[linux-l] [uplug] www.microsoft.com running on linux :)
Peter Ross
Peter.Ross at alumni.tu-berlin.de
Mo Sep 1 11:56:34 CEST 2003
On Mon, 1 Sep 2003, Peter Becker wrote:
> Aber das find ich auch geil... "IIS 6.0 running on Linux"
> Schon eine lustige Lösung für das Wurmproblem...
Es ist ja gaengig und auch vernuenftig, einen Firewall vor einen Server zu
setzen und nur einen benoetigten Port zu forwarden.
Und der MS Firewall (leider habe ich den Namen des Produkts vergessen) ist
mit seinem mehr oder minder "vollem" MS-Betriebssystem und darauf
aufgebauten Paketfilter- und Proxyfaehigkeiten eher etwas fuer Leute mit
Windows everywhere, die sich mangels Kenntnis nicht trauen, etwas anderes
anzufassen, als eine technisch vernuenftige Idee (allein die
Minimalanforderungen an RAM waren wahnwitzig, wenn ich das mit dem
32-MB-Pentium-133 vergleiche, der in meiner alten Firma fuer 100 Leute
seinen Dienst tut, an einer 2MB/sec-Leitung)
Das Gleiche gilt wohl auch fuer andere Software-Firewall-Loesungen, die
prinzipiell auch fuer Windows zu haben sind, aber mehr oder minder, weil
es das Marketing verlangt, vermute ich.
Anyway, wenn Du eine Firewall vor eine Kiste stellst, und einen Port wie
z.B. den RPC-Dienst forwardest, der gerade ein Sicherheitsloch hat, hast
Du gar nichts gewonnen. Das Gleiche gilt duer DDoS-Attacken. Paketfilter
gegen Pakete von ueberall zu wappnen, ist alles andere als trivial.
Wenn Du weisst, dass Dir tausendmal "Bill Gates - warum hast Du das
getan." begegnet, kannst Du es immerhin in einem speziellen
Linux-Netfiltermodul oder Proxydienst, zu dem erst geforwardet wird,
abfangen, so dass sich nicht der Zieldienst damit rumschlagen muss. Die
Leitung dahin ist und bleibt aber dicht.. wogegen mehr Leitungen und
IP-Adressen dienen und dann z.B. DNS-Round-Robin hilft.
Wobei das DNS-Caching verschiedener Windowsen leider fehlerhaft damit
umgeht und immer wieder die erste Adresse benutzt, die es mal aufgeloest
hat, so dass es erst durch die Masse wieder verteilt wird..
Wie auch immer, wenn ich ASP-Applikationen zu hosten haette, kaeme die
Windose auch hinter einen Unix-Firewall. Fuer einen Sourcesafeserver zum
verteilten Entwickleln habe ich soetwas auch schon getan, ob der Dienst
und seine Authorisierung sicher genug war, fragen Sie bitte Ihren
Microsoftberater oder lesen tcpdump mit;-)
Ich habe ihnen noch putty mit Port-Forwarding fuer den Verbindungsaufbau
angeboten, benoetigt nur einen Klick, um es auszufuehren, und als
Sourcesafe-Server wird halt localhost beim Entwickler eingetragen, aber
das war denen zu kompliziert..
Es gruesst
Peter
Mehr Informationen über die Mailingliste linux-l