Die Fehler in de.comp.security.firewall FAQ
arn...@rupp.de
ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
de.comp.security.firewall FAQ zusammenzustellen:
http://rupp.de/fehler_in_de.comp.security.firewall_FAQ.html
Es waere echt dufte wenn Ihr die mal korrigieren koenntet weil es gibt
immer noch Leute die diesen FAQ lesen und Ernst nehmen.
viele gruesse
arnim rupp
Philipp E. Letschert
> Hallo,
>
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
> de.comp.security.firewall FAQ zusammenzustellen:
>
> http://rupp.de/fehler_in_de.comp.security.firewall_FAQ.html
Die starken Sprüche sind ja nicht begründet
Hier zeigt sich gut, wie veraltet die FAQ ist
Der FAQ ist offensichtlich aus der Zeit
Diese Antwort war schon immer Quatsch
Vollkommener Quatsch
Der Vergleich ist total falsch
Netter Erklärungsversuch
Dies ist absoluter Quatsch
Wie geil ist das denn? *rotflmao*
Ansgar -59cobalt- Wiechers
Au weia. Ist Dir das nicht selbst peinlich, solchen Unfug zu veröf-
fentlichen?
Ich greif' einfach mal ein paar besonders hypsche Passagen raus:
| Man muss eine Personal Firewall nicht verstehen, wenn sie alle Pakete
| an die Ports 135 und 445 blockiert ist das einfach sicherer.
Sicherer als was? Sicherer als gar keinen Dienst an diesen Ports
lauschen zu lassen? Wohl kaum.
| Hier zeigt sich gut, wie veraltet die FAQ ist. Die Zeiten, in denen
| man sich Trojaner nur durch unbeabsichtigtes Öffnen von Email-Anhängen
| eingefangen hat, sind lange vorbei.
Ja, klar. Per E-Mail verbreitete Malware findet sich kaum noch im Netz.
Fast gar nicht. Sicher doch.
| Vieleicht bin ich mit meinem Laptop mal in einem unsicheren
| Kunden-Netz,
Wofür muss Dein Notebook im Kundennetz noch gleich Datei- oder Drucker-
freigaben anbieten? Und eine noch weitaus interessantere Frage: wie
genau glaubst Du eigentlich, dass Deine Personal Firewall Ports schützen
soll, die Du im Kundennetz geöffnet hast? Nicht, dass ein Paketfilter
auf einem Notebook unbedingt eine schlechte Idee wäre.
| oder der Nachbar kommt mit seinem verseuchten Laptop rüber in mein
| Netz. Viel Spass beim Neusinstallieren an alle Personal-Firewall-
| Verweigerer ;)
Wenn Du den verseuchten Laptop des Nachbarn in Dein privates Netz lassen
willst, ist das natürlich Dein Privatvergnügen. Ich persönlich ziehe es
allerdings vor, sowas gar nicht erst reinzulassen.
| Diese Antwort war schon immer Quatsch, da der entsprechende RFC792
| nicht vorschreibt (MUST), dass ein ICMP-unreachable geschickt werden
| muss, sondern dies optional ist (MAY).
Was genau gar nichts daran ändert, dass "keine Antwort" immer noch nicht
bedeutet "da ist nichts". Je weiter diese Unsitte sich verbreitet, desto
mehr werden Angreifer dazu übergehen, einfach mal alle Exploits abzu-
feuern, egal ob da irgendwas auf ping antwortet oder nicht. Aber macht
ja nix, wir haben eh viel zu viel Bandbreite.
| Andere Leute empfehlen Personal Firewall, z.B. Bruce Schneier.
Du solltest Dir vielleicht mal die Mühe machen, die Artikel, auf die Du
verweist, auch zu lesen. Dann wäre Dir möglicherweise aufgefallen, dass
er Personal Firewalls ausschließlich für Notebooks vorschlägt (ein
Vorschlag, dem zumindest ich durchaus zustimme).
| Was dagegen lebt sind Denial of Service Attacken und da freut sich der
| Angreifer wenn der Empfänger zu jedem Angriffs-Packet seine eigene
| Leitung zusätzlich noch mit REJECT-Paketen auslastet.
ROTFL
Der durch REJECT erzeugte Traffic ist absolut vernachlässigbar gegenüber
dem inbound Traffic. Gegen einfachen DoS kann man limiten, und einem
DDoS kann man eh nur upstream halbwegs wirksam begegnen. Wenn überhaupt.
| Dies ist absoluter Quatsch, es gibt keine binäre Sicherheit. Ausser
| man definiert in diesem Satz "Szenario" so schmal, dass es das es sich
| wirklich nur um einen einzigen möglichen Angriff handelt
Ja, so definiert man ein Szenario üblicherweise. Wie sonst sollte man
konkrete Sicherheitsmaßnahmen festlegen und bewerten? Dein Versuch, das
ins Lächerliche zu ziehen, ändert daran genau gar nichts.
Si tacuisses ...
cu
59cobalt
--
"Multidimensionale Ordnung sieht fuer den einfach gestrickten Betrachter
halt meistens wie Chaos aus, weil er die Ordnung nicht erfassen kann."
--Jürgen P. Meier in dasr
Andreas Schmidt
> Hallo,
>
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
> de.comp.security.firewall FAQ zusammenzustellen:
>
*chipstüte_aufmach*
Andi
Oliver Schad
Du hast eine merkwürdige Art eine Diskussion in einer Newsgroup zu
beginnen. Jetzt darf jeder, der antworten will, sich die Zitate aus
dieser Homepage fischen? Super Idee.
Davon ab: Du hast recht, die FAQ müsste mal wieder aktualisiert
werden. Anders als du denkst, aber das macht ja nichts.
BTW Ich bin mir sicher, dass Schneiers These, dass man Virenscanner,
PFWs und Spyware-Erkenner bräuchte, ziemlicher Unsinn ist. Hab auch
mal "Security and Lies" gelesen. Hab ernüchtert mit dem Kopf
geschüttelt. Tut mir leid, ich nehm den Mann nicht ernst.
mfg
Oli
--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen.
Juergen Ilse
arn...@rupp.de wrote:
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
> de.comp.security.firewall FAQ zusammenzustellen:
> http://rupp.de/fehler_in_de.comp.security.firewall_FAQ.html
Kein einziger deiner dort genannten Einwaende ist zutreffend.
Es ist die uebliche Ansammlung von Bloedsinn, wie sie immer
wieder gegen die FAQ angefuehrt wird, nur werden diese "Argumente"
durch Wiederholung nicht richtiger ...
> Es waere echt dufte wenn Ihr die mal korrigieren koenntet
Deine Einwaende lassen sich ganz einfach korrigieren: indem man sie streicht.
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Jens Sülwald
>> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
>> de.comp.security.firewall FAQ zusammenzustellen:
>> [...]
Allerdings musste ich schon schmunzeln, als der erste Autovergleich kam.
> *chipstüte_aufmach*
Dem kann ich mich allerdings anschliessen.
Jens Sülwald
> Hallo,
>
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in
> Eurer de.comp.security.firewall FAQ zusammenzustellen:
>
> http://rupp.de/fehler_in_de.comp.security.firewall_FAQ.html
> Vollkommener Quatsch, sonst hätten sich schon Herrscharen von
> Anwälten aufgemacht um Milliarden aus Microsoft herrauszuklagen.
Quatsch ist es afaik nicht. Die Leuts trauen sich nur ned.
> Es gibt auch noch einen anderen Grund einen Rechner nicht sofort zu
> patchen: Es ist ein Server in einer Firma und man muss den Patch erst
> testen bevor einem alles um die Ohren fliegt. Beispiele von Patchen
> mit Nebenwirkungen gibt es zur genüge. Wenn solange eine
> Software-Firewall auf dem Server das System sicherer macht ist das
> eine gute Sache.
Ja, schön. Aber es ging hier darum, das der Hersteller keine Patches
anbietet.
> ... oder eine Firewall benutzen, die damit umgehen kann und das sind
> mittlerweile fast alle.
Über diese Helper? Gabs da nicht Möglichkeiten um diese zu mißbrauchen?
> Vieleicht bin ich mit meinem Laptop mal in einem unsicheren
> Kunden-Netz, oder der Nachbar kommt mit seinem verseuchten Laptop
> rüber in mein Netz. Viel Spass beim Neusinstallieren an alle
> Personal-Firewall-Verweigerer ;)
Nun, dazu muss man aber schon einstellen, das das neue Laptop am
Netzwerk speziell zu behandeln ist. Wieviele Leute können das wirklich
von den PFW-Nutzern?
Im Firmennetz kann man es ausschalten.
Juergen P. Meier
> Hallo,
>
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
> de.comp.security.firewall FAQ zusammenzustellen:
>
> immer noch Leute die diesen FAQ lesen und Ernst nehmen.
Die Zahl der Fehler in deinem Machwerk uebersteigt die Kapazitaet
eines Postings.
Du bist offenbar zu Bloed, zwischen TCP-Ports und E-Mails zu
unterscheiden, wie kommst du da auf die absurde Idee, du waerst
technisch qualifiziert "die FAQ" zu kritisieren?
Steck deinen FUD wieder ein, du machst dich mit deinem Text selbst bei
technischen Laien nur laecherlich.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Juergen P. Meier
Noch besser sein Kommentar zur Convenience-Funktion vieler NAT-Router:
"Also ich kenne keinen einzigen NAT-Router der so arbeiten kann"
Seine Unkenntnis haelt ihn jedoch nicht weiter davon ab, seinen Senf
dazu zu geben. Wenn er wenigstens Mittelscharf waere.
Philipp E. Letschert
> Wikipedia nennt so etwas "Wiesel-Wörter", weil man sich damit wunderbar um
> Argumente herumwieseln und aus Erklärungsnöten herauswieseln kann.
>
> Wobei, das Herauswieseln ist eigentlich das einzige, was uns Menschen von
> den Tieren unterscheidet. Vom Wiesel mal ausgenommen. *SCNR*
YMMD *biglol*
Juergen Ilse
Sebastian Gottschalk <se...@seppig.de> wrote:
> Quatsch ist es definitiv nicht. In Deutschland ist ein Ausschluss für
> Haftung bei grober Fahrlässigkeit seitens des Herstellers nicht möglich.
> Grobe Fahrlässigkeit wäre beispielsweise der DEL-Befehl mit Wildcards unter
> DOS: "del foo*bar.*" wird interpretiert als "del *.*"
DOS war dann in diesem Punkt nicht grob fahrlaessig sondern nur fahrlaessig,
da "del foo*bar.*" zwar nicht als "del *.*", wohl aber als "delfoo*.*"
interpretiert wurde ... Ich habe momentan keine Lust auszuprobieren, ob das
bei Windows immer noch so ist.
> Inwiefern sich diverse grobe Schnitzer bei neueren Microsoft-Produkten
> wirklich als grobe Fahrlässigkeit interpretieren lassen, müsste man wohl
> genauer prüfen.
... und im Falle einer Klage *viel* Geld bereithalten: Gegen eine Firma
vor Gericht anzukommen, die eine 500 Millionen EURO Strafe fast aus der
Portokasse bezahlt, erfordert sicherlich sehr viel Geld und viel Durch-
haltevermoegen ...
Ansgar Strickerschmidt
> | Hier zeigt sich gut, wie veraltet die FAQ ist. Die Zeiten, in denen
> | man sich Trojaner nur durch unbeabsichtigtes Öffnen von Email-Anhängen
> | eingefangen hat, sind lange vorbei.
>
> Ja, klar. Per E-Mail verbreitete Malware findet sich kaum noch im Netz.
> Fast gar nicht. Sicher doch.
Ähm, die Sache hakt am Wörtchen "nur". Klar gibt es -weit überwiegend
sogar, würde ich sagen- Malware, die auch heute noch per E-Mail-Anhang ins
Haus kommt. Es ist aber beileibe nicht der *einzige* Weg.
> (...)
> Si tacuisses ...
Für den Rest ein dickes ACK.
Ansgar (Namensvetter)
--
Mails an die angegebene Adresse erreichen mich - oder auch nicht! Gültige
Adresse gibt's bei Bedarf!
Mails to the given address may or may not reach me - valid return address
will be given when required!
fritz.schoerghuber
> Hallo,
>
Auch hallo!
(Dies war der IMO einzig sinvolle Teil Deines Postings...
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
> de.comp.security.firewall FAQ zusammenzustellen:
>
> http://rupp.de/fehler_in_de.comp.security.firewall_FAQ.html
>
Und mit der dt. Rechtschreibung hapert's ein bisschen, oder?
Zu den sachlichen Aussagen (die da in Deiner tabellarischen
Aufzaehlung eher sehr duenn gesaet waren) moechte ich fol-
genden Punkt anmerken:
Es ist suboptimal, *auf* einem System, das ich vor Angriffen
(digitaler Natur)schuetzen moechte den Schutz zu installieren.
Besser ist es, das zu schuetzende System *so* *dicht* wie
moeglich/noetig zu machen (aka "nicht benoetigte Ports
schliessen") und den Schutz/die Ueberwachung auf einer
"BlackBox" davor zu installieren/installieren zu lassen.
Wenn ich das lese...
"Der Autor dieser Liste hat 3 Jahre als Firewall-Administrator in einer
Firma mit fast 100 Firewallsystemen, >50.000 Mitarbeitern und mehreren
hundert Kunden- und Lieferanten-Anbindungen"
...tut mir diese Firma (fast) leid.
> Es waere echt dufte wenn Ihr die mal korrigieren koenntet weil es gibt
> immer noch Leute die diesen FAQ lesen und Ernst nehmen.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
GSD! (Auch mit der dt. Grammatik stehst Du auf Kriegsfuss)
> viele gruesse
> arnim rupp
Geh lernen!
fritz
Andreas Beck
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
> de.comp.security.firewall FAQ zusammenzustellen:
> http://rupp.de/fehler_in_de.comp.security.firewall_FAQ.html
Au weia.
Es wäre toll gewesen, wenn Du Deine Thesen (so lang ist es ja nu nicht)
gleich hier gepostet hättest - dann wäre die Diskussion viel einfacher.
Ok - damit es nicht heißt, wir würden uns nicht ernsthaft mit Kritik
auseinandersetzen:
FAQ: Ich habe eine "persönliche Firewall" oder auch "Desktop-Firewall" für
meinen Rechner. Ist der jetzt sicher?
Ant: Nein. Ohne ein Konzept, was vor wem geschützt werden soll, ist ein
Firewall-System für den Betreiber gefährlich. Ohne tiefgreifendes
Verständnis zur Ausarbeitung eines solchen Konzeptes darf kein solches
System entworfen und aufgebaut werden.
Kom: Die starken Sprüche sind ja nicht begründet, aber wenn sie stimmen
würden, wäre Windows XP durch die Einführung der Personal Firewall mit
Service Pack 2 unsicherer geworden, aber die Theorie hab ich noch
nirgendwo gehört.
Die Schlußweise ist Unsinn. In mehrfacher Hinsicht.
1. Die Originalantwort sagt nicht, daß der Rechner jetzt unsicherer ist.
Sie sagt nur, daß es für den Betreiber gefährlich ist, sich
konzeptlos auf eine "persönliche Firewall" zu verlassen.
2. Die XP-Firewall, die mit SP2 eingeführt wurde, ist _keine_
"Desktop-Firewall" im Sinne der FAQ. Sie ist ein hostbasierter
Paketfilter mit brauchbarer Grundkonfiguration.
3. Die Argumentation "starken Sprüche", "nirgendwo gehört", etc. ist sub
omnibus canonibus - wie mein alter Lateinlehrer sagen würde.
FAQ: Wieso kann eine Sicherheitslösung per se gefährlich sein?
Ant: Risikokompensation: Wer glaubt, die unverstandene Sicherheitslösung
hätte irgendeinen Effekt, wird unbewußt diesen mit einer gewissen
Laxheit kompensieren, weil ihn das System ja schützt.
Kom: Für die berühmte Personal-Firewall-Risikokompensations-Theorie kenne
ich keine Belege.
Ich kann keine wissenschaftliche Arbeit darüber vorlegen, aber aus einer
Menge Erfahrung mit Kundensystemen mit und ohne PFW bzw. Virenscannern
kann ich den Effekt für meine persönliche Einschätzung belegen.
Ich frage die betreffenden gerne, warum sie gerade ein unbekanntes
Mailattachment zweifelhafter Herkunft einfach gestartet haben, oder
eine Rückfrage der PFW einfach bestätigt haben. Die Antwort ist leider
gerne "ich habe doch $PRODUKT - wenn das gefährlich wäre, würde es mich
doch schützen". Ja, auch wenn sie $PRODUKT gerade gesagt haben, daß sie
gar nicht geschützt werden wollen.
Kom: Wenn man ähnliche Studien über Autofahrer heranzieht: Ja, die Leute
fahren schneller wenn sie einen Airbag und ABS haben, trotzdem
retten diese beiden Systeme jedes Jahr viele Menschenleben
Autovergleich. *seufz*
Wäre es nicht dennoch vernünftiger, trotz der Sicherheitsmaßnahmen nach
wie vor vernünftig zu fahren?
Außerdem ist in letzter Zeit scheinbar (ich hab's nicht nachgeprüft -
aber die Rundfunkberichterstattung behauptet es) die Zahl der Gurtmuffel
erheblich gestiegen. Mit dem Argument "ich hab doch Airbag".
Kom: obwohl kaum einer versteht, wie sie wirklich funktionieren.
Das ist bei diesen Systemen auch nicht nötig. Man benötigt keine
manuelle Entscheidung, wann und unter welchem Umständen der Airbag
zünden soll, und wann nicht. Wenn die Karre erheblich deformiert wird,
soll er auslösen. Das kann man vorkonfigurieren und der Benutzer
kann fast kein abweichendes Interesse haben.
Interessanterweise gibt es sogar eine Ausnahme (rückwärtsgerichtete
Kindersitze) und die ist extrem deutlich in Handbüchern und meist auch
auf den Geräten selbst herausgehoben.
Kom: Man muss eine Personal Firewall nicht verstehen, wenn sie alle Pakete
an die Ports 135 und 445 blockiert ist das einfach sicherer.
Und verhindert die Nutzung der betreffenden Dienste. Das ist der Default
der Windows-Firewall. Der ist nicht schlecht. Aber das Problem ist, daß
man ohne Ahnung nicht weiß, ob und wann man welche Ausnahmen machen muß.
Das führt in der Praxis in aller Regel zu "Word funktioniert nicht, ich
mach mal die Firewall aus". Wirklich.
FAQ: Ich bekomme aber Pakete an Trojanerports!
Ant: Wenn Du einen Trojaner installiert hast, so hast Du das absichtlich
getan.
Ist das die ganze Antwort? Falls ja, sollte ... ah ... nachgeguckt ...
Klasse, Du verschweigst:
"Davor konnte Dich die Firewall nicht schützen. Und es ist sowieso zu
spät."
Der letzte Satz ist der Knackpunkt. Ist ein Trojaner aktiv, ist es
eh zu spät. Egal wie er installiert wurde.
Kom: Hier zeigt sich gut, wie veraltet die FAQ ist.
Dieses Gelall disqualifiziert Dich. Wirklich. Sachliche Argumente werden
durch polemische Formulierungen ersetzt. Klappt bei Volltrotteln.
Kom: Die Zeiten, in denen man sich Trojaner nur durch unbeabsichtigtes
Öffnen von Email-Anhängen eingefangen hat, sind lange vorbei.
Nur von mir aus. Aber es ist immer noch eine der primären Quellen.
Kom: Und da man sich bei allen Sicherheitsvorkehrungen trotzdem einen
Trojaner einfangen kann, ist es eine gute Sache, wenn die Personal
Firewall die Verbindungsversuche zu den Trojaner-Ports blockiert.
Kein moderner Trojaner hat noch ein Problem damit, von sich aus
_rauszukonnektieren_. Das kann man nicht zuverlässig verhindern. Also
ist es nach wie vor besser, Trojanerbefall zu vermeiden.
FAQ: Die Firewall schützt mich aber vor Zugriffen auf meine
Windowsfreigaben!
Ant: Warum hast Du Deine Festplatte und Deinen Drucker denn an jeden im
Internet freigegeben? Warum stellst Du es nicht einfach ab?
Kom: Die Methode "Keine Windows-Freigaben am Dial-UP-Interface" hilft
dabei nicht mehr viel. Vieleicht bin ich mit meinem Laptop mal in
einem unsicheren Kunden-Netz,
Du mußt auf jeden Fall umkonfigurieren, wenn Du Netze mit verschiedenem
Sicherheitsstatus an das gleiche Interface bastelst.
Kom: Oder der Nachbar kommt mit seinem verseuchten Laptop rüber in mein
Netz.
Und dann hilft eine PFW genau was? Wenn er in Deinem Netz ist, hat er
die Rechte, die jeder andere Rechner in Deinem Netz hat.
Brauchst Du die Dienste, die verwundbar sein könnten, nicht, dann
schalte sie ab. Das ist ein sicherer Zustand.
Brauchst Du sie, verhindere, daß unsichere Kisten damit Kontakt
bekommen. Nach welchem Kriterium soll die PFW denn den "erlaubten"
internen PC vom "unsicheren" Nachbar-PC unterscheiden? IP? MAC?
FAQ: Wie kann ich mich unsichtbar machen?
Ant: Bei ICMP ist keine Antwort gleichbedeutend mit "ich bin hier".
Kom: Diese Antwort war schon immer Quatsch, da der entsprechende RFC792
nicht vorschreibt (MUST), dass ein ICMP-unreachable geschickt werden
muss, sondern dies optional ist (MAY).(Siehe auch RFC 2119).
Es ist aber eine gute Idee, das zu tun. Alles andere erschwert nur die
Fehlersuche.
Kom: Und heutzutage verschicken tatsächlich viele Provider-Router kein
ICMP-unreachable mehr, d.h. solange der eigene DSL-Router oder die
Personal Firewall auf keine Packete antwortet, ist man "unsichtbar".
Nein. Wenn irgendein Dienst noch läuft, ist man das nicht die Bohne. Es
gibt ggf. auch weiter Fingerprinting-Möglichkeiten.
Wenn keinerlei Dienst läuft, ist eh keine Angrifffläche da - dann kann
man auch ruhig antworten.
In Kundennetzen, in denen so ein Blödsinn (Filtern von Debuginformationen)
gemacht wird, weise ich kurz darauf hin, daß das die Fehlersuche erschwert
und ich keine Klagen über die hohe Rechnung hören will, und gut.
Kom: Weitere Gründe für "keine Antwort", die es schon immer gab ...
Ja klar kriegt man ab und zu keinerlei Rückantwort. In aller Regel von
kaputten Systemen.
FAQ: Der Hersteller meiner Software bietet aber keine Patches zur
Fehlerbehebung an. Also brauche ich eine Firewall!
Ant: Du hast Regressansprüche gegen den Hersteller, da sein Produkt
fehlerhaft ist. [...]
Kom: Vollkommener Quatsch, sonst hätten sich schon Herrscharen von
Anwälten aufgemacht um Milliarden aus Microsoft herrauszuklagen.
Wieso? M$ patcht seine Produkte. Inzwischen sogar relativ zeitnah.
Es gibt einige ungepatchte Löcher, aber wenn jemand klagen würde,
würden die vermutlich auch blitzartig geschlossen, bzw. es gibt eine
schlüssige Erklärung, warum das nicht zwingend ist (z.B. es gibt ein
Nachfolgeprodukt).
Kom: Es gibt auch noch einen anderen Grund einen Rechner nicht sofort zu
patchen: Es ist ein Server in einer Firma und man muss den Patch erst
testen bevor einem alles um die Ohren fliegt. Beispiele von Patchen mit
Nebenwirkungen gibt es zur genüge.
Ja. Genau. Man beachte, daß sich die Frage damit gar nicht beschäftigt.
Kom: Wenn solange eine Software-Firewall auf dem Server das System sicherer
macht ist das eine gute Sache.
Eine Firewall ersetzt keine Patches. Wenn der Dienst verwundbar ist, und
von niemandem erreichbar, ist er sicher. Dann kann man ihn aber auch
abschalten. Wenn der Dienst noch von irgendjemandem erreicht werden
kann, und verwundbar ist, ist er angreifbar. Also will man den Patch.
FAQ: Ich mußte alles zulassen, sonst geht Napster nicht mehr!
Ant: Deinstalliere die Firewall. Du brauchst das nicht.
Kom: Was war denn nochmal Napster? :)
Es existieren dieverse andere nicht allzu Firewallfreundliche
Protokolle. SIP, H.323, etc.
Kom: Nunja, auch über diesen Rat freuen sich Spammer und Script-Kiddies
weil sie leichteres Spiel haben.
Weil? Wo ist nochmal der Unterschied zwischen einer deinstallierten und
einer auf "allow all" geschalteten PFW?
Außer daß letztere evtl. noch weiteren angreifbaren Code im
Netzwerkdatenpfad unterbringt?
Kom: Andere Leute empfehlen Personal Firewall, z.B. Bruce Schneier.
Sinnentstelltes Zitat. Aber wenigstens verlinkt.
Kom: Wie man aktuelle Peer-to-Peer-Software mit Personal Firewalls und
DSL-Routern zusammen benutzt finden sich genug Beschreibungen per
Google, deinstallieren ist nicht nötig.
Viele dieser Beschreibungen sind grauenvoll. Ich habe schon mehrfach den
Müll aufräumen dürfen, den sie erzeugen. Konkretes Beispiel:
$Kunde will auf seinem PC Online-Skat spielen. Die Anleitung erklärt
zunächst, wie man den einzelnen Port weiterleistet. Prima. Aufgrund
dämlicher Router-GUI kriegt $Kunde das aber nicht richtig hin und liest
weiter: Wenn das nicht klappt, setzen Sie den PC mit dem Skatprogramm
in die "DMZ".
Das kriegt er hin, und wenige Minuten später hat der ungepatchte PC
eine Blaster-Variante.
FAQ: Ist REJECT oder DENY sinnvoller?
Ant: Andererseits bremst man mit DENY alle legitimen Nutzer und Server
massiv aus. Das betrifft insbesondere die ident Anfragen. ...
Kom: Ident in Zusammenhang mit SMTP ist tot, die Server die es benutzen
sind allenfalls im Promille-Bereich.
Im Zusammenhang mit IRC ist es IIRC noch üblich. Ident ist eine gute
Sache. Es kaputtzumachen, weil einige Hirnis zu dämlich sind, zu
verstehen, daß REJECT nützlich ist, ist nicht einzusehen. Da sich die
Leute auch nur selbst in den Fuß schießen, sind mir diesbezügliche
Beschwerden auch völlig egal.
Kom: Was dagegen lebt sind Denial of Service Attacken und da freut sich
der Angreifer wenn der Empfänger zu jedem Angriffs-Packet seine
eigene Leitung zusätzlich noch mit REJECT-Paketen auslastet.
Jedes brauchbare Betriebssystem ratelimited REJECT.
Kom: Der Vergleich aus dem FAQ lässt sich auch ganz gut anpassen: Wenn
10.000 Leute innerhalb von einer Stunde mit Dir über etwas sprechen
wollen, sagst Du dann jedem einzeln "Nein"?
Ratelimiting. Siehe oben. Und wenn ich einen Gegner mit 10k Nodes habe,
bin ich Toast. Immer.
Kom: Im Jahr 2007 gilt also: Wenn Du als Schutzpatron für Script-Kiddies
auftreten willst, nimm REJECT.
Ich nehme immer REJECT - keine Beschwerden bisher.
FAQ: Welche Besonderheiten gibt es bei FTP zu beachten?
Ant: Deswegen sollte man grundsätzlich versuchen, nur passives FTP zu benutzen
Kom: eine Firewall benutzen, die damit umgehen kann und das sind mittlerweile
fast alle.
Und alle öffnen damit prinzipbedingt die FTP-Lücke, die mein FTP-NAT-Test
durchcheckt. Super-Plan.
FAQ: Ist NAT ein ausreichender Schutz für Surfer?
Ant: Erreicht einen NAT-Router ein Paket für eine umgesetze Adresse, so
wird er versuchen, irgendwie den eigentlichen Empfänger zu erraten
und das Paket zuzustellen. Das gilt insbesondere dann, wenn der
NAT-Router keine intime Protokollkenntnis der Anwendung hat.
Oft besteht keine Chance für den NAT-Router, selbst bei Kenntnis
des Protokolls, den Empfänger sicher zu ermitteln. Dann wird mittels
einer Heuristik der Empfänger erraten.
Dies gilt insbesondere bei verschlüsselten Verbindungen und
verbindungslosen Protokollen.
Ein NAT-Router ist deswegen keine Sicherheitskomponente.
Kom: Also ich kenne keinen einzigen NAT-Router der so arbeiten kann
Ich kenne nur solche. Die UDP-Heuristik der meisten Router ist
"Wenn ich gerade (aka vor weniger als 2-5 Minuten) auf Port xxxx
ein Paket rausgeschoben habe, dann schicke alles, was auf diesem
Port aufschlägt zu dem Rechner/Sourceport, der dieses Paket damals
ausgelöst hat".
Einige Router schränken aufgrund er Ziel-IP und ggf. auch des Zielports
ein. Aber nicht alle. Bei einigen kann man es explizit abschalten, damit
sowas wie SIP geht.
"Firewall-Hole-Punching" funktioniert genau über diesen Mechanismus. Das
ist zwar nett, weil es SIP zum Laufen kriegt, aber das System tut an
sich nicht das, was man möchte.
Kom: und Google findet auch nichts. Und SELBST wenn, könnte man das sicher
ausschalten, müsste also nicht NAT pauschal als nutzlos darstellen.
Bei den üblichen Consumerroutern? Wo? Da kann man nichtmal FTP-NAT
abschalten. Obwohl das ein bekanntes Problem ist.
FAQ: Was ist eine Firewall?
Ant: Als Firewall bezeichnet man ein organisatorisches und technisches
Konzept zur Trennung von Netzbereichen,...
Kom: ... niemand ausserhalb der de.comp.security.firewall FAQ mit "Firewall"
ein Firewall-Konzept meint sondern immer das Firewall-Gerät.
Also nicht die Software? Auch nicht einen Proxy, der Fw-Funktionen hat?
Kom: Ja, eine Firewall sollte mit einem Konzept eingesetzt werden,
Aha? Dann wäre der didaktische Effekt doch erreicht: Ein Gerät ohne
Konzept ist nicht viel wert.
Kom: aber die Antwort ist trotzdem Quatsch.
Ja. Nur welche.
So, jetzt isset aber gut.
CU, Andy
Ansgar Strickerschmidt
> Wenn ich das lese...
> "Der Autor dieser Liste hat 3 Jahre als Firewall-Administrator in einer
> Firma mit fast 100 Firewallsystemen, >50.000 Mitarbeitern und mehreren
> hundert Kunden- und Lieferanten-Anbindungen"
> ...tut mir diese Firma (fast) leid.
Ich finde besonders den Abschnitt mit dem Szenario in diesem Zusammenhang
einen Brüller.
Gerade jemand, der für so große Installationen verantwortlich ist (wenn
das denn stimmt), sollte von Berufs wegen eigentlich wissen,
- wie man Bedrohungsszenarien ermittelt (wer bedroht auf welchem Wege was?)
- wie hoch das Gefährdungspotentzial ist (wie hoch ist die
Wahrscheinlichkeit für einen bestimmten Schaden, und wie hoch kann der
jeweilige Schaden inkl. Folgeschäden ausfallen?)
- für welches sich daraus ergebende Gefährdungsszenario (da ist es
wieder...) man in der Schlussfolgerung welche wirtschaftlich vertretbaren
und technisch sinnvollen Massnahmen ergreift (bzw. was man z.B. wegen
mangelnder wirtschaftlicher Relevanz unter den Tisch fallen lässt).
Wohlgemerkt: da steht "Massnahme_n_". Firewalls sind mit Gewissheit nur
ein kleiner Teil davon. Man wird einen wichtigen Server z.B. auch gegen
Wegtragen, lokalen Missbrauch durch Booten von auswechselbaren
Datenträgern, Ausstecken durch die Putzfrau... sichern müssen.
Ein "da installier ich mal ne Firewall, dann wird's schon passen" ist in
aller Regel zu wenig.
Ansgar
Lukas Schratz
> Hallo,
>
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
> de.comp.security.firewall FAQ zusammenzustellen:
Komisch. Ich finde die Liste recht kurz.
Es ist schade, daß du nichts zur Verbesserung beitragen willst, sondern
einfach nur "rechthaben". Und hier sollte man halt schon entsprechend
recherchieren. Dein ident-Beispiel ist da nur der Gipfel. Mit dem Rest
liegst du von "Warum hast du das nicht dem Maintainer zum Einpflegen
geschickt" bis "oh mein Gott, was redet der da? Schreibt noch groß
darüber, daß er "Firewall-Admin" sei und hat so wenig Ahnung" und nur
bei ein, zwei Punkten, wo man sagen kann: Na gut, da könnte man drüber
diskutieren und umformulieren, wenn sich der Schreiber die Mühe
genommen hätte, nicht nur über alles "Quatsch" drüberzuschreiben.
Witzig ist auch, daß dein krudes Beispiel wegen ident doch eben noch da
war... und jetzt fehlt es? Damit nimmst du dir zwar die Begründung,
aber du bist immerhin auf dem richtigen Weg, leider hast du die falsche
Schlußfolgerung stehengelassen.
>
> viele gruesse
> arnim rupp
luke
--
Es gibt im Universum keine größere bekannte Kraft als die, welche auf
unfertige Software wirkt, um sie in die große weite Welt auszuliefern.
Auf Platz zwei ist die Kraft, die Frisbee-Scheiben unter Autos oder an
andere unzugängliche Stellen trägt. --FvL in dasr
fritz.schoerghuber
[Aufzaehlung einiger Bedrohungsszenarien/Gefaehrdungspotetiale]
[fullACK, daher nicht mehr zitiert]
Fuer diese Systematik (die IMO fuer so eine Taetigkeit
*unverzichtbar* ist, gehoert auch ein bisschen deduktive
Logik dazu. Die hab' ich auf der betreffenden Site nicht
einmal ansatzweise gefunden. Deshalb kann ich mir die
geschilderte Berufsumgebung nicht vorstellen.
Oder ist in .de die "Geiz ist Geil"-Mentalitaet auch in
den Ebenen der IT-Entscheidungstraeger ausgebrochen?
Quantitaet vor Qualitaet?
Wenn ja -> *schauder*
>
> Ein "da installier ich mal ne Firewall, dann wird's schon passen" ist in
> aller Regel zu wenig.
>
ACK, aber leider seh' ich das immer oefter...
Und das Denken ueberlassen wir am Besten den grossen Firmen;
Wenn wir deren $PRODUKT einsetzen, dann sind wir sicher/funk-
tioniert's. Wenn nicht, wird mit zusaetzlicher Hardware +
Software der verbleibende Rest "erschlagen". Der Endkunde
zahlt's eh (und der externe Berater freut sich ueber einen
gut dotierten Folgeauftrag...) BTST
hand
Fritz
Thomas Hühn
> liegst du von "Warum hast du das nicht dem Maintainer zum Einpflegen
> geschickt" bis "oh mein Gott, was redet der da? Schreibt noch groß
Vielleicht, weil in der Vergangenheit oft genug deutlich gemacht wurde,
daß Änderungen nicht stattfinden werden, solange die hier stur
vertreteten Dogmen auch nur angekratzt werden könnten?
Der OP hat sich nun wahrlich ziemlich trollig verhalten, aber daß die
Aussagen der FAQ nicht der Weisheit letzter Schluß sind, haben ja nun
auch schon andere erkannt.
So, und dabei lasse ich es jetzt auch bewenden. dcsf hat bisher immer
gezeigt, daß man für solche Aussagen niedergeflamet wird. Viel Spaß,
aber ich muß da dann ja nicht mitspielen.
Thomas
Ansgar Strickerschmidt
> Lukas Schratz <l_sc...@yahoo.com> writes:
>
>> liegst du von "Warum hast du das nicht dem Maintainer zum Einpflegen
>> geschickt" bis "oh mein Gott, was redet der da? Schreibt noch groß
>
> Vielleicht, weil in der Vergangenheit oft genug deutlich gemacht wurde,
> daß Änderungen nicht stattfinden werden, solange die hier stur
> vertreteten Dogmen auch nur angekratzt werden könnten?
Für Dogmen ist der Papst zuständig.
Wenn Du fundierte, anständig begründete und womöglich mit Erfahrungen
belegte Meinungen hast (und nein, "Das ist alles Quatsch" zählt da nicht
dazu), dann hat hier sicher jeder ein offenes Ohr. Dann kann man drüber
diskutieren, dann können andere von ihren möglicherweise abweichenden
Erfahrungen berichten, und im Idealfall kommt ein Ergebnis oder zumindest
neue Einsichten heraus - Einsichtsfähigkeit bei allen Beteiligten einmal
vorausgesetzt (oder bin ich da etwa zu optimistisch?).
> Der OP hat sich nun wahrlich ziemlich trollig verhalten, aber daß die
> Aussagen der FAQ nicht der Weisheit letzter Schluß sind, haben ja nun
> auch schon andere erkannt.
Sowas ist immer "work in progress" - Bedrohungsszenarien ändern sich auch
im Lauf der Zeit, wenn andere Technologien Einzug halten. Kaum jemand
fängt sich heutzutage Viren noch per Diskette ein[*1], und <glaskugel> in
5 Jahren werden die heutigen Bedrohungen und Angriffswege genauso ein
alter Hut sein und durch Dinge ersetzt werden, von denen wir heute noch
nicht mal was ahnen. </glaskugel>
Ein gelegentlicher Realitäts- und Aktualitäts-Check der einzelnen Aussagen
wäre sicher kein Fehler, wobei IMHO der Grundtenor der FAQ schon korrekt
ist.
Ansgar
[*1] auf manchen uralten Disketten hier in der 4ma schlummern noch
irgendwelche Bootviren - gelegentlich spült es mal wieder eine ans
Tageslicht...
Juergen P. Meier
> Ich finde besonders den Abschnitt mit dem Szenario in diesem Zusammenhang
> einen Brüller.
>
> Gerade jemand, der für so große Installationen verantwortlich ist (wenn
> das denn stimmt), sollte von Berufs wegen eigentlich wissen,
> - wie man Bedrohungsszenarien ermittelt (wer bedroht auf welchem Wege was?)
> - wie hoch das Gefährdungspotentzial ist (wie hoch ist die
> Wahrscheinlichkeit für einen bestimmten Schaden, und wie hoch kann der
> jeweilige Schaden inkl. Folgeschäden ausfallen?)
> - für welches sich daraus ergebende Gefährdungsszenario (da ist es
> wieder...) man in der Schlussfolgerung welche wirtschaftlich vertretbaren
> und technisch sinnvollen Massnahmen ergreift (bzw. was man z.B. wegen
> mangelnder wirtschaftlicher Relevanz unter den Tisch fallen lässt).
> Wohlgemerkt: da steht "Massnahme_n_". Firewalls sind mit Gewissheit nur
> ein kleiner Teil davon. Man wird einen wichtigen Server z.B. auch gegen
> Wegtragen, lokalen Missbrauch durch Booten von auswechselbaren
> Datenträgern, Ausstecken durch die Putzfrau... sichern müssen.
>
> Ein "da installier ich mal ne Firewall, dann wird's schon passen" ist in
> aller Regel zu wenig.
Tja, so leute haben halt von Sicherheitsstandards noch nie was gehoert.
Manfred Fiebig
Am 22.01.2007 23:24 tippte arn...@rupp.de:
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
> de.comp.security.firewall FAQ zusammenzustellen:
Huch, ein Softwareverkäufer meldet sich zu Wort und äußert Bedenken
bezüglich des Umsatzes in einem bisher äußerst lukrativen Geschäft.
Ich habe mir die Mühe gemacht, wenigstens das Wichtigste davon zu lesen.
Was eine Firewall ist weißt du und wofür man sie braucht auch?
Nein? Hier stehts: http://tinyurl.com/34lw9b ab #29ff Nicht grundlos
steht diese Artikelserie gerade in dieser Zeitschrift.
Ich habe mal der Vorsicht halber und damit ich nicht der Trollerei
bezichtigt werde, nach "arnim rupp" gegoogelt. Hast du etwa Ing.Kohl aus
Wien zum Dozenten gehabt?
> Es waere echt dufte wenn Ihr die mal korrigieren koenntet weil es gibt
> immer noch Leute die diesen FAQ lesen und Ernst nehmen.
Ich würde es noch besser finden, wenn du mal deinen Verstand benutzt und
ein wenig bei http://www.ntsvcfg.de/linkblock.html zu lesen und lernen
beginnst.
--
der Hinterwäldler
überlegt gerade, ob er sich einen anderen Nick zulegen sollte
Hier habe ich noch eine ganz tolle Software gefunden, die du unbedingt
mal ausprobieren solltest:
http://dingens.org/breakout-wp.exe "Nomen Est Omen"!!!
Juergen Ilse
Andreas Beck <becka-news-n...@acs.uni-duesseldorf.de> wrote:
> arn...@rupp.de wrote:
>> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
>> de.comp.security.firewall FAQ zusammenzustellen:
>> http://rupp.de/fehler_in_de.comp.security.firewall_FAQ.html
>
> FAQ: Wieso kann eine Sicherheitslösung per se gefährlich sein?
> Ant: Risikokompensation: Wer glaubt, die unverstandene Sicherheitslösung
> hätte irgendeinen Effekt, wird unbewußt diesen mit einer gewissen
> Laxheit kompensieren, weil ihn das System ja schützt.
> Kom: Für die berühmte Personal-Firewall-Risikokompensations-Theorie kenne
> ich keine Belege.
[...]
> Kom: Wenn man ähnliche Studien über Autofahrer heranzieht: Ja, die Leute
> fahren schneller wenn sie einen Airbag und ABS haben, trotzdem
> retten diese beiden Systeme jedes Jahr viele Menschenleben
>
> Autovergleich. *seufz*
> Wäre es nicht dennoch vernünftiger, trotz der Sicherheitsmaßnahmen nach
> wie vor vernünftig zu fahren?
> Außerdem ist in letzter Zeit scheinbar (ich hab's nicht nachgeprüft -
> aber die Rundfunkberichterstattung behauptet es) die Zahl der Gurtmuffel
> erheblich gestiegen. Mit dem Argument "ich hab doch Airbag".
Ich meine mich zu erinnern, dass bei den ersten Autos mit ABS die Praemien
der Kasko-Versicherung nach unten gingen, weil diese Fahrzeuge ja sicherer
waeren. Nach einiger Zeit (als bei den Versicherungen die Unfallstatistiken
dieser neuen Fahrzeuge mit ABS vorlagen) kehrte sich der Effekt um und die
Kasko-Praemien gingen *nach* *oben*. Mittlerweile hat sich die Lage norma-
lisiert, weil sich anscheinend kaum noch jemand darauf verlaesst, dass das
ABS ja Unfaelle verhindern wuerde und deshalb die Unfallzahlen mit ABS nicht
mehr wesentlich hoeher liegen als ohne ABS ...
Wie gesagt, ich meine mich zu erinnern, so etwas gelesen zu haben (ist aller-
dings lange her, und ich weiss die Quelle nicht mehr). Wenn das tatsaech.lich
damals so war, ist das ein ausgezeichnetes Beispiel dafuer, dass "Risikokom-
pensation" tatsaechlich stattfindet.
> Kom: Man muss eine Personal Firewall nicht verstehen, wenn sie alle Pakete
> an die Ports 135 und 445 blockiert ist das einfach sicherer.
>
> Und verhindert die Nutzung der betreffenden Dienste. Das ist der Default
> der Windows-Firewall. Der ist nicht schlecht. Aber das Problem ist, daß
> man ohne Ahnung nicht weiß, ob und wann man welche Ausnahmen machen muß.
> Das führt in der Praxis in aller Regel zu "Word funktioniert nicht, ich
> mach mal die Firewall aus". Wirklich.
ACK.
> Kom: Und da man sich bei allen Sicherheitsvorkehrungen trotzdem einen
> Trojaner einfangen kann, ist es eine gute Sache, wenn die Personal
> Firewall die Verbindungsversuche zu den Trojaner-Ports blockiert.
>
> Kein moderner Trojaner hat noch ein Problem damit, von sich aus
> _rauszukonnektieren_. Das kann man nicht zuverlässig verhindern. Also
> ist es nach wie vor besser, Trojanerbefall zu vermeiden.
Eindeutig. Und nach einem Befall ist die einzig sichere fuer den "Normaluser"
durchfuehrbare Methode zur Saeuberung das komplette neuaufsetzen des Systems.
> FAQ: Die Firewall schützt mich aber vor Zugriffen auf meine
> Windowsfreigaben!
> Ant: Warum hast Du Deine Festplatte und Deinen Drucker denn an jeden im
> Internet freigegeben? Warum stellst Du es nicht einfach ab?
>
> Kom: Die Methode "Keine Windows-Freigaben am Dial-UP-Interface" hilft
> dabei nicht mehr viel. Vieleicht bin ich mit meinem Laptop mal in
> einem unsicheren Kunden-Netz,
>
> Du mußt auf jeden Fall umkonfigurieren, wenn Du Netze mit verschiedenem
> Sicherheitsstatus an das gleiche Interface bastelst.
Eindeutig. Warum also nicht die Dienste bei "Betrieb in unsicheren Netzen"
abschalten, wenn man sowieso umkonfigurieren muss?
> Kom: Oder der Nachbar kommt mit seinem verseuchten Laptop rüber in mein
> Netz.
>
> Und dann hilft eine PFW genau was? Wenn er in Deinem Netz ist, hat er
> die Rechte, die jeder andere Rechner in Deinem Netz hat.
> Brauchst Du die Dienste, die verwundbar sein könnten, nicht, dann
> schalte sie ab. Das ist ein sicherer Zustand.
>
ACK. Aber bin ich fast der Ueberzeugung, dass du den "Kritiker der FAQ"
nicht ueberzeugen koennen wirst ...
> Brauchst Du sie, verhindere, daß unsichere Kisten damit Kontakt
> bekommen. Nach welchem Kriterium soll die PFW denn den "erlaubten"
> internen PC vom "unsicheren" Nachbar-PC unterscheiden? IP? MAC?
Vermutlich IP, auch wenn das innerhalb des selben Netzsegments ein eher
sehr schwaches Kriterium ist ...
> Kom: Andere Leute empfehlen Personal Firewall, z.B. Bruce Schneier.
>
> Sinnentstelltes Zitat. Aber wenigstens verlinkt.
>
> Kom: Wie man aktuelle Peer-to-Peer-Software mit Personal Firewalls und
> DSL-Routern zusammen benutzt finden sich genug Beschreibungen per
> Google, deinstallieren ist nicht nötig.
>
> Viele dieser Beschreibungen sind grauenvoll.
Ich habe auch schon derartige Beschreibungen fuer Paketfilter zum "Schutz
eines DNS-Servers" gesehen, die nur Pakete von "High-Ports" auf Port 53
des DNS-Servers zugelassen haben (mit der Konsequenz, dass somit ein wesent-
licher Teil der DNS-Funktionalitaet "kaputtgefiltert" wurde, z.B. bekommt
dann ein ein bind8/9 mit gesetztem "QuerySource * 53" oder ein bind4 kei-
nerlei Antworten mehr von diesem DNS ...).
> Ich habe schon mehrfach den
> Müll aufräumen dürfen, den sie erzeugen. Konkretes Beispiel:
>
> $Kunde will auf seinem PC Online-Skat spielen. Die Anleitung erklärt
> zunächst, wie man den einzelnen Port weiterleistet. Prima. Aufgrund
> dämlicher Router-GUI kriegt $Kunde das aber nicht richtig hin und liest
> weiter: Wenn das nicht klappt, setzen Sie den PC mit dem Skatprogramm
> in die "DMZ".
> Das kriegt er hin, und wenige Minuten später hat der ungepatchte PC
> eine Blaster-Variante.
Tolle Wurst (aber leider alles andere als ungewoehnlich) ...
> FAQ: Welche Besonderheiten gibt es bei FTP zu beachten?
> Ant: Deswegen sollte man grundsätzlich versuchen, nur passives FTP zu benutzen
> Kom: eine Firewall benutzen, die damit umgehen kann und das sind mittlerweile
> fast alle.
>
> Und alle öffnen damit prinzipbedingt die FTP-Lücke, die mein FTP-NAT-Test
> durchcheckt. Super-Plan.
Von der hat er bestimmt noch nie gehoert oder gelesen ...
> So, jetzt isset aber gut.
Stimmt, seine Aussagen wurden glaube ich schon zur Genuege in der Luft
zerrissen ...
;-)
Lukas Schratz
>
> FAQ: Wieso kann eine Sicherheitslösung per se gefährlich sein?
> Ant: Risikokompensation: Wer glaubt, die unverstandene
> Sicherheitslösung
> hätte irgendeinen Effekt, wird unbewußt diesen mit einer gewissen
> Laxheit kompensieren, weil ihn das System ja schützt.
> Kom: Für die berühmte Personal-Firewall-Risikokompensations-Theorie
> kenne
> ich keine Belege.
>
> Ich kann keine wissenschaftliche Arbeit darüber vorlegen, aber aus
> einer Menge Erfahrung mit Kundensystemen mit und ohne PFW bzw.
> Virenscannern kann ich den Effekt für meine persönliche Einschätzung
> belegen. Ich frage die betreffenden gerne, warum sie gerade ein
> unbekanntes Mailattachment zweifelhafter Herkunft einfach gestartet
> haben, oder eine Rückfrage der PFW einfach bestätigt haben. Die
> Antwort ist leider gerne "ich habe doch $PRODUKT - wenn das gefährlich
> wäre, würde es mich doch schützen". Ja, auch wenn sie $PRODUKT gerade
> gesagt haben, daß sie gar nicht geschützt werden wollen.
Auch ich war einer von denen, Anfang 2002. Die gelbe Schachtel und das
verkehrte zwei-Buchstaben-Alphabet installiert und dann geglaubt, daß
mir nichts (tm) passieren kann. Ich habe sogar Leute gebeten, mir
potentiell verseuchte Emails zu schicken, damit ich für sie "teste"-
mir konnte ja nichts passieren, es hat ja immer so hübsch geklingelt
und geleuchtet, wenn ein Virus eintraf.
>
> CU, Andy
luke
--
Als Endnutzer will ich eine CD erwerben, sie in den Trinkbecherhalter
stopfen,[..]- und dann hat die Kiste zu laufen. Und zwar bunt,
laut und mit möglichst wenig Nachbesserungsarbeiten.
--Robin Socha in dcoulm
Rainer Sokoll
> Sorry, aber wer bitte ist denn ausschliesslich "Firewalladmin"?
In großen Firmen durchaus üblich.
> Doch eher nur Pfeifen in Firmen ohne Plan.
Aus eigener Erfahrung: Das stimmt so pauschal nicht.
Rainer
Ansgar -59cobalt- Wiechers
> Ansgar -59cobalt- Wiechers schrub:
>
>> | Hier zeigt sich gut, wie veraltet die FAQ ist. Die Zeiten, in denen
>> | man sich Trojaner nur durch unbeabsichtigtes Öffnen von Email-
>>
>> Ja, klar. Per E-Mail verbreitete Malware findet sich kaum noch im
>> Netz. Fast gar nicht. Sicher doch.
>
> Ähm, die Sache hakt am Wörtchen "nur". Klar gibt es -weit überwiegend
> sogar, würde ich sagen- Malware, die auch heute noch per E-Mail-Anhang
> ins Haus kommt. Es ist aber beileibe nicht der *einzige* Weg.
Das war es nie.
cu
59cobalt
--
"Multidimensionale Ordnung sieht fuer den einfach gestrickten Betrachter
halt meistens wie Chaos aus, weil er die Ordnung nicht erfassen kann."
--Jürgen P. Meier in dasr
Ansgar -59cobalt- Wiechers
> Andreas Beck <becka-news-n...@acs.uni-duesseldorf.de> wrote:
>> FAQ: Die Firewall schützt mich aber vor Zugriffen auf meine
>> Windowsfreigaben!
>> Ant: Warum hast Du Deine Festplatte und Deinen Drucker denn an jeden
>> im Internet freigegeben? Warum stellst Du es nicht einfach ab?
>>
>> Kom: Die Methode "Keine Windows-Freigaben am Dial-UP-Interface" hilft
>> dabei nicht mehr viel. Vieleicht bin ich mit meinem Laptop mal
>> in einem unsicheren Kunden-Netz,
>>
>> Du mußt auf jeden Fall umkonfigurieren, wenn Du Netze mit
>> verschiedenem Sicherheitsstatus an das gleiche Interface bastelst.
>
> Eindeutig. Warum also nicht die Dienste bei "Betrieb in unsicheren
> Netzen" abschalten, wenn man sowieso umkonfigurieren muss?
Es ist komfortabler, insbesondere da man es ohne Reboot umstellen kann.
Ja, das will man.
cu
59cobalt
--
"The Mac OS X kernel should never panic because, when it does, it
seriously inconveniences the user."
--http://developer.apple.com/technotes/tn2004/tn2118.html
Rainer Sokoll
> * Rainer Sokoll <rai...@sokoll.com> wrote:
> > Thus Guido Hennecke wrote:
> >> Sorry, aber wer bitte ist denn ausschliesslich "Firewalladmin"?
> > In großen Firmen durchaus üblich.
>
> Ab wann ist denn Deiner Meinung nach eine Firma gross?
Na ja, hatte letztlich mit einem weltweiten Hoster zu tun, zu dessen
Kunden unter anderem auch Banken und Versandhäuser zählen - keine
Privatkunden. Die FW/VPN-Admins dort scheinen zu wissen, was sie tun.
> Gerade bei grossen Firmen habe ich das nur so erlebt, denn dann kommen
> solche Sprueche von den sogenannten "Firewalladmins", wie ich ihn
> nannte. Man koenne schliesslich nicht wissen, was sich hinter Port XY
> ueberhaupt verbirgt.
Was ja strenggenommen nicht falsch ist.
> Fragt sich, welches Wissen ein solcher "Admin" denn
> dann ueberhaupt in seine Arbeit einbringt.
Pfeifen gibts überall, aber eben auch gute Leute.
Rainer
Ansgar -59cobalt- Wiechers
> Thus Guido Hennecke wrote:
>> Gerade bei grossen Firmen habe ich das nur so erlebt, denn dann
>> kommen solche Sprueche von den sogenannten "Firewalladmins", wie ich
>> ihn nannte. Man koenne schliesslich nicht wissen, was sich hinter
>> Port XY ueberhaupt verbirgt.
>
> Was ja strenggenommen nicht falsch ist.
An einem Port kann natürlich ein beliebiger Prozess lauschen, insofern
ist es nicht falsch. Als Insider mit administrativen Befugnissen kann
man aber im Normalfall herausfinden, welcher Prozess dort lauscht, womit
der "Firewalladmin" es durchaus wissen kann.
Und ja, als Firewalladmin sollte man durchaus ein bisschen was über
Application Layer Protokolle und die Dienste, die sie verwenden, wissen.
Rainer Sokoll
> * Rainer Sokoll <rai...@sokoll.com> wrote:
> > Thus Guido Hennecke wrote:
> [...]
> >> Gerade bei grossen Firmen habe ich das nur so erlebt, denn dann kommen
> >> solche Sprueche von den sogenannten "Firewalladmins", wie ich ihn
> >> nannte. Man koenne schliesslich nicht wissen, was sich hinter Port XY
> >> ueberhaupt verbirgt.
> > Was ja strenggenommen nicht falsch ist.
>
> Sie tippern also befreit von jeglichem Wissen vorgegebene Regeln ein?
So ungefähr ;-)
Was ich erlebt habe:
Projekte werden von oben nach unten verwirklicht. Zuerst also die
schicke Oberfläche. Dann kommt die Redaktionsabteilung und pflegt
irgendwelchen Content ein.
Dann geht der Projektmanager zu den Netzwerkern: "Projekt muß ans Netz!"
Netzwerker konfiguriert Router. "Feddich Meister!" Projektmanager meldet
dem Kunden Vollzug. Kunde schreibt zurück: "Geht nicht!" Projektmanager
forwardet das an die Netzwerker. Die schreiben zurück: "Auch an die
Firewall gedacht?" Projektmanager macht bei den Firewall-Admins ein
Ticket auf. Da die Netzwerker und Firewall-Menschen vom Hoster und nicht
der Firma des Projektmanagers bezahlt werden, machen sie ohne
Rückversicherung erstmal gar nichts.
Und schwupps, schon 2 Wochen später läuft es!
Daß die Netzwerker und die Firewalladmins grinsend an der Seite stehen,
ist natürlich nur eine böswillige Vermutung...
Rainer
Bernd Eckenfels
> Daß die Netzwerker und die Firewalladmins grinsend an der Seite stehen,
> ist natürlich nur eine böswillige Vermutung...
Das führt auch Dazu dass weit forgeschrittene und falsch designte Projekte
in der Phase nicht mehr abgebrochen werden können und irgendwelche Löcher in
die Firewall gemacht werden muessen. Ein guter security Officer kümmert sich
da Pro-Aktiv vorher drum, bevor er hinterher grinsend sein Risikoanalyse
anpassen muss.
Gruss
Bernd
Joerg Hoh
> Und ja, als Firewalladmin sollte man durchaus ein bisschen was über
> Application Layer Protokolle und die Dienste, die sie verwenden, wissen.
Allerdings nicht unbedingt, was die Admins heute auf dieser Kiste an
Port 8084 angeklemmt haben.
Gruß
Jörg
--
What did you do to the cat? It looks half-dead. -Schroedinger's wife
Ansgar -59cobalt- Wiechers
> Ansgar -59cobalt- Wiechers schrieb
>> Und ja, als Firewalladmin sollte man durchaus ein bisschen was über
>> Application Layer Protokolle und die Dienste, die sie verwenden,
>> wissen.
>
> Allerdings nicht unbedingt, was die Admins heute auf dieser Kiste an
> Port 8084 angeklemmt haben.
Sie sollten zumindest wissen wie sie's rausfinden können.
Jens Link
> Und ja, als Firewalladmin sollte man durchaus ein bisschen was über
^^^^^^
> Application Layer Protokolle und die Dienste, die sie verwenden, wissen.
Ich hab mal den wichtigen Teil unterstrichen. Leider ist das nicht immer
so. "AH und ESP laufen über *Port* 50 und 51 TCP....." bzw. "Wie gehen
Sie an meiner Firewall vorbei? Haben sie da eine ISDN-Karte
eingebaut?"[1] oder "Wir haben jetzt eine richtige Firewall, eine
Checkpoint 1".
Jens
Footnotes:
[1] ssh auf Port 443 durch den Proxy.
--
GUUG-Frühjahrsfachgespräche: http://www.guug.de/veranstaltungen/ffg2007/
sage@guug Berlin: http://www.guug.de/lokal/berlin/index.html
Andreas M. Kirchwitz
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
> de.comp.security.firewall FAQ zusammenzustellen:
>
> http://rupp.de/fehler_in_de.comp.security.firewall_FAQ.html
Eine nett zu lesende zweite Meinung (mit berechtigter Kritik).
Ob es dem Anfänger allerdings hilft, jetzt *zwei* unsachliche
Texte zur Verfügung zu haben ...
Erhard Schwenk
Ein _richtig_ guter Security Officer kriegt in dem Fall das Projekt
abgeschossen und den Projektmanager gefeuert oder nach Ostsibirien versetzt.
--
Erhard Schwenk
Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de/
APAYA running System - http://www.apaya.net/
Ansgar -59cobalt- Wiechers
> Ansgar -59cobalt- Wiechers <usene...@planetcobalt.net> writes:
>> Und ja, als Firewalladmin sollte man durchaus ein bisschen was über
> ^^^^^^
>> Application Layer Protokolle und die Dienste, die sie verwenden, wissen.
>
> Ich hab mal den wichtigen Teil unterstrichen.
Warum glaubst Du, dass die Signifikanz dieses Teils sich meiner Aufmerk-
samkeit bisher entzogen hätte?
> Leider ist das nicht immer so.
Weiß ich. Das sind die Fälle, in denen man Firewalladmin mit Anführungs-
zeichen schreibt.
> "AH und ESP laufen über *Port* 50 und 51 TCP....." bzw. "Wie gehen Sie
> an meiner Firewall vorbei? Haben sie da eine ISDN-Karte eingebaut?"[1]
> oder "Wir haben jetzt eine richtige Firewall, eine Checkpoint 1".
*seufz*
Helmut Springer
> Dann verstehe ich beim besten Willen nicht. wie Du das irgendie
> auch noch gut finden kannst.
Firewall-Admins sind, wie alle Admins, dafuer zustaendig, dass die
Kisten laufen und tun, was sie sollen. Fuer security/risk mgmt und
die daraus folgenden Regeln sind andere Rollen zustaendig, die im
change mgmt derselben entsprechend involviert sind.
--
MfG/Best regards
helmut springer
Joerg Hoh
> * Ansgar -59cobalt- Wiechers <usene...@planetcobalt.net> wrote:
>> Joerg Hoh <jo...@joerghoh.de> wrote:
>>> Ansgar -59cobalt- Wiechers schrieb
>>>> Und ja, als Firewalladmin sollte man durchaus ein bisschen was über
>>>> Application Layer Protokolle und die Dienste, die sie verwenden,
>>>> wissen.
>>> Allerdings nicht unbedingt, was die Admins heute auf dieser Kiste an
>>> Port 8084 angeklemmt haben.
>> Sie sollten zumindest wissen wie sie's rausfinden können.
>
> freischalten.
Die tun genau das, wofür sie bezahlt werden; wenn ich die beauftrage
"Macht mal, daß ich von diesem Rudel Kisten (IP1,IP2,IPn) auf die
Maschine abc auf Port 443 kommen kann", dann tun die das.
Das da zufällig SVN über HTTPS läuft, interessiert die nicht die
Bohne. Braucht sie auch nicht.
Ansgar -59cobalt- Wiechers
Ah, Du sprichst von Firewall*monkeys*¹. Sag das doch gleich. Ein
Firewall*admin* hat sich gefälligst Gedanken über die Sicherheit der
Netze zu machen, die durch die Firewall(s) geschützt werden sollen. Dazu
gehört auch, nicht einfach auf Zuruf beliebige dahergelaufene Ports
aufzumachen.
cu
59cobalt
¹ Die mit den Anführungszeichen. Wissenschon.
arn...@rupp.de
> Die Schlußweise ist Unsinn. In mehrfacher Hinsicht.
> 1. Die Originalantwort sagt nicht, daß der Rechner jetzt unsicherer ist.
> Sie sagt nur, daß es für den Betreiber gefährlich ist, sich
> konzeptlos auf eine "persönliche Firewall" zu verlassen.
ich versteh nicht, worauf Du hinaus willst, wo ist der inhaltliche
unterschied zwischen "gefaehrlich" und "unsicher" und welche relevanz
hat er in diesem zusammenhang?
und 99,9% der windows firewall user haben kein konzept, warum sind sie
jetzt gefaehrdeter als ohne firewall ?
> 2. Die XP-Firewall, die mit SP2 eingeführt wurde, ist _keine_
> "Desktop-Firewall" im Sinne der FAQ. Sie ist ein hostbasierter
> Paketfilter mit brauchbarer Grundkonfiguration.
die FAQ macht keinen unterschied zwischen "desktop-firewall" und
"hostbasiertem paketfilter". der letztere begriff kommt darin nicht
vor, desktop firewall wird nirgendwo definiert.
das eine brauchbare grundkonfiguration eine ausnahme bildet wird auch
nirgends erwaehnt, es wird pauschal von allen personal firewalls
abgeraten.
> 3. Die Argumentation "starken Sprüche", "nirgendwo gehört", etc. ist sub
> omnibus canonibus - wie mein alter Lateinlehrer sagen würde.
sorry, lies es doch mal selber, das sind unbegruendete, starke
sprueche:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#PF
> Ich kann keine wissenschaftliche Arbeit darüber vorlegen, aber aus einer
> Menge Erfahrung mit Kundensystemen mit und ohne PFW bzw. Virenscannern
> kann ich den Effekt für meine persönliche Einschätzung belegen.
> Ich frage die betreffenden gerne, warum sie gerade ein unbekanntes
> Mailattachment zweifelhafter Herkunft einfach gestartet haben, oder
> eine Rückfrage der PFW einfach bestätigt haben. Die Antwort ist leider
> gerne "ich habe doch $PRODUKT - wenn das gefährlich wäre, würde es mich
> doch schützen". Ja, auch wenn sie $PRODUKT gerade gesagt haben, daß sie
> gar nicht geschützt werden wollen.
und Du bist ganz sicher, dass sie als begruendung immer die PFW
anfuehren und nicht den virenscanner, der fuer das scannen von
attachments zustaendig ist ? die risiko-kompensations-theorie waere
fuer virenscanner viel logischer, aber irgendwie ist hoer ich sie nur
von leuten die (warum auch immer) PFWs doof finden.
> Autovergleich. *seufz*
> Wäre es nicht dennoch vernünftiger, trotz der Sicherheitsmaßnahmen nach
> wie vor vernünftig zu fahren?
> Außerdem ist in letzter Zeit scheinbar (ich hab's nicht nachgeprüft -
> aber die Rundfunkberichterstattung behauptet es) die Zahl der Gurtmuffel
> erheblich gestiegen. Mit dem Argument "ich hab doch Airbag".
also weil X% gurtmuffel spielen, wuerden ohne airbags weniger
autofahrer sterben ?
> Kom: Man muss eine Personal Firewall nicht verstehen, wenn sie alle Pakete
> an die Ports 135 und 445 blockiert ist das einfach sicherer.
>
> Und verhindert die Nutzung der betreffenden Dienste. Das ist der Default
> der Windows-Firewall. Der ist nicht schlecht.
oh, schon wieder zustimmung zu "hostbasierten paketfiltern", davon find
ich in der FAQ kein sterbenswoertchen, eher das gegenteil. koennte man
das ergaenzen ?
> Aber das Problem ist, daß
> man ohne Ahnung nicht weiß, ob und wann man welche Ausnahmen machen muß.
>
> Das führt in der Praxis in aller Regel zu "Word funktioniert nicht, ich
> mach mal die Firewall aus". Wirklich.
unwissende nutzer oder schlechte implementierungen sind aber kein
grundsaetzlicher grund gegen personal firewalls.
> FAQ: Ich bekomme aber Pakete an Trojanerports!
> Ant: Wenn Du einen Trojaner installiert hast, so hast Du das absichtlich
> getan.
>
> Ist das die ganze Antwort?
es geht mir darum, dass der satz da oben nicht mehr gueltig ist. mit
attachments aufzupassen nicht mehr genug um sich vor trojanern zu
schuetzen = fehler in der FAQ.
> Falls ja, sollte ... ah ... nachgeguckt ...
> Klasse, Du verschweigst:
>
> "Davor konnte Dich die Firewall nicht schützen. Und es ist sowieso zu
> spät."
>
> Der letzte Satz ist der Knackpunkt. Ist ein Trojaner aktiv, ist es
> eh zu spät. Egal wie er installiert wurde.
das macht den satz da oben nicht richtig.
> Kom: Hier zeigt sich gut, wie veraltet die FAQ ist.
>
> Dieses Gelall disqualifiziert Dich. Wirklich. Sachliche Argumente werden
> durch polemische Formulierungen ersetzt. Klappt bei Volltrotteln.
die FAQ hat auch genug davon (z.b. "schutzpatron der spammer" und "wir
duerfen Dich verarschen weil ..."). ich dachte ich passe mich mal der
sprache an ;)
aber wenn Du mal schauen magst, wie veraltet die FAQ ist:
http://web.archive.org/web/20010409041631/http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
> Kom: Die Zeiten, in denen man sich Trojaner nur durch unbeabsichtigtes
> Öffnen von Email-Anhängen eingefangen hat, sind lange vorbei.
>
> Nur von mir aus. Aber es ist immer noch eine der primären Quellen.
waere schoen wen das so in der FAQ stehen wuerde und nicht "die einzige
quelle". koennte man ja auch falsch interpretieren: wenn ich mit
attachment aufpasse, kann ich mir keinen trojaner holen. der FAQ-leser
wird in falscher sicherheit gewogen anstatt aufzupassen, auf welche
webseiten er geht und updates zu installieren.
> Kom: Und da man sich bei allen Sicherheitsvorkehrungen trotzdem einen
> Trojaner einfangen kann, ist es eine gute Sache, wenn die Personal
> Firewall die Verbindungsversuche zu den Trojaner-Ports blockiert.
>
> Kein moderner Trojaner hat noch ein Problem damit, von sich aus
> _rauszukonnektieren_. Das kann man nicht zuverlässig verhindern. Also
> ist es nach wie vor besser, Trojanerbefall zu vermeiden.
es ging um eingehend zu den trojaner-ports, und das ist eine nuetzliche
sache, siehe:
http://www.theregister.co.uk/2006/05/04/nugache_p2p_botnet/
den peer to peer braucht lauschende ports.
> Kom: Die Methode "Keine Windows-Freigaben am Dial-UP-Interface" hilft
> dabei nicht mehr viel. Vieleicht bin ich mit meinem Laptop mal in
> einem unsicheren Kunden-Netz,
>
> Du mußt auf jeden Fall umkonfigurieren, wenn Du Netze mit verschiedenem
> Sicherheitsstatus an das gleiche Interface bastelst.
in der FAQ steht aber, es reicht wenn ich keine windows-freigabe auf
dem dial-up-interface habe. koennte man ergaenzen.
> Kom: Oder der Nachbar kommt mit seinem verseuchten Laptop rüber in mein
> Netz.
>
> Und dann hilft eine PFW genau was? Wenn er in Deinem Netz ist, hat er
> die Rechte, die jeder andere Rechner in Deinem Netz hat.
ich kann doch meinen PCs IPs bis .127 geben und per DHCP .129-.254
verteilen lassen. (ja, er koennte sich selber eine IP <.127
konfigurieren, aber auf die idee kommt (bisher) kein wurm.)
> Brauchst Du die Dienste, die verwundbar sein könnten, nicht, dann
> schalte sie ab. Das ist ein sicherer Zustand.
ack
> Brauchst Du sie, verhindere, daß unsichere Kisten damit Kontakt
> bekommen. Nach welchem Kriterium soll die PFW denn den "erlaubten"
> internen PC vom "unsicheren" Nachbar-PC unterscheiden? IP? MAC?
s.o.
> FAQ: Wie kann ich mich unsichtbar machen?
> Ant: Bei ICMP ist keine Antwort gleichbedeutend mit "ich bin hier".
> Kom: Diese Antwort war schon immer Quatsch, da der entsprechende RFC792
> nicht vorschreibt (MUST), dass ein ICMP-unreachable geschickt werden
> muss, sondern dies optional ist (MAY).(Siehe auch RFC 2119).
>
> Es ist aber eine gute Idee, das zu tun. Alles andere erschwert nur die
> Fehlersuche.
das stimmt, aber trotzdem ist der FAQ-satz da oben falsch und sollte
korrigiert werden.
> Kom: Und heutzutage verschicken tatsächlich viele Provider-Router kein
> ICMP-unreachable mehr, d.h. solange der eigene DSL-Router oder die
> Personal Firewall auf keine Packete antwortet, ist man "unsichtbar".
>
> Nein.
doch, bei "kein ICMP-unreachable und alle pakete werden verworfen", ist
man "unsichtbar" oder nicht ? was steht im FAQ dazu ? siehste, fehler.
> Wenn irgendein Dienst noch läuft, ist man das nicht die Bohne.
doch, beispiel: zwei IPs habe einen webserver auf TCP 30000 laufen, die
eine antwortet auf ping, die andere nicht. welcher port kriegt mehr
angriffe ab ? (bitte keine ausfuehrungen ueber security by obscurity,
es gibt eine eindeutige antwort und die besagt das der ping doch einen
unterschied macht.)
> Es gibt ggf. auch weiter Fingerprinting-Möglichkeiten.
ich lern gern noch was dazu, quellen ?
> Wenn keinerlei Dienst läuft, ist eh keine Angrifffläche da - dann kann
> man auch ruhig antworten.
ip-stack overflow ? (niemand laesst z.b. einen exploit, der 10.000
speicheradressen durchprobieren muss gegen ein IP laufen, von der er
nix hoert )
> In Kundennetzen, in denen so ein Blödsinn (Filtern von Debuginformationen)
> gemacht wird, weise ich kurz darauf hin, daß das die Fehlersuche erschwert
> und ich keine Klagen über die hohe Rechnung hören will, und gut.
moment mal, der text waere "ihr seid schutzpatrone von spammern und
skript-kiddies" ;)
> Kom: Weitere Gründe für "keine Antwort", die es schon immer gab ...
>
> Ja klar kriegt man ab und zu keinerlei Rückantwort. In aller Regel von
> kaputten Systemen.
aber in der FAQ steht, dass bei "keiner antwort" jemand da ist, fehler,
sollte korrigiert werden.
> FAQ: Der Hersteller meiner Software bietet aber keine Patches zur
> Fehlerbehebung an. Also brauche ich eine Firewall!
> Ant: Du hast Regressansprüche gegen den Hersteller, da sein Produkt
> fehlerhaft ist. [...]
> Kom: Vollkommener Quatsch, sonst hätten sich schon Herrscharen von
> Anwälten aufgemacht um Milliarden aus Microsoft herrauszuklagen.
>
> Wieso? M$ patcht seine Produkte. Inzwischen sogar relativ zeitnah.
284 Tage unsicher: Internet Explorer im Jahre 2006
http://www.tecchannel.de/news/themen/sicherheit/458814
> Es gibt einige ungepatchte Löcher, aber wenn jemand klagen würde,
> würden die vermutlich auch blitzartig geschlossen, bzw. es gibt eine
> schlüssige Erklärung, warum das nicht zwingend ist (z.B. es gibt ein
> Nachfolgeprodukt).
die urspruengliche FAQ-frage war:
"Der Hersteller meiner Software bietet aber keine Patches zur
Fehlerbehebung an. Also brauche ich eine Firewall!"
glaubt irgendjemand tatsaechlich das regress-ansprueche die richtige
loesung sind ? die FAQ bietet keine richtige loesung auf die frage und
die regress-nummer steht da nur um nicht schreiben zu muessen "ja,
personal firewalls koennen sinnvoll sein".
> Kom: Es gibt auch noch einen anderen Grund einen Rechner nicht sofort zu
> patchen: Es ist ein Server in einer Firma und man muss den Patch erst
> testen bevor einem alles um die Ohren fliegt. Beispiele von Patchen mit
> Nebenwirkungen gibt es zur genüge.
>
> Ja. Genau. Man beachte, daß sich die Frage damit gar nicht beschäftigt.
stimmt, weil man dann ja nochmal zugeben muesste, dass personal
firewalls nuetzlich sein koennten, lieber einen grossen bogen um diese
frage machen.
> Kom: Wenn solange eine Software-Firewall auf dem Server das System sicherer
> macht ist das eine gute Sache.
>
> Eine Firewall ersetzt keine Patches. Wenn der Dienst verwundbar ist, und
> von niemandem erreichbar, ist er sicher. Dann kann man ihn aber auch
> abschalten. Wenn der Dienst noch von irgendjemandem erreicht werden
> kann, und verwundbar ist, ist er angreifbar. Also will man den Patch.
und wenn's noch eine weile dauert bis der patch kommt oder er erst
getestet werden muss? also ich wuerde die PFW so einstellen, dass der
dienst nur von den IPs erreichbar ist, die ihn auch brauchen. beispiel
wurmausbruch (a'la blaster) im intranet ueber TCP 135, 1000 PCs in
einem netz, PFW erlaubt TCP 135 nur von den exchange servern. die PFW
macht den unterschied ob die admins am abend 1000 oder 100 PCs neu
aufsetzen duerfen.
> Kom: Nunja, auch über diesen Rat freuen sich Spammer und Script-Kiddies
> weil sie leichteres Spiel haben.
>
> Weil? Wo ist nochmal der Unterschied zwischen einer deinstallierten und
> einer auf "allow all" geschalteten PFW?
komische argumentation: nur weil ein paar daus ihre PFW abschalten weil
sie nicht mehr drucken koennen heisst das nicht, das sie nicht nutzlich
sind.
> Außer daß letztere evtl. noch weiteren angreifbaren Code im
> Netzwerkdatenpfad unterbringt?
ja witty war nicht so dolle aber blackICE war ja wohl auch schlecht
programmiert wenn's pakete durch die engine laufen laesst bevor klar
ist, ob die ueberhaupt gebraucht werden :)
> Kom: Andere Leute empfehlen Personal Firewall, z.B. Bruce Schneier.
>
> Sinnentstelltes Zitat. Aber wenigstens verlinkt.
wieso sinnentstellt ? bruce schneier empfiehlt PFWs fuer laptops, der
FAQ haelt sie fuer gefaehrlich. wer hat nun recht ?
> $Kunde will auf seinem PC Online-Skat spielen. Die Anleitung erklärt
> zunächst, wie man den einzelnen Port weiterleistet. Prima. Aufgrund
> dämlicher Router-GUI kriegt $Kunde das aber nicht richtig hin und liest
> weiter: Wenn das nicht klappt, setzen Sie den PC mit dem Skatprogramm
> in die "DMZ".
> Das kriegt er hin, und wenige Minuten später hat der ungepatchte PC
> eine Blaster-Variante.
hier zeigt sich die gefaehrlichkeit dieser FAQ, sie schlaegt direkt vor
die firewall ueber bord zu werfen, wenige minuten nach lesen der FAQ
und befolgen des ratschlags haette $leser seinen blaster:
Ich mußte alles zulassen, sonst geht Napster nicht mehr!
Deinstalliere die Firewall. Du brauchst das nicht.
da ist doch sogar die online-skat anleitung besser, die's noch mit
port-forwarding probiert :)
> Im Zusammenhang mit IRC ist es IIRC noch üblich. Ident ist eine gute
> Sache. Es kaputtzumachen, weil einige Hirnis zu dämlich sind, zu
> verstehen, daß REJECT nützlich ist, ist nicht einzusehen. Da sich die
> Leute auch nur selbst in den Fuß schießen, sind mir diesbezügliche
> Beschwerden auch völlig egal.
wer ident bei IRC verwirft schiesst sich in den eigenen fuss, das
sollte also keinen jucken. warum sollte man also noch leute als
schutzpatron von spammern und skript-kiddies beschimpfen wenn sie DROP
benutzen ?
> Kom: Im Jahr 2007 gilt also: Wenn Du als Schutzpatron für Script-Kiddies
> auftreten willst, nimm REJECT.
>
> Ich nehme immer REJECT - keine Beschwerden bisher.
ok, aber das macht den FAQ ...
"Wenn Du als Schutzpatron für Spammer und Scriptkiddies auftreten
willst, nimm DENY."
... nicht wahr.
> FAQ: Welche Besonderheiten gibt es bei FTP zu beachten?
> Ant: Deswegen sollte man grundsätzlich versuchen, nur passives FTP zu benutzen
> Kom: eine Firewall benutzen, die damit umgehen kann und das sind mittlerweile
> fast alle.
>
> Und alle öffnen damit prinzipbedingt die FTP-Lücke, die mein FTP-NAT-Test
> durchcheckt. Super-Plan.
hey, den test koennte man im FAQ erwaehnen. und auch das es
hauptsaechlich DSL-router betrifft und das es nicht prinzip-bedingt ist
sondern bei ports <1023 ein implementierungsfehler.
> Ich kenne nur solche. Die UDP-Heuristik der meisten Router ist
> "Wenn ich gerade (aka vor weniger als 2-5 Minuten) auf Port xxxx
> ein Paket rausgeschoben habe, dann schicke alles, was auf diesem
> Port aufschlägt zu dem Rechner/Sourceport, der dieses Paket damals
> ausgelöst hat".
>
> Einige Router schränken aufgrund er Ziel-IP und ggf. auch des Zielports
> ein. Aber nicht alle. Bei einigen kann man es explizit abschalten, damit
> sowas wie SIP geht.
aha, nur UDP (steht nichts von in der FAQ), aber wieder was dazugelernt
(sorry, ich kenn mich eher mit richtigen FWs aus, und im firmeneinsatz
wuerd ich so eine geht/geht-nicht mechanik sofort ausschalten).
aber zurueck zum FAQ, da gibt es unter
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#NAT keine
einschraenkung auf UDP und auch nicht auf einen zusammenhang zu einer
vorherigen verbindung. das hoert sich eher so an wie "jedes paket wird
irgendwie zugestellt".
und ein hinweis, das stateful inspection ausschalten die sicherheit
erhoeht (auf kosten der bequemlichkeit) wuerde auch nicht schaden.
> "Firewall-Hole-Punching" funktioniert genau über diesen Mechanismus. Das
> ist zwar nett, weil es SIP zum Laufen kriegt, aber das System tut an
> sich nicht das, was man möchte.
firewall-hole-punching betrifft nicht nur DSL-router, damit kommt man
fast ueberall raus (solang nicht UDP-stateful abgeschaltet ist).
> Kom: und Google findet auch nichts. Und SELBST wenn, könnte man das sicher
> ausschalten, müsste also nicht NAT pauschal als nutzlos darstellen.
>
> Bei den üblichen Consumerroutern? Wo? Da kann man nichtmal FTP-NAT
> abschalten.Obwohl das ein bekanntes Problem ist.
meiner hat ein haeckchen "SPI" an/aus, das sollte es erledigen.
warum steht in der FAQ nicht was Du hier geschrieben hast (mit der man
seinen router vieleicht noch absichern koennte oder einen geeigneten
auswaehlen koennte) sondern eine falsche warnung mit der keiner was
anfangen kann ?
> FAQ: Was ist eine Firewall?
> Ant: Als Firewall bezeichnet man ein organisatorisches und technisches
> Konzept zur Trennung von Netzbereichen,...
> Kom: ... niemand ausserhalb der de.comp.security.firewall FAQ mit "Firewall"
> ein Firewall-Konzept meint sondern immer das Firewall-Gerät.
>
> Also nicht die Software? Auch nicht einen Proxy, der Fw-Funktionen hat?
anyway, definitiv nicht ein "konzept".
> Kom: Ja, eine Firewall sollte mit einem Konzept eingesetzt werden,
>
> Aha? Dann wäre der didaktische Effekt doch erreicht: Ein Gerät ohne
> Konzept ist nicht viel wert.
ja, aber wo sind denn nun die leute fuer die der begriff "firewall" ein
konzept ist ?
tschoe
arnim
arn...@rupp.de
On 23 Jan., 00:58, Ansgar -59cobalt- Wiechers
<usenet-2...@planetcobalt.net> wrote:
> Au weia. Ist Dir das nicht selbst peinlich, solchen Unfug zu veröf-
> fentlichen?
wieso, Du gibst mir doch weiter unten selber recht ...
> Ich greif' einfach mal ein paar besonders hypsche Passagen raus:
... und bei den nicht so huebschen passagen ist Dir ja auch nichts mehr
eingefallen. ist "firewall" fuer Dich ein konzept ? kennst Du einen
NAT-router mit TCP heuristik ? kennst Du jemanden der erfolgreich
regress-ansprueche wegen sicherheitsproblemen in software durchgesetzt
hat ?
> | Man muss eine Personal Firewall nicht verstehen, wenn sie alle Pakete
> | an die Ports 135 und 445 blockiert ist das einfach sicherer.
>
> Sicherer als was? Sicherer als gar keinen Dienst an diesen Ports
> lauschen zu lassen? Wohl kaum.
und dann gibt es noch das mittelding wenn man die dienste braucht die
ports per PFW nur sinnvolle IPs freizuschalten.
> | Hier zeigt sich gut, wie veraltet die FAQ ist. Die Zeiten, in denen
> | man sich Trojaner nur durch unbeabsichtigtes Öffnen von Email-Anhängen
> | eingefangen hat, sind lange vorbei.
>
> Ja, klar. Per E-Mail verbreitete Malware findet sich kaum noch im Netz.
> Fast gar nicht. Sicher doch.
Du hast das wort "nur" uebersehen, und das impliziert der FAQ.
> | Vieleicht bin ich mit meinem Laptop mal in einem unsicheren
> | Kunden-Netz,
>
> Wofür muss Dein Notebook im Kundennetz noch gleich Datei- oder Drucker-
> freigaben anbieten? Und eine noch weitaus interessantere Frage: wie
> genau glaubst Du eigentlich, dass Deine Personal Firewall Ports schützen
> soll, die Du im Kundennetz geöffnet hast?
z.b. weil sie fuer 10.0.0.0/8 freigegeben sind und der kunde 172.16/12
hat ?
> Nicht, dass ein Paketfilter
> auf einem Notebook unbedingt eine schlechte Idee wäre.
hey, Du widersprichst der FAQ ;)
> Wenn Du den verseuchten Laptop des Nachbarn in Dein privates Netz lassen
> willst, ist das natürlich Dein Privatvergnügen. Ich persönlich ziehe es
> allerdings vor, sowas gar nicht erst reinzulassen.
mir reichts die PFW so einzustellen, das er mich nicht stoert. und Du
hattest sicher noch nie ein fremdes laptop im eigenen netz ?
> | Diese Antwort war schon immer Quatsch, da der entsprechende RFC792
> | nicht vorschreibt (MUST), dass ein ICMP-unreachable geschickt werden
> | muss, sondern dies optional ist (MAY).
>
> Was genau gar nichts daran ändert, dass "keine Antwort" immer noch nicht
> bedeutet "da ist nichts".
ich glaub Du hast den RFC nicht verstanden: es gibt zwei faelle in
denen ein router kein ICMP-unreach schickt:
1. er bekommt eine antwort auf seinen ARP-who has x.x.x.x (IP aktiv
aber PFW verwirft alles)
2. er kriegt keine antwort auf seinen ARP-who has x.x.x.x, ist aber so
konfiguriert kein ICMP-unreach zu schicken (MAY!) (IP nicht aktiv)
wie unterscheidest Du diese beiden faelle?
> Je weiter diese Unsitte sich verbreitet, desto
> mehr werden Angreifer dazu übergehen, einfach mal alle Exploits abzu-
> feuern, egal ob da irgendwas auf ping antwortet oder nicht. Aber macht
> ja nix, wir haben eh viel zu viel Bandbreite.
der angreifer hat eine feste bandbreite, wenn er planlos in der gegend
rumballern muss anstatt gezielt trifft er weniger, was ist daran
schlecht?
> | Andere Leute empfehlen Personal Firewall, z.B. Bruce Schneier.
>
> Du solltest Dir vielleicht mal die Mühe machen, die Artikel, auf die Du
> verweist, auch zu lesen. Dann wäre Dir möglicherweise aufgefallen, dass
> er Personal Firewalls ausschließlich für Notebooks vorschlägt (ein
> Vorschlag, dem zumindest ich durchaus zustimme).
ok, eine stimmte mehr zum aendern der FAQ.
> | Dies ist absoluter Quatsch, es gibt keine binäre Sicherheit. Ausser
> | man definiert in diesem Satz "Szenario" so schmal, dass es das es sich
> | wirklich nur um einen einzigen möglichen Angriff handelt
>
> Ja, so definiert man ein Szenario üblicherweise. Wie sonst sollte man
> konkrete Sicherheitsmaßnahmen festlegen und bewerten?
aber in der detail-tiefe kann man keine szenarien-liste erstellen die
morgen noch gueltig ist, oder wie soll das gehen ?
> Dein Versuch, das
> ins Lächerliche zu ziehen, ändert daran genau gar nichts.
sorry, man kann nicht beides haben: eine hyper-detailierte
szenarien-liste laesst sich nicht erstellen, eine undetailierte liste
laesst sich nicht binaer bewerten.
Oliver Schad
> ok, eine stimmte mehr zum aendern der FAQ.
Nein. In der FAQ fehlen Begriffsdefinitionen. Es ist zudem sinnvoll
eine Klassifikation einzuführen zwischen reinen Paketfiltern,
Anwendungsfiltern, Inhaltefilter und Mischformen, mit GUI, ohne GUI,
Aufhebung der Rechtetrennung.
Sinnvoll einsetzbar sind reine Paketfilter, egal ob CLI oder GUI,
sofern Filter und GUI getrennte Programme sind, die die
Rechtetrennung nicht verletzen, schlank sind, eine Weile existieren
und nicht durch schlechtes Programmdesign auffallen. Schön ist, wenn
von unabhängigen kompetenten Dritten analysiert. Je nach
Sicherheitsanforderungen ist dies unbedingt nötig.
>> | Dies ist absoluter Quatsch, es gibt keine binäre Sicherheit.
>> | Ausser man definiert in diesem Satz "Szenario" so schmal, dass es
>> | das es sich wirklich nur um einen einzigen möglichen Angriff
>> | handelt
>>
>> Ja, so definiert man ein Szenario üblicherweise. Wie sonst sollte
>> man konkrete Sicherheitsmaßnahmen festlegen und bewerten?
>
> aber in der detail-tiefe kann man keine szenarien-liste erstellen
> die morgen noch gueltig ist, oder wie soll das gehen ?
Man kann klassifizieren.
mfg
Oli
--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen.
Gerald Vogt
Umlaute in den Quotings zerstörst und dazu noch selbst weder normale
Groß-/Kleinschreibung verwendest noch Umlaute, was beim Lesen doch
langsam Kopfschmerzen bereitet.
arn...@rupp.de wrote:
> Andreas Beck schrieb:
>
>> Die Schlußweise ist Unsinn. In mehrfacher Hinsicht.
>> 1. Die Originalantwort sagt nicht, daß der Rechner jetzt unsicherer ist.
>> Sie sagt nur, daß es für den Betreiber gefährlich ist, sich
>> konzeptlos auf eine "persönliche Firewall" zu verlassen.
>
> ich versteh nicht, worauf Du hinaus willst, wo ist der inhaltliche
> unterschied zwischen "gefaehrlich" und "unsicher" und welche relevanz
> hat er in diesem zusammenhang?
>
> und 99,9% der windows firewall user haben kein konzept, warum sind sie
> jetzt gefaehrdeter als ohne firewall ?
Microsoft hat ein Konzept mit der Firewall in Windows umgesetzt. Das
Konzept der anderen Software Firewalls ist mir nicht ganz klar, außer
dass sie dem Benutzer Schutz vor allem möglichen versprechen. Microsoft
hat nicht versprochen, dass mit der Firewall der Computer vor allen
Netzwerkgefahren geschützt ist. Viele Benutzer haben doch gar nicht mehr
bemerkt, dass da plötzlich eine Firewall mit SP2 lief.
In dem Augenblick, in dem sich die Benutzer aber blindlings auf die
Firewall verlassen, entwickeln sie selbst ein Konzept und eine Erwartung
daran, was die Firewall kann oder nicht kann und wie sie sie verwenden.
>> 2. Die XP-Firewall, die mit SP2 eingeführt wurde, ist _keine_
>> "Desktop-Firewall" im Sinne der FAQ. Sie ist ein hostbasierter
>> Paketfilter mit brauchbarer Grundkonfiguration.
>
> die FAQ macht keinen unterschied zwischen "desktop-firewall" und
> "hostbasiertem paketfilter". der letztere begriff kommt darin nicht
> vor, desktop firewall wird nirgendwo definiert.
Dann mach doch einen konkreten Vorschlag für eine Umformulierung. Mach
doch mal die Änderungen und poste einen Diff für ein aktualisiertes und
bessere FAQ... Es wird immer gerne gesagt, was nicht stimmt oder passt,
aber selten, wie es ganz konkret im FAQ besser geschrieben werden könnte.
> und Du bist ganz sicher, dass sie als begruendung immer die PFW
> anfuehren und nicht den virenscanner, der fuer das scannen von
> attachments zustaendig ist ? die risiko-kompensations-theorie waere
> fuer virenscanner viel logischer, aber irgendwie ist hoer ich sie nur
> von leuten die (warum auch immer) PFWs doof finden.
Es gibt genaus Risiko-Kompensation bei Virenscanner. Deshalb sind sie ja
auch nicht sonderlich sinnvoll. Ich kenne genügend Leute, die wegen des
Virenscanners gerne mal Software aus dubiosen Quellen testen. Sie
schwören auch auf die Firewall, die dann verhindert, falls diese
Software neben der versprochenen Bildverarbeitung noch eventuell eine
Netzwerkverbindung ins Internet aufbaut. Das sind dann meistens die
Leute, die einem steif und fest verklickern, dass es unvermeidlich ist,
dass man einen Virus oder sonstige Malware auf den Computer kriegt. (Ist
ja irgendwie schon ironisch, dass ausgerechnet diejenigen, die die
größte Phalanx an Sicherheitssoftware auf ihrem Computer aufbauen,
diejenigen sind, die so fest daran glauben, man bräuchte sie unbedingt,
weil man sonst innerhalb weniger Minuten einen unbrauchbaren Computer
hätte...)
Quantifizieren lässt sich das aber nur schlecht. Ich habe mir ein paar
Mal überlegt, eine Studie zu versuchen, aber wenn Du in die Details
gehst, dann merkst Du dass sie entweder viel zu oberflächlich ist oder
Du aber nie zum Ziel kommen wirst, weil es zu komplex wird, um eine
ordentliche Aussage zu treffen. Dazu sind die Anwender,
Einsatzszenarien, etc. viel zu unterschiedlich.
Es gibt Risiko-Kompensation durch Virenscanner oder PFW. Das es
Personengruppen gibt, bei denen die Tools tatsächlich einen positiven
Effekt haben, ist auch unbestritten. Allerdings sehe ich deutlich die
Diskrepanz zwischen Versprechen der Tool-Hersteller, dem tatsächlich
möglichen und dem Verständnis der meisten Anwender, was die Einsicht in
die Problematik betrifft. Ich sehe bei vielen Leuten im
Konsumentenbereich, dass die Software gekauft wird, um sich nicht weiter
mit dem Thema Sicherheit auseinandersetzen zu müssen. Genau deshalb aber
trifft nachher auf sie die Risiko-Kompensation zu. Früher oder später
fahren sie den "Karren" gegen die Wand trotz der Sicherheitssoftware.
Ohne Sicherheitssoftware müssen sich die Benutzer mit der Problematik
auseinandersetzen. Idealerweise natürlich, bevor sie den ersten Schritt
ins Internet setzen. Sie lernen so, vorsichtig zu sein und notwendige
Sicherheitsmaßnahmen bewusst zu ergreifen.
>> Autovergleich. *seufz*
>> Wäre es nicht dennoch vernünftiger, trotz der Sicherheitsmaßnahmen nach
>> wie vor vernünftig zu fahren?
>> Außerdem ist in letzter Zeit scheinbar (ich hab's nicht nachgeprüft -
>> aber die Rundfunkberichterstattung behauptet es) die Zahl der Gurtmuffel
>> erheblich gestiegen. Mit dem Argument "ich hab doch Airbag".
>
> also weil X% gurtmuffel spielen, wuerden ohne airbags weniger
> autofahrer sterben ?
Der Autovergleich ist meines Erachtens völlig sinnlos. Erstens müsste
das Auto im Vergleich ein hochkomplexes (in Bezug auf den Benutzer)
Universalfahrzeug
(Bagger-Kran-Schwerlasttransporter-Cabrio-Minivan-Schulbus) sein.
Zweitens müssten die betrachteten Sicherheitsmaßnahmen wesentlich
umfassender sein als nur ein einziger kleiner Aspekt. Eine PFW wäre der
komplett Airbag für das Universalfahrzeug, die verspricht, dass es
unmöglich ist, auch nur einen kleinen Kratzer am Fahrzeug zu erzeugen,
es weder geklaut werden kann noch sonst irgendwie fehlbedient werden kann.
Deshalb hinkt der Vergleich. Selbstverständlich gibt es immer Maßnahmen,
wo der positive Effekt unter dem Strich überwiegt. Das die einzelnen
Komponenten einer Sicherheitssoftware tatsächlich einen positiven Nutzen
haben können, ist doch unbestritten. Das Problem ist doch nur, wie die
Hersteller an der Stelle gerade selbst den Faktor der Risikokompensation
hochschrauben, in dem sie so viel versprechen, was den unbedarften
Benutzer leicht verleitet, Risiken einzugehen. Gerade dadurch, dass die
Software so viel verspricht, wird dem Benutzer vorgegaukelt, dass er
sich nicht mehr darum zu kümmern hat. Und genau dadurch wird eben der
hohe negative Effekt durch den Einsatz der Software erzeugt. Das
betrachtet auf dem Hintergrund, dass vieles von dem, was die Software
machen möchte, entweder nur halblebig technisch möglich ist, oder sich
leicht auch durch andere Maßnahmen (z.B. Umkonfiguration) erreichen
liesse, macht die ganze Sache eben noch fragwürdiger...
>> Aber das Problem ist, daß
>> man ohne Ahnung nicht weiß, ob und wann man welche Ausnahmen machen muß.
>>
>> Das führt in der Praxis in aller Regel zu "Word funktioniert nicht, ich
>> mach mal die Firewall aus". Wirklich.
>
> unwissende nutzer oder schlechte implementierungen sind aber kein
> grundsaetzlicher grund gegen personal firewalls.
Doch. Eben genau dann, wenn der überwiegende Effekt auf die Gesamtmenge
betrachtet, negativ ist. Ein schlechtes Medikament mit vielen Risiken
wird nicht zugelassen, auch wenn es manchmal hervoragende positive
Wirkung zeigt.
Eigentlich sollte man doch gar keinen unwissenden Nutzer an den Computer
lassen. Autofahren darf man auch erst nach Besuch der Fahrschule...
>> Kom: Und heutzutage verschicken tatsächlich viele Provider-Router kein
>> ICMP-unreachable mehr, d.h. solange der eigene DSL-Router oder die
>> Personal Firewall auf keine Packete antwortet, ist man "unsichtbar".
>>
>> Nein.
>
> doch, bei "kein ICMP-unreachable und alle pakete werden verworfen", ist
> man "unsichtbar" oder nicht ? was steht im FAQ dazu ? siehste, fehler.
??
Man ist unsichtbar, wenn der Router unreachable antwortet, man aber
tatsächlich da ist.
Wenn keine ICMP Antwort kommt, sagt das eigentlich nach RFC, dass ein
Rechner da ist, aber nicht antwortet. Wenn der ISP die ICMPs filtert,
dann wird dadurch trotzdem der Computer nicht unsichtbar. Es ist bloss
nicht mehr entscheidbar, ob der Computer angeschlossen ist oder nicht.
>> Wenn irgendein Dienst noch läuft, ist man das nicht die Bohne.
>
> doch, beispiel: zwei IPs habe einen webserver auf TCP 30000 laufen, die
> eine antwortet auf ping, die andere nicht. welcher port kriegt mehr
> angriffe ab ? (bitte keine ausfuehrungen ueber security by obscurity,
> es gibt eine eindeutige antwort und die besagt das der ping doch einen
> unterschied macht.)
Woher hast Du diese eindeutige Antwort? Das würde mich interessieren...
Ich kann Dir sagen, dass die Anzahl der Angriffe ziemlich gleichverteilt
ist, egal ob ein ping beantwortet wird oder nicht, gerade weil so viele
Pings unnötig gefiltert werden... Aber vielleicht kennst Du ja Studien,
die was anderes zeigen.
>> Wenn keinerlei Dienst läuft, ist eh keine Angrifffläche da - dann kann
>> man auch ruhig antworten.
>
> ip-stack overflow ? (niemand laesst z.b. einen exploit, der 10.000
> speicheradressen durchprobieren muss gegen ein IP laufen, von der er
> nix hoert )
Wieso nicht? Du machst einen verteilten Angriff. Resourcen dafür gibt es
im Internet doch genügend. Das geht doch schnell. Und Du wählst eine
zufällige Adresse bei einem Consumer-ISP. Da hängen doch die
interessanten Opfer, weil die nicht merken, wenn der Computer hackt ist.
Wenn da zufällig die Pings gefiltert werden, was solls...
Es gibt genügend Computer, um meine Internet IP pro Minute mehrmals nach
Windows-Filesharing zu untersuchen. Wo ist das Problem?
>> Es gibt einige ungepatchte Löcher, aber wenn jemand klagen würde,
>> würden die vermutlich auch blitzartig geschlossen, bzw. es gibt eine
>> schlüssige Erklärung, warum das nicht zwingend ist (z.B. es gibt ein
>> Nachfolgeprodukt).
>
> die urspruengliche FAQ-frage war:
>
> "Der Hersteller meiner Software bietet aber keine Patches zur
> Fehlerbehebung an. Also brauche ich eine Firewall!"
>
> glaubt irgendjemand tatsaechlich das regress-ansprueche die richtige
> loesung sind ? die FAQ bietet keine richtige loesung auf die frage und
> die regress-nummer steht da nur um nicht schreiben zu muessen "ja,
> personal firewalls koennen sinnvoll sein".
Regress-Ansprüche würde zwingen, etwas zu unternehmen.
Überhaupt werden ja inzwischen ironischerweise auch die Firewalls gerade
dazuverwendet, um die Updatefunktionen in den diversen Programme zu
blockieren. Die Leute sind tierisch empfindlich, wenn eine Software ohne
direkt ersichtlichen Grund versucht, "nach Hause zu telefonieren".
"Warum soll ich denn zulassen, das Adobe Reader einmal pro Woche
plötzlich eine Verbindung mit adobe.com aufbauen möchte? Adobe Reader
braucht keine Interverbindung. Also blockieren wir das schön.." Was
macht es da, dass man dies in den Einstellungen des Programms frei
wählen kann und dass man jetzt leider verpasst, wenn ein wichtiger
Sicherheitsupdate bereitgestellt wird...
>> Kom: Es gibt auch noch einen anderen Grund einen Rechner nicht sofort zu
>> patchen: Es ist ein Server in einer Firma und man muss den Patch erst
>> testen bevor einem alles um die Ohren fliegt. Beispiele von Patchen mit
>> Nebenwirkungen gibt es zur genüge.
>>
>> Ja. Genau. Man beachte, daß sich die Frage damit gar nicht beschäftigt.
>
> stimmt, weil man dann ja nochmal zugeben muesste, dass personal
> firewalls nuetzlich sein koennten, lieber einen grossen bogen um diese
> frage machen.
Nein. Du wirst da auf keinen Fall einen PFW einsetzen wollen, weil diese
sich selbst teilweise automatisch umkonfigieren kann. Du wirst da einen
ordentlichen Paketfilter einsetzen, den Du selbst administrierst und wo
Du genau weißt, was er kann und was nicht. Und wenn ein bestimmter
Angriff auf Deinen Server möglich ist und Du die Wahrscheinlichkeit hoch
einschätzt, dass dieser Angriff auch kommen wird, dann wirst Du entweder
den Paketfilter so einstellen, dass solche Zugriffe verhindert werden,
oder Du wirst eine gewisse Einschränkung der Servers in Kauf nehmen,
falls das Problem so umgangen werden kann oder Du wirst notfalls den
Server vom Netz nehmen oder doch den Patch einfach auf Risiko abupdaten.
Eine PFW hat damit wenig zu tun. Da sollte schon ein richtiger
Administrator ran und nicht Heinz und Kunz, die vom Computer nicht viel
verstehen... Niemand hat behauptet, dass die einzelnen Funktionen, die
eine PFW machen möchte, nicht sinnvoll sind und nicht zum Teil im echten
Einsatz benutzt werden. Nur im echten Netzwerkeinsatz werden diese
Funktionen von Komponenten übernommen, die explizit auf eine einzelne
Funktion zugeschnitten sind und von Leuten benutzt, die sich mit dem
Zeug wirklich auskennen. Eine PFW macht alles auf einmal und wird von
Leuten bedient, die sich nur sehr wenig mit der Problematik auskennen.
>> Kom: Wenn solange eine Software-Firewall auf dem Server das System sicherer
>> macht ist das eine gute Sache.
>>
>> Eine Firewall ersetzt keine Patches. Wenn der Dienst verwundbar ist, und
>> von niemandem erreichbar, ist er sicher. Dann kann man ihn aber auch
>> abschalten. Wenn der Dienst noch von irgendjemandem erreicht werden
>> kann, und verwundbar ist, ist er angreifbar. Also will man den Patch.
>
> und wenn's noch eine weile dauert bis der patch kommt oder er erst
> getestet werden muss? also ich wuerde die PFW so einstellen, dass der
> dienst nur von den IPs erreichbar ist, die ihn auch brauchen. beispiel
> wurmausbruch (a'la blaster) im intranet ueber TCP 135, 1000 PCs in
> einem netz, PFW erlaubt TCP 135 nur von den exchange servern. die PFW
> macht den unterschied ob die admins am abend 1000 oder 100 PCs neu
> aufsetzen duerfen.
Klar. Aber das Grundproblem war doch eigentlich, dass Du 1000 PCs laufen
lässt, die alle Filesharing machen. Wieso in aller Welt willst Du das
machen, wenn Du es eigentlich nur auf dem Exchangeserver haben willst.
Wieso in aller Welt wolltest Du dann eine PFW auf 1000 PCs installieren,
die das Windowssystem so ordentlich umkrempeln, dass Du das Ding danach
nie wieder richtig deinstalliert kriegen würdest? Wieso wolltest Du dann
diese 1000 PFWs administrieren, statt Dich direkt mit den
Windows-Services und den 1000 PCs auseinanderzusetzen???
>> Kom: Nunja, auch über diesen Rat freuen sich Spammer und Script-Kiddies
>> weil sie leichteres Spiel haben.
>>
>> Weil? Wo ist nochmal der Unterschied zwischen einer deinstallierten und
>> einer auf "allow all" geschalteten PFW?
>
> komische argumentation: nur weil ein paar daus ihre PFW abschalten weil
> sie nicht mehr drucken koennen heisst das nicht, das sie nicht nutzlich
> sind.
Nein. Aber es zeigt deutlich, dass die PFW bei weitem zu kompliziert für
den Benutzer ist. Da wäre es doch wesentlich einfacher gewesen, wenn
doch einfach alle Netzwerkservices abgeschaltet wären und gar kein Port
öffen wäre. Und glaube mir, es sind nicht nur DAUs, die die PFW
abschalten. PFW abschalten gehört für die meisten PFW Benutzer zu einem
der ersten Troubleshooting-Steps bei Netzwerkproblemen. Gerade weil im
Prinzip niemand genau das Verhalten der PFWs kennt.
>> Aha? Dann wäre der didaktische Effekt doch erreicht: Ein Gerät ohne
>> Konzept ist nicht viel wert.
>
> ja, aber wo sind denn nun die leute fuer die der begriff "firewall" ein
> konzept ist ?
Hmm. Das ist eben das Problem: da wird ein bestimmter Begriff jahrelang
falsch verwendet und vermarktet und dann irgendwann weiß niemand mehr,
was es eigentlich ist. Firewall ist ursprünglich ein Konzept zur
Sicherung von Netzen. Das jetzt jeder doofe NAT-Router eine "Firewall"
hat/ist, hilft da nicht. In Wirklichkeit benutzt er verschiedene
Mechanismen, die verwendet werden, wenn man eine Firewall aufbauen
möchte. "Firewall" vermarktet sich eben in der Headline besser als
"Packet-Filter" und anderes, was eigentlich eingesetzt wird...
Gerald
Stefan Reuther
> Juergen Ilse wrote:
>> DOS war dann in diesem Punkt nicht grob fahrlaessig sondern nur fahrlaessig,
>> da "del foo*bar.*" zwar nicht als "del *.*", wohl aber als "delfoo*.*"
>> interpretiert wurde ...
>
> Sorry, mein Fehler. Nehmen wir halt "del *foo.*".
>
>> Ich habe momentan keine Lust auszuprobieren, ob das bei Windows immer noch so ist.
>
> Zum Glück nicht.
Dafür macht jetzt "del *1.*" Laune.
del /p *1.*
Möchten Sie "D:\superlativ.jpg" löschen (J/N)?
("superlativ.jpg" heißt mit Zweitnamen "superl~1.jpg").
Stefan
Ralph Lehmann
> Thomas Hühn schrub:
>
>> Lukas Schratz <l_sc...@yahoo.com> writes:
>>
>>> liegst du von "Warum hast du das nicht dem Maintainer zum Einpflegen
>>> geschickt" bis "oh mein Gott, was redet der da? Schreibt noch groß
>>
>> Vielleicht, weil in der Vergangenheit oft genug deutlich gemacht wurde,
>> daß Änderungen nicht stattfinden werden, solange die hier stur
>> vertreteten Dogmen auch nur angekratzt werden könnten?
>
> Für Dogmen ist der Papst zuständig.
Nicht nur. ;-)
> Wenn Du fundierte, anständig begründete und womöglich mit Erfahrungen
> belegte Meinungen hast (und nein, "Das ist alles Quatsch" zählt da nicht
> dazu), dann hat hier sicher jeder ein offenes Ohr.
Das wage ich zu bezweifeln. Egal, ich versuche es trotzdem:
|FAQ:
|Warum werden in Fachzeitschriften bestimmte "persönliche Firewalls"
|trotzdem so gelobt?
Die Frage ist obsolet, die meisten Zeitschriften urteilen derzeit IIRC
doch ziemlich kritisch zum Thema PFW.
|Antwort:
|Die meisten Zeitschriften finanzieren sich über Werbung bis hin zum
|Abdruck von Werbetexten als redaktionelle Artikel. Aber auch seriöse
|Zeitschriften müssen Werbekunden berücksichtigen.
Suggeriert, dass Redaktionen bestechlich seien. Das ist prinzipiell
möglich, aber _nicht_ beweisbar.
|Darüberhinaus urteilt der Großteil der Zielgruppe nur danach, ob
|
| * bunte Bilder angezeigt werden,
| * die "Firewall" nicht abschmiert,
| * nach wie vor alle Verbindungen funktionieren, und
| * hin und wieder eine Meldung über ganz gefährliche Portscans,
|die jedoch erfolgreich abgewehrt wurden, erscheint.
Es gibt dazu IIRC keine Untersuchungen. Was also ist "ein Großteil der
Zielgruppe"?
Fazit: Diese FAQ ist entbehrlich und die Antworten sind problematisch.
IMHO sollte sie ersatzlos gestrichen werden.
ciao Ralph
Rainer Sokoll
> Joerg Hoh <jo...@joerghoh.de> wrote:
> > Guido Hennecke schrieb
> > Die tun genau das, wofür sie bezahlt werden; wenn ich die beauftrage
> > "Macht mal, daß ich von diesem Rudel Kisten (IP1,IP2,IPn) auf die
> > Maschine abc auf Port 443 kommen kann", dann tun die das.
> >
> > Das da zufällig SVN über HTTPS läuft, interessiert die nicht die
> > Bohne. Braucht sie auch nicht.
>
> Ah, Du sprichst von Firewall*monkeys*¹. Sag das doch gleich. Ein
> Firewall*admin* hat sich gefälligst Gedanken über die Sicherheit der
> Netze zu machen, die durch die Firewall(s) geschützt werden sollen. Dazu
> gehört auch, nicht einfach auf Zuruf beliebige dahergelaufene Ports
> aufzumachen.
Wenn der Firewall[admin|monkey] mein Dienstleister ist, erwarte ich
genau das von ihm: auf Zuruf freischalten. Es hat ihn schlichtweg nicht
zu interessieren, was ich mit meinen Maschinen mache. Er hat nur seinen
Vertrag zu erfüllen.
Rainer
Ralph Lehmann
Manfred Fiebig schrieb:
> Ich bin fassungslos...
Warum?
> Am 22.01.2007 23:24 tippte arn...@rupp.de:
>> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
>> de.comp.security.firewall FAQ zusammenzustellen:
>
> Huch, ein Softwareverkäufer meldet sich zu Wort und äußert Bedenken
> bezüglich des Umsatzes in einem bisher äußerst lukrativen Geschäft.
-v bitte. Belastender Link wäre optimal! ;-)
> Ich habe mir die Mühe gemacht, wenigstens das Wichtigste davon zu lesen.
Schön. Allein es fehlen Deine Kommentare dazu.
> Was eine Firewall ist weißt du und wofür man sie braucht auch?
Jedenfalls weißt Du es, oder? Leider hast Du aber nichts Erhellendes
dazu geschrieben.
> Nein? Hier stehts: http://tinyurl.com/34lw9b ab #29ff
Nicht nur dort und außerdem ...
> Nicht grundlos
> steht diese Artikelserie gerade in dieser Zeitschrift.
... was möchtest Du mit dieser Bemerkung genau zum Ausdruck bringen?
> Ich habe mal der Vorsicht halber und damit ich nicht der Trollerei
> bezichtigt werde, nach "arnim rupp" gegoogelt.
Sei so freundlich und teile mit, was Du gefunden hast. Solltest Du nicht
beabsichtigen, für alle hier Mitlesenden Relevantes zu posten, wähle
bitte zukünftig PM als Medium, um mit dem OP zu polemisieren.
> Hast du etwa Ing.Kohl aus
> Wien zum Dozenten gehabt?
d.a.f ist nebenan.
>> Es waere echt dufte wenn Ihr die mal korrigieren koenntet weil es gibt
>> immer noch Leute die diesen FAQ lesen und Ernst nehmen.
>
> Ich würde es noch besser finden, wenn du mal deinen Verstand benutzt und
> ein wenig bei http://www.ntsvcfg.de/linkblock.html zu lesen und lernen
> beginnst.
Wann warst Du denn das letzte mal dort? Ist Dir noch in Erinnerung, dass
dort unter anderem auch auf
http://www.bsi-fuer-buerger.de/
verwiesen wird? Nur so als Beispiel.
Würdest Du mir zustimmen, dass der Linkblock nicht nur teilweise
veraltet (wer bitte installiert heute noch ein W2K neu?) sondern auch in
sich inkonsistent und widersprüchlich ist? Das er tote Links enthält?
Ich jedenfalls schicke da niemanden mehr einfach so hin.
ciao Ralph
Ralph Lehmann
IIRC ging es dem OP um eine Korrektur. Letztlich sollte es also wieder
nur einen Text geben.
ciao Ralph
Manfred Fiebig
> |FAQ:
> |Warum werden in Fachzeitschriften bestimmte "persönliche Firewalls"
> |trotzdem so gelobt?
>
> Die Frage ist obsolet, die meisten Zeitschriften urteilen derzeit IIRC
> doch ziemlich kritisch zum Thema PFW.
>
> |Antwort:
> |Die meisten Zeitschriften finanzieren sich über Werbung bis hin zum
> |Abdruck von Werbetexten als redaktionelle Artikel. Aber auch seriöse
> |Zeitschriften müssen Werbekunden berücksichtigen.
>
> Suggeriert, dass Redaktionen bestechlich seien. Das ist prinzipiell
> möglich, aber _nicht_ beweisbar.
Bitte verlange nicht, das wir uns jetzt jede Bunte vornehmen und sie
zielgerichtet auf ihren exakten Inhalt hin untersuchen. Ich habe vor ca.
2 Jahren auf meiner Homepage mal über einen solchen Vorfall berichtet.
Ich hätte ihn behalten sollen.
Da gabe es einen Test über Virenscanner :-))) in einer ganz bestimmten
Zeitschrift. Er bestand aus zwei Teilen. Zum einen haben die Techniker
Punkte verteilt. Nach diesen Punkten befand sich ein Bestimmter an
zweiter Stelle, ganz knapp hinter dem Ersten, aber mit großen Abstand
zum Dritten.
Der zuständige Redakteur fasste nun die Ergebnisse in einem Wortbericht
zusammen und kam in seinen Empfehlungen zum Schluß, das der Scanner vom
zweiten Platz dort nichts zu suchen hat und wurde ans Ende seiner
Empfehlungsliste gesetzt. Dies alles in einem einzigen Artikel.
Ein Zusammenzählen der ganzseitigen Annoncen innerhalb eines Quartals
konnte die Empfehlungen des Redakteurs begründen. Ich kann dir jedoch
bestätigen, das die Redakteure nur sehr selten solche offensichtlichen
Schwachstellen zeigen.
--
der Hinterwäldler
liebt nicht Windows, hasst es aber auch nicht
Er hat nur festgestellt, das selbst Malware nicht
mehr das ist, was sie vor ein paar Jahren mal war.
Ralph Lehmann
> Am 24.01.2007 09:54 tippte Ralph Lehmann:
>> |FAQ:
>> |Warum werden in Fachzeitschriften bestimmte "persönliche Firewalls"
>> |trotzdem so gelobt?
>>
>> Die Frage ist obsolet, die meisten Zeitschriften urteilen derzeit IIRC
>> doch ziemlich kritisch zum Thema PFW.
>>
>> |Antwort:
>> |Die meisten Zeitschriften finanzieren sich über Werbung bis hin zum
>> |Abdruck von Werbetexten als redaktionelle Artikel. Aber auch seriöse
>> |Zeitschriften müssen Werbekunden berücksichtigen.
>>
>> Suggeriert, dass Redaktionen bestechlich seien. Das ist prinzipiell
>> möglich, aber _nicht_ beweisbar.
>
> Bitte verlange nicht, das wir uns jetzt jede Bunte vornehmen und sie
> zielgerichtet auf ihren exakten Inhalt hin untersuchen.
Mache ich nicht. Ich bitte lediglich darum, auf eine Behauptung zu
verzichten, wenn diese nicht beweisbar ist.
ciao Ralph
Rainer Sokoll
> * Rainer Sokoll <rai...@sokoll.com> wrote:
> > Wenn der Firewall[admin|monkey] mein Dienstleister ist, erwarte ich
> > genau das von ihm: auf Zuruf freischalten. Es hat ihn schlichtweg nicht
> > zu interessieren, was ich mit meinen Maschinen mache. Er hat nur seinen
> > Vertrag zu erfüllen.
>
> Und wozu ist denn fuer diese stumpsinnige Tetigkeit ein Mensch
> angestellt, obwohl es ein Webinterface genauso taete?
Weil Debugging immer noch einen Menschen mit intimen Kenntnissen
verlangt.
Rainer
Manfred Fiebig
> Andreas Beck schrieb:
>
>> Die Schlussweise ist Unsinn. In mehrfacher Hinsicht.
>> 1. Die Originalantwort sagt nicht, dass der Rechner jetzt unsicherer ist.
>> Sie sagt nur, dass es fuer den Betreiber gefaehrlich ist, sich
>> konzeptlos auf eine "persoenliche Firewall" zu verlassen.
>
> ich versteh nicht, worauf Du hinaus willst, wo ist der inhaltliche
> unterschied zwischen "gefaehrlich" und "unsicher" und welche relevanz
> hat er in diesem zusammenhang?
>
> und 99,9% der windows firewall user haben kein konzept,
Letztere Zeile ist grundsätzlich falsch.
Es geht nicht darum eine PFW zu empfehlen, die Diskussion zur besten PFW
hat selbst nach vielen Jahren zu keinem Ergebnis geführt, sondern dem
User ein in der Praxis erprobtes alternatives Konzept zur Vermeidung von
Gefahrensituationen zu vermitteln. In diesem Konzept hat eine PFW keinen
Platz und es sollte dem User vermittelt werden wie er sich verhalten
muss, falls sein System trotz aller Vorsicht infiziert ist.
Er muß sich also ein bestimmtes Szenario vorbereiten und im
"Erfolgsfall" abarbeiten. In vielen großen Foren (winfuture, w-w-w etc.)
ist man dazu übergengen. Nur in den Hinterzimmern der Softwareverkäufer
produzierten Pagen werden PFWs noch bevorzugt empfohlen.
Da du offensichtlich zu faul bist, die dir gegebenen Links aufzurufen
und zu lesen, versuche ich es mal mit einem Zitat aus dem deutschen
Wikipedia http://de.wikipedia.org/wiki/Personal_Firewall In der
Einleitung können wir lesen:
Eine Personal Firewall ist nur ein Typ bzw. eine Art einer Firewall.
Streng genommen ist es eigentlich gar keine Firewall, da eine Firewall
als eigenständige Netzwerkeinheit zwischen zwei Netzwerken, die sie
miteinander verbindet, filtert. Eine Personal Firewall jedoch filtert
zwischen einem Netzwerk und der Software des Rechners, auf dem sie
läuft. Ein Nachteil dieses Prinzips ist, dass das Hacken der
Firewallsoftware selbst bereits vollständigen Zugang zum zu schützenden
System gibt. Die Angreifbarkeit des Rechners wird an den Stellen, an
denen die Firewall aktiv ist, von seinem Netzwerk-Betriebssystem auf
seine Firewall verlagert. Eine zusätzliche Sicherheit entsteht hier
ausschließlich dadurch, dass eine Firewall weniger komplex ist als ein
ganzes Betriebssystem - und daher statistisch weniger Fehler eingebaut
worden sind.
Ende des Zitats
Es gibt ein seit Urzeiten bekanntes Law:
Alle Fehler addieren sich grundsätzlich zur ungünstigen Seite. Sie heben
sich niemals gegenseitig auf.
Das gelingt nicht einmal auf Dauer, wenn man zwei Paar löchrige Socken
übereinander anzieht.
--
der Hinterwäldler
Ich kann die Argumentation einiger User nicht verstehen.
Ca. 2 Mio kostenlosen Vollversionen, welche zum Erstellen
eines Partitionsbackup brauchbar waren, sind in deutschen
Restmülltonnen verschwunden. Selbst in dieser Minute lässt
sich mit ein klein wenig natürlicher Intelligenz ein brauchbares
Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Scanner, PFWs und Removertools "En gros"
verwendet
mak
> Hallo,
>
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
> de.comp.security.firewall FAQ zusammenzustellen:
>
> http://rupp.de/fehler_in_de.comp.security.firewall_FAQ.html
>
> immer noch Leute die diesen FAQ lesen und Ernst nehmen.
>
> arnim rupp
>
gratuliere,
ich glaube du hast soeben den längsten thread in der geschichte von de.comp.security.firewall ausgelöst.
auch ein claim to fame
:-)
Ralph Lehmann
> Am 24.01.2007 01:43 tippte arn...@rupp.de:
>> Andreas Beck schrieb:
>>
>>> Die Schlussweise ist Unsinn. In mehrfacher Hinsicht.
>>> 1. Die Originalantwort sagt nicht, dass der Rechner jetzt unsicherer ist.
>>> Sie sagt nur, dass es fuer den Betreiber gefaehrlich ist, sich
>>> konzeptlos auf eine "persoenliche Firewall" zu verlassen.
>>
>> ich versteh nicht, worauf Du hinaus willst, wo ist der inhaltliche
>> unterschied zwischen "gefaehrlich" und "unsicher" und welche relevanz
>> hat er in diesem zusammenhang?
>>
>> und 99,9% der windows firewall user haben kein konzept,
>
> Letztere Zeile ist grundsätzlich falsch.
>
> Es geht nicht darum eine PFW zu empfehlen, die Diskussion zur besten PFW
> hat selbst nach vielen Jahren zu keinem Ergebnis geführt, sondern dem
> User ein in der Praxis erprobtes alternatives Konzept zur Vermeidung von
> Gefahrensituationen zu vermitteln. In diesem Konzept hat eine PFW keinen
> Platz
Kommt darauf an, wie Du PFW definierst. Enthält die Definition "blinkt
wild und trötet von saugefährlichen Portscans" hast Du Recht.
Davon abgesehen gibt es _seltene_ Fälle, wo der Einsatz eines HBPF
sinnvoll ist. Z.B. dann, wenn sich eine benötigte Software nicht an ein
spezielles Interface binden lässt.
> Da du offensichtlich zu faul bist,
Nochmal: d.a.f. ist woanders.
> Wikipedia http://de.wikipedia.org/wiki/Personal_Firewall In der
> Eine Personal Firewall ist nur ein Typ bzw. eine Art einer Firewall.
> Streng genommen ist es eigentlich gar keine Firewall, da eine Firewall
> als eigenständige Netzwerkeinheit zwischen zwei Netzwerken, die sie
> miteinander verbindet, filtert.
Warum aber hat netfilter dann eine Input- und eine Output-Chain?
ciao Ralph
Thorsten Dahm
> Die tun genau das, wofür sie bezahlt werden; wenn ich die beauftrage
> "Macht mal, daß ich von diesem Rudel Kisten (IP1,IP2,IPn) auf die
> Maschine abc auf Port 443 kommen kann", dann tun die das.
Wenn's zur Sicherheitspolicy passt und Sinn macht. Wenn nicht kannst Du
solange brüllen wie Du willst, ich hole mir dann in der Zwischenzeit
einen Kaffee. BTDT mehrmals.
Gruß, Thorsten
--
Teamwork is essential -- it allows you to blame someone else.
Gerald Vogt
> gratuliere,
> ich glaube du hast soeben den längsten thread in der geschichte von
> de.comp.security.firewall ausgelöst.
>
> auch ein claim to fame
Wir sind noch nicht mal bei 80 Posts. Bis über die 430, die ich mal
ausgelöst habe, ist es doch noch ein Stückchen. ;-) Und ich habe nur
bis 2004 zurückgesucht.
Gerald
Lutz Donnerhacke
> Fazit: Diese FAQ ist entbehrlich und die Antworten sind problematisch.
> IMHO sollte sie ersatzlos gestrichen werden.
Ack. Gestrichen.
Lutz Donnerhacke
> Wenn der Firewall[admin|monkey] mein Dienstleister ist, erwarte ich
> genau das von ihm: auf Zuruf freischalten. Es hat ihn schlichtweg nicht
> zu interessieren, was ich mit meinen Maschinen mache. Er hat nur seinen
> Vertrag zu erfüllen.
Glücklicherweise bist Du da nicht mein Kunde, denn dann bekommst Du
ernsthafte Rückfragen, wenn mir die Anforderung inhaltlich unklar ist.
Ich notiere mir (als Dienstleister) welche Freischaltungen zu welchem
Teilprojekt des Kunden gehören und kann damit sagen, was alles weg kann,
wenn dieses Projekt nicht mehr benötigt wird.
mak
*flüster* was war denn dein thema ?
M
Lutz Donnerhacke
> Firewall gedacht?" Projektmanager macht bei den Firewall-Admins ein
> Ticket auf. Da die Netzwerker und Firewall-Menschen vom Hoster und nicht
> der Firma des Projektmanagers bezahlt werden, machen sie ohne
> Rückversicherung erstmal gar nichts.
Ich habe hier einen Kunden bei einem Hoster, dessen Firewalladmins jeden
Schritt einzeln beantragt haben wollen:
- Nennung des hostereignen DNS-Resolvers.
- Freigabe von UDP Port 53 auf hostereignen DNS-Resolvers.
- Freigabe von TCP Port 53 auf hostereignen DNS-Resolvers.
- Freigabe der interenen Quell-IP für rekursive Abfragen.
- Nennung des Namens des hostereigenen SMTP-Relays.
- Freischaltung des SMTP Zugriffs auf das hostereigene SMTP-Relay.
- Freischaltung abgehender E-Mail Adressen.
- Freischaltung von E-Mail Zieladressen pro abgehende E-Mail Adresse.
Pro Schritt ist jemand anders zuständig, den der aktuelle Gesprächspartner
des Hosters nicht kennt und im internen Telefonbuch suchen muß. Die
Beantragung kann nicht vom technischen Dienstleister (ich) erfolgen, sondern
muß vom entsprechend Berechtigten des Kunden ausgelöst werden. Die
Bearbeitungszeit pro Änderung liegt minimal bei zwei Stunden.
Seit zwei Wochen ist allein der Teil der Statusbenachrichtigung E-Mail nicht
funktionsfähig.
Kai Hessing
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
> de.comp.security.firewall FAQ zusammenzustellen:
>
> http://rupp.de/fehler_in_de.comp.security.firewall_FAQ.html
>
> Es waere echt dufte wenn Ihr die mal korrigieren koenntet weil es gibt
> immer noch Leute die diesen FAQ lesen und Ernst nehmen.
Konstruktive Verbesserungsvorschläge sind immer eine gute Sache. Dass
aber ein lautes Hereinpoltern und 'Ich hab euren ganzen Scheiß mal
überarbeitet, war ja eh nur Mist drin' nicht nur gegen jede Umgangsform
(sei es im Netz oder ausserhalb) geht, sondern auch nicht viel positives
Feedback erwarten lässt, sollte Dich nicht wundern.
Zumal Du selber einiges an Blödsinn schreibst.
Risikokompensation ist nur ein großes Problem, dass für jede Art von
Sicherheitslösung gilt. Da Du auf schlechte Autovergleiche stehst, wäre
es equivalent, dass man ja keinen Führerschein braucht, weil es doch
Airbag und Gurte gibt. Ein weiteres Problem ist, dass jeder zusätzliche
Code die potentielle Unsicherheit mit steigender Komplexität erhöht.
Dies ist einer der Hauptgründe - mal abgesehen von lustigen Dialogen,
die Otto-Normal-Dau eh nicht qaulifiziert beantworten kann - warum s.g.
Security-Suiten sowohl die Angriffsfläche erhöhen können und gerne mal
den Anwender bei der Arbeit behindern als auch das Betriebssystem auf
Systemeben zerhacken. Angehängte Nachrichten helfen Dir vielleicht ein
wenig beim Nachdenken [1]
Wo ich Dir recht gebe ist, dass eine kleine Erläuterung der Begriffe PFW
und HBPF sowie dem Unterscheid zwischen diesen sicherlich eine sinnvolle
Ergänzung wäre. Wahrscheinlich würde es Dir auch helfen, da Du die
beiden Dinge ja munter durcheinander wirfst. Die Windows-Firewall fällt
wohl eher in den Bereich des letzteren. Zumindest solange man den Knopf
'Keine Ausnahmen erlauben' aktiviert hat. Denn in der Regel sollte ein
Client überhaupt keine Dienste anbieten (darum heißt er Client) und
somit auch keine Ports öffnen (darum sollte man auch kein aktives FTP
verwenden. Der Server hat vorzugeben, wohin sich der Client connected
und nicht umgekehrt).
Dass jemand der einen Paketfilter konfigurieren kann, diesen auch
sinnvoll als Sicherheitskomponente einsetzen kann, steht ausser Frage.
Selbst wenn er auf der Maschine läuft, die er schützen soll.
[1] http://www.heise.de/newsticker/meldung/83747
http://www.heise.de/newsticker/meldung/82664
http://www.heise.de/newsticker/meldung/81114
http://www.heise.de/newsticker/meldung/79836
http://www.heise.de/security/news/meldung/79112
http://www.heise.de/security/news/meldung/78987
http://www.heise.de/newsticker/meldung/78429
http://www.heise.de/newsticker/meldung/77786
http://www.heise.de/newsticker/meldung/76523
http://www.heise.de/newsticker/meldung/76265
http://www.heise.de/newsticker/meldung/75596
http://www.heise.de/newsticker/meldung/75022
http://www.heise.de/newsticker/meldung/73846
http://www.heise.de/newsticker/meldung/73589
http://www.heise.de/newsticker/meldung/73542
http://www.heise.de/newsticker/meldung/72836
http://www.heise.de/newsticker/meldung/72578
http://www.heise.de/newsticker/meldung/72113
http://www.heise.de/security/news/meldung/70771
http://www.heise.de/newsticker/meldung/70355
http://www.heise.de/newsticker/meldung/68725
http://www.heise.de/newsticker/meldung/67688
http://www.heise.de/newsticker/meldung/65232
http://www.heise.de/newsticker/meldung/59804
http://www.heise.de/newsticker/meldung/58020
http://www.heise.de/newsticker/meldung/57714
http://www.heise.de/newsticker/meldung/56209
http://www.heise.de/newsticker/meldung/54232
http://www.securityfocus.com/archive/1/427122/30/0/threaded
http://de.wikipedia.org/wiki/Witty-Wurm
Thomas Hühn
> Risikokompensation ist nur ein großes Problem, dass für jede Art von
> Sicherheitslösung gilt. Da Du auf schlechte Autovergleiche stehst, wäre
> es equivalent, dass man ja keinen Führerschein braucht, weil es doch
> Airbag und Gurte gibt. Ein weiteres Problem ist, dass jeder zusätzliche
Jetzt wirds lächerlich. Der Führerschein soll dich nicht primär in die
Lage versetzen, irgendwelche Risiken einzuschätzen. Er soll nachweisen,
daß du die Verkehrsregeln kennst (neben ein paar anderen Dingen) und ein
Fahrzeug führen kannst.
Genau das meine ich: Hier kommen immer alle möglichen Leute und hauen
auf Strohmänner ein. So wie beim Beispiel "Malware kommt stets per
E-Mail", das ja gerade abgehandelt wurde. Hauptsache draufhauen.
Thomas
Rainer Sokoll
> Glücklicherweise bist Du da nicht mein Kunde, denn dann bekommst Du
> ernsthafte Rückfragen, wenn mir die Anforderung inhaltlich unklar ist.
Wenn mir meine eigene Anforderung nicht klar ist, frage ich Dich ja
ohnehin vorher ;-)
> Ich notiere mir (als Dienstleister) welche Freischaltungen zu welchem
> Teilprojekt des Kunden gehören und kann damit sagen, was alles weg kann,
> wenn dieses Projekt nicht mehr benötigt wird.
Deine Kunden sagen Dir Bescheid, wenn ein Projekt beendet ist?
Solche Kunden hätte ich auch gern.
Wenn ich nicht so faul wäre, würde ich mir mal etwas schreiben, das den
Traffic zu den Freischaltungen monitort und bei Unterschreiten eines
Schwellwertes über eine gewisse Zeitspanne mich benachrichtigt.
Rainer
Lutz Donnerhacke
> ich habe mir mal die Muehe gemacht die lange Liste der Fehler in Eurer
> de.comp.security.firewall FAQ zusammenzustellen:
Danke. Die Einwände auf Deine Einwände findest Du, wenn Du die betreffenden
Passagen der FAQ komplett und nicht sinnentstellend zitierst.
Einfaches Übungsbeispiel für Dich: Was sind Szenarien und wie bekommt man
prozentuale Angaben und die Aussage "sicherer".
Lösungsanleitung: Lies einfach den Satz nach dem Satz, den Du zitiert hast.
> Es waere echt dufte wenn Ihr die mal korrigieren koenntet weil es gibt
> immer noch Leute die diesen FAQ lesen und Ernst nehmen.
Schön. Danke.
Juergen P. Meier
> Kai Hessing <kai.h...@hobsons.de> writes:
>
>> Risikokompensation ist nur ein großes Problem, dass für jede Art von
>> Sicherheitslösung gilt. Da Du auf schlechte Autovergleiche stehst, wäre
>> es equivalent, dass man ja keinen Führerschein braucht, weil es doch
>> Airbag und Gurte gibt. Ein weiteres Problem ist, dass jeder zusätzliche
>
> Jetzt wirds lächerlich. Der Führerschein soll dich nicht primär in die
> Lage versetzen, irgendwelche Risiken einzuschätzen. Er soll nachweisen,
> daß du die Verkehrsregeln kennst (neben ein paar anderen Dingen) und ein
> Fahrzeug führen kannst
Du besitzt keinen Fuehrerschein, oder hast bei der theoretischen
Pruefung geschlagen, geschummelt oder schlicht den Inhalt verdraengt?
Das wuerde deine Fehleinschetzung zumindest erklaeren.
Lutz Donnerhacke
> Deine Kunden sagen Dir Bescheid, wenn ein Projekt beendet ist?
Erziehung. Ansonsten frage ich nach, warum die Regel nicht mehr greift.
> Wenn ich nicht so faul wäre, würde ich mir mal etwas schreiben, das den
> Traffic zu den Freischaltungen monitort und bei Unterschreiten eines
> Schwellwertes über eine gewisse Zeitspanne mich benachrichtigt.
BTDT. Du kannst einen Dienstleister nehmen ;-)
Thomas Hühn
>>> Risikokompensation ist nur ein großes Problem, dass für jede Art von
>>> Sicherheitslösung gilt. Da Du auf schlechte Autovergleiche stehst, wäre
>>> es equivalent, dass man ja keinen Führerschein braucht, weil es doch
>>> Airbag und Gurte gibt. Ein weiteres Problem ist, dass jeder zusätzliche
>>
>> Jetzt wirds lächerlich. Der Führerschein soll dich nicht primär in die
>> Lage versetzen, irgendwelche Risiken einzuschätzen. Er soll nachweisen,
>> daß du die Verkehrsregeln kennst (neben ein paar anderen Dingen) und ein
>> Fahrzeug führen kannst
>
> Du besitzt keinen Fuehrerschein, oder hast bei der theoretischen
> Pruefung geschlagen, geschummelt oder schlicht den Inhalt verdraengt?
Ich besitze einen Führerschein und erinnere mich sehr genau, daß die
Fragen der Art "am Straßenrand spielen Kinder, was tun Sie? (a) Vollgas
geben (b) langsam und vorsichtig vorüberfahren, dabei höchste Vorsicht
walten lassen" mit Risikoeinschätzung eher wenig zu tun haben und auch
vergleichsweise spärlich gesät waren zwischen all den "wer hat
Vorfahrt", "wie fahre ich umweltschonend" und ähnlichen Fragen.
Mittlerweile scheinen übrigens noch mehr "technische Details" zum
Funktionieren einzelner Subsysteme abgefragt zu werden als früher.
Thomas
Andreas Beck
das ist ziemlich sinnfrei.
arn...@rupp.de wrote:
> Andreas Beck schrieb:
>> Die SchluÃ?weise ist Unsinn. In mehrfacher Hinsicht.
>> 1. Die Originalantwort sagt nicht, daÃ? der Rechner jetzt unsicherer ist.
>> Sie sagt nur, daÃ? es fÞr den Betreiber gefÃĪhrlich ist, sich
>> konzeptlos auf eine "persÃķnliche Firewall" zu verlassen.
> ich versteh nicht, worauf Du hinaus willst, wo ist der inhaltliche
> unterschied zwischen "gefaehrlich" und "unsicher" und welche relevanz
> hat er in diesem zusammenhang?
Keine.
> und 99,9% der windows firewall user haben kein konzept, warum sind sie
> jetzt gefaehrdeter als ohne firewall ?
Windows-Firewall = HBPF != PFW
>> 2. Die XP-Firewall, die mit SP2 eingefÞhrt wurde, ist _keine_
>> "Desktop-Firewall" im Sinne der FAQ. Sie ist ein hostbasierter
>> Paketfilter mit brauchbarer Grundkonfiguration.
> die FAQ macht keinen unterschied zwischen "desktop-firewall" und
> "hostbasiertem paketfilter". der letztere begriff kommt darin nicht
> vor, desktop firewall wird nirgendwo definiert.
Das wäre ggf. nachzutragen.
> das eine brauchbare grundkonfiguration eine ausnahme bildet wird auch
> nirgends erwaehnt, es wird pauschal von allen personal firewalls
> abgeraten.
Sie sind nicht nötig. Und wenn ich Bugtraq in letzter Zeit lese:
Gefährlich.
>> Mailattachment zweifelhafter Herkunft einfach gestartet haben, oder
>> eine RÞckfrage der PFW einfach bestÃĪtigt haben. Die Antwort ist leider
>> gerne "ich habe doch $PRODUKT - wenn das gefÃĪhrlich wÃĪre, wÞrde es mich
>> doch schÞtzen". Ja, auch wenn sie $PRODUKT gerade gesagt haben, da� sie
>> gar nicht geschÞtzt werden wollen.
> und Du bist ganz sicher, dass sie als begruendung immer die PFW
> anfuehren und nicht den virenscanner, der fuer das scannen von
> attachments zustaendig ist ?
Es ging um den grunsätzlichen Mechanismus der Risikokompensation. Der
ist vorhaden. In beiden Fällen.
> die risiko-kompensations-theorie waere fuer virenscanner viel
> logischer, aber irgendwie ist hoer ich sie nur von leuten die
> (warum auch immer) PFWs doof finden.
Selektive Wahrnehmung? Ich behaupte das von beiden.
>> Au�erdem ist in letzter Zeit scheinbar (ich hab's nicht nachgeprÞft -
>> aber die Rundfunkberichterstattung behauptet es) die Zahl der Gurtmuffel
>> erheblich gestiegen. Mit dem Argument "ich hab doch Airbag".
> also weil X% gurtmuffel spielen, wuerden ohne airbags weniger
> autofahrer sterben ?
Die X% wären sicherer, wenn sie sich bewußt wären, daß der Airbag
alleine nicht schützt.
>> Kom: Man muss eine Personal Firewall nicht verstehen, wenn sie alle Pakete
>> an die Ports 135 und 445 blockiert ist das einfach sicherer.
>> Und verhindert die Nutzung der betreffenden Dienste. Das ist der Default
>> der Windows-Firewall. Der ist nicht schlecht.
> oh, schon wieder zustimmung zu "hostbasierten paketfiltern",
Nein. Es ist ein blöder Notnagel. Dienst aus ist besser.
>> Aber das Problem ist, daÃ?
>> man ohne Ahnung nicht weiÃ?, ob und wann man welche Ausnahmen machen muÃ?.
>> Das fÞhrt in der Praxis in aller Regel zu "Word funktioniert nicht, ich
>> mach mal die Firewall aus". Wirklich.
> unwissende nutzer oder schlechte implementierungen sind aber kein
> grundsaetzlicher grund gegen personal firewalls.
Ömm doch. Die PFWs, die Ziel der FAQ sind, suggerieren dem Nutzer, es
wäre ganz einfach, einen HBPF zu konfigurieren. Ganz einfach ist aber
nur der Schalter "an und aus". Und der ist gefährlich. Vor allem, weil
er gern und schnell bedient wird. Aus nichtigen Anlässen.
>> FAQ: Ich bekomme aber Pakete an Trojanerports!
>> Ant: Wenn Du einen Trojaner installiert hast, so hast Du das absichtlich
>> getan.
>> Ist das die ganze Antwort?
> es geht mir darum, dass der satz da oben nicht mehr gueltig ist. mit
> attachments aufzupassen nicht mehr genug um sich vor trojanern zu
> schuetzen = fehler in der FAQ.
Nein. Ein Trojanisches Pferd ist per Definition ein Vehikel, das außer
seiner Nutzfunktion einige Griechen im Bauch hat. Das wird per
Definition wegen seiner Nutzfunktion absichtlich installiert.
Alles andere ist ein Wurm.
Inwieweit idiotische Sicherheitsdialoge das "absichtlich" relativieren,
ist noch eine andere Frage.
>> Falls ja, sollte ... ah ... nachgeguckt ...
>> Klasse, Du verschweigst:
>> "Davor konnte Dich die Firewall nicht schÞtzen. Und es ist sowieso zu
>> spÃĪt."
>> Der letzte Satz ist der Knackpunkt. Ist ein Trojaner aktiv, ist es
>> eh zu spÃĪt. Egal wie er installiert wurde.
> das macht den satz da oben nicht richtig.
Wenn einzelne Sätze ohne Kontext richtig sein sollen, dann schreib es
als Axiomensystem auf. In einer kontextfreien Sprache Deiner Wahl.
Die FAQ soll nicht aximoatische Wahrheiten verbreiten, sondern dem Leser
zu Erkenntnis verhelfen.
Und die Erkenntnis: "Wenn ich den Trojaner habe, habe ich eh ein
Problem, wenn nein, können mir die Scans egal sein" wird IMHO gut
transportiert.
>> Kom: Die Zeiten, in denen man sich Trojaner nur durch unbeabsichtigtes
>> Ã?ffnen von Email-AnhÃĪngen eingefangen hat, sind lange vorbei.
>> Nur von mir aus. Aber es ist immer noch eine der primÃĪren Quellen.
> waere schoen wen das so in der FAQ stehen wuerde und nicht "die einzige
> quelle".
Wortklauberei. Kann man auch umgekehrt machen. Siehe oben.
> koennte man ja auch falsch interpretieren: wenn ich mit attachment
> aufpasse, kann ich mir keinen trojaner holen.
Kann man auch nicht. Wenn man Attachment weit genug faßt.
Will sagen: "Nicht absichtlich installiert"
> der FAQ-leser wird in falscher sicherheit gewogen anstatt aufzupassen,
> auf welche webseiten er geht und updates zu installieren.
Ah - alle Wahrheit dieser Welt soll immer gleich in jedem Satz
mitschwingen? Klar. Wird sicher lesbar.
>> Kein moderner Trojaner hat noch ein Problem damit, von sich aus
>> _rauszukonnektieren_. Das kann man nicht zuverlÃĪssig verhindern. Also
>> ist es nach wie vor besser, Trojanerbefall zu vermeiden.
> es ging um eingehend zu den trojaner-ports, und das ist eine nuetzliche
> sache, siehe:
> http://www.theregister.co.uk/2006/05/04/nugache_p2p_botnet/
> den peer to peer braucht lauschende ports.
Ich les den Kram jetzt nicht, aber nein, die braucht man nicht. Man
braucht nichtmal Ports.
>> Du muÃ?t auf jeden Fall umkonfigurieren, wenn Du Netze mit verschiedenem
>> Sicherheitsstatus an das gleiche Interface bastelst.
> in der FAQ steht aber, es reicht wenn ich keine windows-freigabe auf
> dem dial-up-interface habe. koennte man ergaenzen.
Der Fall mit teilweise sicheren Netzen am selben Interface könnte einem
aber auch auffallen ...
>> Kom: Oder der Nachbar kommt mit seinem verseuchten Laptop rÞber in mein
>> Netz.
>> Und dann hilft eine PFW genau was? Wenn er in Deinem Netz ist, hat er
>> die Rechte, die jeder andere Rechner in Deinem Netz hat.
> ich kann doch meinen PCs IPs bis .127 geben und per DHCP .129-.254
> verteilen lassen. (ja, er koennte sich selber eine IP <.127
> konfigurieren, aber auf die idee kommt (bisher) kein wurm.)
Das ist keine Security, das ist Obscurity. Maximal.
>> Es ist aber eine gute Idee, das zu tun. Alles andere erschwert nur die
>> Fehlersuche.
> das stimmt, aber trotzdem ist der FAQ-satz da oben falsch und sollte
> korrigiert werden.
Nein. Man hätte nur noch mehr schwachsinnig konfigurierte Netze.
>> Kom: Und heutzutage verschicken tatsÃĪchlich viele Provider-Router kein
>> ICMP-unreachable mehr, d.h. solange der eigene DSL-Router oder die
>> Personal Firewall auf keine Packete antwortet, ist man "unsichtbar".
>> Nein.
> doch, bei "kein ICMP-unreachable und alle pakete werden verworfen", ist
> man "unsichtbar" oder nicht ?
Und hat keinerlei Netzkonnektivität mehr. Und wenn man beim "falschen"
ISP ist, ist man es wieder nicht.
Der wesentliche Punkt ist eh: Es ist _sinnlos_ unsichtbar sein zu
wollen.
>> Wenn irgendein Dienst noch lÃĪuft, ist man das nicht die Bohne.
> doch, beispiel: zwei IPs habe einen webserver auf TCP 30000 laufen, die
> eine antwortet auf ping, die andere nicht. welcher port kriegt mehr
> angriffe ab ?
Der, der häufiger gescannt wird. Das spielt Null Rolle.
> (bitte keine ausfuehrungen ueber security by obscurity, es gibt eine
> eindeutige antwort und die besagt das der ping doch einen unterschied
> macht.)
Welchen?
>> Wenn keinerlei Dienst lÃĪuft, ist eh keine AngriffflÃĪche da - dann kann
>> man auch ruhig antworten.
> ip-stack overflow ?
Den Du wie abwendest? Mit einer PFW? Mit 20000 Zeilen zusätzlichem Code?
> (niemand laesst z.b. einen exploit, der 10.000 speicheradressen
> durchprobieren muss gegen ein IP laufen, von der er nix hoert )
Nein?
>> In Kundennetzen, in denen so ein BlÃķdsinn (Filtern von Debuginformationen)
>> gemacht wird, weise ich kurz darauf hin, daÃ? das die Fehlersuche erschwert
>> und ich keine Klagen Þber die hohe Rechnung hÃķren will, und gut.
> moment mal, der text waere "ihr seid schutzpatrone von spammern und
> skript-kiddies" ;)
Polemik liegt mir nicht - nicht geschäftlich.
>> Kom: Weitere GrÞnde fÞr "keine Antwort", die es schon immer gab ...
>> Ja klar kriegt man ab und zu keinerlei RÞckantwort. In aller Regel von
>> kaputten Systemen.
> aber in der FAQ steht, dass bei "keiner antwort" jemand da ist, fehler,
> sollte korrigiert werden.
Damit noch mehr Schwachsinnige diesen Blödsinn, der definitiv nichts
bringt, aber kolossal nervt, wenn man versucht denjenigen zu helfen,
machen?
>> Wieso? M$ patcht seine Produkte. Inzwischen sogar relativ zeitnah.
> 284 Tage unsicher: Internet Explorer im Jahre 2006
IE ist nochmal was für ein Dienst? Dem hilft eine PFW genau wie?
> glaubt irgendjemand tatsaechlich das regress-ansprueche die richtige
> loesung sind ? die FAQ bietet keine richtige loesung auf die frage und
> die regress-nummer steht da nur um nicht schreiben zu muessen "ja,
> personal firewalls koennen sinnvoll sein".
Um den IE zu schützen? Ja, klar.
>> Kom: Es gibt auch noch einen anderen Grund einen Rechner nicht sofort zu
>> patchen: Es ist ein Server in einer Firma und man muss den Patch erst
>> Ja. Genau. Man beachte, daÃ? sich die Frage damit gar nicht beschÃĪftigt.
> stimmt, weil man dann ja nochmal zugeben muesste, dass personal
> firewalls nuetzlich sein koennten, lieber einen grossen bogen um diese
> frage machen.
Wenn man den Dienst nicht braucht, macht man ihn aus. Wenn man ihn
braucht, _kann_ man ihn nicht schützen - man braucht ihn ja.
Frühestens mit einem Layer-7-Filter ginge da was.
>> Eine Firewall ersetzt keine Patches. Wenn der Dienst verwundbar ist, und
>> von niemandem erreichbar, ist er sicher. Dann kann man ihn aber auch
>> abschalten. Wenn der Dienst noch von irgendjemandem erreicht werden
>> kann, und verwundbar ist, ist er angreifbar. Also will man den Patch.
> und wenn's noch eine weile dauert bis der patch kommt oder er erst
> getestet werden muss? also ich wuerde die PFW so einstellen, dass der
> dienst nur von den IPs erreichbar ist, die ihn auch brauchen.
Und die sind dann lieb, ja? Und warum schränkt man den Dienst nicht
_immer_ auf jene IPs ein?
>> AuÃ?er daÃ? letztere evtl. noch weiteren angreifbaren Code im
>> Netzwerkdatenpfad unterbringt?
> ja witty war nicht so dolle aber blackICE war ja wohl auch schlecht
> programmiert wenn's pakete durch die engine laufen laesst bevor klar
> ist, ob die ueberhaupt gebraucht werden :)
*hust* liest Du Bugtraq in letzter Zeit? Besonders das was Mr. Matoussec
(spelling?) so ausgräbt?
>> Das kriegt er hin, und wenige Minuten spÃĪter hat der ungepatchte PC
>> eine Blaster-Variante.
> hier zeigt sich die gefaehrlichkeit dieser FAQ, sie schlaegt direkt vor
> die firewall ueber bord zu werfen, wenige minuten nach lesen der FAQ
> und befolgen des ratschlags haette $leser seinen blaster:
> Ich mußte alles zulassen, sonst geht Napster nicht mehr!
> Deinstalliere die Firewall. Du brauchst das nicht.
Ja, klar. Selektives Lesen. Jetzt ist gut. [x] plonk.
Lutz Donnerhacke
>> Die Bearbeitungszeit pro Änderung liegt minimal bei zwei Stunden.
>
Diese Minimalzeit erreicht man nur, wenn man mit dem Kunden in den
Geschäftsräumen des Chefs steht.
Juergen Ilse
> Ansgar -59cobalt- Wiechers <usenet-2...@planetcobalt.net> wrote:
>> | Man muss eine Personal Firewall nicht verstehen, wenn sie alle Pakete
>> | an die Ports 135 und 445 blockiert ist das einfach sicherer.
>> lauschen zu lassen? Wohl kaum.
> und dann gibt es noch das mittelding wenn man die dienste braucht die
> ports per PFW nur sinnvolle IPs freizuschalten.
"Sinnvoll" waere in diesem Zusammenhang eher, an der Netzgrenze zu filtern.
"Traffic von aussen" ist per Definition nur bedingt vertrauenswuerdig, da
du dich nicht darauf verlassen kannst, dass er wirklich von der angegebenen
Absender-Adresse stammt (Stichwort IP-Spofing), und im lokalen Netz inner-
halb des selben Netzsegments direkt auf dem Host nach IP-Adressen filtern
zu wollen, macht auch nur sehr bedingt Sinn (denn dort ist IP-Spoofing
sogar sehr viel leichter, solange man nicht zusaetzliche Massnahmen wie
Switches mit Port-Security oder dergleichen einsetzt: ein Szenario, dass
man in "heimischen Netzen von Privatanwendern" eher nur selten antrifft).
>> | Vieleicht bin ich mit meinem Laptop mal in einem unsicheren
>> | Kunden-Netz,
>> Wofür muss Dein Notebook im Kundennetz noch gleich Datei- oder Drucker-
>> freigaben anbieten? Und eine noch weitaus interessantere Frage: wie
>> genau glaubst Du eigentlich, dass Deine Personal Firewall Ports schützen
>> soll, die Du im Kundennetz geöffnet hast?
> z.b. weil sie fuer 10.0.0.0/8 freigegeben sind und der kunde 172.16/12
> hat ?
Du haeltst das filtern nach IP-Adressen auf dem Host, bei dem du bestimmte
Adressbereiche pauschal zulaesst, fuer eine ausreichende Sicherheitsmassnahme
fuer den Betrieb in nicht vertrauenswuerdigen Netzen? Das "nicht anbieten
von Netzwerkdiensten" in solchen Umgebungen erscheint mir da doch erheblich
sinvoller und sicherer ...
>> Je weiter diese Unsitte sich verbreitet, desto
>> mehr werden Angreifer dazu übergehen, einfach mal alle Exploits abzu-
>> feuern, egal ob da irgendwas auf ping antwortet oder nicht.
Das passiert doch schon laengst. Es ist schon heute erheblich effektiver,
auf Verdacht exploits zu senden, als vorher ueberpruefen zu wollen, ob
da ueberhaupt ein Rechner mit dieser IP ist (und wenn ja, ob er angreifbar
waere). Die Logfiles einer nahezu beliebigen Firewall duerften das ohne
Probleme belegen koennen.
> der angreifer hat eine feste bandbreite, wenn er planlos in der gegend
> rumballern muss anstatt gezielt trifft er weniger, was ist daran
> schlecht?
Er trifft damit nicht weniger. Wuerden Angreifer damit tatsaechlich
weniger treffen, wuerden sie nicht planlos ganze (vergebene) Netzbereiche
mit "Exploits auf Verdacht" beschiessen, ohne auch nur ein einziges mal
einen Versuch eines Portscans oder dergleichen zu unternehmen.
>> | Dies ist absoluter Quatsch, es gibt keine binäre Sicherheit. Ausser
>> | man definiert in diesem Satz "Szenario" so schmal, dass es das es sich
>> | wirklich nur um einen einzigen möglichen Angriff handelt
>> Ja, so definiert man ein Szenario üblicherweise. Wie sonst sollte man
>> konkrete Sicherheitsmaßnahmen festlegen und bewerten?
> aber in der detail-tiefe kann man keine szenarien-liste erstellen die
> morgen noch gueltig ist, oder wie soll das gehen ?
"Sicherheit ist kein Zustand sondern ein Prozess" meine ich dazu mal gelesen
zu haben ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Thomas Hühn
> * Thomas Hühn <newsg...@thomas-huehn.de> wrote:
>> "Juergen P. Meier" <nospa...@jors.net> writes:
> [...]
>>>> Jetzt wirds lächerlich. Der Führerschein soll dich nicht primär in die
>>>> Lage versetzen, irgendwelche Risiken einzuschätzen. Er soll nachweisen,
>>>> daß du die Verkehrsregeln kennst (neben ein paar anderen Dingen) und ein
>>>> Fahrzeug führen kannst
>>> Du besitzt keinen Fuehrerschein, oder hast bei der theoretischen
>>> Pruefung geschlagen, geschummelt oder schlicht den Inhalt verdraengt?
>> Ich besitze einen Führerschein und erinnere mich sehr genau, daß die
>> Fragen der Art "am Straßenrand spielen Kinder, was tun Sie? (a) Vollgas
>> geben (b) langsam und vorsichtig vorüberfahren, dabei höchste Vorsicht
>> walten lassen" mit Risikoeinschätzung eher wenig zu tun haben und auch
>> vergleichsweise spärlich gesät waren zwischen all den "wer hat
>> Vorfahrt", "wie fahre ich umweltschonend" und ähnlichen Fragen.
> [...]
>
> Und Bremsweg abschaetzen (gar errechnen), Geschwindigkeiten einschaetzen
> lernen )wie viele Meter lege ich bei 50km/h pro Sekunde zurueck) etc.
> wurde bei dir alles ausgelassen? Auch Themen wie nasse und verschmutzte
> Fahrbahn und der Sitzuation angepasste Fahrweise wurden nicht behandelt?
Doch, selbstverständlich wurden sie das. Ich habe auch keineswegs
behauptet, daß Risikobetrachtungen ausgeklammert würden; mein Vorredner
reduzierte den Führerschein aber darauf.
Thomas
Rainer Sokoll
> * Rainer Sokoll <rai...@sokoll.com> wrote:
> > Weil Debugging immer noch einen Menschen mit intimen Kenntnissen
> > verlangt.
>
> Ja, aber doch nicht am Paketfilter sondern an einem der beiden
> Kommunikationspartner. Achso, ja, ICMP ist ja boese, dann wirds
> Debugging natuerlich schwierig.
Auf Endsysteme hast Du aber keinen Zugriff. Kunde aber mault Dich an:
"Geht nicht!" Was tust Du, sei es auch nur, um Deine Unschuld
nachzuweisen? Du debugst das, was Du hast: Den Traffic, der über Deine
Systeme (in diesem Falle: Deine Firewall) läuft.
Oder gar: das Kunden-VPN terminiert auf /Deiner/ Firewall. Gerade
VPN-Debugging ist nichts, was jeder Dödel beherrscht.
Rainer
Juergen P. Meier
> mein Vorredner reduzierte den Führerschein aber darauf.
Unsinn. Natuerlich habe ich den Fuehrerschein nicht darauf reduziert.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)