Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

FEN-Firewall

0 views
Skip to first unread message

Johannes Hemmerlein

unread,
Aug 29, 1998, 3:00:00 AM8/29/98
to
Huhu Ihrs...

Ich hab zwar verzweifelt auf den Seiten vom FEN nach einer Liste der
durch die FEN-Firewall gesperrten Ports gesucht, bin aber leider nicht
fuendig geworden. Trotzdem habe ich festgestellt, dass der Port 25
(SMTP - ausgehend) durch das FEN gesperrt wird.
Im IRC wurde ich massiv angegriffen, als ich meine Meinung dazu
geaeussert habe, dass eben dieser Port gesperrt ist, soll doch Fakemail
ausgehend von unseren Usern unterbunden werden. Sicher, der Meinung bin
ich auch, nur ist es eben laut TDG nicht Aufgabe des Providers diesen
Port zu sperren. Vielmehr ist der Betreiber jedes Mail-Servers selbst
dafuer verantwortlich, dass sein Server nicht missbraucht wird, was zum
Beispiel duch Userauthentifizierung oder 'SMTP after POP' durchaus
moeglich ist.
[SMTP: Protokoll zum Mailversand]
[POP: Protokoll zum Mailabholen]
Bei 'SMTP after POP' z.B. wird der SMTP-Zugriff auf den Server durch
eine
bestimmte IP nur fuer einen begrenzen Zeitraum nach einer verifizierten
POP-Session freigegeben. Danach muss man sich erneut via POP-Access
verifizieren, um SMTP nutzen zu koennen. Zu diesem Schritt hat sich zum
Beispiel GMX entschlossen (siehe Aktuelles, da steht's nur schwammig
drin).

Ich habe mich zur Problematik kundig gemacht und dabei festgestellt,
dass es VIEL sinnvoller waere, ICMP zu sperren (z.B. Ping oder
Traceroute) - ICMP-Floods machen einen weitaus hoeheren Anteil der
Onlinekriminalitaet aus als Fakemail! Ping und Traceroute braucht ein
normaler User ganz einfach nicht!
Durch zusaetzliche Einbindung eines Scriptes in der Firewall liesse sich
auch das ausgehende und extrem laestige Portscannen, ausgehend von
unseren Usern, verhindern. Dieses Script muss sofort nach der Abfrage
vieler Ports innerhalb eines bestimmten Timeframe dichtmachen.

Hier kommt noch kurz die Erklaerung, warum ich mich fuer die Oeffnung
fuer den Port 25 (ausgehend) einsetze:

* Die User sollten die Moeglichkeit haben, ihren Mail-Server selbst zu
waehlen.
* Die User sollten nicht auf den Hugo (FEN-Mailserver) angewiesen sein.
* Die User sollten nicht pauschal als kriminell dargestellt werden, AUCH
wenn einige es sind!
* Die Sperrung dieses Ports ist sinnlos, wenn jemand ueber eine der
vielen kostenlosen Shell-accounts 'springt'.
* Die User koennen wieder Accounts auf anderen Servern verwenden, die
Ihnen gehoeren.
* Es ist nicht Aufgabe des FEN, die Sicherheitsluecken anderer Systeme
zu stopfen.

Zu diesem gesamtem Posting passt zufaellig hervorragend mal wieder mein
Footer, das Zitat von Ben Franklin.

Ich hoffe auf rege Antworten und eventuell auch mal auf jemanden, der
der selben Meinung ist, wie ich.

cya//Volty
**Johannes Hemmerlein**
Ich bitte um Beachtung meiner neuen eMail-addy: vo...@weltherrschaft.org

--
They that would give up essential liberty for a little temporary
safety deserve neither liberty nor safety.
(Benjamin Franklin)

TheTom

unread,
Aug 29, 1998, 3:00:00 AM8/29/98
to
Johannes Hemmerlein <vo...@weltherrschaft.org> wrote:

>Huhu Ihrs...
oohoh, ihrs...

so recht schlau werd ich aus Volty's Posting nicht: Da
ich PegasusMail (was imho ja ein reiner SMTP Client ist,
oder?) verwende, versteh ich das Prob nicht.

Wollte Volty vor oder hinter (kommt ja auf den Standpunkt
an! ;) Firewall mailen? Wenn aber der SMTP-demon hinter der
Firewall laeuft, wie soll das gehen? Und warum?

Ich habe NICHT den Eindruck, dass der SMTP-port (52) gesperrt
ist. Wenn ja, WIE sollte ein einziger Nutzer (<-> Mitglied)
seine Mail rauskriegen? Egal wie im Raum seine Position
zur Firewall ist?

All in all, koennte mir mal einer Volty's Frage erklaeren?
Oder, Volty, willst du noch was dazu sagen?

>cya//Volty
confused, tom

>Ich bitte um Beachtung meiner neuen eMail-addy: vo...@weltherrschaft.org

Ist @weltherrschaft VOR oder HINTER einer Firewall. Ich hoffe hinter ... aus
meiner Sicht. wobei hinterN tut das ja auch niemanden, da ja JEDER *rsch der
welt hinterf....g sein kann - mei, diese wortspiele - wenn ich mal drin bin -
koennte ich elalang fortsetzen... (brainson) ;)

volty! kewl down - das bezog sich alles wirklich nicht auf dich! is bloss im
moment niemand am irc und icq - so hatte ich halt das hier getippt! :)

Johannes Hemmerlein

unread,
Aug 30, 1998, 3:00:00 AM8/30/98
to
Michael Uplawski wrote:
> > * Es ist nicht Aufgabe des FEN, die Sicherheitsluecken anderer Systeme
> > zu stopfen.
>
> Da gibt es einen Knoten in meinem Hirn.
> Wer ist dafuer verantwortlich? Du kannst derzeit von niemandem im Netz
> irgendwelche Leistungen einfordern.

Doch das kann ich. Angenommen, Helmut Kohl erhaelt eine Morddrohung von
einem FEN-User via eMail, angeblicher Absender har...@gmx.de, abgesandt
ueber den GMX-Mailserver, dann waere das ein Problem von GMX. GMX haette
dann dafuer zu sorgen, dass niemand ihren Server unautorisiert verwendet
(was sie bereits tun). Es ist NICHT Aufgabe des FEN, diesen Zugriff
pauschal zu unterbinden. Angenommen, der User 'harmlos' waere jetzt ein
FEN-Mitglied und will ueber seinen GMX-Account eine Mail verschicken,
waere das NICHT moeglich, da das FEN nur den Hugo als Mail-Server
erlaubt.

> Solange es nicht moeglich ist, die
> Nutzer ueber ihre eigenen Pflichten aufzuklaeren und sie ueber die
> Risiken dieses seltsamen Mediums in Kenntnis zu setzen, muss irgendwo
> eine Mauer gebaut werden. Manche tun das, weil sie Nutzer schuetzen
> wollen, die keine Ahnung haben,

...diese Nutzer schreiben dann Mails an die Tutoren, in denen Sie
beteuern, alles nach Anleitung gemacht zu haben, und die Tutoren suchen
verzweifelt nach Moeglichkeiten, diesen Nutzern die Unmoeglichkeit zu
erklaeren... (verzweifelt deshalb, weil sie den Grund der Portsperrung
vielleicht selbst nicht verstehen, so wie ich)...

> andere tun dies, weil sie Nutzer haben
> wollen, die keine Ahnung haben,

...das waere dann ein gewaltiger Verstoss gegen die Satzung des FEN...

> und da gibt es wohl auch die, die in
> erster Linie am Mauern interessiert sind.

...und vor denen habe ich Angst, weil sie es immer wieder schaffen,
durch gezieltes partitiell Informieren und gezieltes Totschweigen ein
falsches Bild zu generieren, welches dann als Mittel zum Zweck verwendet
wird.

> Daher ist es auch schoen, die Newsgroups irgendwie einzumauern, damit
> nicht zuviel Wissen durch offene Tueren des FEN diffundiert.

Jepps.

> Mei. Der selben Meinung zu sein setzt voraus, dass man den gleichen
> technischen Background besitzt. Ich begruesse dein Engagement und
> hoffe, dass am Ende eine Verbesserung eintritt.

Sorry, aber wenn ich mich zu undeutlich ausgedrueckt habe, einfach
nachfragen.

cya//Volty
**Johannes Hemmerlein**
neue eMail-addy: vo...@weltherrschaft.org

Johannes Hemmerlein

unread,
Aug 30, 1998, 3:00:00 AM8/30/98
to
TheTom wrote:

> so recht schlau werd ich aus Volty's Posting nicht: Da
> ich PegasusMail (was imho ja ein reiner SMTP Client ist,
> oder?) verwende, versteh ich das Prob nicht.
>
> Wollte Volty vor oder hinter (kommt ja auf den Standpunkt
> an! ;) Firewall mailen? Wenn aber der SMTP-demon hinter der
> Firewall laeuft, wie soll das gehen? Und warum?

Vielleicht habe ich mich einfach zu undeutlich ausgedrueckt: Dieses
Problem betrifft nur DIE User, die sich ueber das FEN einwaehlen, aber
einen fremden Mailserver fuer SMTP (Mailversand) verwenden wollen.
Dabei muesste eine Verbindung auf dem Port 25 aufgebaut werden, dem in
etwa folgender Weg bevorsteht:


innerhalb des FEN ausserhalb des FEN
.--------^-----------. .-------------^---------------------.
´ ` ´ `
[USER]---[DIALIN]---[FIREWALL]---[..irgendwas..]---[ZIELRECHNER]

Allerdings erlaubt die Firewall nicht, dass eine Verbindung auf dem Port
25 nach aussen aufgebaut wird.



> Ich habe NICHT den Eindruck, dass der SMTP-port (52) gesperrt
> ist.

Yepps.. da hast Du Dich vertippt, aber ich habe es NICHT geschafft, eine
Verbindung auf dem Port 25 aufzubauen. Auch nicht manuell.

> Wenn ja, WIE sollte ein einziger Nutzer (<-> Mitglied)
> seine Mail rauskriegen? Egal wie im Raum seine Position
> zur Firewall ist?

Er ist dazu gezwungen, den Mailserver des FEN zu verwenden (der ja
innerhalb des FEN steht, was der Firewall ja egal ist). Der Mailserver
des FEN hat fuer die Firewall jedoch eine 'Spezialerlaubnis' - er darf
auch Ports nutzen, die ein User nicht nehmen kann.
Sinn des Ganzen soll wohl sein, die gesamten Zugriffe zu loggen, und so
einen Fakemailer schnell zu erwischen. Klar - aber warum? Das FEN ist
dafuer nicht zustaendig. Wenn jemand illegal ueber ein fremdes System
Mail verschickt, dann ist das deren Problem. Sie sind dafuer
verantwortlich, illegale Zugriffe auf Ihr System zu verhindern.
Wenn das FEN pauschal den Port 25 dicht macht (so wie es jetzt ist),
wird ein User, der rechtmaessigen Zugriff auf einen fremden Mailserver
hat, in seiner Freiheit eingeschraenkt.

> All in all, koennte mir mal einer Volty's Frage erklaeren?
> Oder, Volty, willst du noch was dazu sagen?

:)

> Ist @weltherrschaft VOR oder HINTER einer Firewall.

Klar liegt der Server von weltherrschaft.org hinter einer Firewall,
allerdings nicht hinter der des FEN.

cya//Volty
**Johannes Hemmerlein**
Neue eMail-addy: vo...@weltherrschaft.org

Jens Hellmerichs-Friedrich

unread,
Aug 31, 1998, 3:00:00 AM8/31/98
to

Johannes Hemmerlein <vo...@weltherrschaft.org> schrieb im Beitrag
<35E875FC...@weltherrschaft.org>...


> Ich habe mich zur Problematik kundig gemacht und dabei festgestellt,
> dass es VIEL sinnvoller waere, ICMP zu sperren (z.B. Ping oder
> Traceroute) - ICMP-Floods machen einen weitaus hoeheren Anteil der
> Onlinekriminalitaet aus als Fakemail!

Jau, das is wohl richtig!

> Ping und Traceroute braucht ein
> normaler User ganz einfach nicht!

Hmm, ich bin aber kein normaler User ;-)

> Durch zusaetzliche Einbindung eines Scriptes in der Firewall liesse sich
> auch das ausgehende und extrem laestige Portscannen, ausgehend von
> unseren Usern, verhindern. Dieses Script muss sofort nach der Abfrage
> vieler Ports innerhalb eines bestimmten Timeframe dichtmachen.

Weisst Du denn, wie/welchen Firewall FEN verwendet ???
So einfach ist's oft nicht.

> Hier kommt noch kurz die Erklaerung, warum ich mich fuer die Oeffnung
> fuer den Port 25 (ausgehend) einsetze:
>
> * Die User sollten die Moeglichkeit haben, ihren Mail-Server selbst zu
> waehlen.

RICHTIG.

> * Die User sollten nicht auf den Hugo (FEN-Mailserver) angewiesen sein.

Find ich auch.

> * Die User sollten nicht pauschal als kriminell dargestellt werden, AUCH
> wenn einige es sind!

Jau.

> * Die Sperrung dieses Ports ist sinnlos, wenn jemand ueber eine der
> vielen kostenlosen Shell-accounts 'springt'.
> * Die User koennen wieder Accounts auf anderen Servern verwenden, die
> Ihnen gehoeren.

Soviel zum Thema, das FEN soll Nutzern daas Internet beibringen ...
nicht versperren!

> * Es ist nicht Aufgabe des FEN, die Sicherheitsluecken anderer Systeme
> zu stopfen.

Die sollten erst mal das eigene System richtig konfigurieren ;-)
Siehe "fen.intern: Ident-Queries im FEN" ...

> Zu diesem gesamtem Posting passt zufaellig hervorragend mal wieder mein
> Footer, das Zitat von Ben Franklin.

Nett.

>
> Ich hoffe auf rege Antworten und eventuell auch mal auf jemanden, der
> der selben Meinung ist, wie ich.
>

MfG
Jens Hellmerichs-Friedrich

http://www.fen.baynet.de/~ft114


TheTom

unread,
Sep 2, 1998, 3:00:00 AM9/2/98
to

Hi,

Johannes Hemmerlein <vo...@weltherrschaft.org> wrote:
>Vielleicht habe ich mich einfach zu undeutlich ausgedrueckt: Dieses
>Problem betrifft nur DIE User, die sich ueber das FEN einwaehlen, aber
>einen fremden Mailserver fuer SMTP (Mailversand) verwenden wollen.
>Dabei muesste eine Verbindung auf dem Port 25 aufgebaut werden, dem in
>etwa folgender Weg bevorsteht:
> innerhalb des FEN ausserhalb des FEN
> .--------^-----------. .-------------^---------------------.
>´ ` ´ `
>[USER]---[DIALIN]---[FIREWALL]---[..irgendwas..]---[ZIELRECHNER]
>Allerdings erlaubt die Firewall nicht, dass eine Verbindung auf dem Port
>25 nach aussen aufgebaut wird.

Nehmen wir mal an, dass mir folgendes mitgeteilt wurde: Als echter
ISP-'Benutzer' (was ja dann niemand vom FEN sein kann! ;) nimm
mail.fen.baynet.de als SMTP-Host. Weiter angenommen: Ich haette ein
FEN passwd. Dann wird das (erwiesenermassen) verschickt!

Nun stellen sich angesichts derlei Gegebenheit einige Fragen:

1) Deine gezeichnete Position einer Firewall ist allgemein ueblich
(intern vs. extern). Es ist mehr die Konfiguration der Firewall,
die deren Funktion bestimmt. Was gefaellt dir also nicht?

2) Wie kann ein Non-FEN-dialup den Port 25 (SMTP) passieren? Ist
Hugo von Aussen gesehen vor der Firewall? Das wuerde ja einige
deiner Probs (imho) loesen... >;)

3) Muss ich jetzt meine Mails woanders hinrouten, weil ich das
sagte? ;)

>cya//Volty
>**Johannes Hemmerlein**
naja, sehen is schlecht am usenet, readya!
tom

Serkan Beyaz

unread,
Sep 4, 1998, 3:00:00 AM9/4/98
to
TheTom wrote:
>
> Ich habe NICHT den Eindruck, dass der SMTP-port (52) gesperrt
> ist. Wenn ja, WIE sollte ein einziger Nutzer (<-> Mitglied)

> seine Mail rauskriegen? Egal wie im Raum seine Position
> zur Firewall ist?
>

Nur mal so nebenbei, SMTP-port ist laut RFC 25 ;-)

Ciao,

Search

0 new messages