine". Dann sagt
> lieber gar nix dazu, denn das ist nicht sehr hilfreich für das NG Klima
[...]
<Ironie>
Andreas, Du hast nix verstanden. Der arrogante Ton in der FAQ dient
dazu, OT-Diskussionen über die Arroganz hier in der Gruppe zu schüren,
damit in dang beim nächsten RFD zum Löschen dieser dämlichen Gruppe die
Regulars das Trafficargument auf ihrer Seite haben, jedoch hier unter
sich bleiben können.
</Ironie>
Nico
--
Ingo Froehlen
<usenet-...@fefe.de> wrote:
Hallo Felix,
>> Tschuldigung, aber irgendwie geht mir der arrogante Tonfall in dieser
>> Gruppe ganz schön auf die Nerven.
>
>Was machst du dann hier noch?
Ich freue mich wirklich sehr, dass _dieser_ Kommentar bisher allein
geblieben ist.
Was dich betrifft, so unterstreichst du meine obige Aussage so gut,
wie es besser nicht hätte sein können.
Gruß,
Ingo
Andreas Grau
> <Ironie>
> Andreas, Du hast nix verstanden. Der arrogante Ton in der FAQ dient
> dazu, OT-Diskussionen über die Arroganz hier in der Gruppe zu schüren,
> damit in dang beim nächsten RFD zum Löschen dieser dämlichen Gruppe die
> Regulars das Trafficargument auf ihrer Seite haben, jedoch hier unter
> sich bleiben können.
> </Ironie>
>
> Nico
> --
@ Nico: *lol*
@ (fast) all: danke für den Tipp mit der Netzwerkfreigabe......übrigens las
ich nun die Finger von Zonealarm ;-)
Gesundes neues Jahr,
Andreas
Ulrich Eckhardt
>
> Ingo Froehlen schrieb:
> Da muß ich dir zustimmen. Ich lese hier seit 2-3 Wochen mit und muß
> sagen, daß mir bisher noch keine Gruppe untergekommen ist, die so
> ungehalten und informationslos auf Fragen von Neulingen reagiert. Es
> scheint hier Leute zu geben, die noch nicht wissen, daß Freundlichkeit
> und Höflichkeit nicht weg tut und auch nix kostet.
Hi,
was wohl viele Neulinge nicht verstehen ist, das Computersicherheit
ein komplexes Thema ist, welches man leider nicht mit ein oder
zwei Worten abhandeln kann. Deshalb sind solche Aussagen
"Lass es lieber bleiben, nimm einfach einen Virenscanner"
eine ernst und höflich gemeinte Aussage. Das ist ungefähr
genauso, wie wenn jemand in einer Auto-Newsgroup posted
"Ich habe ein Auto mit Bremsen und einen Hammer und das
funktioniert nicht und jetzt will ich da neue einbauen". Jeder
der was von Autos versteht wird da deutlich sagen, dass er
das wohl besser läßt.
Es geht leider kein Weg dran vorbei sich erst mal mit grundlegenden
Techniken (da gehört auch die Nutzung einer Suchmaschiene dazu !)
vertraut zu machen. 90% der Fragen dieser NG könnten durch Nutzen
einer Suchmaschiene und Lesen der Postings diese NG der letzten
2 Wochen beantwortet werden.
Heute waren z.B. wieder 2 postings "Ich habe einen Scann auf <insert
your favorit trojan port here> von meinem Desktop Firewall ..." . Diese
Frage taucht zur Zeit täglich mindestens einmal auf. Bitte nicht böse
sein, aber sowas geht einem mit der Zeit wirklich mächtig auf den
Sa^Henkel . Ich persöhnlich ziehe es zwar vor solche Leute dumm sterben
zu lassen, aber es gibt dann doch immer ein paar Sozialfälle in jeder
NG die das dann doch breit treten müssen :-( . Und leider gibt es
eine Zunehmende Zahl von Usern, die meinen Suchmaschienen,
Netiquette und ein halbwegs korrektes Quoting ist nur für andere da.
In einem der letzten Threads war ein Typ der sich strikt weigerte
http://learn.to/quote und de.newusers.info zu lesen weil er keine
Zeit dazu hätte und sich dann noch beschwerte, dass andere Leute
Ihm nicht antworten (ich hatte da eine Idee, aber leider leider
keine Zeit sein verkorkstes Quoting zu korrigieren und Ihm die Antwort
zu schreiben :-) ).
Grüße
Lars Gebauer
> Ingo Froehlen schrieb:
>> Tschuldigung, aber irgendwie geht mir der arrogante Tonfall in
>> dieser Gruppe ganz schön auf die Nerven. Einige Leute hier
>> scheinen wirklich arge Schwierigkeiten damit zu haben, dass es
>> Leute gibt, die weniger Wissen haben und schon mal eine "blöde"
>> Frage stellen.
>
> Da muß ich dir zustimmen. Ich lese hier seit 2-3 Wochen mit und
> muß sagen, daß mir bisher noch keine Gruppe untergekommen ist, die
> so ungehalten und informationslos auf Fragen von Neulingen
> reagiert.
Das sehe ich zwar nicht so, aber trotzdem: Warum macht Ihr es nicht
[besser|schoener|netter|wasweisich]? Es liegt doch absolut in Eurer
Hand.
Alle diese "Maengel" die hier, es sei dahingestellt ob berechtigt
oder unberechtigt, kritisiert werden koennt Ihr abstellen. Es liegt
nur bei Euch.
Euch gefaellt die FAQ nicht? Kein Problem, schreibt eine die besser
ist. Postet sie hier, stellt sie zur Diskussion. Lutz hat schliess-
lich kein Monopol auf FAQs.
Ihr meint auf Fragen von Neulingen wuerde "ungehalten und informa-
tionslos" reagiert? Auch kein Problem: Macht es einfach besser, geht
mit gutem Beispiel voran.
Also, worauf wartet Ihr?
Nicht nur noergeln, selber was tun ist die Devise.
--
SuvmeH 'ej charghmeH bogh tlhlnganpu'.
Klingonen sind zum Kaempfen und Erobern geboren.
Hanno Wagner
Am Tue, 02 Jan 2001 13:06:11 +0100 meinte Josef Kröger:
>Da muß ich dir zustimmen. Ich lese hier seit 2-3 Wochen mit und muß
>sagen, daß mir bisher noch keine Gruppe untergekommen ist, die so
>ungehalten und informationslos auf Fragen von Neulingen reagiert. Es
>scheint hier Leute zu geben, die noch nicht wissen, daß Freundlichkeit
>und Höflichkeit nicht weg tut und auch nix kostet.
Langsam brauchen wir hier Emily Postmaster bzw. Ihr Pendant, Traute
Feuerbrand.
Ciao, Hanno
--
#"windows95: no points, fenetre75: aucune point, finestra95: niente,
# fenster95: keine punkte" -- th...@luna.mpikg-teltow.mpg.de, #linuxger
Felix von Leitner
> Da muß ich dir zustimmen. Ich lese hier seit 2-3 Wochen mit und muß
> sagen, daß mir bisher noch keine Gruppe untergekommen ist, die so
> ungehalten und informationslos auf Fragen von Neulingen reagiert.
Und noch jemand, der es nicht verstanden hat. Seufz.
1. wir reagieren ungehalten auf dumme Postings, nicht auf Fragen von
Neulingen. Wahr ist, daß sich beide Mengen leider stark überlappen.
2. beantwortbare Fragen werden hier erschöpfend und höflich beantwortet.
> Es scheint hier Leute zu geben, die noch nicht wissen, daß
> Freundlichkeit und Höflichkeit nicht weg tut und auch nix kostet.
Wenn es dir um mehr geht, als deinen Namen in einer Newsgroup zu sehen,
und du ernsthaft der Meinung bist, daß etwas geändert werden muß, DANN
ÄNDERE ES UND VERSCHWENDE KEINEN PLATZ MIT ÜBERFLÜSSIGEN DUMPF-POSTINGS.
> Unwissenheit hat mit Dummheit nix zu tun.
Wenn du das verstanden hast, bist du schon mal deutlich weiter als
andere Leute hier. Nutze deinen Vorsprung!
Felix
Ulrich Eckhardt
>
> Ingo Froehlen schrieb:
>
> >Gruppe ganz schön auf die Nerven. Einige Leute hier scheinen wirklich
> >arge Schwierigkeiten damit zu haben, dass es Leute gibt, die weniger
> >Wissen haben und schon mal eine "blöde" Frage stellen.
[ich hoffe mal, dieses Posting kommt nicht in doppelter
Ausfertigung an]
Urs [Ayahuasca] Traenkner
> # Josef Kröger wrote:
> > Ingo Froehlen schrieb:
> >> Tschuldigung, aber irgendwie geht mir der arrogante Tonfall...
> > Da muß ich dir zustimmen...
[..]
> Also, worauf wartet Ihr?
> Nicht nur noergeln, selber was tun ist die Devise.
Die Ratten, die aus dem Keller kommen, um "Ja" zu sagen,
sobald einer den Anfang mit Noergeln macht, wirst Du mit
derartig unangenehmen (da der Wahrheit entsprechenden)
Formulierungen aber nicht dazu bringen, hier was zu leisten.
Schon eigenartig, dass ich von den Leuten, die in das "Hier
ist es ja so schlimm"-Horn stossen, bisher noch nicht mal
den Namen kenne.
Urs [Ayahuasca] Traenkner
> Welchen Sinn macht es, wenn man zu einem Beitrag etwas schreibt, der mit
> der Frage nichts zu tun hat.
Die FAQ zielt darauf, den Mitlesenden erstmal auf die
grundliegende Problematik hinzuweisen. Jemandem, der "welche
FW ist die beste" mit "Zonealarm" oder
"$enteryourfavouritehere" abzuspeisen, hiesse, ihn
vorsaetzlich ins offene Messer laufen zu lassen. Denn
Sicherheit per Klick gibt's nicht. Entweder, man weiss, was
man tut, oder man laesst es besser bleiben. Das "Wissen"
"ich habe jetzt eine personal firewall, ich bin geschuetzt"
fuehrt doch nur dazu, dass $Anwender Bloedsinn mit seinem
Rechner macht. Sprich, sich obskure Software aus dem
Internet zieht und dann wundert, wieso Platte E verschwunden
ist.
> Mir wäre die Zeit zu schade, einen Artikel
> zu verfassen, der auf die gestellte Frage nicht eingeht, weil niemand
> diesen Artikel wirklich lesen will. Also wozu das ganze?
Es gibt einige, die nach dem Lesen der FAQ mit anderen
Fragen gekommen sind. Wer sie nicht lesen will, soll sich
statt mit einem PC mit einer Playstation beschaeftigen.
Lars Gebauer
>> Euch gefaellt die FAQ nicht? Kein Problem, schreibt eine die
>> besser ist.
>
> Du willst eine FAQ in die Hände von Neulingen geben?
Ja warum denn nicht? Ich denke Du willst was lernen?
Du setzt Dich jetzt hin und notierst einfach mal 10 Fragen die _Du_
im Zusammenhang mit Firewalls fuer wichtig haeltst.
Dann bemuehst Du Dich diese Fragen zu beantworten. Selbst.
Mit Suchmaschinen kommst Du zurecht? Gut. faqs.org und rfc-editor.org
ist auch eine Empfehlung wert.
Bemuehe Dich Deine selbstgestellten Fragen so gut als moeglich zu be-
antworten.
Das Ergebnis postest Du dann hier. Dann sehen wir weiter.
Auf was wartest Du noch?
>> Ihr meint auf Fragen von Neulingen wuerde "ungehalten und informa-
>> tionslos" reagiert? Auch kein Problem: Macht es einfach besser,
>> geht mit gutem Beispiel voran.
> Das würde ich ja gerne machen, wenn ich die Anworten wüßte. Ich
> bin so ein Neuling und lese in dieser Newsgroup, um mich zu
> informieren.
Siehe oben. Zumindest mit den 10 Fragen die Du fuer wichtig haeltst
kennst Du Dich dann aus. Der Rest kommt dann auch noch.
Also los!
--
ghlj qet jaghmeyjaj.
Moegen Deine Feinde in Furcht davonlaufen.
Juergen Ilse
Josef Kröger <joes-...@gmx.de> wrote:
> Lars Gebauer schrieb:
>>Euch gefaellt die FAQ nicht? Kein Problem, schreibt eine die besser
>>ist.
> Du willst eine FAQ in die Hände von Neulingen geben?
Warum nicht, wenn sie hinterher (bevor sie "offiziell" wird) hier diskutiert
und evt. vorhandene Fehler korrigiert werden. Was spricht denn dagegen?
Dieses Vorgehen (neue, vermeintlich bessere FAQ schreiben und hier zur
Diskussion stellen) war doch genau das Verfahren, was Lars vorgeschlagen
hat, und ich sehe darin keinen Nachteil...
Tschuess,
Juergen Ilse (il...@asys-h.de)
--
Eingedeutschte Fehlermeldungen sind doch etwas | Juergen Ilse
schoenes: "Montierung fehlgeschlagen" | Internet POP Hannover
-----------------------------------------------------| Vahrenwalder Str. 205
Neu in de.comp.os.unix.linux.*? Lies die infos-Gruppe| 30165 Hannover
Ingo Froehlen
Hallo Lars,
[Ungehaltene Antworten]
>Alle diese "Maengel" die hier, es sei dahingestellt ob berechtigt
>oder unberechtigt, kritisiert werden koennt Ihr abstellen. Es liegt
>nur bei Euch.
Da kann ich dir aber nicht zustimmen. *Nur* bei uns, das kann doch
nicht hinkommen, oder?
>Euch gefaellt die FAQ nicht? Kein Problem, schreibt eine die besser
>ist. Postet sie hier, stellt sie zur Diskussion. Lutz hat schliess-
>lich kein Monopol auf FAQs.
Ich habe diesen Thread eigentlich recht gut verfolgt. Aber ich habe
eigentlich nichts gelesen, wo stand "Die FAQ ist aber besch..." oder
so ähnlich. IMHO ist diese FAQ sogar eine Bereicherung, da
übersichtlich gehalten und sehr informativ.
>Ihr meint auf Fragen von Neulingen wuerde "ungehalten und informa-
>tionslos" reagiert? Auch kein Problem: Macht es einfach besser, geht
>mit gutem Beispiel voran.
*seufz*
das ist leider mit einem Problem verbunden: Ich *kann* Fragen von
Neulingen nicht beantworten, weil ich selber ein Neuling bin und
weiss, dass ich noch (fast) nichts weiss.
Ich weiss auch nicht, warum du dich da persönlich angegriffen fühlst.
Kritik sollte durchaus etwas sein können, mit dem man sich ebenfalls
kritisch auseinandersetzen kann.
Viele Grüße,
Ingo
Ingo Froehlen
<Urs.Tr...@rz.tu-ilmenau.de> wrote:
Lieber Urs.
>Schon eigenartig, dass ich von den Leuten, die in das "Hier
>ist es ja so schlimm"-Horn stossen, bisher noch nicht mal
>den Namen kenne.
Wenn du mein Posting aufmerksam gelesen hättest, wüstest du auch, dass
ich erst seit einigen Tagen mitlese. Da ich eben einer derjenigen bin,
die nicht gern mit unüberlegten Fragen auffallen, habe ich bisher noch
nichts geposted, na und?
Vielmehr finde ich eigenartig, dass dir scheinbar jede Selbstkritik
abgeht. Wenn Neulingen (und gerade denen) auffällt, dass der
Umgangston hier etwas merkwürdig ist, würde ich mir doch mal Gedanken
darüber machen, warum das wohl so ist.
Nix für ungut
Ingo
Peter Köhlmann
>
> *seufz*
> das ist leider mit einem Problem verbunden: Ich *kann* Fragen von
> Neulingen nicht beantworten, weil ich selber ein Neuling bin und
> weiss, dass ich noch (fast) nichts weiss.
>
> Ich weiss auch nicht, warum du dich da persönlich angegriffen fühlst.
> Kritik sollte durchaus etwas sein können, mit dem man sich ebenfalls
> kritisch auseinandersetzen kann.
>
Hab ich auch längst festgestellt, die Leute hier wollen sich selbst
beweihräuchern, da stören andere nur. Also werden sie unverschämt
angelabert. Ich empfehle comp.os.linux.security, dort ist erstens sehr viel
mehr los als hier (hier sehe ich nach einem kurzen Intermezzo nur noch ab
und zu rein), ausserdem wird man sehr viel weniger blöd angemacht. Selbst
auf recht einfache Fragen, die man nun wirklich im Manual hätte finden
können (hier jede 2: Antwort: man xyz bla bla), wird normalerweise recht
schnell jemand antworten. Vor allem aber werden Leute mit anderer Meinung
nicht niedergeschrien (wie hier mit REJECT / DENY, wo doch tatsächlich
einige Leute den Anspruch stellen, darüber eine über alles erhabene Meinung
zu haben und dazu eine RFC von 1980 angeben!).
Ich empfehle also, lass die Idioten hier, sie sind schliesslich die
"Experten"
Ingo Froehlen
<Ulrich....@transcom.de> wrote:
Hallo Uli,
>was wohl viele Neulinge nicht verstehen ist, das Computersicherheit
>ein komplexes Thema ist, welches man leider nicht mit ein oder
>zwei Worten abhandeln kann. Deshalb sind solche Aussagen
>"Lass es lieber bleiben, nimm einfach einen Virenscanner"
>eine ernst und höflich gemeinte Aussage.
Schon verstanden. Was mir dabei aber immer etwas fehlt, ist die
Begründung dafür. Zum Beispiel ist mir klar geworden, dass Personal
Firewalls nicht viel taugen.
Okay, nachdem ich mal den Black Ice Defender ausprobiert hatte, war
mir auch schon selber klar, dass das als Firewall nichts taugen
*kann*. Das einzige, was der macht, ist Port-Scans anzeigen und alle
Ports in den Stealth-Modus zu versetzen.
Bei Letzterem weiß ich nicht, ob das jetzt 'ne positive oder
lächerliche Eigenschaft ist. Und wenn, warum.
Das einzige, was ich dazu weiss, ist, das ich sowas vermutlich nicht
brauche, weil ich nicht mit gezielten Angriffen rechnen muss
(dynamische IP-Vergabe).
>Es geht leider kein Weg dran vorbei sich erst mal mit grundlegenden
>Techniken (da gehört auch die Nutzung einer Suchmaschiene dazu !)
>vertraut zu machen. 90% der Fragen dieser NG könnten durch Nutzen
>einer Suchmaschiene und Lesen der Postings diese NG der letzten
>2 Wochen beantwortet werden.
Dies Problem gibt es wohl in jedem Forum... :-(
In den verschiedenen Hardwareforen, die ich regelmässig lese, kommen
auch solche eher überflüssigen Fragen vor. Und dennoch nehme ich mir
gern schon mal die Zeit (falls vorhanden), die Fragen sachlich zu
beantworten.
Einen Hinweis auf Suchmaschinen (wie deja.com etc.) gebe ich gar nicht
erst, denn wenn mir die Zeit (Lust) zum posten fehlt, fehlt mir auch
die Zeit (Lust) zu sowas.
>
>Heute waren z.B. wieder 2 postings "Ich habe einen Scann auf <insert
>your favorit trojan port here> von meinem Desktop Firewall ..." . Diese
>Frage taucht zur Zeit täglich mindestens einmal auf. Bitte nicht böse
>sein, aber sowas geht einem mit der Zeit wirklich mächtig auf den
>Sa^Henkel .
Ich bin nicht böse :-)
Ich kenne sowas gut, und wie ich mich dazu verhalte, siehe oben.
[...]
>In einem der letzten Threads war ein Typ der sich strikt weigerte
>http://learn.to/quote und de.newusers.info zu lesen weil er keine
>Zeit dazu hätte und sich dann noch beschwerte, dass andere Leute
>Ihm nicht antworten (ich hatte da eine Idee, aber leider leider
>keine Zeit sein verkorkstes Quoting zu korrigieren und Ihm die Antwort
>zu schreiben :-) ).
Für sowas habe ich auch kein Verständnis. Ich sage ja auch nichts
dagegen, wenn jemand grundlegende Sachen wie Verhalten in einer
Newsgroup voraussetzt.
Wie gesagt, was mir hier oft fehlt, sind eben die Begründungen dafür,
warum irgendwas nichts taugt.
Viele Grüße,
Ingo
Ingo Froehlen
<Urs.Tr...@rz.tu-ilmenau.de> wrote:
Hallo Urs,
>Schon eigenartig, dass ich von den Leuten, die in das "Hier
>ist es ja so schlimm"-Horn stossen, bisher noch nicht mal
>den Namen kenne.
Nur noch als Nachtrag:
In diesen Thread habe ich mich erst eingeklinkt, nachdem Bernd dieses
Forum als "Expertennewsgroup" deklariert hatte, wo (so habe ich es
verstanden) Neulinge gefälligst die Klappe halten sollen.
Grüssle,
Ingo
Lars Gebauer
>> Alle diese "Maengel" die hier, es sei dahingestellt ob berechtigt
>> oder unberechtigt, kritisiert werden koennt Ihr abstellen. Es
>> liegt nur bei Euch.
>
> Da kann ich dir aber nicht zustimmen. *Nur* bei uns, das kann doch
> nicht hinkommen, oder?
Doch, Stichwort "Besser machen".
>> Euch gefaellt die FAQ nicht? Kein Problem, schreibt eine die
>> besser ist. Postet sie hier, stellt sie zur Diskussion. Lutz hat
>> schliesslich kein Monopol auf FAQs.
>
> Ich habe diesen Thread eigentlich recht gut verfolgt. Aber ich
> habe eigentlich nichts gelesen, wo stand "Die FAQ ist aber
> besch..." oder so ähnlich.
Nun ja. Hast Du schon mal auf das Subject des Threads geschaut?
>> Ihr meint auf Fragen von Neulingen wuerde "ungehalten und
>> informa- tionslos" reagiert? Auch kein Problem: Macht es einfach
>> besser, geht mit gutem Beispiel voran.
>
> *seufz*
> das ist leider mit einem Problem verbunden: Ich *kann* Fragen von
> Neulingen nicht beantworten, weil ich selber ein Neuling bin und
> weiss, dass ich noch (fast) nichts weiss.
Aha, und daraus leitest Du ein Recht auf eine bestimmte Form von Ant-
worten ab? Wie kommst Du darauf?
Und: Wer hindert Dich Dir Wissen anzueignen? Das Web ist voll von In-
formationen.
> Ich weiss auch nicht, warum du dich da persönlich angegriffen
> fühlst. Kritik sollte durchaus etwas sein können, mit dem man sich
> ebenfalls kritisch auseinandersetzen kann.
Du irrst. Ich fuehle mich nicht persoenlich angegriffen. Warum auch?
Mich nerven nur ganz langsam aber sicher diese regelmaessigen
Noergelthreads. Das ist maximal die ersten 3 Mal lustig.
Schau Dir nur mal die Frage nach dem snort manual an (Message-ID:
<92ta58$cbd$06$1...@news.t-online.com>). Der Poster stellt eine Frage
die ihm eigentlich _jede_ Suchmaschine beantworten koennte. Nun ja.
Urs gibt mit seiner Antwort <3A522CFE...@rz.tu-ilmenau.de>
einen richtigen Hinweis. Theoretisch ist die Frage beantwortet. Aber
nein, selbstverstaendlich muss da noch Jemand aufkreuzen der nichts
Besseres zu tun hat als an der (richtigen) Antwort herumzunoergeln:
(Message-ID: <92tcld$8768o$5...@ID-35206.news.dfncis.de>).
Und man beachte: Der Noeler noelt nur. Seine Antwort bezieht sich in
keinster Weise auf die eigentliche Frage. Er uebt nur Kritik an Urs'
(richtiger) Antwort weil diese wahrscheinlich nicht seiner Vor-
stellung entsprach.
Findest Du das normal? Ich nicht.
--
not toj tlhlnganpu'.
Klingonen bluffen niemals.
Juergen Ilse
Ingo Froehlen <i....@web.de> wrote:
> On 2 Jan 2001 14:46:26 GMT, geb...@telda.net (Lars Gebauer) wrote:
> [Ungehaltene Antworten]
>>Alle diese "Maengel" die hier, es sei dahingestellt ob berechtigt
>>oder unberechtigt, kritisiert werden koennt Ihr abstellen. Es liegt
>>nur bei Euch.
> Da kann ich dir aber nicht zustimmen. *Nur* bei uns, das kann doch
> nicht hinkommen, oder?
Doch. Das abstellen von Maengeln obliegt in erster Linie denen, die das
als Mangel empfinden. Genau das scheint Lars gemeint zu haben...
>>Euch gefaellt die FAQ nicht? Kein Problem, schreibt eine die besser
>>ist. Postet sie hier, stellt sie zur Diskussion. Lutz hat schliess-
>>lich kein Monopol auf FAQs.
> Ich habe diesen Thread eigentlich recht gut verfolgt. Aber ich habe
> eigentlich nichts gelesen, wo stand "Die FAQ ist aber besch..." oder
> so ähnlich.
Wurde bereits des oefteren geschrieben (wenn auch vielleicht nicht in
diesem Thread). Besonders beliebt ist Kritik an Bemerkungen ueber die
sogenannten "Personal Firewalls" (aber auch das eine oder andere sonstige).
> Ich weiss auch nicht, warum du dich da persönlich angegriffen fühlst.
Ich bin mir nicht sicher, ob er sich persoenlich angegriffen fuehlt.
LEider waren hier schon viel zu oft wenig konstruktive Postings zu
lesen, die ebenfalls den Ton hier kritisierten (nachdem jemand etwas
unwirsch auf Postings a la "was soll dass immer nur auf die FAQ zu ver-
weisen, die hilft doch gar nicht weiter!" reagierte).
> Kritik sollte durchaus etwas sein können, mit dem man sich ebenfalls
> kritisch auseinandersetzen kann.
Richtig. Die Kritikfaehigkeit leidet aber regelmaessig, wenn ungerecht-
fertigte oder unsachliche Kritik auftaucht. Das Ergebnis ist manchmal
auch eine "Entladung" in Richtung von Unschuldigen...
Tschuess,
Juergen Ilse (il...@asys-h.de)
--
Eingedeutschte Fehlermeldungen sind doch etwas | Juergen Ilse
schoenes: "Kein Weltraum links auf dem Geraet" | Internet POP Hannover
René Brinkmann
> [Sinn und Notwendigkeit einer FAQ]
Eleganter, denn man braucht nicht soo lange zu warten, bis jemand antwortet
und außerdem reduziert sie redundante Fragen [...] und damit auch traffic.
Unterschrieben sei auch die Aussage, man möge eine bessere schreiben, wenn
sie einem nicht paßt.
> [ Freundlichkeit in dieser NG]
Hier wird von Personen, die mit Blick auf die netiquette auch das Lesen der
FAQ anmahnen [die dies als "sich benehmen können" werten], so eklatant gegen
die netiquette verstoßen, daß mir beim Lesen diese threads wirklich der Mund
offen blieb. (Jetzt ist er wieder zu ;-)))
Wenn ich z.B. sinngemäß eine etwas individuelle (fix rausgesuchte)
netiquette zitieren darf:
http://www.muenster.de/publikom/info/dienste/netiq.html
> Man schreibe niemals etwas in seine postings, was man dem Adressaten nicht
auch ins Gesicht sagen würde.
In dieser NG müssen sich wirklich einige sehr mutige Individuen befinden -
von Angesicht zu Angesicht haben sich das mir gegenüber bisher nur sehr
wenige Leute getraut und die haben garantiert eine sehr geringe
Wiederholungsfrequenz.
Ich denke da an solche Begriffe wie "Ratten", "dämlich" die als Implikation
gebraucht werden oder an solche Fragen "mit einer Suchmaschine kannst Du
doch umgehen, oder?". Betreffende Leute dürfen sich ggf. freuen, sich
physikalisch und argumentativ hinter einer firewall verstecken zu können.
> [Sinn einer personal firewall]
Als ich meine personal firewall installiert habe, war mir klar, daß damit
die Sicherheit nicht vollständig gewährleistet ist. Mir war auch klar, daß
ich beim Umstieg auf dsl in ein paar Monaten eine "richtige firewall" /
router (übrigens ist die angeblich notwendige Hardware ungleich teurer)
haben muß.
Sogenannte Experten beschweren sich aber auch immer, daß der normale user
nicht den Update-Button für seine Virensoftware findet, daß er emails mit
attachments einfach öffnet usw. Wenn der erste Schritt zu einer Software,
die sich wirklich firewall nennen kann, auf den Systemen der normalen user
eine personal firewall ist, dann ist das gut - auch wenn damit der Rechner
nur etwas weniger offen steht. Wenn z.B. www.grc.com die p.s. meines
Rechners als agressive und properly working (zumindest so ähnlich ;-)
beurteilt, so werte ich das als Gewinn [und sicher nicht als Schaden].
Trotzdem sind mir ihre Sicherheits- und meine Wissenslücken bewußt und ich
lasse den Rechner nicht unnötig am Netz.
Durch jeden neuen Nutzer einer p.s. steigt meiner Meinung nach sowohl das
persönliche Interesse der user, als auch die Nachfrage am Markt - und das
zieht viele Verbesserungen nach sich. Außerdem wird wohl niemand behaupten,
es gäbe nicht auch unter den Hackern "newbees", bzw. Leute, die nicht soo
professionell sind - die hat man dann nämlich erstmal außen vor. Ich denke
da z.B. an so 12jährige, die sich btx-Zugangsdaten und PINs/TAN von den
Rechnern anderer Leute holen.
Meinetwegen betrachte man die Nutzung einer p.s. [oder von Windows, man
erinnert sich doch, oder?] als Lernschritt auf dem Wege zu einer
selbstinstallierten "richtigen firewall" (oder der Nutzung von Linux,
welches meiner Meinung nach insbesondere das bessere Konzept hat).
> [OT: der "richtige Schutz" und die falsche Sicherheit]
Übrigens ist die Diskussion um "den richtigen Schutz" nicht erst in dieser
NG erfunden worden: Ich denke da an solche Begriffe wie SaferSex ;-)) [spart
es Euch], Handschuhe bei Unfällen, Desinfektion oder meinetwegen auch
Rauchmelder. Überall wird von "falscher Sicherheit" gesprochen. Wer sich mal
die enorm höhere "Versager-Quote" (Pearl-Index) von Kondomen gegenüber der
Pille anschaut, wird (hoffentlich) trotzdem eines benutzen, auch wenn pure
Abstinenz oder die einzige wahre Beziehung (Linux ;-) sicherlich der bessere
Schutz wäre...
By the way könnte sich mancher Hacker von diesen kleinen Dingern 'ne
verdammt dicke Scheibe abschneiden...
Ciao,
René
Alfred Andrejcic
wrote:
>Okay, nachdem ich mal den Black Ice Defender ausprobiert hatte, war
>mir auch schon selber klar, dass das als Firewall nichts taugen
>*kann*. Das einzige, was der macht, ist Port-Scans anzeigen und alle
>Ports in den Stealth-Modus zu versetzen.
BID wird in den eng. Sprachigen NGs auch nicht als PFW, sondern als
IDS (Intrusion detection software) gehandelt. Als solches soll, wenn
man seinen Anwendern glauben will, es garnicht so schlecht sein.
>Wie gesagt, was mir hier oft fehlt, sind eben die Begründungen dafür,
>warum irgendwas nichts taugt.
War ein Versuch, ist halt schwer wenn man die Software nicht kennt,
und so wie mir mit BID, geht es sehr vielen hier mit PFWs.
Servus
Alfred
Urs [Ayahuasca] Traenkner
> Okay, nachdem ich mal den Black Ice Defender ausprobiert hatte, war
> mir auch schon selber klar, dass das als Firewall nichts taugen
> *kann*. Das einzige, was der macht, ist Port-Scans anzeigen und alle
> Ports in den Stealth-Modus zu versetzen.
Alle Ports in den Stealth-Modus hiesse wohl, alles auf deny
zu setzen. Dazu sind hier schon meterlange Threads
geschrieben worden, das artet u.U. so richtig in
Glaubenskrieg aus (manche sagen, deny ueber Port 1024 ist
ok, manche sagen, es ist nie ok, alle sagen, deny hat auf
well-known-ports nix zu suchen).
> Bei Letzterem weiß ich nicht, ob das jetzt 'ne positive oder
> lächerliche Eigenschaft ist. Und wenn, warum.
Laecherlich. Weil Du selbst als Endkonsument gelegentlich
den Server spielen darfst, wenn jede Anfrage an Deinen
Rechner (die von Haus aus ok ist, z.B. ein ident eines
ftp-Servers o.ae.) in ein deny laeuft, behinderst Du Dich im
Endeffekt selbst.
Ausserdem warten Scanner nicht auf das timeout, insofern ist
die Aktion als solche ziemlich sinnlos. Und die
Argumentation "wenn der Rechner nicht reagiert, weiss auch
keiner, dass er da ist" erscheint mir nicht wirklich gut.
> Das einzige, was ich dazu weiss, ist, das ich sowas vermutlich nicht
> brauche, weil ich nicht mit gezielten Angriffen rechnen muss
> (dynamische IP-Vergabe).
Genauso ist das. Scriptkiddies scannen gewoehnlich einfach
den gesamten IP-Pool der grossen Provider ab und suchen nach
installierten Trojanern oder daemlicherweise offenen
SMB-shares. Wenn da keiner ist, machen sie nix. Die blosse
Existenz des Rechners ist fuer ein Skript-Kiddie eine
nutzlose Information. Und selbst die Meisterhacker duerften
mit einem Rechner, der keine Dienste anbietet, so ihre
Probleme kriegen. Dan greift man entweder den tcp/ip-stack
selbst an oder versucht, die von innen aufgemachten
Verbindungen zum Einbruch zu nutzen (Stichwort brown orifice
bei netscape).
> > 90% der Fragen dieser NG könnten durch Nutzen
> >einer Suchmaschiene und Lesen der Postings diese NG der letzten
> >2 Wochen beantwortet werden.
> Dies Problem gibt es wohl in jedem Forum... :-(
Ich handle mir in anderen, freundlicheren Foren auch immer
wieder Pruegel ein, wenn ich "RTFM" sehr deutlich
ausformuliere.
> In den verschiedenen Hardwareforen, die ich regelmässig lese, kommen
> auch solche eher überflüssigen Fragen vor. Und dennoch nehme ich mir
> gern schon mal die Zeit (falls vorhanden), die Fragen sachlich zu
> beantworten.
Nach dem zehnten Mal wird's langweilig. Hier kommt (IMO)
uebrigens noch ein spezifisches Problem dazu - viele hier
verdienen mit der Problematik ihr Geld, und zwar nicht
wenig, dass sich da die Einstellung "bin ich hier
0130-DAU-FIREWALL oder was" durchsetzt, erscheint wenig
verwunderlich.
> Wie gesagt, was mir hier oft fehlt, sind eben die Begründungen dafür,
> warum irgendwas nichts taugt.
Da kann man dann nachfragen. Man kommt sich zwar selbst vor
wie eine laestige Schmeissfliege, aber es funktioniert ganz
gut ;)
Urs [Ayahuasca] Traenkner
> <Urs.Tr...@rz.tu-ilmenau.de> wrote:
> >Schon eigenartig, dass ich von den Leuten, die in das "Hier
> >ist es ja so schlimm"-Horn stossen, bisher noch nicht mal
> >den Namen kenne.
> Wenn du mein Posting aufmerksam gelesen hättest, wüstest
> du auch, dass ich erst seit einigen Tagen mitlese.
Du koenntest Dir die Jacke auch einfach nicht anziehen.
> Vielmehr finde ich eigenartig, dass dir scheinbar
> jede Selbstkritik abgeht.
Wenn's nur so waere, dann koennte ich immer ruhig schlafen.
> Wenn Neulingen (und gerade denen)
> auffällt, dass der Umgangston hier etwas merkwürdig ist,
> würde ich mir doch mal Gedanken darüber machen, warum das
> wohl so ist.
Habe ich schon. Die Antwort wuerde Dir nicht gefallen.
> Nur noch als Nachtrag:
> In diesen Thread habe ich mich erst eingeklinkt, nachdem Bernd dieses
> Forum als "Expertennewsgroup" deklariert hatte, wo (so habe ich es
> verstanden) Neulinge gefälligst die Klappe halten sollen.
Bernd? Wo? Das sieht ihm doch gar nicht aehnlich...
Ich denke, die Standpunkte sind klar geworden, oder? Hier in
der NG treiben sich im uebrigen auch einige Windows-Nutzer
rum (wie ich darauf nur komme), die sich einfach nur so fuer
die Problematik interessieren - und die werden (trotz der
Aversion gegen Windows, die ich in diesem Kontext verstehe)
auch nicht gekoepft.
Also spar Dir die Jammerei. Oder waere es Dir lieber, die
"unfreundlichen Saecke" wuerden sich alle verpissen und den
"freundlichen Rest" mit ihrem Halbwissen allein lassen?
Meinjanur, Gruss Urs...
Ulrich Eckhardt
>
> On Tue, 02 Jan 2001 17:00:56 +0100, Ulrich Eckhardt
> <Ulrich....@transcom.de> wrote:
>
> Hallo Uli,
>
> >was wohl viele Neulinge nicht verstehen ist, das Computersicherheit
> >ein komplexes Thema ist, welches man leider nicht mit ein oder
> >zwei Worten abhandeln kann.
> Schon verstanden. Was mir dabei aber immer etwas fehlt, ist die
> Begründung dafür.
Hi,
für so manche gute Beschreibung müsste ich die Grundlagen
von TCP/IP erklären. In "TCP/IP Network Administration" nimmt
das etwa 370 Seiten und die Grundlagen von Firewalls in
"Building Internet Firewalls" etwa 500 Seiten ein. Damit sollte
eigentlich klar sein, warum hier so manche Antwort halt
"Bitte Buch lesen" lautet. Diese NG ist halt kein "Einsteiger
forum für Netzwerktechnik". Laut Charta werden hier Probleme
der Computersicherheit diskutiert und da sind halt gewisse
Grundkenntnisse von Netzwerken, bzw wenigstems die Bereitschaft
zum Einarbeiten erforderlich.
> Zum Beispiel ist mir klar geworden, dass Personal
> Firewalls nicht viel taugen.
Da können doch die Erklärungen nicht so schlecht sein
oder :-)
Ulrich Eckhardt
> schnell jemand antworten. Vor allem aber werden Leute mit anderer Meinung
> nicht niedergeschrien (wie hier mit REJECT / DENY, wo doch tatsächlich
> einige Leute den Anspruch stellen, darüber eine über alles erhabene Meinung
> zu haben und dazu eine RFC von 1980 angeben!).
> Ich empfehle also, lass die Idioten hier, sie sind schliesslich die
> "Experten"
Als "Experte" solltest du wissen dass der RFC der Standard des
Internets darstellen und es gibt halt einige RFC's die seit 1980
nicht geändert worden sind.
Peter Köhlmann
> Peter Köhlmann wrote:
>
> > schnell jemand antworten. Vor allem aber werden Leute mit anderer
> > Meinung nicht niedergeschrien (wie hier mit REJECT / DENY, wo doch
> > tatsächlich einige Leute den Anspruch stellen, darüber eine über alles
> > erhabene Meinung zu haben und dazu eine RFC von 1980 angeben!).
> > Ich empfehle also, lass die Idioten hier, sie sind schliesslich die
> > "Experten"
>
> Als "Experte" solltest du wissen dass der RFC der Standard des
> Internets darstellen und es gibt halt einige RFC's die seit 1980
> nicht geändert worden sind.
>
> Uli
Hast du sie gelesen?
Ich habe es, und wer sie zitiert, um damit etwas zu RECECT / DENY zu sagen,
nimmt uns alle auf den Arm oder aber glaubt, andere mit (angeblich)
vorhandenem Wissen mundtot machen zu koennen. Diese RFC sagt NICHTS über
REJECT / DENY, ausser man legt Interpretationen hinein, die niemand sonst
nachvollziehen kann.
Es ging übrigens um RFC761. Lies sie mal durch. FvL behauptet ernsthaft,
dass sie von diesem Meinungsstreit handelt. Einfach lächerlich !
Ulrich Eckhardt
>
> Ulrich Eckhardt wrote:
> > Als "Experte" solltest du wissen dass der RFC der Standard des
> > Internets darstellen und es gibt halt einige RFC's die seit 1980
> > nicht geändert worden sind.
> Hast du sie gelesen?
> Ich habe es, und wer sie zitiert, um damit etwas zu RECECT / DENY zu sagen,
> nimmt uns alle auf den Arm oder aber glaubt, andere mit (angeblich)
> vorhandenem Wissen mundtot machen zu koennen. Diese RFC sagt NICHTS über
> REJECT / DENY, ausser man legt Interpretationen hinein, die niemand sonst
> nachvollziehen kann.
> Es ging übrigens um RFC761. Lies sie mal durch. FvL behauptet ernsthaft,
> dass sie von diesem Meinungsstreit handelt. Einfach lächerlich !
Hi,
du vermischst da wirklch einiges. RFC761 ist der rfc zu TCP
von 1980 und trotz allem noch immer gültig. Man kann also durchaus
mit einem RFC von 1980 argumentieren.
Was FvL da in diesen RFC reinargumentiert steht wieder auf einem
anderen Blatt und ist sicher nicht repräsentativ für diese Gruppe.
Lies dir den Reject/Deny Thread noch mal durch, der war durchaus
sachlich und informativ.
Lutz Donnerhacke
>du vermischst da wirklch einiges. RFC761 ist der rfc zu TCP
>von 1980 und trotz allem noch immer gültig. Man kann also durchaus
>mit einem RFC von 1980 argumentieren.
RfC 793 ist der gültige TCP-RfC.
0760 DoD standard Internet Protocol. J. Postel. Jan-01-1980. (Format:
TXT=81507 bytes) (Obsoletes IEN 123) (Obsoleted by RFC0791, RFC0777)
(Status: UNKNOWN)
0761 DoD standard Transmission Control Protocol. J. Postel.
Jan-01-1980. (Format: TXT=167049 bytes) (Status: UNKNOWN)
Beide wurden ersetzt durch:
0791 Internet Protocol. J. Postel. Sep-01-1981. (Format: TXT=97779
bytes) (Obsoletes RFC0760) (Also STD0005) (Status: STANDARD)
0792 Internet Control Message Protocol. J. Postel. Sep-01-1981.
(Format: TXT=30404 bytes) (Obsoletes RFC0777) (Updated by RFC0950)
(Also STD0005) (Status: STANDARD)
0793 Transmission Control Protocol. J. Postel. Sep-01-1981. (Format:
TXT=177957 bytes) (Also STD0007) (Status: STANDARD)
Dagegen läuft UDP seperat:
0768 User Datagram Protocol. J. Postel. Aug-28-1980. (Format: TXT=5896
bytes) (Also STD0006) (Status: STANDARD)
Urs [Ayahuasca] Traenkner
> Lies dir den Reject/Deny Thread noch mal durch, der war durchaus
> sachlich und informativ.
Und hat gezeigt, dass auch Experten durchaus
grundverschiedener Meinung sein koennen ;)
Gruss Ur"duckundwech"s...
Peter Köhlmann
>
> Hi,
>
> du vermischst da wirklch einiges. RFC761 ist der rfc zu TCP
> von 1980 und trotz allem noch immer gültig. Man kann also durchaus
> mit einem RFC von 1980 argumentieren.
>
> Was FvL da in diesen RFC reinargumentiert steht wieder auf einem
> anderen Blatt und ist sicher nicht repräsentativ für diese Gruppe.
> Lies dir den Reject/Deny Thread noch mal durch, der war durchaus
> sachlich und informativ.
>
> Uli
Ich sage ja auch nicht, das der thread nicht informativ gewesen wäre, aber
das war keine Diskussion, sondern ein Erschlagen von anderen Meinungen.
Und richtig unverschämt wird es eben, wenn man glaubt, andere hätten keinen
Zugriff auf RFC's oder wären zu dumm, sie sich zu besorgen, oder aber
einfach nicht schlau genug, zu hinterfragen, ob solch eine Aussage wirklich
stimmt. Aber jeder, der sich etwas damit beschäftigt hat, weiss eben, dass
eine RFC mit so niedriger Nummer aus den Anfangstagen des TCP/IP stammt,
als es noch gar kein richtiges Internet gab. Dann werde ich sofort
misstrauisch, ob mich jemand hochnehmen will. Natürlich können so alte
RFC's noch gültig sein, aber ob sie etwas mit einer Firewall bzw. DENY /
REJECT zu tun haben, ist dann doch die Frage. Ich habe übirgens in der
ganzen RFC nirgends DENY gefunden, nur RST, das man vielleicht mit REJECT
gleichsetzen kann (eigentlich nicht das gleiche). Das Ding handelt
jedenfalls NICHT davon, ob man das Eine oder andere in einem Fall nehmen
soll.
DANN fühle ich mich wirklich verarscht!
Ich kann ja noch verstehen, wenn man keine Argumente mehr hat und dies
nicht zugeben will, dann aber zu solchen Schwachsinnsmethoden zu greifen
geht wirklich zu weit.
Dabei ging es in diesem thread NUR darum, ob DENY bei ports > 1023 OK wären
oder ob man grundsätzlich REJECT nehmen sollte. FvL war der Meinung, er
hätte ein Anrecht auf ein anständiges REJECT, damit er seine Portscans
schneller durchführen kann, andere (auch ich) waren der Meinung, er könnte
uns mal.
Lutz Donnerhacke
>stimmt. Aber jeder, der sich etwas damit beschäftigt hat, weiss eben, dass
>eine RFC mit so niedriger Nummer aus den Anfangstagen des TCP/IP stammt,
>als es noch gar kein richtiges Internet gab.
Du bist offenbar der Experte, der das alles weiß.
>Natürlich können so alte RFC's noch gültig sein, aber ob sie etwas mit
>einer Firewall bzw. DENY / REJECT zu tun haben, ist dann doch die Frage.
Den Zusammenhang zwischen DENY und Timeout sowie REJECT und Beenden eines
endlichen Automaten ist so trivial, daß Fefe ihn nicht erwähnen mußte.
>Ich habe übirgens in der ganzen RFC nirgends DENY gefunden, nur RST, das
>man vielleicht mit REJECT gleichsetzen kann (eigentlich nicht das
>gleiche). Das Ding handelt jedenfalls NICHT davon, ob man das Eine oder
>andere in einem Fall nehmen soll.
Du verstehst nicht mal die Grundlagen, traust Dir aber zu, die
Konfigurationsbegriffe aktueller Software mit 'grep' in älteren Normen
suchen zu wollen. Hm, das ist mutig.
>DANN fühle ich mich wirklich verarscht!
Mach Dir nichts draus. Der überwiegenden Leserschaft der Gruppe geht es bei
Deinen Postings regelmäßig ähnlich.
>Ich kann ja noch verstehen, wenn man keine Argumente mehr hat und dies
>nicht zugeben will, dann aber zu solchen Schwachsinnsmethoden zu greifen
>geht wirklich zu weit.
Danke gleichfalls.
>Dabei ging es in diesem thread NUR darum, ob DENY bei ports > 1023 OK
>wären oder ob man grundsätzlich REJECT nehmen sollte. FvL war der Meinung,
>er hätte ein Anrecht auf ein anständiges REJECT, damit er seine Portscans
>schneller durchführen kann, andere (auch ich) waren der Meinung, er könnte
>uns mal.
Mit dem Unterschied, daß Fefe weiß, wovon er spricht. Du laberst.
Stefan Heinecke
>Ich habe es, und wer sie zitiert, um damit etwas zu RECECT / DENY zu sagen,
>nimmt uns alle auf den Arm oder aber glaubt, andere mit (angeblich)
>vorhandenem Wissen mundtot machen zu koennen. Diese RFC sagt NICHTS über
>REJECT / DENY, ausser man legt Interpretationen hinein, die niemand sonst
>nachvollziehen kann.
>Es ging übrigens um RFC761. Lies sie mal durch. FvL behauptet ernsthaft,
>dass sie von diesem Meinungsstreit handelt. Einfach lächerlich !
Du machst Dich laecherlich, Du kannst nicht lesen, Du gibst vor sie
gelesen zu haben, whatever, anyway Du bist ein T-roll (nicht das ich FvL
irgenwie in Schutz nehmen moechte, geschweige denn das Felix das noetig
haette) aber Quelle http://www.faqs.org/rfcs/rfc761.html
2.6. Reliable Communication
A stream of data sent on a TCP connection is delivered reliably and in
order at the destination.
Transmission is made reliable via the use of sequence numbers and
acknowledgments.
D.h. "Uebertragung wird durch Squenznummern und Bestaetigungen
zuverlaessig gemacht", ich sehe ganz deutlich den Zusammenhang, er
erschlaegt mich geradezu.
(... 2.7. ...)
The procedures to establish and clear connections utilize synchronize
(SYN) and finis (FIN) control flags and involve an exchange of three
messages. This exchange has been termed a three-way hand shake.
Ahhh da wirds ganz deutlich: "Die Prozedur zum aufbauen und vorbereiten
benutzen SYN und FIN ...", aehm lass Dir doch mal das Brett vor deinem
Kopf entfernen, das Du fuer einen Splitter in deinem Auge haeltst.
Ich kann Dir nur empfehlen die 761 nochmals durchzulesen, und hinterher
gleich die 792, dort findest Du folgendes:
The ICMP messages typically report errors in the processing of
datagrams.
Und wenn Du dann bitte nach de.comm.networking.tcp-ip.newusers wechseln
wuerdest waere ich Dir sehr verbunden.
Stefan
--
Wenn ich auf jede Frage eine Antwort haette wuerde ich Theologie lehren.
(Sean Connery in Uberto Ecos "Im Namen der Rose")
Ulrich Eckhardt
>
> Ulrich Eckhardt wrote:
> >
> > Hi,
> >
> > du vermischst da wirklch einiges. RFC761 ist der rfc zu TCP
> > von 1980 und trotz allem noch immer gültig. Man kann also durchaus
> > mit einem RFC von 1980 argumentieren.
>
> Ich sage ja auch nicht, das der thread nicht informativ gewesen wäre, aber
> das war keine Diskussion, sondern ein Erschlagen von anderen Meinungen.
Also ich fühlte mich nun absolut nicht erschlagen.
> stimmt. Aber jeder, der sich etwas damit beschäftigt hat, weiss eben, dass
> eine RFC mit so niedriger Nummer aus den Anfangstagen des TCP/IP stammt,
> als es noch gar kein richtiges Internet gab.
Also diese Aussage zeugt nun gerade nicht von kompetenz. RFC's sind die
Normen für Protokolle im Internet und daran hat sich jeder zu halten.
Solange es kein supersede für einen rfc gibt, kann die Nummer so niedrig
sein wie sie will.
Ulrich Eckhardt
>
> Peter Köhlmann <Peter.K...@t-online.de> wrote:
> >Ich habe es, und wer sie zitiert, um damit etwas zu RECECT / DENY zu sagen,
> haette) aber Quelle http://www.faqs.org/rfcs/rfc761.html
>
> 2.6. Reliable Communication
>
> zuverlaessig gemacht", ich sehe ganz deutlich den Zusammenhang, er
> erschlaegt mich geradezu.
Ok, aber was hat das mit einem Verbindungsaufbau zu tun ? die Sequenz-
nummern kommen erst in der laufenden Verbindung ins Spiel.
> (... 2.7. ...)
> Ahhh da wirds ganz deutlich: "Die Prozedur zum aufbauen und vorbereiten
> benutzen SYN und FIN ...", aehm lass Dir doch mal das Brett vor deinem
> Kopf entfernen, das Du fuer einen Splitter in deinem Auge haeltst.
Das beschreibt einen korrekten Verbindungsaufbau, bei dem beide
Partner eine Verbindung aufbauen wollen. Bei korrektem Aufbau hat
ICMP hier nichts verloren.
> Ich kann Dir nur empfehlen die 761 nochmals durchzulesen, und hinterher
> gleich die 792, dort findest Du folgendes:
>
> The ICMP messages typically report errors in the processing of
> datagrams.
Korrekt, ICMP für error messages. Aber auch ich kann in rfc 761
kein für und wieder für REJECT/DENY finden wenn ich keinen
Verbindungsaufbau wünsche.
Laut RFC 792 darf ich icmp dazu verwenden, wenn ich höflich bin,
dem Abfragenden mittels port unreachable mitzuteilen, dass hier
ein Rechner steht, der keine Verbindung wünscht. Es wäre eigentlich
auch nicht sinnvoll auf eine icmp message zu bestehen, da ja
gegebenfalls wirklich kein Rechner an betreffender ip addresse lauscht
und somit keine message zurückgeschickt werden kann. Aus betreffendem
rfc 792 :
The Internet Protocol is not designed to be absolutely reliable. The
purpose of these control messages is to provide feedback about
problems in the communication environment, not to make IP reliable.
There are still no guarantees that a datagram will be delivered or a
control message will be returned.
Speziell der letzte Satz sagt klar aus, dass keiner irgend ein Recht
auf eine ICMP message hat. Ich muss mir halt auch über diverse
Konsequenzen von DENY z.B. abwarten von Timeouts auf ident im
klaren sein und das es auch Vorteile haben kann, ports mittels
REJECT zu sperren.
Lutz Donnerhacke
>Stefan Heinecke wrote:
>> Ahhh da wirds ganz deutlich: "Die Prozedur zum aufbauen und vorbereiten
>> benutzen SYN und FIN ...", aehm lass Dir doch mal das Brett vor deinem
>> Kopf entfernen, das Du fuer einen Splitter in deinem Auge haeltst.
>
>Das beschreibt einen korrekten Verbindungsaufbau, bei dem beide
>Partner eine Verbindung aufbauen wollen. Bei korrektem Aufbau hat
>ICMP hier nichts verloren.
Doch. Man kann nicht erwarten, daß IP-Pakete, die in einer höheren Schicht
Sonderbedeutung haben, von IP anders behandelt werden.
>Korrekt, ICMP für error messages. Aber auch ich kann in rfc 761
>kein für und wieder für REJECT/DENY finden wenn ich keinen
>Verbindungsaufbau wünsche.
Du kannst nicht lesen.
>Laut RFC 792 darf ich icmp dazu verwenden, wenn ich höflich bin,
>dem Abfragenden mittels port unreachable mitzuteilen, dass hier
>ein Rechner steht, der keine Verbindung wünscht.
Falsch.
>Es wäre eigentlich
>auch nicht sinnvoll auf eine icmp message zu bestehen, da ja
>gegebenfalls wirklich kein Rechner an betreffender ip addresse lauscht
>und somit keine message zurückgeschickt werden kann.
Falsch.
> The Internet Protocol is not designed to be absolutely reliable. The
> purpose of these control messages is to provide feedback about
> problems in the communication environment, not to make IP reliable.
> There are still no guarantees that a datagram will be delivered or a
> control message will be returned.
>
>Speziell der letzte Satz sagt klar aus, dass keiner irgend ein Recht
>auf eine ICMP message hat.
Falsch. Er sagt aus, daß es im Normalfall funktioniert, man aber Timeouts
einbauen soll, falls mal was verlorengeht.
Stefan Heinecke
>Ok, aber was hat das mit einem Verbindungsaufbau zu tun ? die Sequenz-
>nummern kommen erst in der laufenden Verbindung ins Spiel.
Ich hab es so zitiert. Es ging mir um den 3-wayhandshake, ich sehe da
einen Zusammenhang.
> The Internet Protocol is not designed to be absolutely reliable. The
> purpose of these control messages is to provide feedback about
> problems in the communication environment, not to make IP reliable.
> There are still no guarantees that a datagram will be delivered or a
> control message will be returned.
>
>Speziell der letzte Satz sagt klar aus, dass keiner irgend ein Recht
>auf eine ICMP message hat. Ich muss mir halt auch über diverse
>Konsequenzen von DENY z.B. abwarten von Timeouts auf ident im
>klaren sein und das es auch Vorteile haben kann, ports mittels
>REJECT zu sperren.
Vergessen wir mal "Recht auf" und "Hoeflichkeit" im Kontext zu PSNs,
Du unterschlaegst Diagnose - steht da oben "..provide feedback..":
The ICMP messages typically report errors in the processing of
datagrams. To avoid the infinite regress of messages about messages
etc., no ICMP messages are sent about ICMP messages.
Es sorgt fuer Transparenz und wenn jemand Transparenz entfernt, finde ich
das bedenklich, eine RFC fuer sich macht keinen Sinn, denn sie beschreibt
immer nur ein Protokoll. Das Protokoll ist aber IP, und ICMP eben die
Moeglichkeit an jedem Punkt zusagen, bitte keine Pakete mehr weil $REASON.
TCP/IP und ICMP helfen Traffic sparen, wenn ich per IP meinen
Datentransfer einfach ins Netz bruellen wuerde haette dein Gateway viel
mehr Traffic, so bekomme ich $REASON und gut ist.
Ulrich Eckhardt
>
> * Ulrich Eckhardt wrote:
> >Stefan Heinecke wrote:
> >> Ahhh da wirds ganz deutlich: "Die Prozedur zum aufbauen und vorbereiten
> >> benutzen SYN und FIN ...", aehm lass Dir doch mal das Brett vor deinem
> >
> >Partner eine Verbindung aufbauen wollen. Bei korrektem Aufbau hat
> >ICMP hier nichts verloren.
>
> Doch. Man kann nicht erwarten, daß IP-Pakete, die in einer höheren Schicht
> Sonderbedeutung haben, von IP anders behandelt werden.
Warum Sonderbehandlung ? obiges beschreibt den Verbindungsaufbau
auf TCP ebene. Und wenn das korrekt rfc konform von statten geht,
hat ICMP nichts zu suchen.
> >Korrekt, ICMP für error messages. Aber auch ich kann in rfc 761
> >kein für und wieder für REJECT/DENY finden wenn ich keinen
> >Verbindungsaufbau wünsche.
>
> Du kannst nicht lesen.
Also ich kann in diesem RFC nur TCP connection state diagramme sehen,
die sich entweder im State LISTEN oder CLOSED befinden (page 22).
Im state closed kann man ein SYN schicken, was dann ein
Verbindungsaufbau
bedeuten würde. Ich kann hier leider keine definition sehen, die
spezifiziert, was passiert, wenn ich einem Port im CLOSED status ein
SYN schicke. Wo habe ich da was übersehen ?
>
> >Es wäre eigentlich
> >auch nicht sinnvoll auf eine icmp message zu bestehen, da ja
> >gegebenfalls wirklich kein Rechner an betreffender ip addresse lauscht
> >und somit keine message zurückgeschickt werden kann.
>
> Falsch.
Ein nicht existierender Host soll icmp messages schicken
wie soll den das in der Praxis funktionieren ?
> > The Internet Protocol is not designed to be absolutely reliable. The
> > purpose of these control messages is to provide feedback about
> > problems in the communication environment, not to make IP reliable.
> > There are still no guarantees that a datagram will be delivered or a
> > control message will be returned.
> >
> >Speziell der letzte Satz sagt klar aus, dass keiner irgend ein Recht
> >auf eine ICMP message hat.
>
> Falsch. Er sagt aus, daß es im Normalfall funktioniert, man aber Timeouts
> einbauen soll, falls mal was verlorengeht.
Ich nehme mal an dies ist exakt der Satz, bzw. die erste Seite des
rfc 792 der hier für die ganzen REJECT/DENY Diskusionen verantwortlich
ist
(ich halte mal für das ganze Problem rfc 792 für wesentlich
aussagekräftiger zu diesem Thema als rfc 761)
Ich kürze mal noch etwas den Kernsatz obiger Aussage aus rfc792 :
There are still no guarantees that a [..] control message will be
returned.
(ich habe hier wirklich nur "datagram will be delivered"
rausgeschnitten).
Ausserdem wird hier nur von feedback gesprochen (und das noch ohne
Garantie).
Lutz Donnerhacke
>Lutz Donnerhacke wrote:
>> * Ulrich Eckhardt wrote:
>> >Stefan Heinecke wrote:
>> >> Ahhh da wirds ganz deutlich: "Die Prozedur zum aufbauen und vorbereiten
>> >> benutzen SYN und FIN ...", aehm lass Dir doch mal das Brett vor deinem
>> >
>> >Das beschreibt einen korrekten Verbindungsaufbau, bei dem beide
>> >Partner eine Verbindung aufbauen wollen. Bei korrektem Aufbau hat
>> >ICMP hier nichts verloren.
>>
>> Doch. Man kann nicht erwarten, daß IP-Pakete, die in einer höheren Schicht
>> Sonderbedeutung haben, von IP anders behandelt werden.
>
>Warum Sonderbehandlung ? obiges beschreibt den Verbindungsaufbau
>auf TCP ebene. Und wenn das korrekt rfc konform von statten geht,
>hat ICMP nichts zu suchen.
Ein Verbindungsaufbau kann scheitern, weil die Pakete nicht transportiert
werden können. Das wird mit ICMP gemeldet (z.B. Typ 13). Niemand achtet
darauf, ob das Paket evtl. einen Verbindungsaufbau in einer höheren Schicht
einleiten soll.
>>> Korrekt, ICMP für error messages. Aber auch ich kann in rfc 761 kein
>>> für und wieder für REJECT/DENY finden wenn ich keinen
>>> Verbindungsaufbau wünsche.
>>
>> Du kannst nicht lesen.
>
>Also ich kann in diesem RFC nur TCP connection state diagramme sehen,
>die sich entweder im State LISTEN oder CLOSED befinden (page 22).
Das ist nur die halbe Wahrheit. Es müssen SYNC Pakete erstmal ankommen.
>>> Es wäre eigentlich auch nicht sinnvoll auf eine icmp message zu
>>> bestehen, da ja gegebenfalls wirklich kein Rechner an betreffender ip
>>> addresse lauscht und somit keine message zurückgeschickt werden kann.
>>
>> Falsch.
>
>Ein nicht existierender Host soll icmp messages schicken wie soll den das
>in der Praxis funktionieren ?
Das klappt bestens. Auf dem letzten Netzsegment versucht der letzte Router
den Zielhost zu erreichen (entweder über ARP bei Broadcastmedien oder per
statischer Konfiguration und Layer 2 Überwachung.) Kann er das nicht,
schickt er ICMP 'Host unreachable' oder gar ICMP 'Network unreachable'.
Beispiel:
~$ traceroute 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 40 byte packets
1 ceridwen-fe00.iks-jena.de (217.17.192.4) 0.642 ms 0.501 ms 0.480 ms
2 ceridwen-fe00.iks-jena.de (217.17.192.4) 0.537 ms !H
Grund ist, daß ceridwen BGP4 Router ist, und alle externen Netze des
Internet kennt. 1.1.1.1 existiert nicht in den Routing Tabellen.
>> Falsch. Er sagt aus, daß es im Normalfall funktioniert, man aber Timeouts
>> einbauen soll, falls mal was verlorengeht.
>
>Ich nehme mal an dies ist exakt der Satz, bzw. die erste Seite des rfc 792
>der hier für die ganzen REJECT/DENY Diskusionen verantwortlich ist
Nein.
>Ich kürze mal noch etwas den Kernsatz obiger Aussage aus rfc792 :
> There are still no guarantees that a [..] control message will be
> returned.
Ja und? Es besteht auch keine Garantie, daß Du in der Kneipe eine geklatscht
bekommst, wenn Du anfängst Leute voll zu sabbeln.
Wolfgang Obstmayer-ufp
>
> Wolfgang Obstmayer-ufp wrote:
>
> > Annahme: In den Händen eines jemanden der ein bischen Ahnung hat.
>
> Haengt davon ab, ob derjenige sich bewusst ist, dass er
> seine bisherigen Massnahmen nicht vernachlaessigen darf,
> "weil er ja jetzt eine schuetzende FW hat".
Also nachsehen oder sich informieren lassen ob bestimmte Produkte
Sicherheitslücken oder dergleichen haben bzw. gefunden wurden.
> > > Meist sind sie sogar eher gefaehrlich da sie ihren Benutzer in fal-
> > > scher Sicherheit wiegen
>
> > Du meinst sie bringt nichts und hat keinen Angreifer/Dienst
> > abhaltenden Nutzen?
>
> Das meint er.
Aha. Naja...
> > >und ausserdem ein zusaetzliches Angriffsziel auf dem Rechner darstellen.
> > ^^^^^^^^^^^^^^^^^^^^^^^^^^
> > Kannst du das näher erläutern?
> > Weil die Eindringlinge wissen: Desktop Firewall soundso hat die und die
> > Löcher, also kann ich dort hinen?
>
> Ich wuerde das mal als "ueber das Ziel in der Argumentation
> hinausgeschossen" bezeichnen.
>
> Zusaetzliches Angriffsziel, hm. Ressourcenfresser, ja.
Wenn dir zu
["Desktop-Firewalls"]
" zusaetzliches Angriffsziel auf dem Rechner darstellen."
nur "hm" einfällt, dann soll Lars es doch genauer erläutern.
Wenn ich für eure Begriffe oder Antworten zu deppert bin oder
ich eure Zeit "stehle" ok, dann soll es mir auch Recht sein. :-(
> > > Und diese Sicherheitsloecher koennte der User auch ganz leicht selber
> > > schliessen in dem er a) keine unkontrollierten Dienste laufen laesst,
>
> > Die da wären, Druckerfreigaben, Festplattenfreigabe....
>
> Jup. Und andere.
Stell dich nicht so an bzw. ziehr dich doch nicht so :-(
Nenne sie. (ok, auch wenn hier OT)
> > Frage:
> > Wenn ich diese also nach außen nicht freigeben, wie kommt dann ein
> > Eindringlin in mein System? Abgesehen von Sicherheitslöchern.
>
> Angriff auf tcp/ip-stack. Laufen keine Dienste, und ist der
> TCP/IP-Stack unangreifbar, ist IMO der Rechner unangreifbar.
Ok, ist ein Hinweis. Werde mir die genaue Beschreibung dazu
noch durchlesen.
> Was uebrig bleibt, sind Loecher in den Programmen, die ins
> Internet gehen. Stichwort brown orifice bei Netscape.
Ja, genau das meinte ich, u.a.
> > > b) alles von der Netzverbindung schmeisst was nicht TCP/IP heisst,
>
> > Du meinst aber nicht die Netzwerkkomponente(n) wie z.B.
> > Client für Microsoft Netzwerke, oder doch?
>
> Sicher, auch. Das einzige, was man auf die ISDN-Karte /
> Modem binden muss, ist der RAS-Wrapper. Der Rest ist nur
> fuer internes Netz gut.
Aha. Nächster Begriff den ich nachschauen muß.
Ja man lernt hier :-)
> > > Tja, wer faengt die "Kriege" meistens an? :)
>
> > Du meinst nicht das die FAQ genau so und deshalb so geschrieben worden
> > ist, nämlich Provokant?
>
> Kurz und praegnant, nicht provokant.
Deine, wohl auch bescheidene Meinung.
Die der Neulinge zu 90% NICHT!
> > Also warum wundert "ihr" Regulars euch noch darüber?
>
> Woher stammt eigentlich der bescheuerte Begriff "regular"?
Ich bin _sicher_ das _du_ es weißt.
Ein Regular ist, der oft....
Die, wie du sagst, hilfreichen, wie ich sage, provokanten Meldungen
kommen nunmal zu 80% von Regulars (LD, FL, tw. du...)
> So ein Schmarrn, willkommen ist doch jeder, der was
> sinnvolles zu sagen hat.
Und genau das können Anfänger, Neulinge und Leute die ein
OS nicht bedienen können, nunmal nicht sein.
Sinnvolles kannst du mit Lutz&Co. diskutieren.
Und ganz selten mit Andreas oder mir :-(
> Ob er dazu nun ein Posting oder 3 Jahre braucht, who cares?
Imho wenn ich etwas zur Verbesserung der FAQ beitragen will,
ist das Sinnvoll. (gerade noch)
Bei Leitner habe ich nach 3 Postings gemerkt was für ein geistloser
und unzivilisierter Unmensch er ist.
> Gruss Ur"rutscht gut rein, Rechner aus, bis naechstes
> Jahr"s...
So also Neujahr ist vorbei, ich habe gewartet und gepostet,
jetzt bist du drann (bitte :-)
wo
--
Wolfgang Fruitmayer ;-) What's your favorite scary movie? <veg>
Verein für Internetuser in Österreich: AT.UG http://www.atug.at
Mitbe(ab-)stimmen im Österr.Usenet? --> news:at.usenet.announce
http://chello.teleweb.at/wo/ Member of Birgit26 :-)
Urs [Ayahuasca] Traenkner
kurze Zwischenfrage, ist mein Paeckchen angekommen (Wien)?
Dein Buch laesst irgendwie auf sich warten, wo hast Du das
hingeschickt?
Gruss Urs...
Christian Koch
Ich interpretiere den o.g. Satz so, daß die ICMP-Message verlorengehen kann
und dadurch nie am Ziel ankommt. Das ist aber kein Alibi, die ICMP-Message
gar nicht erst abzuschicken.
Christian.
Wolfgang Obstmayer-ufp
>
> # Wolfgang Obstmayer-ufp wrote:
>
> >> Nun, eine Firewall in den Haenden von Jemanden der keine Ahnung
> >> davon hat ist tatsaechlich schlechter als keine Firewall.
> >
> > Kannst du das näher erläutern?
>
Nichts Neues. Ich bin auf jeden Fall keiner.
Aber ich weiß worauf du hinauswillst:
Informieren bzw. informieren lassen über allfällige Sicherheits-
lücken, Bugs etc.
> >> und ausserdem ein zusaetzliches Angriffsziel auf dem Rechner
> >> darstellen.
> > ^^^^^^^^^^^^^^^^^^^^^^^^^^
> > Kannst du das näher erläutern?
>
> Angriff _auf_ die Firewall. Was ist daran schwer zu verstehen? Du
> hast ein weiteres Stueck Software "am Netz" haengen.
Na bitte es geht ja eh, leider erst im dritten Satz:
"Du hast ein weiteres Stueck Software "am Netz" haengen."
Genau das wollte ich wissen. Und dieses weitere Stück Software
kann auch wieder Fehler beherbergen.
Und das bezieht sich wohl auf Desktop als auch auf externen
(Hardware) Firewalls (vereinfacht gesagt).
> >> Und diese Sicherheitsloecher koennte der User auch ganz leicht
> >> selber schliessen in dem er a) keine unkontrollierten Dienste
> >> laufen laesst,
> >
> > Die da wären, Druckerfreigaben, Festplattenfreigabe....
>
> Yep. Dieses ganze NetBIOS Geruempel.
Du gehst halt immer davon aus, dass der User ein versierter,
vielleicht sogar Admin, ist.
Denn ich bezeichne mich nun nicht mehr als blutiger Neuling in
Sachen Firewall, allerdings bezweifle ich, dass ich die von dir
angesprochenenen Sicherheitsloecher "auch ganz leicht selber
schliessen" könnte.
(von Druckerfreigaben, Festplattenfreigabe abgesehen)
Ich kann mit NetBios ein bischen etwas anfangen. Für den Rest=
Gerümpel fehlt mir das Wissen. Ich weiß schon
[X] Du willst die FAQ lesen, verstehen und anwenden
(und wenn du das verstanden hast,
darfst du mit uns mitdiskutieren :-> )
> > Frage:
> > Wenn ich diese also nach außen nicht freigeben, wie kommt dann ein
> > Eindringlin in mein System?
>
> Haengt von der Professionalitaet des Angreifers ab.
> Das uebliche Scriptkid hast Du damit locker ausgebremst, ein
> wirklicher Profi wird sich nicht unbedingt fuer Deine Kiste
> interessieren.
>
> > Abgesehen von Sicherheitslöchern.
> > Und abgesehen von Trojanern, gibts da noch, andere, Möglichkeiten?
>
> Jede Menge.
Sag ist es so schwer, ein paar Beispiele zu schreiben?
Ist das wieder die typische Masche kurze und prägnante Antworten
und der Fragesteller soll sich damit auseinandersetzen, Stichwort
Suchmaschine, FAQ und er soll selber darauf kommen?
Ist dir deine Zeit wirklich zu kostbar und ich (wir?) zu nervend als
das du ein paar Beispiele aufzählen könntest?
Mir ist schon klar das ich (hier) nichts verlangen/fordern kann.
Ich finde es nur schade.
> >> b) alles von der Netzverbindung schmeisst was nicht TCP/IP
> >> heisst,
> >
> > Du meinst aber nicht die Netzwerkkomponente(n) wie z.B.
> > Client für Microsoft Netzwerke, oder doch?
>
> Wozu brauchst Du den auf der aeusseren Karte?
Nun gut, ich weiß es nicht. Ich habe mich, als Dummer (gutgläubiger)
User, von meinem Provider dazu anstiften lassen dies(e) zu
installieren. (Support bzw. Handbuch!)
Und nicht nachgefragt warum und wieso.
Als lernresistenter ;-) User werde ich das sofort nachholen (ob dies
notwendig ist).
mfg wo
Urs [Ayahuasca] Traenkner
> "Urs [Ayahuasca] Traenkner" wrote:
> > Haengt davon ab, ob derjenige sich bewusst ist, dass er
> > seine bisherigen Massnahmen nicht vernachlaessigen darf,
> > "weil er ja jetzt eine schuetzende FW hat".
> Also nachsehen oder sich informieren lassen ob bestimmte Produkte
> Sicherheitslücken oder dergleichen haben bzw. gefunden wurden.
Jup. http://www.heise.de kann man als Privatanwender
taeglich ueberfliegen, ist schonmal ganz hilfreich. Kostet
eine Minute, einfach die Schlagzeilen anschauen - heute kam
ueber den Ticker, dass Flash exploitanfaellig ist. Man lernt
nie aus.
>>>> Und diese Sicherheitsloecher koennte der User auch ganz leicht selber
>>>> schliessen in dem er a) keine unkontrollierten Dienste laufen laesst,
>>> Die da wären, Druckerfreigaben, Festplattenfreigabe....
>> Jup. Und andere.
> Stell dich nicht so an bzw. ziehr dich doch nicht so :-(
> Nenne sie. (ok, auch wenn hier OT)
Alle ausser RAS-Wrapper haben nichts auf der "Internetkarte"
zu suchen. Alle Dienste / Bindungen zu finden bei Win in der
Netzwerkumgebung bei Bindungen / Dienste.
>>>> b) alles von der Netzverbindung schmeisst was nicht TCP/IP heisst,
>>> Du meinst aber nicht die Netzwerkkomponente(n) wie z.B.
>>> Client für Microsoft Netzwerke, oder doch?
>> Sicher, auch. Das einzige, was man auf die ISDN-Karte /
>> Modem binden muss, ist der RAS-Wrapper. Der Rest ist nur
>> fuer internes Netz gut.
> Aha. Nächster Begriff den ich nachschauen muß.
Das ist im wesentlichen der Dienst, der Dir die Einwahl
bereitstellt (remote access service). F_eins ist Dein Freund
;) Nun gut, weiss nicht, wie gut die Hilfe bei 9x ist.
Die ganzen anderen Dienste stellen den gesamten Kram fuer
Microsoft-Netzwerke bereit. Fuer Privatanwender hat das nix
auf der ISDN-Karte als Bindung zu suchen. Wen interessiert
im Internet schon, ob $IP_von_T-Online den Rechnernamen
"Schwanzmeister" oder "default" traegt?
Die SMB shares sind andererseits fuer viele interessant ;)
>>> Du meinst nicht das die FAQ genau so und deshalb so geschrieben worden
>>> ist, nämlich Provokant?
> > Kurz und praegnant, nicht provokant.
> Deine, wohl auch bescheidene Meinung.
Meine Meinung ist meist IMO ohne H ;)
> Die der Neulinge zu 90% NICHT!
Mir hat sie sehr geholfen. Ohne eigene Recherche freilich
nicht nutzbar, aber das ist nicht Sinn von
de.comp.security.firewall. Um ein Gefuehl zu kriegen, worum
es bei einer _richtigen_ Firewall nun wirklich geht, ist sie
nahe am Optimum.
> > So ein Schmarrn, willkommen ist doch jeder, der was
> > sinnvolles zu sagen hat.
> Und genau das können Anfänger, Neulinge und Leute die ein
> OS nicht bedienen können, nunmal nicht sein.
Anfaenger und Neulinge und Leute, die kein OS bedienen
koennen, haetten auch bedeutend besseres zu tun, als sich
mit firewalls zu beschaeftigen - ohne Grundlagen ist man
hier falsch. Ganz einfach.
Hier geht es nunmal nicht um
de.comp.security.windows.newusers.ZuDoofZumHandbuchLesen
Wolfgang Obstmayer-ufp
>
> * Peter Köhlmann wrote:
> >stimmt. Aber jeder, der sich etwas damit beschäftigt hat, weiss eben, dass
> >eine RFC mit so niedriger Nummer aus den Anfangstagen des TCP/IP stammt,
> >als es noch gar kein richtiges Internet gab.
>
> Du bist offenbar der Experte, der das alles weiß.
Nein. Er nicht. Nur du. Alles was nicht deiner Meinung entspricht
ist immer falsch. Es fällt schön langsam auf.
Und dazu braucht man nicht 1x Experte sein.
> >DANN fühle ich mich wirklich verarscht!
>
> Mach Dir nichts draus. Der überwiegenden Leserschaft der Gruppe geht es bei
> Deinen Postings regelmäßig ähnlich.
Mir gehts eher bei deinen postings so :-(
> >Ich kann ja noch verstehen, wenn man keine Argumente mehr hat und dies
> >nicht zugeben will, dann aber zu solchen Schwachsinnsmethoden zu greifen
> >geht wirklich zu weit.
>
> Danke gleichfalls.
Wieder keine Argumente deinerseits. Auch das fällt auf.
Firewall Experte wahrscheinlich. Diskusionssexperte sicher nicht.
> >Dabei ging es in diesem thread NUR darum, ob DENY bei ports > 1023 OK
> >wären oder ob man grundsätzlich REJECT nehmen sollte. FvL war der Meinung,
> >er hätte ein Anrecht auf ein anständiges REJECT, damit er seine Portscans
> >schneller durchführen kann, andere (auch ich) waren der Meinung, er könnte
> >uns mal.
>
> Mit dem Unterschied, daß Fefe weiß, wovon er spricht. Du laberst.
Wieder1x das typische präpotente Regular gesabber.
Heirate ihn bitte, deinen EfEf.
Wolfgang Obstmayer-ufp
Anfang gesnipt da ausführlich und ausreichend.
Es geht ja eh ;-)
> Anfaenger und Neulinge und Leute, die kein OS bedienen
> koennen, haetten auch bedeutend besseres zu tun, als sich
> mit firewalls zu beschaeftigen - ohne Grundlagen ist man
> hier falsch. Ganz einfach.
Irgendwann kommt auch ein Neuling d'rauf, dass es Risiken im
Internet gibt. Ob digitale Signaturen, Kreditkarten(-geschäfte/
-mißbrauch) oder Firewalls....
> Hier geht es nunmal nicht um
> de.comp.security.windows.newusers.ZuDoofZumHandbuchLesen
Genau so wenig wie de.comp.security.firewall.hierDiskutierenNur-
ExpertenDieKeinenUmgangstonBeherrschenUndUnterSichBleibenWollen.
Ich habe da schon die (at) Netiquette im Hinterkopf.
2.Neulinge und Alteingesessene ergänzen einander.
In einer Newsgroup herrscht meist ein Kommen und Gehen. Manche
Poster (=Schreiber von Artikeln) verlassen die Newsgroup wieder,
dafür kommen neue Poster hinzu. Die Regulars, die schon länger,
und die Newbies, die relativ neu dort sind, ergänzen einander:
Die einen bringen Erfahrungen ein, die anderen neue Standpunkte.
Nicht nur ich, habe aber feststellen müssen, dass dies in dieser
NG nicht so ganz der Fall ist bzw. akzeptiert wird.
Nun gut, wenn die Mehrheit der Meinung ist: "Experten unter sich,
und nicht vorhandener Umgangston" dann wird es Zeit zu gehen.
Oder es finden sich, mehr welche den Standpunkt der Netiquette
vertreten.
Aber nachdem es hier eh sinnlos ist darüber zu diskutieren
entweder EoD oder fup2 poster?
mfg wo
Urs [Ayahuasca] Traenkner
> "Urs [Ayahuasca] Traenkner" wrote:
> > Anfaenger und Neulinge und Leute, die kein OS bedienen
> > koennen, haetten auch bedeutend besseres zu tun, als sich
> > mit firewalls zu beschaeftigen - ohne Grundlagen ist man
> > hier falsch. Ganz einfach.
> Irgendwann kommt auch ein Neuling d'rauf, dass es Risiken im
> Internet gibt. Ob digitale Signaturen, Kreditkarten(-geschäfte/
> -mißbrauch) oder Firewalls....
Dann soll er sich in de.comp.os.windows.* oder
de.comp.security.misc rumdruecken.
> > Hier geht es nunmal nicht um
> > de.comp.security.windows.newusers.ZuDoofZumHandbuchLesen
> Genau so wenig wie de.comp.security.firewall.hierDiskutierenNur-
> ExpertenDieKeinenUmgangstonBeherrschenUndUnterSichBleibenWollen.
Ack.
> 2.Neulinge und Alteingesessene ergänzen einander.
Ja, schon. Nur dass $Neuling ruhig einen wissensdurstigen
"ich lese auch selbst"-Eindruck machen darf.
BTW, ich komme gerade aus einem Ausflug aus
de.sci.geschichte wieder. Fuehr' Dir mal die dortige FAQ zu
Gemuete:
http://www.bigalski.de/gerrit/dsgfaq.html
Und dann sage mir nochmal, die hier waere "provokant und
unfreundlich" gehalten.
> In einer Newsgroup herrscht meist ein Kommen und Gehen.
Genau so ist das. Und jemand, der in eine "community"
hineinplatzt mit "ich bin hier, ich weiss nix, ich lese
nicht, erklaert mir alles" ist nicht willkommen. Hier nicht,
und (mein Eindruck) in der de.sci-Hierarchie nicht. Und von
meinen Versuchen, in den letzten 2 Tagen ein Adobe
$application spezifisches Problem in
alt.graphics.$application und de.comp.graphik geloest zu
kriegen, will ich mal besser nicht reden (war nicht fuer
mich). Und ich bilde mir ein, eine Frage so stellen zu
koennen, dass man sehen kann, dass ich nicht zu der "Usenet
ist kostenloser support"-Fraktion zu gehoeren.
Mein Eindruck vom Usenet: je spezifischer ein Thema, desto
unwilliger bekommt man Hilfe bei *bla*-Problemen. RTFM halt.
Das ist nicht nur hier so.
> Manche
> Poster (=Schreiber von Artikeln) verlassen die Newsgroup wieder,
> dafür kommen neue Poster hinzu. Die Regulars, die schon länger,
> und die Newbies, die relativ neu dort sind, ergänzen einander:
> Die einen bringen Erfahrungen ein, die anderen neue Standpunkte.
*seufz* Wenn es nur so waere.
> Nun gut, wenn die Mehrheit der Meinung ist: "Experten unter sich,
> und nicht vorhandener Umgangston" dann wird es Zeit zu gehen.
Du musst Dich fragen, was Du willst. Willst Du etwas ueber
Firewalls lernen? Dann bist Du hier richtig. Willst Du die
Welt bekehren? Dann bist Du hier falsch (mit Verlaub).
> Oder es finden sich, mehr welche den Standpunkt der Netiquette
> vertreten.
Das wird nix. Dann erstickt dcsf in DAUs, und das ist
_nicht_ der Plan.
> Aber nachdem es hier eh sinnlos ist darüber zu diskutieren
> entweder EoD oder fup2 poster?
Wenn Du mich so fragst, EOD.
Lars Gebauer
>> Eine Firewall steht und faellt mit dem Admin. Aber nicht linear.
>
> Nichts Neues. Ich bin auf jeden Fall keiner.
> Aber ich weiß worauf du hinauswillst:
> Informieren bzw. informieren lassen über allfällige Sicherheits-
> lücken, Bugs etc.
Nicht nur. Man muss sich vor allem bemuehen das, zumindest in den
Grundzuegen, zu _verstehen_. Das ist wichtig.
Die Information alleine nutzt Dir nichts wenn Du nicht weist worum es
da ueberhaupt geht.
Das ist doch auch eines der Hauptprobleme in dieser Gruppe: Hier
prallen Leute mit _extrem_ unterschiedlichem Niveau aufeinander.
Und nein, diese Gruppe heisst de.comp.security.firewalls, sie heisst
_nicht_ de.comp.beginners.
Ein paar Grundlagen muss man ganz einfach voraussetzen koennen. Es
wird Dir also nichts weiter uebrig bleiben als Dich auch _selber_
durch den ganzen RFC usw. -wust zu graben. (Ich sage nicht das es
einfach ist, es ist aber auch nicht ganz so schlimm wie es aussieht.)
Wenn z.Bsp. Lutz schreibt "man RFCxxx", so kannst Du in 99 % der
Faelle davon ausgehen das im RFCxxx die Antwort auf Deine Frage
steht. Aber Du musst Dich schon _selber_ nach rfc-editor.org begeben
und Dir den RFC reintun, vorlesen wird ihn Dir bestimmt keiner. Wenn
_dann_ noch Verstaendnisprobleme offen sind, dann sieht die Welt aber
schon ganz anders aus.
>> Angriff _auf_ die Firewall. Was ist daran schwer zu verstehen?
>> Du hast ein weiteres Stueck Software "am Netz" haengen.
>
> Na bitte es geht ja eh, leider erst im dritten Satz:
> "Du hast ein weiteres Stueck Software "am Netz" haengen."
Das ist jetzt nicht Dein Ernst. Oder?
> Genau das wollte ich wissen. Und dieses weitere Stück Software
> kann auch wieder Fehler beherbergen.
Genau. Und da es direkt "am Netz" haengt koennen sich diese Fehler
sehr fatal auswirken. Fataler als z.Bsp. bei einem blanken Textedi-
tor. Logisch. Oder?
> Und das bezieht sich wohl auf Desktop als auch auf externen
> (Hardware) Firewalls (vereinfacht gesagt).
Richtigerweise sollte man Firewalls auf speziellen Rechnern, auf
denen _nur_ die Firewall laeuft, haben. Idealerweise natuerlich mit
einem speziellen OS. Diese OS sind oft *BSD Varianten von denen man
alles entfernt was fuer den Betrieb der Firewall nicht unbedingt
erforderlich ist.
Logisch. Nee? Was nicht da ist, das kann man auch nicht angreifen.
Mit jedem Stueck Software, das Du installierst, holst Du Dir auch
wieder ein potentielles Risiko auf den Hals. Das Risiko wird umso
groesser, je naeher diese Software "am Netz" sitzt. Das Risiko eines
Angriffs auf einen Browser ist nun mal weit hoeher als das Risiko
eines Angriffs auf Solitaire oder Minesweeper.
Was diese "Desktop Firewall" auf einem System wie Win98, das ja ohne-
hin nicht gerade durch Sicherheit & Stabilitaet glaenzt, anrichten
koennen, wage ich mir gar nicht vorzustellen.
Und jetzt denke mal an Geschichten wie ICQ, Napster und die anderen
Sauereien. Netter Spielkram vielleicht. Sicherheitstechnisch die pure
Katastrophe.
--
'etlh QorghHa'lu'chugh ragh 'etlh nlvqu' 'ej jejHa'choH.
Selbst die beste Klinge wird rostig und stumpf wenn sie nicht
gepflegt wird.
Jens Grivolla
<Urs.Tr...@rz.tu-ilmenau.de> wrote:
>Wolfgang Obstmayer-ufp wrote:
>> Deine, wohl auch bescheidene Meinung.
>
>Meine Meinung ist meist IMO ohne H ;)
<g>
Ich habe ohnehin den Eindruck, je mehr manche Leute darauf hinweisen,
dass die eigene Meinung "bescheiden" ist und sie sich selbst als "meine
Wenigkeit" bezeichnen, desto mehr wird einem diese "bescheidene"
Meinung letztenendes ins Gesicht gedrückt.
Ich bin "ich" und meine Meinung ist "meine Meinung". Meistens werden
obige Floskeln nur benutzt um genau das Gegenteil ihres Wortsinns
auszudrücken, also aus Eitelkeit.
Ciao,
Jens
Lutz Donnerhacke
>Ich habe ohnehin den Eindruck, je mehr manche Leute darauf hinweisen,
>dass die eigene Meinung "bescheiden" ist und sie sich selbst als "meine
>Wenigkeit" bezeichnen, desto mehr wird einem diese "bescheidene"
>Meinung letztenendes ins Gesicht gedrückt.
H = (honest|humble)
Lutz Donnerhacke
>> >DANN fühle ich mich wirklich verarscht!
>>
>> Mach Dir nichts draus. Der überwiegenden Leserschaft der Gruppe geht es bei
>> Deinen Postings regelmäßig ähnlich.
>
>Mir gehts eher bei deinen postings so :-(
Tip:
[de.newusers.questions]
Score: -1
References: @.*@
[*]
Score:: 1
References: iks-jena\.de
[*]
Score:: 2
From: <Use-Author-Address-Header@\[127\.1\]>
From: @dana\.de
From: @fitug\.de
From: @nameless\.org
From: @nym\.alias\.net
From: @redneck\.efga\.org>
From: Adrian Knoth
From: Adrian Suter
From: Andreas Bogk
From: Anonymous <nobody@replay\.com>
From: Anonymous-Remailer@See\.Comment\.Header
From: Axel H\. Horns
From: Axel Zinser
From: Bernd Eckenfels
From: Bettina Fink
From: Bodo Moeller
From: Boris 'pi' Piwinger
From: Bruce Schneier
From: Christian Anger
From: Christian Kahlo
From: Christian Weisgerber
From: Christoph Scherer
From: Christopher Creutzig
From: Daniel Schneider
From: Dirk H\. Hohndel
From: Erik Heinz
From: Felix von Leitner
From: Florian Weimer
From: Frank Klemm
From: Frank Pruefer
From: Frank Rieger
From: Gert Doering
From: Heiko Schlichting
From: Holger Koepke
From: Holger Reif
From: Hubert Partl
From: Ian Goldberg
From: Ingmar Camphausen
From: Jens Chr\. Bachem
From: Kosta Kostis
From: Kristian Koehntopp
From: Kristian Köhntopp
From: Kristian.*K=F6hntopp
From: Lucky Green
From: Marit Koehntopp
From: Marit Köhntopp
From: Marit.*K=F6hntopp
From: Markus Kuhn
From: Martin Recke
From: Matthias Bruestle
From: Michael Holzt
From: Michael Uplawski
From: Pascal Gienger
From: Peter Gutmann
From: Rainer Sokoll
From: Ralf Muschall
From: Ralph Sontag
From: Raphael Schenk
From: Rigo Wenning
From: Roger Schwentker
From: Simone Demmel
From: Stefan Kelm
From: Thomas Roessler
From: Torsten Blum
From: Ulf Möller
From: Ulli Horlacher
From: Vera Heinau
From: Wau Holland
From: Winfried Mueller
From: bofh
From: framstag
From: none@nowhere\.net
From: pat@minerva\.hanse\.de
From: remailer@hr13\.zedz\.net
From: server.*@
From: teergrube
[*]
Score: -1
Newsgroups: ,
~Followup-To: ^[^,]*$
[*]
Score:: -2
From: @xsnafu\.de
From: Aik Richter
From: Andreas Petersen
From: Burkhard Schroeder
From: Dieter Bruegmann
From: Erik Moeller <moeller@okay\.net>
From: Eugen Schabenberger
From: Felix Schlesinger
From: Gravenreuth@gravenreuth\.de
From: Joachim A\.Netz
From: JonnyD@gmx\.net
From: Jürgen Nieveler
From: Kevin Hill
From: Lutz Donnerhacke
From: Marcel Noe
From: Marco Kaiser
From: Markus Kadelke
From: Michael Kunze
From: Michael Maass
From: Mirko Klinner
From: Nelko Piplica
From: Norbert Sima
From: Oliver Kirchner
From: RE3@gmx\.de
From: Robert Schroeder
From: Rolf Weber
From: Rupert Mazzucco
From: Sepp Neuper
From: Stefan Haefner
From: Thilo Brandt
From: Thomas Wolfram
From: Thorsten Kampe
From: Ulrich Hoffmann
From: Werner Knoll
From: Witek Koczewski
From: a_myrddin@cybergal\.com
From: egerck@.*\.softex\.br
From: frank_berger2000@yahoo\.com
From: hans\.eberding@t-online\.de
From: joergh\.cmyk@netcologne\.de
From: lightning@l-g-x\.de
From: loki@netwarriors\.org
From: media deluxe
From: erasmus...@infineon.com
From: Eckart Kuehne
From: wo@telekabel\.at
[*]
Score:: -1
From: ^ *[^ _]*[ _][^ _]* *$
From: <<
From: no-?spam
From: no-answer
From: see-sig
From: x.x.x.x.x
From: remove-?this
[de.comp.os.*]
Score:: -1
From: Klaus Schilling
From: Robin S\. Socha
From: Felix von Leitner
From: Frank Klemm
[comp.lang.ada]
Score:: 2
From: Matthew Heaney
From: Ted Dennison
From: Tucker Taft
From: Robert I\. Eachus
From: Richard D Riehle
From: Robert Dewar
From: Gautier
From: @gnat\.com>
From: \.nyu\.edu
[*comp.text.tex]
Score:: 2
From: Martin Schroeder
From: Hans Steffani
From: David Kastrup
From: Markus Kohm
From: Axel Reichert
From: Heiko Oberdiek
[de.comp.security]
Score:: 2
From: Walter Dvorak
[de.comm.provider.*]
Score:: 1
Subject: Funk
Subject: Standleitung
[de.soc.recht.*]
Score: -2
From: Heiko Nock
[comp.databases]
Score: 1
Subject: postgres
[de.comp.datenbanken.misc]
Score: 1
Subject: postgres
[comp.os.plan9]
Score: 2
From: @plan9\.bell-labs\.com
[comp.dcom.sys.cisco]
Score:: 1
Subject: bgp
Subject: multicast
From: @cisco\.com
From: Robert Kiessling
From: Lars Marowsky-Bree
From: Helge Oldach
[de.comm.internet.routing]
Score:: 1
Subject: bgp
Subject: multicast
From: Robert Kiessling
From: Lars Marowsky-Bree
From: Helge Oldach
Ulrich Eckhardt
>
> * Ulrich Eckhardt wrote:
> >> Doch. Man kann nicht erwarten, daß IP-Pakete, die in einer höheren Schicht
> >> Sonderbedeutung haben, von IP anders behandelt werden.
> >
> >Warum Sonderbehandlung ? obiges beschreibt den Verbindungsaufbau
> >auf TCP ebene. Und wenn das korrekt rfc konform von statten geht,
> >hat ICMP nichts zu suchen.
>
> Ein Verbindungsaufbau kann scheitern, weil die Pakete nicht transportiert
> werden können. Das wird mit ICMP gemeldet (z.B. Typ 13). Niemand achtet
> darauf, ob das Paket evtl. einen Verbindungsaufbau in einer höheren Schicht
> einleiten soll.
Stimmt schon, ich glaube allerdings hier reden wir aneinander vorbei.
Ich
bezog mich auf einen korrekten problemlosen Verbindungsaufbau. Eine ICMP
Meldung ist hier zwar unbestritten sehr sinnvoll, in rfc792 ist
definiert, welche Meldungen ich sinnvollerweise verwenden kann. Bei
solchen Fehlern müsste aber irgenwann laut RFC 761 ein TCP RST generiert
werden.
> >> Du kannst nicht lesen.
> >
> >Also ich kann in diesem RFC nur TCP connection state diagramme sehen,
> >die sich entweder im State LISTEN oder CLOSED befinden (page 22).
>
> Das ist nur die halbe Wahrheit. Es müssen SYNC Pakete erstmal ankommen.
Warum ? Ein Port an dem ein Dienst angeboten wird, hat als
Initialzustand
LISTEN, und Ports an denen kein Dienst angeboten wird CLOSED. Ein Port
im
CLOSED zustand ändert seinen Zustand nach absenden eines SYN Packetes,
ein
Port im LISTEN zustand nach eintreffen eines SNY Paketes.
Für alles andere kann ich hier beim besten Willen keine Spezifikation
in Richtung UDP erkennen. Lediglich die generierung von TCP RST ist
für sowas definiert (allerdings nur für nicht existierende Verbindungen)
:
Reset Generation
As a general rule, reset (RST) must be sent whenever a segment arrives
which apparently is not intended for the current connection. A reset
must not be sent if it is not clear that this is the case.
There are three groups of states:
1. If the connection does not exist (CLOSED) then a reset is sent
in response to any incoming segment except another reset. In
particular, SYNs addressed to a non-existent connection are rejected
by this means.
> >Ein nicht existierender Host soll icmp messages schicken wie soll den das
> >in der Praxis funktionieren ?
>
> Das klappt bestens. Auf dem letzten Netzsegment versucht der letzte Router
> den Zielhost zu erreichen (entweder über ARP bei Broadcastmedien oder per
> statischer Konfiguration und Layer 2 Überwachung.) Kann er das nicht,
> schickt er ICMP 'Host unreachable' oder gar ICMP 'Network unreachable'.
Wie ich schon sagte, hier schickt nicht der Host sondern ein "naher"
Router
eine ICMP Message.
> >Ich kürze mal noch etwas den Kernsatz obiger Aussage aus rfc792 :
> > There are still no guarantees that a [..] control message will be
> > returned.
>
> Ja und? Es besteht auch keine Garantie, daß Du in der Kneipe eine geklatscht
> bekommst, wenn Du anfängst Leute voll zu sabbeln.
Es ist nirgends spezifiziert, dass ich eine geklatscht bekommen muss,
wenn
ich jemanden voll sabble.
Lutz Donnerhacke
>Lutz Donnerhacke wrote:
>> Ein Verbindungsaufbau kann scheitern, weil die Pakete nicht transportiert
>> werden können. Das wird mit ICMP gemeldet (z.B. Typ 13). Niemand achtet
>> darauf, ob das Paket evtl. einen Verbindungsaufbau in einer höheren Schicht
>> einleiten soll.
>
>Stimmt schon, ich glaube allerdings hier reden wir aneinander vorbei.
Nicht ganz.
>Ich bezog mich auf einen korrekten problemlosen Verbindungsaufbau. Eine
>ICMP Meldung ist hier zwar unbestritten sehr sinnvoll, in rfc792 ist
>definiert, welche Meldungen ich sinnvollerweise verwenden kann. Bei
>solchen Fehlern müsste aber irgenwann laut RFC 761 ein TCP RST generiert
>werden.
Wenn ICMP gesendet wird, ist es kein problemloser Verbindungsaufbau.
Wer soll dann TCP RST generieren?
>>> Also ich kann in diesem RFC nur TCP connection state diagramme sehen,
>>> die sich entweder im State LISTEN oder CLOSED befinden (page 22).
>>
>> Das ist nur die halbe Wahrheit. Es müssen SYNC Pakete erstmal ankommen.
>
>Warum ?
Auch ein Telepathie-Interface transportiert im Endeffekt Pakete.
>Ein Port an dem ein Dienst angeboten wird, hat als Initialzustand LISTEN,
>und Ports an denen kein Dienst angeboten wird CLOSED.
>Ein Port im CLOSED zustand ändert seinen Zustand nach absenden eines SYN
>Packetes, ein Port im LISTEN zustand nach eintreffen eines SNY Paketes.
Ja und?
>Für alles andere kann ich hier beim besten Willen keine Spezifikation
>in Richtung UDP erkennen.
man Transport.
/ICMP
>>> Ein nicht existierender Host soll icmp messages schicken wie soll den
>>> das in der Praxis funktionieren ?
>>
>> Das klappt bestens. Auf dem letzten Netzsegment versucht der letzte Router
>> den Zielhost zu erreichen (entweder über ARP bei Broadcastmedien oder per
>> statischer Konfiguration und Layer 2 Überwachung.) Kann er das nicht,
>> schickt er ICMP 'Host unreachable' oder gar ICMP 'Network unreachable'.
>
> Wie ich schon sagte, hier schickt nicht der Host sondern ein "naher"
> Router eine ICMP Message.
Das macht keinen Unterschied und entspricht nicht Deiner (nochmals
gequoteter) Aussage.
>> >Ich kürze mal noch etwas den Kernsatz obiger Aussage aus rfc792 :
>> > There are still no guarantees that a [..] control message will be
>> > returned.
>>
>> Ja und? Es besteht auch keine Garantie, daß Du in der Kneipe eine geklatscht
>> bekommst, wenn Du anfängst Leute voll zu sabbeln.
>
> Es ist nirgends spezifiziert, dass ich eine geklatscht bekommen muss,
> wenn ich jemanden voll sabble.
man Netiquette.
/PLONK
Ulrich Eckhardt
>
> Ulrich Eckhardt <Ulrich....@transcom.de> wrote:
> The ICMP messages typically report errors in the processing of
> datagrams. To avoid the infinite regress of messages about messages
> etc., no ICMP messages are sent about ICMP messages.
>
> Es sorgt fuer Transparenz und wenn jemand Transparenz entfernt, finde ich
> das bedenklich, eine RFC fuer sich macht keinen Sinn, denn sie beschreibt
> immer nur ein Protokoll. Das Protokoll ist aber IP, und ICMP eben die
> Moeglichkeit an jedem Punkt zusagen, bitte keine Pakete mehr weil $REASON.
ACK, ich habe nie den Sinn und Zweck von ICMP in Frage gestellt. Es
ging eher um die pauschale Aussage "Laut rfc 761 muß ICMP Port
Unrechable verwendet werden". Ich finde in diesem rfc halt leider
nur die Aussagen zu TCP RST in diesem RFC und die Hinweise in Fehler-
falle ICMP zu verwenden.
> TCP/IP und ICMP helfen Traffic sparen, wenn ich per IP meinen
> Datentransfer einfach ins Netz bruellen wuerde haette dein Gateway viel
> mehr Traffic, so bekomme ich $REASON und gut ist.
Halbes ACK. Das würde ich so für "ordentliche" und oft verwendete
Dienste
wie http,ftp etc sehen. Es kann ja durchaus passieren, dass sich jemand
mit der adresse vertippt und dann versehentlich auf dem falschen Rechner
landet. Hier spare ich mir einige SYN Packete, eventuell diverse
Einträge
in den Logfiles und jemandem das Warten auf Timeouts und er bekommt
sogar
noch eine Fehlermeldung mit $REASON.
Anders die Massenscanns z.B. auf irgendwelche "Trojanerports". Laut
meinen
Logs ist das in der Regel lediglich ein SYN pro ipaddresse. In dem
Falle sehe ich das als Bandbreitenverschwendung ICMP's zu verschicken,
da der scannende ohnehin nur auf ACK's wartet und allen anderen Traffic
wohl umweltgerecht nach /dev/null entsorgt.
Ich habe derzeit mal Testweise ICMP messages auf für solcherlei
"merkwürdigen" Ports mal freigeschaltet. Mal sehen ob sich in der
Realität
irgendwelche Unterschiede im Scannverhalten auswirken.
Ulrich Eckhardt
> >solchen Fehlern müsste aber irgenwann laut RFC 761 ein TCP RST generiert
> >werden.
>
> Wenn ICMP gesendet wird, ist es kein problemloser Verbindungsaufbau.
> Wer soll dann TCP RST generieren?
Konkrete Vorschläge, z.B. abstürzender Rechner finden sich in RFC 761.
Irgendwelche ICMP messages wegen irgendwelcher Netzprobleme werden
von der IP Schicht diverser Router generiert und sind damit ein Fall
für RFC 791 (IP).
Zur Erinnerung, der Thread fing damit an dass Fefe port unrechable
mittels RFC 761 begründete. Obige Aussagen sind insofern korrekt,
da sie für alle ICMP's der IP schicht betreffen, Port unreachable
aber eher TCP zugeordnet werden muss.
> >Ein Port an dem ein Dienst angeboten wird, hat als Initialzustand LISTEN,
> >und Ports an denen kein Dienst angeboten wird CLOSED.
> >Ein Port im CLOSED zustand ändert seinen Zustand nach absenden eines SYN
> >Packetes, ein Port im LISTEN zustand nach eintreffen eines SNY Paketes.
>
> Ja und?
Wenn ein ein SYN Packet nicht eintrifft, so ist das ein Fall für IP
und einen dazwischen liegenden Router. Der Ausgangspunkt des ganzen
Threads war der Sinn von DENY/REJECT sprich der Sinn von
Port Unreachable. Sowohl ich, als auch der ursprüngliche Initiator
sprachen nie davon irgendwelche Destination/Host/Network unreachable
Messages zu filtern.
> > Wie ich schon sagte, hier schickt nicht der Host sondern ein "naher"
> > Router eine ICMP Message.
>
> Das macht keinen Unterschied und entspricht nicht Deiner (nochmals
> gequoteter) Aussage.
Wenn man vom ursprünglichen Kontext über ICMP Port Unreachable
ausgeht schon. Ich konkretisiere hier noch mal meine eingangs
erwähnte Aussage :
Ich kann keine Aussage bezüglich ICMP Port Unreachable in rfc 761
finden. Ich will jedoch absoult nicht dazu aufrufen ICMP zu filtern,
da das Verstösse gegen RFC 791 darstellen kann.
> >> Ja und? Es besteht auch keine Garantie, daß Du in der Kneipe eine geklatscht
> >> bekommst, wenn Du anfängst Leute voll zu sabbeln.
> >
> > Es ist nirgends spezifiziert, dass ich eine geklatscht bekommen muss,
> > wenn ich jemanden voll sabble.
>
> man Netiquette.
> /PLONK
Darf ich höflichst daran erinnern, dass das Kneipen Argument
von dir stammt !. In der Hinsicht war ich eigentlich von dir
bisher wesentlich sachlichere Diskussionen gewöhnt.
Jetzt doch leicht enttäuscht.
Ingo Froehlen
<Ulrich....@transcom.de> wrote:
Vielen Dank an alle für die Infos :-)
Viele Grüße,
Ingo
Lutz Donnerhacke
>Konkrete Vorschläge, z.B. abstürzender Rechner finden sich in RFC 761.
>Irgendwelche ICMP messages wegen irgendwelcher Netzprobleme werden
>von der IP Schicht diverser Router generiert und sind damit ein Fall
>für RFC 791 (IP).
>
>Zur Erinnerung, der Thread fing damit an dass Fefe port unrechable
>mittels RFC 761 begründete.
Zwei Ideen:
1) 761 ist obsolete, 793 gilt, kann es sein, daß da ein Zahlendreher drin
war, den Du genüßlich aussaugen willst?
>Obige Aussagen sind insofern korrekt, da sie für alle ICMP's der IP
>schicht betreffen, Port unreachable aber eher TCP zugeordnet werden muss.
2) Da UDP/TCP und andere L4 Protkolle von IP als L3 Protokoll über einen
Dikriminator names "Port" erreicht werden, muß der Zielrechner durchaus
bei einem nicht zugeordnetem Dikriminator 'Port unreachable' senden. Im
Falle von TCP, d.h. wenn es überhaupt in L4 vordringt, ist auch ein RST
möglich. Damit ergeben sich folgende Fälle:
- Server im Prinzip verfügbar und Quelle zugelassen => SYN|ACK
- Server im Prinzip verfügbar und Quelle falsch => RST
- Server grundsätzlich nicht verfügbar => ICMP 'Port unreachable'
Ich implementiere es jedenfalls so.
>Wenn ein ein SYN Packet nicht eintrifft, so ist das ein Fall für IP und
>einen dazwischen liegenden Router. Der Ausgangspunkt des ganzen Threads
>war der Sinn von DENY/REJECT sprich der Sinn von Port Unreachable. Sowohl
>ich, als auch der ursprüngliche Initiator sprachen nie davon irgendwelche
>Destination/Host/Network unreachable Messages zu filtern.
Unklar ist Deiner Rede Sinn. Die DENY/REJECT Diskussion geht um den Fall:
Paket kommt an und die Kiste reagiert überhaupt nicht vs. oben skizziertes
Verhalten. Pakete wegzuwerfen, ohne eine Rückmeldung zu senden ist fast immer
schlecht. Ob Du nun ICMP, TCP RST oder das TCP SYN wegwirfst ist dabei nicht
Gegenstand der Diskussion.
>Ich kann keine Aussage bezüglich ICMP Port Unreachable in rfc 761 finden.
Diese Aussage qualifiziert Dich zum Troll, wenn Du darauf bestehst, da Du
auf einem irrelevanten Nebenzweig der Diskussion anstatt an Fakten
interessiert bist.
>> >> Ja und? Es besteht auch keine Garantie, daß Du in der Kneipe eine geklatscht
>> >> bekommst, wenn Du anfängst Leute voll zu sabbeln.
>> >
>> > Es ist nirgends spezifiziert, dass ich eine geklatscht bekommen muss,
>> > wenn ich jemanden voll sabble.
>>
>> man Netiquette.
>> /PLONK
>
>Darf ich höflichst daran erinnern, dass das Kneipen Argument von dir
>stammt !. In der Hinsicht war ich eigentlich von dir bisher wesentlich
>sachlichere Diskussionen gewöhnt.
Argumente, die Du nicht verstehst, sind nicht immer unsachlich.
Ulrich Eckhardt
> Zwei Ideen:
> 1) 761 ist obsolete, 793 gilt, kann es sein, daß da ein Zahlendreher drin
> war, den Du genüßlich aussaugen willst?
Nein, der neuere RFC 793 (TCP) bringt da keinen Erkenntnisgewinn. Es sei
denn
fefe meinte rfc 792 (ICMP). Ich hänge jetzt einfach mal zwecks Redundanz
immer noch mal was hinter betreffende rfc nummern.
> >Obige Aussagen sind insofern korrekt, da sie für alle ICMP's der IP
> >schicht betreffen, Port unreachable aber eher TCP zugeordnet werden muss.
>
> 2) Da UDP/TCP und andere L4 Protkolle von IP als L3 Protokoll über einen
> Dikriminator names "Port" erreicht werden, muß der Zielrechner durchaus
> bei einem nicht zugeordnetem Dikriminator 'Port unreachable' senden. Im
> Falle von TCP, d.h. wenn es überhaupt in L4 vordringt, ist auch ein RST
> möglich. Damit ergeben sich folgende Fälle:
> - Server im Prinzip verfügbar und Quelle zugelassen => SYN|ACK
ACK
> - Server im Prinzip verfügbar und Quelle falsch => RST
ACK
> - Server grundsätzlich nicht verfügbar => ICMP 'Port unreachable'
NACK
Wenn ein Server nicht verfügbar ist, so muss aus einsichtigen Gründen
ein Gateway dieses ICMP Packet generieren
Nur um sicherzugehen, dass ich dich nicht missverstehe ich nehme mal an
du sprichst von ICMP Typ 3 Code 3.
> Ich implementiere es jedenfalls so.
Dann verstöst du gegen RFC 792 (ICMP) auf Seite 4 :
Codes 0, 1, 4, and 5 may be received from a gateway. Codes 2 and
3 may be received from a host.
Korrekt ist hier Host/Destination unreachable (ebenfalls
aus dem selben RFC nur ein paar Zeilen höher :
In addition, in some
networks, the gateway may be able to determine if the internet
destination host is unreachable. Gateways in these networks may
send destination unreachable messages to the source host when the
destination host is unreachable.
> >Wenn ein ein SYN Packet nicht eintrifft, so ist das ein Fall für IP und
> >einen dazwischen liegenden Router. Der Ausgangspunkt des ganzen Threads
> >war der Sinn von DENY/REJECT sprich der Sinn von Port Unreachable. Sowohl
> >ich, als auch der ursprüngliche Initiator sprachen nie davon irgendwelche
> >Destination/Host/Network unreachable Messages zu filtern.
>
> Unklar ist Deiner Rede Sinn. Die DENY/REJECT Diskussion geht um den Fall:
> Paket kommt an und die Kiste reagiert überhaupt nicht vs. oben skizziertes
> Verhalten.
Wenn man das Wort Paket noch als TCP/UDP Paket definiert welches von
einem in der TCP/UDP Schicht angesiedelten Filter verworfen wird.
> Pakete wegzuwerfen, ohne eine Rückmeldung zu senden ist fast immer
> schlecht. Ob Du nun ICMP, TCP RST oder das TCP SYN wegwirfst ist dabei nicht
> Gegenstand der Diskussion.
Fast ACK, TCP/UDP Pakete wegzuwerfen ist fast immer schlecht [1]
kann aber trotzdem unter gwissen Umständen trotzdem sinnvoll sein
wiederspricht aber trozdem keinem rfc.
> >Ich kann keine Aussage bezüglich ICMP Port Unreachable in rfc 761 finden.
>
> Diese Aussage qualifiziert Dich zum Troll, wenn Du darauf bestehst, da Du
> auf einem irrelevanten Nebenzweig der Diskussion anstatt an Fakten
> interessiert bist.
Warum 761 aka rfc 793 (TCP) weisst zwar darauf hin, dass ICMP verwendet
werden kann.
Ich darf aber explizit TCP auch über andere lowlevel Protokolle fahren
ohne
dass ich deswegen ICMP impementieren muss :
Any lower level protocol will have to provide the source address,
destination address, and protocol fields, and some way to determine
the "TCP length", both to provide the functional equivlent service
of IP and to be used in the TCP checksum.
Grüße
Uli
[1] Für alle hier diesem Thread immer noch folgen und auf eine
Erleuchtung zwecks DENJY/REJECT hoffen sei auch angemerkt, dass
keine Antwort manchmal eben auch eine Antwort sein kann.
Ein TCP/UDP Paket wird vom Router kommentarlos an einen im Netz
befindlichen Rechner weitergeleitet. Wenn hier ein TCP/UDP filter
dieses verwirft -> Keine Antwort.
Ist ein Rechner nicht am Netz so wird, da die Kommunikation schon
auf IP ebene schief läuft dieser Router ein ICMP Destination
Unrechable (nein, kein Port Unreachble !) zurückschicken.
Wolfgang Obstmayer-ufp
>
> * Wolfgang Obstmayer-ufp <w...@telekabel.at> wrote:
> >> Lars Gebauer wrote:
> >>
> >> Angriff _auf_ die Firewall. Was ist daran schwer zu verstehen? Du
> >> hast ein weiteres Stueck Software "am Netz" haengen.
> > Na bitte es geht ja eh, leider erst im dritten Satz:
> > "Du hast ein weiteres Stueck Software "am Netz" haengen."
>
Bin ich ein Experte? ;-)
Hätte ja sein können das da noch etwas wäre, was ich übersehen hätte.
Vielleicht war mir die Antwort ja auch zu leicht :->
> Willst Du auch noch das haendchen gehalten bekommen, wenn man dir
> vorliest?
Du willst nicht wirklich das ich etwas dazuschreibe...
> > Du gehst halt immer davon aus, dass der User ein versierter,
> > vielleicht sogar Admin, ist.
>
> Wenn er das nicht ist, was meinst Du, kann er dann so an einer Firewall
> konfigurieren? Was meinst Du, kann ein reiner User, der sich ueberhaupt
> nicht damit beschaeftigt hat, hier "mitdiskutieren"?
So wie ich :-( ?
Es soll lernwillige User auch geben!
> Diskutierst Du gerne ueber Dinge, von denen Du keine Ahnung hast? Ich
> nicht.
Nein. Allerdings:
"(Netz-)Stecker ziehen" und "deja ist dein Freund" ist keine Diskussion.
Ich weiß ja nicht ob Fragen bei dir schon einer Diskussion zuzurechnen
ist.
> Fehler passieren natuerlich jedem.
Auch den Gottheiten Leitner/Donnerhacke? <veg>
> > Denn ich bezeichne mich nun nicht mehr als blutiger Neuling in
> > Sachen Firewall, allerdings bezweifle ich, dass ich die von dir
> > angesprochenenen Sicherheitsloecher "auch ganz leicht selber
> > schliessen" könnte.
>
> Dann lies doch einfach etwas hier mit
Mach ich.
> und/oder schau mal bei http://www.deja.com/ vorbei.
Danke.
> >> Haengt von der Professionalitaet des Angreifers ab.
> >> Das uebliche Scriptkid hast Du damit locker ausgebremst, ein
> >> wirklicher Profi wird sich nicht unbedingt fuer Deine Kiste
> >> interessieren.
> >> > Abgesehen von Sicherheitslöchern.
> >> > Und abgesehen von Trojanern, gibts da noch, andere, Möglichkeiten?
> >> Jede Menge.
> > Sag ist es so schwer, ein paar Beispiele zu schreiben?
>
> Aeh? Wo ist denn nun wieder das Problem? Er hat doch schon einige
> Beispiele gebracht und viele andere findest Du hier in anderen Threads
> und in den Weiten des Internet.
>
> Wie oft muss er hier Beispiele bringen, bis Du der Meinung bist, es
> waeren genug?
Die Richtigen, gaaaanz einfach.
Sollte ich sie widererwarten überlesen haben, vielleicht bei einem
Thread
der nicht explizit "Andere Sicherheitslöcher als Trojanern" hieß, sorry.
Ich bin durchaus gewillt mitzulesen; und ja ich kann eine Frage
vormuliier en wenn ich etwas nicht verstanden habe!
> Soll er nun fuer jedes erdenkliche OS und fuer jede erdenkliche Software
> Beispiele bringen?
Wenn er sie weiß/parat hat, ja, warum nicht?
Wobei man von vornherein einige Betriebssystem außlassen kann.
Und, auf Nachfragen (von mir z.B.) könnte man dann konkret
darauf eingehen. Wenn nicht, tja, kann man auch nichts machen
und ist sein gutes Recht.
> Ist dir die Bedeutung des Wortes Beispiel bekannt?
Du wirst es mir sicherlich nicht erklären (wollen)?
> Du kannst hier nicht alles auf einmal erschlagen. Wenn Du eine bestimmte
> Frage zu einer bestimmten Software hast, dann frag genau danach!
Winroute Pro.
ZoneAl... ;-)
> > Ist das wieder die typische Masche kurze und prägnante Antworten
> > und der Fragesteller soll sich damit auseinandersetzen, Stichwort
> > Suchmaschine, FAQ und er soll selber darauf kommen?
>
> Das waeren gute Ansaetze. Versteht man dann etwas bestimmtes nicht, wird
> hier keine motzen, sondern versuchen es zu erklaeren.
Aha. Ich werde mir das merken (bzw. dieses posting aufheben).
> > Ist dir deine Zeit wirklich zu kostbar und ich (wir?) zu nervend als
> > das du ein paar Beispiele aufzählen könntest?
>
> Nochmal: Wieviele Beispiele willst Du noch?
Siehe oben. Nochmal: Die Richtigen.
> > Mir ist schon klar das ich (hier) nichts verlangen/fordern kann.
> > Ich finde es nur schade.
>
> Dann kauf dir jemanden, der dir alles erklaert, oder mach einen Kurs.
Vieviel verlangst du?
> Ich glaube kaum, dass der Sinn der Gruppe hier darin besteht, taeglich
> Grundlagenwissen zu vermitteln
Ack.
> und das dann auch noch kostenlos und freundlich.
Dann laß eines der beiden weg.
> Hier sollte man doch ueber Security diskutieren; insbesondere ueber
> Firewalls. Und ja, Eigenrecherche darf man auch hier vorraussetzen.
Habe ich gemacht. Und bin noch immer dabei.
(Wenn, und da stimme ich dir/Euch zu, nicht von solch sinnlosen
Threads abgehalten würde.)
> Da das hier aber alles nichts mit Security und noch weniger mit
> Firewalls oder gar einer Schnittmenge davon zu tun hat, bitte f´up2
> poster beachten.
Doch, daher hiergeblieben. Abgesehen davon neigt sich diser Thread
eh gen Ende zu.
Lutz Donnerhacke
>Lutz Donnerhacke wrote:
>> Dikriminator names "Port" erreicht werden, muß der Zielrechner durchaus
>> bei einem nicht zugeordnetem Dikriminator 'Port unreachable' senden. Im
>> Falle von TCP, d.h. wenn es überhaupt in L4 vordringt, ist auch ein RST
>> möglich. Damit ergeben sich folgende Fälle:
>> - Server im Prinzip verfügbar und Quelle zugelassen => SYN|ACK
>
>ACK
>> - Server im Prinzip verfügbar und Quelle falsch => RST
>
>ACK
>> - Server grundsätzlich nicht verfügbar => ICMP 'Port unreachable'
>
>NACK
>
>Wenn ein Server nicht verfügbar ist, so muss aus einsichtigen Gründen
>ein Gateway dieses ICMP Packet generieren
Du hast mißverstanden. 'Server' heißt hier 'Serversoftware', sonst ist
der Begriff Dispatching sinnlos.
>Dann verstöst du gegen RFC 792 (ICMP) auf Seite 4 :
Nein.
>> Pakete wegzuwerfen, ohne eine Rückmeldung zu senden ist fast immer
>> schlecht. Ob Du nun ICMP, TCP RST oder das TCP SYN wegwirfst ist dabei nicht
>> Gegenstand der Diskussion.
>
>Fast ACK, TCP/UDP Pakete wegzuwerfen ist fast immer schlecht [1]
>kann aber trotzdem unter gwissen Umständen trotzdem sinnvoll sein
>wiederspricht aber trozdem keinem rfc.
Es widerspricht den RfCs, da die nur sagen, daß man sich nicht auf die
Ankunft von Paketen verlassen soll. Da steht nicht, daß Du grob unhöflich
werden sollst. Das ist das Robustness Principle.
>[1] Für alle hier diesem Thread immer noch folgen und auf eine
>Erleuchtung zwecks DENJY/REJECT hoffen sei auch angemerkt, dass
>keine Antwort manchmal eben auch eine Antwort sein kann.
Du bist im Irrtum. Du merkst es nur noch nicht.
>Ein TCP/UDP Paket wird vom Router kommentarlos an einen im Netz
>befindlichen Rechner weitergeleitet. Wenn hier ein TCP/UDP filter
>dieses verwirft -> Keine Antwort.
Genau das darf ein Filter nicht tun, solange es nicht völlig sinnfrei wäre
zu antworten (z.B. bei Erkennung von Spoofing).
Lutz Donnerhacke
>> Fehler passieren natuerlich jedem.
>
>Auch den Gottheiten Leitner/Donnerhacke? <veg>
Ich bin zumindest kein Gott und den Thread über Fehler hatten wir letzten
Monat erst in d.c.s.m.
Urs [Ayahuasca] Traenkner
> Guido Hennecke wrote:
> > Fehler passieren natuerlich jedem.
> Auch den Gottheiten Leitner/Donnerhacke? <veg>
Die diskutieren grade in de.org.ccc den Unterschied zwischen
djbdns (oder so aehnlich) und bind aus - wobei sie
unterschiedliche Meinungen vertreten. Ein muss demnach
falsch liegen.
> > Ich glaube kaum, dass der Sinn der Gruppe hier darin besteht, taeglich
> > Grundlagenwissen zu vermitteln
> > und das dann auch noch kostenlos und freundlich.
> Dann laß eines der beiden weg.
Da wir hier im Usenet sind, letzteres.
Ulrich Eckhardt
>
> * Ulrich Eckhardt wrote:
> >> - Server grundsätzlich nicht verfügbar => ICMP 'Port unreachable'
> >
> >NACK
> >
> >Wenn ein Server nicht verfügbar ist, so muss aus einsichtigen Gründen
> >ein Gateway dieses ICMP Packet generieren
>
> Du hast mißverstanden. 'Server' heißt hier 'Serversoftware', sonst ist
> der Begriff Dispatching sinnlos.
Ok, da habe ich dich mißverstanden. Wobei ich in diesem Falle :
- Server grundsätzlich nicht verfügbar => <in rfc undefinierter
zustand>
> Es widerspricht den RfCs, da die nur sagen, daß man sich nicht auf die
> Ankunft von Paketen verlassen soll. Da steht nicht, daß Du grob unhöflich
> werden sollst. Das ist das Robustness Principle.
Ich denke mal über Robustness kann man diskutieren. Ob die Robustness
durch ein DENY in mitleidenschaft gezogen wird hängt von den konkreten
Umständen ab und was man damit erreichen will. Je nach Lage der Dinge
kann auch ein DENY der Robustness hilfreich und damit RFC konform sein.
> >[1] Für alle hier diesem Thread immer noch folgen und auf eine
> >Erleuchtung zwecks DENJY/REJECT hoffen sei auch angemerkt, dass
> >keine Antwort manchmal eben auch eine Antwort sein kann.
>
> Du bist im Irrtum. Du merkst es nur noch nicht.
Da wollte ich eigenlich nur hinweisen, dass ein "Hacker" auch aus
der Abwesenheit von Packeten auf die Anwesenheit von Rechnern
schliessen kann.
Uli
Wolfgang Obstmayer-ufp
>
[snip]
Danke.
> Wenn z.Bsp. Lutz schreibt "man RFCxxx", so kannst Du in 99 % der
> Faelle davon ausgehen das im RFCxxx die Antwort auf Deine Frage
> steht. Aber Du musst Dich schon _selber_ nach rfc-editor.org begeben
> und Dir den RFC reintun, vorlesen wird ihn Dir bestimmt keiner.
Trotzdem bin ich froh, und selber mache ich es auch so, dass es
andere gibt die dies auch in verständlicherer Form schreiben können/
wollen:
Schau doch auf http://www.rfc-editor.org/ vorbei, dort findest du...
Aber vielleicht gehen die "man Antworten" eher ins Gedächtnis.
> Wenn
> _dann_ noch Verstaendnisprobleme offen sind, dann sieht die Welt aber
> schon ganz anders aus.
Ok.
> >> Angriff _auf_ die Firewall. Was ist daran schwer zu verstehen?
> >> Du hast ein weiteres Stueck Software "am Netz" haengen.
> >
> > Na bitte es geht ja eh, leider erst im dritten Satz:
> > "Du hast ein weiteres Stueck Software "am Netz" haengen."
>
> Das ist jetzt nicht Dein Ernst. Oder?
Tschuldigung. Ich hätte ja etwas übersehen können. Schließlich
bin ich ja kein Experte...
> > Genau das wollte ich wissen. Und dieses weitere Stück Software
> > kann auch wieder Fehler beherbergen.
>
> Genau. Und da es direkt "am Netz" haengt koennen sich diese Fehler
> sehr fatal auswirken. Fataler als z.Bsp. bei einem blanken Textedi-
> tor. Logisch. Oder?
Logisch. Würde auch Mr. Spock sagen :-)
> > Und das bezieht sich wohl auf Desktop als auch auf externen
> > (Hardware) Firewalls (vereinfacht gesagt).
>
> Richtigerweise sollte man Firewalls auf speziellen Rechnern, auf
> denen _nur_ die Firewall laeuft, haben. Idealerweise natuerlich mit
> einem speziellen OS. Diese OS sind oft *BSD Varianten von denen man
> alles entfernt was fuer den Betrieb der Firewall nicht unbedingt
> erforderlich ist.
>
> Logisch.
Ja.
> Nee? Was nicht da ist, das kann man auch nicht angreifen.
Stimmt.
> Mit jedem Stueck Software, das Du installierst, holst Du Dir auch
> wieder ein potentielles Risiko auf den Hals. Das Risiko wird umso
> groesser, je naeher diese Software "am Netz" sitzt. Das Risiko eines
> Angriffs auf einen Browser ist nun mal weit hoeher als das Risiko
> eines Angriffs auf Solitaire oder Minesweeper.
Hm. Werde ich mir überlegen wenn ich eine Firewall aufsetze.
Also wenig drauf, klar. Aber eigentlich wollte ich zusätzlich einen
Browser (vorn. Netscape/Beonex/Mozilla) auf der FW installieren.
Wohl keine gute Idee.
> Und jetzt denke mal an Geschichten wie ICQ, Napster und die anderen
> Sauereien. Netter Spielkram vielleicht. Sicherheitstechnisch die pure
> Katastrophe.
Ja davon habe ich gehört.
Aber vielles das Sicherheitstechnisch bedenklich ist, macht das
Internet interessanter.
Urs [Ayahuasca] Traenkner
> >> und/oder schau mal bei http://www.deja.com/ vorbei.
> > Danke.
> Dieser Vorschlag wird oft so belaechelt und gar kritisiert. Ich verstehe
> das garnicht. Du kannst da doch wunderbar vergangene Diskussionen
> nachlesen und dich ueber Themen informieren, die bereits lange und breit
> erklaert wurden. Was ist an deja ein schlechter Tip?
Ich muss ehrlich zugeben, ich mag deja nur fuer ganz
bestimmte Zwecke (wenn ich ein Posting suche, wo mir Teile
noch im Gedaechtnis sind) - fuer Informationsrecherche ist
es eher nicht so geeignet.
Beispiel: Informationen zu Zonealarm.
Eingabe: zonealarm / 3500 matches
Eingabe: de.comp.security.firewall zonealarm / 12 matches
Wer soll ersteres lesen / bei letzterem ist es zuwenig.
Die Antwort "such mal bei deja nach "stichwort 1",
"stichwort 2" und "stichwort 3" geht gerade noch an, aber
"such bei deja" ist nicht wirklich sinnvoll.
Insofern sehe ich es als kein Problem an, bei _spezifischen_
Fragen (also da, wo man sieht, dass derjenige trotz
Eigenrecherche nicht weiterkommt) auch vernuenftige
Antworten zu geben. Sprich: URLs oder handgeschriebene
Information bereitzustellen. Da muss ich ehrlich sagen,
dafuer ist Usenet da. Auch, wenn es vor 3 Monaten schonmal
besprochen wurde...
Just my two pence, Gruss Urs...
Wolfgang Obstmayer-ufp
Gut. Dann score ich dich herunter.
Wolfgang Obstmayer-ufp
>
> Hallo Wolfgang,
Hi.
Gleich vorweg: Es geht ja eh (hatte ich diesen Satz nicht unlängst
schon 1x geschrieben?).
Dein Ton/posting ist passabel und konstruktiv geschrieben.
Muß man immer mit gehässigkeiten antworten? Muß hinter jeder
Frage ein Dau oder eine Provokation stecken?
> * Wolfgang Obstmayer-ufp <w...@telekabel.at> wrote:
> > Guido Hennecke wrote:
>
> > Hätte ja sein können das da noch etwas wäre, was ich übersehen hätte.
> > Vielleicht war mir die Antwort ja auch zu leicht :->
>
> Warum fragst Du dann nicht genau nach?
Hab ich. Wenn man wollte hätte man das auch sehen können :-(
> Warum versuchst Du nicht einfach
> darzustellen, wie Du ihn verstanden hast und bittest darum, dass er es
> notfalls korrigiert?
Weil ich mir dann die Blöße gäbe als Dau und lernresistent dazustehen?
Ok das behaupten manche so auch von mir.
> Ich fand deine Antworten arrogant und ueberheblich
> (nur um mal wieder zum Ursprung zu kommen). Sagt dir "oberlehrerhaft"
> was?
? Meine Antworten. Hm in diesem Thread habe ich eigentlich mehr
gefragt und versucht ein Problem aus Sicht eines Nicht-Admins und
aus der Sicht eines Nicht-Daus darzustellen.
You got the point?
Und das ich dann bei einigen Antworten vielleicht _ebenfalls_
arrogant schreibe, tja.
Hättest du deine postings so verfaßt wie dieses hier (zumindestens
75% davon) zeigen das du einen normalen Umgangston beherrscht.
Wenn du willst, offensichtlich.
> >> Willst Du auch noch das haendchen gehalten bekommen, wenn man dir
> >> vorliest?
> > Du willst nicht wirklich das ich etwas dazuschreibe...
>
> Also willst Du das?
Händchenhalten nein. Eine andere Antwort wäre arrogant, präpotent
und beleidigend ausgefallen. Und auf diese verzichte ich jetzt
lieber.
> >> > Du gehst halt immer davon aus, dass der User ein versierter,
> >> > vielleicht sogar Admin, ist.
> >> Wenn er das nicht ist, was meinst Du, kann er dann so an einer Firewall
> >> konfigurieren? Was meinst Du, kann ein reiner User, der sich ueberhaupt
> >> nicht damit beschaeftigt hat, hier "mitdiskutieren"?
> > So wie ich :-( ?
> > Es soll lernwillige User auch geben!
>
> Die Diskutieren dann aber nicht dumm an Tatsachen rum, sondern stellen
> Fragen zu Themen, die sie nicht verstanden haben.
Geh bitte. _Die_ Antworten kenne ich.
Wenn ich nicht gerade Fragen zu "DENY/REJECT" stelle kann ich es gleich
vergessen.
> >> Diskutierst Du gerne ueber Dinge, von denen Du keine Ahnung hast? Ich
> >> nicht.
> > Nein. Allerdings:
> > "(Netz-)Stecker ziehen" und "deja ist dein Freund" ist keine Diskussion.
>
> Was antwortest Du denn auf die Frage "Wie mache ich meinen Rechner 100%
> sicher?"?
Wenn ich will und die Zeit habe dann 1) ausführlich bzw. ausführlicher.
Dann kann ich so antworten wie du, Lutz & Co.: 2) kurz und prägnant
(ich nenne es halt: kurz und präpotent) oder ganz einfach 3) gar nicht.
Ich entscheide mich meistens für 1.
Und antworten werde ich ganz bestimmt nicht, nie mit:
"(Netz-)Stecker ziehen"
> Wie kommst Du darauf, sie waeren Gottheiten?
Allwissend, immer Recht haben?
Aber mittlerweile ist das Image eh angekratzt, stimmt.
> >> und/oder schau mal bei http://www.deja.com/ vorbei.
> > Danke.
>
> Dieser Vorschlag wird oft so belaechelt und gar kritisiert. Ich verstehe
> das garnicht. Du kannst da doch wunderbar vergangene Diskussionen
> nachlesen und dich ueber Themen informieren, die bereits lange und breit
> erklaert wurden. Was ist an deja ein schlechter Tip?
Theoretisch.
Mittlerweile wird der Service auch immer schlechter (Fehlen von
Messages). Tw. hat es Urs ja auch schon beschrieben.
> >> Aeh? Wo ist denn nun wieder das Problem? Er hat doch schon einige
> >> Beispiele gebracht und viele andere findest Du hier in anderen Threads
> >> und in den Weiten des Internet.
> >> Wie oft muss er hier Beispiele bringen, bis Du der Meinung bist, es
> >> waeren genug?
> > Die Richtigen, gaaaanz einfach.
>
> Und woher soll er deine Fragen kennen, wenn Du sie nicht stellst? Soll
> er sich eine Glaskugel besorgen?
Du kannst lesen? Lesen bildet.
Ok war eine meiner arroganten Antworten. Aber ich konnte nicht anders
scnr.
> > Sollte ich sie widererwarten überlesen haben, vielleicht bei einem
> > Thread
> > der nicht explizit "Andere Sicherheitslöcher als Trojanern" hieß, sorry.
> > Ich bin durchaus gewillt mitzulesen; und ja ich kann eine Frage
> > vormuliier en wenn ich etwas nicht verstanden habe!
>
> Und warum schaust Du dann nicht bei deja rein udn schaust mal, ob deine
> Fragen bereits beantwortet wurden? Dafuer ist deja doch ganz gut.
Ist eine Möglichkeit und auch ganz passabel.
> > Wobei man von vornherein einige Betriebssystem außlassen kann.
>
> Windows?
Natürlich nicht. Amiga, Be, VMS, z.B.
An Windows und Linux kann man heutzutage nur schwer vorbeikommen.
Ev. MacOS, Unix (Solaris).
> >> Du kannst hier nicht alles auf einmal erschlagen. Wenn Du eine bestimmte
> >> Frage zu einer bestimmten Software hast, dann frag genau danach!
> > Winroute Pro.
> > ZoneAl... ;-)
>
> Gutes Beispiel:
>
> 1. Ist zu diesen Programmen hier schon sehr viel diskutiert worden, was
> Du unter deja nachlesen kannst.
Message ID? Zu Winroute wurde hier in dieser NG nicht viel diskutiert.
Vor allem nicht die Vor- und Nachteile.
(Es gab mal die ein oder andere Frage wenn ich mich recht erinnere)
> 2. Sehe ich auch hier keine Frage. Bitte stell doch eine.
Zu Zone Alarm gab es hier einige Diskussionen und überwiegend viele
Beiträge warum das Programm nicht so gut ist.
Und zweitens war da ein Smylie! ;-) Ein Augenzwinkender.
> Dann werden wir hier vielleicht schon wieder OnTopic. Allerdings sollten
> wir dann das Subject aendern.
>
> >> > Ist dir deine Zeit wirklich zu kostbar und ich (wir?) zu nervend als
> >> > das du ein paar Beispiele aufzählen könntest?
> >> Nochmal: Wieviele Beispiele willst Du noch?
> > Siehe oben. Nochmal: Die Richtigen.
>
> Dann stell doch mal eine _richtige_ Frage. Siehe oben.
Mir fallen da auch einige ein. Aber ich werde vorher darüber noch
nachdenken, versuchen Regulargerechte Fragen zu (er-)stellen
und einen eigenen Thread bzw. Subject starten.
> >> Dann kauf dir jemanden, der dir alles erklaert, oder mach einen Kurs.
> > Vieviel verlangst du?
>
> Ich? Ich gebe keine Kurse. Ich verstehe gerade mal selbst genug davon,
> dass es fuer meine Zwecke soweit ausreicht, dass ich gerade so klar
> komme.
Tja, manchmal setzte ich keinen Smylie obwohl einer angebracht wäre.
Wollte u.a. sehen wie du reagiest.
Aber nachdem du zugibst wie wenig du weißt, dürftest du, so gesehen,
hier eigentlich nicht mitdiskutieren :-> (zynischer Smylie)
> Aber Lutz und auch Felix (IIRC) geben welche. Frag die mal.
Da verzichte ich lieber auf jedes Sicherheitsdenken und Firewall.
> > Abgesehen davon neigt sich diser Thread
> > eh gen Ende zu.
>
> Setzen wir ein neues Subject und Du stellst jetzt die richtigen Fragen,
> auf die man auch richtig antworten kann. Ansonsten setze bitte ein F´up2
> poster
Na gut.
Lars Gebauer
> Ich muss ehrlich zugeben, ich mag deja nur fuer ganz
> bestimmte Zwecke (wenn ich ein Posting suche, wo mir Teile
> noch im Gedaechtnis sind) - fuer Informationsrecherche ist
> es eher nicht so geeignet.
>
> Beispiel: Informationen zu Zonealarm.
>
> Eingabe: zonealarm / 3500 matches
Was bitte ist an diesem Suchergebnis auszusetzen?
<URL:http://www.deja.com/=dnc/dnquery.xp?ST=PS&QRY=zonealarm&groups=&authors=&subjects=&DBS=1&fromdate=&format=threaded&showsort=newsgroup&defaultOp=AND&todate=&maxhits=100&LNG=german>
> Die Antwort "such mal bei deja nach "stichwort 1",
> "stichwort 2" und "stichwort 3" geht gerade noch an, aber
> "such bei deja" ist nicht wirklich sinnvoll.
Das deja stark nachgelassen hat ist bekannt, aber ganz uebel finde
ich obiges Ergebnis auch nicht.
--
not lay'Ha' tlhlngan.
Ein Klingone bricht niemals sein Wort.
Lars Gebauer
> Message ID? Zu Winroute wurde hier in dieser NG nicht viel
> diskutiert. Vor allem nicht die Vor- und Nachteile.
> (Es gab mal die ein oder andere Frage wenn ich mich recht
> erinnere)
Ohne mir die Artikel im einzelnen angeschaut zu haben wuerde ich mal
behaupten das Ende September 2000 darueber ziemlich ausfuehrlich in
de.comp.security gesprochen wurde.
>> bitte ein F´up2 poster
> Na gut.
Ignored.
--
Heghlu'meH QaQ jajvam.
Heute ist ein guter Tag zum Sterben.
Martin Werthmoeller
>
>Hm. Werde ich mir überlegen wenn ich eine Firewall aufsetze.
>Also wenig drauf, klar. Aber eigentlich wollte ich zusätzlich einen
>Browser (vorn. Netscape/Beonex/Mozilla) auf der FW installieren.
>
Also DAS mußt Du mir wirklich erklären. Was willst Du mit einem Browser
auf einem Firewallrechner?
>Wohl keine gute Idee.
>
Na ja, wenn er da nur herumliegt und nicht genutzt wird... Aber dann
brauchst Du ihn auch erst gar nicht zu installieren.
tschau,
martin!
--
The sum of intelligence on earth is a constant; population is growing
Stefan Heinecke
>ACK, ich habe nie den Sinn und Zweck von ICMP in Frage gestellt. Es
>ging eher um die pauschale Aussage "Laut rfc 761 muß ICMP Port
>Unrechable verwendet werden". Ich finde in diesem rfc halt leider
>nur die Aussagen zu TCP RST in diesem RFC und die Hinweise in Fehler-
>falle ICMP zu verwenden.
Also, eine RFC macht fuer sich wenig Sinn. Ein Protokoll ist auch nur
ein Empfehlung/Orientierungshilfe wenn jemand mit den anderen Kindern
spielen moechte - das gute an Standards ist, das es soviele davon gibt :).
Natuerlich findest Du in der Protokollbeschreibung zu TCP nix ueber
ICMP - finde ich auch logisch, TCP setzt IP vorraus, und IP impliziert
ICMP.
>Anders die Massenscanns z.B. auf irgendwelche "Trojanerports". Laut
>meinen
>Logs ist das in der Regel lediglich ein SYN pro ipaddresse. In dem
>Falle sehe ich das als Bandbreitenverschwendung ICMP's zu verschicken,
>da der scannende ohnehin nur auf ACK's wartet und allen anderen Traffic
>wohl umweltgerecht nach /dev/null entsorgt.
Es ist schwierig, es ist ein Henne/Ei Problem, Scans sind eher nicht
an der Tagesordnung, wenn das Budget oder die Bandbreite zu klein sind
kannst Du ja andere Alternativen in Erwaegung ziehen.
>Ich habe derzeit mal Testweise ICMP messages auf für solcherlei
>"merkwürdigen" Ports mal freigeschaltet. Mal sehen ob sich in der
>Realität
>irgendwelche Unterschiede im Scannverhalten auswirken.
Kaum, ich schaetze das es eher mehr werden, weils schneller geht, oder
es werden weniger, weil es weniger "STEALTH" gibt.
Felix von Leitner
> > > Fehler passieren natuerlich jedem.
> > Auch den Gottheiten Leitner/Donnerhacke? <veg>
Mein Gott, hat den _immer_ noch jemand nicht geplonkt?
Leute, tut euch einfach den Gefallen und Ruhe ist.
> Die diskutieren grade in de.org.ccc den Unterschied zwischen
> djbdns (oder so aehnlich) und bind aus - wobei sie
> unterschiedliche Meinungen vertreten. Ein muss demnach
> falsch liegen.
Meines Wissens hat keiner der im Usenet anwesenden Superuser-Zugriff auf
das Universum oder beansprucht Allwissenheit für sich. Insbesondere
nicht Lutz und ich.
Im Übrigen haben Lutz und ich öfters unterschiedliche Meinungen.
Weiter als bei bind/djbdns liegen unsere Meinungen zum Routing,
insbesondere Multicast-Routing, auseinander.
Felix
Ulrich Eckhardt
>
> Hallo Ulrich,
> > Ich denke mal über Robustness kann man diskutieren. Ob die Robustness
> > durch ein DENY in mitleidenschaft gezogen wird hängt von den konkreten
> > Umständen ab und was man damit erreichen will. Je nach Lage der Dinge
> > kann auch ein DENY der Robustness hilfreich und damit RFC konform sein.
>
> Ich denke, mit "Robustness Principle" war etwas anderes gemeint und
> zwar, dass die RFC zwar auch vorsieht, dass Pakete einfach
> weggeschmissen (aus welchem Grund auch immer - Fehler) werden und das
> nicht gleich zu weiteren Problemen fuehren darf.
Hi,
das "Robustnes Principle" ist eigentlich in den RFC's recht gut
beschrieben. Es soll ein weitgehend störungsfreier Betrieb der
tolerant gegen externe Störungen ist, erreicht werden. Gutes
Beispiel zum "Robustnes Principle" ist da der 3 Wege Handshake.
Mache ich das DENY/REJECT Problem jetzt am "Robustnes Principle"
fest, so komme ich zur "ketzerischen" Aussage das auch REJECT
den rfcs wiedersprechen kann.
Man nehme mal folgendes Seznario an :
Es gäbe einen Host A der mit einer ordentlichen Leitung an einem
Netzwerk hängt. Ausserdem ein Host B, der mit einer Leitung etwa
der doppelten Leistungsfähigkeit an diesem Netz angeschlossen ist
und ein Host C mit einer sehr "schwachbrüstigen" Anbindung.
Host A ist böswillig und schickt z.B. an port 6667/TCP von Host B nur
SYN pakete, wobei die Absenderadresse dieser Pakete gefakt
ist und die Adresse von Host C ist. Host B hat auf 6667 keinen Service
laufen und Filterreglen. Zudem kann host A seine volle Leitungskapazität
für das versenden diese SYN pakete nutzen.
Erstes Szenario :
Host B hat seine Filterregeln auf reject gesetzt.
Host B schickt jetzt für jedes dieser SYN pakete ein ICMP Port
unreachable an Host C. Dadurch ist jetzt die Leitung von Host
B "gesättigt" und dieser nur noch eingeschränkt im Netz zu
erreichen. Host C hat vollständig verloren, da seine Leitung
von den ICMP Paketen vollständig überlastet ist.
Zweites Szenario :
Host B hat seine Filterregel auf deny gesetzt. ICMP Port
unrechable wird nicht mehr erzeugt. Dadurch bleibt der
Datendurchsatz auf der Leitung von Host B unter der Sättigungs-
grenze und Host B ist uneingeschränkt erreichbar. Host C
bekommt von alle dem überhauptnicht mit und ist deshalb
ebenfalls uneingeschränkt erreichbar.
Das Beispiel sollte eigentlich einleuchtend zeigen dass auch ein
REJECT gegen das "Robustnes Principle" verstossen kann. Auch unter
"normalen" Bedingungen d.h. Host A schickt keine SYN Pakete,
bringt REJECT keine echten Vorteile auf port 6667. Unter normalen
Umständen wird wohl kaum jemand ernsthaft diesen Port zu debugging
Zwecken verwenden wollen und die, die sich da wirklich mal
versehentlich auf diesen Port hinverirren (warum auch immer)
werden auch keinen wirklichen Schaden erleiden.
Ulrich Eckhardt
>
> Ulrich Eckhardt <Ulrich....@transcom.de> wrote:
> >ACK, ich habe nie den Sinn und Zweck von ICMP in Frage gestellt. Es
> >ging eher um die pauschale Aussage "Laut rfc 761 muß ICMP Port
> Also, eine RFC macht fuer sich wenig Sinn. Ein Protokoll ist auch nur
> ein Empfehlung/Orientierungshilfe wenn jemand mit den anderen Kindern
> spielen moechte - das gute an Standards ist, das es soviele davon gibt :).
Theoretisch sollte ein Standard möglichsts eindeutig sein. Wobei
hier im speziellen der rfc leider nicht eindeutig ist, sonst hätte
Lutz schon gesagt : Lies rfc xyz, Zeile abc und der Thread
wäre zu ende.
> Natuerlich findest Du in der Protokollbeschreibung zu TCP nix ueber
> ICMP - finde ich auch logisch, TCP setzt IP vorraus, und IP impliziert
> ICMP.
TCP setzt nicht zwingend IP vorraus. Du kannst tcp auch über irgend ein
obskures Protokol laufen lassen, das ist ausdrücklich in rfc793(TCP)
spezifiziert :
Any lower level protocol will have to provide the source address,
destination address, and protocol fields, and some way to determine
the "TCP length", both to provide the functional equivlent service
of IP and to be used in the TCP checksum.
>
> Es ist schwierig, es ist ein Henne/Ei Problem, Scans sind eher nicht
> an der Tagesordnung,
Meine Logs sprechen da deutlich eine andere Sprache.
> Kaum, ich schaetze das es eher mehr werden, weils schneller geht, oder
> es werden weniger, weil es weniger "STEALTH" gibt.
Ja watt den nun ;-) . Ich warte einfach mal ab, was die Praxis zeigt,
ich würde aber mal drauf tippen, das hier kein Unterschied zu erwarten
ist. Ausserdem wurde hier schon drauf hingewiesen, das DENY lediglich
Scanns der dämlichen Sorte verzögert. Laut meinen Logs geht das meiste
entweder auf das Konto eines SYN scanns ohne das Abwarten des
3 Wege Handshakes oder diversen Stealth-Scanns bei denen ohnehin keine
ICMP's erzeugt werden.
Lutz Donnerhacke
>Mache ich das DENY/REJECT Problem jetzt am "Robustnes Principle"
>fest, so komme ich zur "ketzerischen" Aussage das auch REJECT
>den rfcs wiedersprechen kann.
Korrekt.
>Host A ist böswillig
Falsche Voraussetzung.
>SYN pakete, wobei die Absenderadresse dieser Pakete gefakt
Wenn und nur wenn das fake sicher festgestellt werden kann, ist DENY sinnvoll.
Sebastian Schlüter
>Host B hat seine Filterregeln auf reject gesetzt.
>Host B schickt jetzt für jedes dieser SYN pakete ein ICMP Port
>unreachable an Host C. Dadurch ist jetzt die Leitung von Host
>B "gesättigt" und dieser nur noch eingeschränkt im Netz zu
>erreichen. Host C hat vollständig verloren, da seine Leitung
>von den ICMP Paketen vollständig überlastet ist.
Ich finde das nicht so recht überzeugend, denn erstens kann Host C
direkt von Host A geflutet werden. Das geht grundsätzlich immer, auch
wenn Host C auf DENY konfiguriert ist. DoS durch Fluten der Leitung
läßt sich soweit ich weiß gar nicht verhindern.
Und in dem oben beschrieben Szenario geht es bei der Leitungauslastung
von Host B ganz grob um einen Faktor von 2 zwischen REJECT und DENY.
Dieser Faktor ändert aber nichts an dem grundsätzlichen Problem.
In der Praxis könnte man einen Kompromiß versuchen und den Faktor durch
ICMP-rate-limits bei Host B senken, ohne gleich mit DENY diagnostische
Probleme zu erzeugen.
Aber das hatten wir glaube ich alles schon...
Gruß Sebastian
Ulrich Eckhardt
>
> * Ulrich Eckhardt wrote:
> >Mache ich das DENY/REJECT Problem jetzt am "Robustnes Principle"
> >fest, so komme ich zur "ketzerischen" Aussage das auch REJECT
> >den rfcs wiedersprechen kann.
>
> Korrekt.
Endlich sind wir mal einer Meinung :-) , die pauschale Aussage
nur REJECT entspricht rfc793 (TCP) ist falsch.
> >Host A ist böswillig
>
> Falsche Voraussetzung.
s/böswillig/technische Störung oder in Heimarbeit selbst an-
gefertigter TCP/IP stack/g , die Aussage bleibt die gleiche.
> >SYN pakete, wobei die Absenderadresse dieser Pakete gefakt
>
> Wenn und nur wenn das fake sicher festgestellt werden kann, ist DENY sinnvoll.
Hier schlägt alle paar Minuten ein ICMP packet ein, dass aus
solchen fakes resultiert :-( (bisher nicht kritisch aber lästig)
siehe z.B. auch folgenden thread (sch.. frames) :
Die Welt ist halt nicht gut und die "bösen Buben" des Internets halten
sich nun mal nicht an RFC's . In der Realität halte ich mittlerweile ein
ordentlich plaziertes Deny auf Ports die in der Regel nicht genutz
werden
für sinnvoller. Otto-Normal Surfer bemerkt das ohnehin nicht da der
diese Ports nicht nutzt. Lediglich Fefe's Kaffee-Maschiene könnte da
Aufgrund der zu erwartenden Timeouts etwas leiden.
Lutz Donnerhacke
>Lutz Donnerhacke wrote:
>> * Ulrich Eckhardt wrote:
>> >Mache ich das DENY/REJECT Problem jetzt am "Robustnes Principle"
>> >fest, so komme ich zur "ketzerischen" Aussage das auch REJECT
>> >den rfcs wiedersprechen kann.
>>
>> Korrekt.
>
>nur REJECT entspricht rfc793 (TCP) ist falsch.
Die pauschale Aussage ist richtig. Du möchtest eine Rechtfertigung, das
Robustness Prinzip bewußt mit den Füßen zu treten. Ich sage Dir nur, daß in
einem besonderen Fall kommentarloses Wegwerfen dem Robustness Prinzip näher
kommt als eine Fehlermeldung.
>> >Host A ist böswillig
>>
>> Falsche Voraussetzung.
>
>s/böswillig/technische Störung oder in Heimarbeit selbst an-
>gefertigter TCP/IP stack/g , die Aussage bleibt die gleiche.
Nicht für das Robustness Prinzip. Vorsätzliche oder dämliche Störungen sind
kulant zu behandeln. Man darf nicht Vorsatz oder Dummheit als Default
annehmen und bocken. Dann ist man selbst vorsätzlich dumm.
>> >SYN pakete, wobei die Absenderadresse dieser Pakete gefakt
>>
>> Wenn und nur wenn das fake sicher festgestellt werden kann, ist DENY sinnvoll.
>
>Hier schlägt alle paar Minuten ein ICMP packet ein, dass aus
>solchen fakes resultiert :-(
Fehlerhafte ICMP Meldungen werden kommentarlos weggeworfen nach RFC. Was
willst Du also? Mache lieber Ursachenforschung.
>Die Welt ist halt nicht gut und die "bösen Buben" des Internets halten
>sich nun mal nicht an RFC's . In der Realität halte ich mittlerweile ein
>ordentlich plaziertes Deny auf Ports die in der Regel nicht genutz werden
>für sinnvoller.
Du möchtest vorsätzlich Technik zerstören. Warum muß es unbedingt das
Internet sein?
>Otto-Normal Surfer bemerkt das ohnehin nicht da der diese Ports nicht
>nutzt. Lediglich Fefe's Kaffee-Maschiene könnte da Aufgrund der zu
>erwartenden Timeouts etwas leiden.
Du verursachst Arbeit bei denen, die sich besser mit der Materie auskennen
als Du. Was berechtigt Dich zu diesem asozialen Verhalten?
Stefan Nobis
> Vielmehr finde ich eigenartig, dass dir scheinbar jede Selbstkritik
> abgeht. Wenn Neulingen (und gerade denen) auffällt, dass der
> Umgangston hier etwas merkwürdig ist, würde ich mir doch mal Gedanken
> darüber machen, warum das wohl so ist.
Hmmm... Ich kenne da zwei Leute, die sich immer gegenseitig mit den
unmöglichsten Beleidigungen beschmeissen. Kommen fremde in diesen Kreis, so
sind sie immer sehr irritiert und abgestoßen. Aber diese zwei finden das
lustig und betreiben es als Sport. Wenn Fremde das nicht verstehen, dann
sollen sie halt weghören/-gehen.
Wenn ich in eine Schwulen-Bar gehe, herrscht da auch ein anderer Umgangston
und eine andere Umgangsart als z.B. in einer Alt-Herren-Eck-Kneipe. Verirrt
sich jemand aus Bar1 in Bar2 wird er sich wohl genauso abgestoßen fühlen wie
umgekehrt. Das ist dann aber nicht das Problem derjenigen, die regelmäßig in
den jeweiligen Kneipen rumlungern und sich dort wohl fühlen, sondern ein
Problem der Neulinge.
Das gilt auch hier. Newsgroups sind nun mal keine freundlichen
Support-Hotlines für Hilfesuchende, in die man mal kurz seine Frage schmeißt
und dann wieder verschwindet, sondern sie dienen in erster Linie als Forum für
Geleichgesinnte, die sich austauschen wollen. Und du kannst ja wohl kaum
denjenigen, die sich gefunden haben und die ihre bevorzugte Art der
Auseinandersetzung gefunden haben, vorschreiben wollen, dass sie sich zu
ändern haben, weil ja mal jemand zu dieser Gruppe hinzustoßen könnte, dem
diese Art nicht gefällt.
Zugegeben, mir gefällt der Umgangston einiger Leute hier auch nicht
sonderlich. Aber das ist erstmal mein persönliches Problem und nicht das der
anderen. Wem es hier in dieser rauen und illusteren Gesellschaft nicht
gefällt, muss sich eben nach Alternativen umsehen.
Wenn ich bei einer Familienfeier irgendwo ein Grüppchen stehen sehe und ich
mich mit einer der Personen in dieser Gruppe unterhalten will, renne ich ja
auch nicht los, verbiete den anderen den Mund und plappere wild 'drauf los.
Und genau das ist das Problem. Nicht der Umgangston der Regulars hier, sondern
die Manieren der Neulinge, die einfach 'drauf los plappern und deutlich mehr
Höflichkeit vermissen lassen, als die Regulars hier (denen ich nur empfehlen
kann, solche Unhöflichkeiten zu ignorieren -- es kostet eure Nerven).
--
Until the next mail...,
Stefan.
Ulrich Eckhardt
>
> Ich finde das nicht so recht überzeugend, denn erstens kann Host C
> direkt von Host A geflutet werden. Das geht grundsätzlich immer, auch
> wenn Host C auf DENY konfiguriert ist. DoS durch Fluten der Leitung
> läßt sich soweit ich weiß gar nicht verhindern.
Direktem DoS kann man nicht verhindern ist aber relativ leicht
aufzuspüren und abzustellen. Aber die in diesem
Szenario beschriebene indirekte DoS attacke läßt sich mittels Deny
verhindern. Solcher indirekter DoS ist zudem wesentlich schwerer
abzustellen. Leider sind solche indirekten Attaken (teilweise sogar
distributed) kein Einzelfall mehr.
> Und in dem oben beschrieben Szenario geht es bei der Leitungauslastung
> von Host B ganz grob um einen Faktor von 2 zwischen REJECT und DENY.
> Dieser Faktor ändert aber nichts an dem grundsätzlichen Problem.
Der Faktor ist unerheblich. Er hat lediglich Einfluss wie stark die
einzelnen Parteien geschädigt werden.
> In der Praxis könnte man einen Kompromiß versuchen und den Faktor durch
> ICMP-rate-limits bei Host B senken, ohne gleich mit DENY diagnostische
> Probleme zu erzeugen.
Welcherlei diagnostischen Probleme erzeuge ich wenn ich wie in
meinem obigen Beispiel angenommen Port 6667 sperre ?
Die funktionalität eines Web/Ftp/Mail servers mittels connects
zu Port 6667 feststellen zu wollen ist sinnfrei. Dafür gibts
Ping/Traceroute und connects zu den standard-ports für
http/ftp/smtp/ident.
Lutz Donnerhacke
>Welcherlei diagnostischen Probleme erzeuge ich wenn ich wie in
>meinem obigen Beispiel angenommen Port 6667 sperre ?
Sackweise Beschwerden von IRC-Nutzern.
>Die funktionalität eines Web/Ftp/Mail servers mittels connects
>zu Port 6667 feststellen zu wollen ist sinnfrei. Dafür gibts
>Ping/Traceroute und connects zu den standard-ports für
>http/ftp/smtp/ident.
Nicht Du definierst den Standard.
Ulrich Eckhardt
>
> * Ulrich Eckhardt wrote:
> >Welcherlei diagnostischen Probleme erzeuge ich wenn ich wie in
> >meinem obigen Beispiel angenommen Port 6667 sperre ?
>
> Sackweise Beschwerden von IRC-Nutzern.
Ich hatte bisher noch keine. Wie wäre es mal mit einem konkreten
Gegenbeispiel meines Szenarios, wo der Deny eine ähnlich
verheerende Wirkung wie das REJECT erzeugt ?
> >Die funktionalität eines Web/Ftp/Mail servers mittels connects
> >zu Port 6667 feststellen zu wollen ist sinnfrei. Dafür gibts
> >Ping/Traceroute und connects zu den standard-ports für
> >http/ftp/smtp/ident.
>
> Nicht Du definierst den Standard.
Ich definiere nichts, IANA schon. Ich setzte nur "common sense" voraus.
smtp und ident auf irgendwelche Ports zu setzten hat in der
Regel keinerlei sittlichen Nährwert.
Eckart Kuehne
Hallo,
> * Wolfgang Obstmayer-ufp wrote:
> >> >DANN fühle ich mich wirklich verarscht!
> >>
> >> Mach Dir nichts draus. Der überwiegenden Leserschaft der Gruppe geht es bei
> >> Deinen Postings regelmäßig ähnlich.
> >
> >Mir gehts eher bei deinen postings so :-(
>
> Tip:
>
> [de.newusers.questions]
> From: ...
> From: Eckart Kuehne
> From: ...
>
Mich gibt es auch ! Mich gibt es auch! Trotz Killfilter!
Und was sagt uns das jetzt?
Viele Gruesse,
Eckart.