[linux-l] Firewall ja oder nein?

[Steffen Dettmer]

* Nico Golde wrote on Wed, Jan 11, 2006 at 19:33 +0100:
> Hi,
> * Nimer Yusef <nimer at nimerland.de> [2006-01-11 19:01]:
> > man liest immer viel über Firewalls, und hat manchmal das gefühl ohne kann
> > man gar nicht mehr leben...
> > 
> > Meine Frage ist es wirklich Sinnvoll wenn man einen PC hat eine Firewall
> > zu betreiben? Wenn ich keine Dienste laufen habe, macht doch auch eine
> > Firewall keinen Sinn oder übersehe ich da etwas?
> > 
> > Würde mich mal sehr interessieren was ihr dazu denkt!
> 
> Du meinst mit Firewall sicher Paketfilter oder?

Schön, dass dieser Punkt hier gleich als erstes genannt wurde, Danke
Nico, wollte ich nämlich auch erstmal schreiben :-)

> Ich sag mal so, wenn du nichts extra laufen hast, was 
> irgendwie kritisch ist dann nicht.

Ausserdem ist Masquerading (oder "address hiding", wie's früher mal
hiess :)) ein prima Paketfilter, der hinter dem (hoffentlich immer schön
gepatchten) Server liegende Clients schützt.

> Dieses ganze Geraffel um Portscans zu droppen etc ist erstmal Unsinn.
> Für einen normalen User ist es ohne Probleme möglich bedenkliche
> Sachen abzuschalten (X11 mit -nolisten tcp straten z.B.).

Genau, die beste Firewall ist "kein Kabel" und die zweibeste ist die,
die man nicht braucht, weil man nix hat :)

Eine Firewall, die neben Paketfiltern (die ja kaum was filtern können,
beispielsweise entweder Port 80 erlauben oder nicht, egal, ob da nu ein
Filesharingtool oder ein Webserver läuft) höhere Schichten enthält, also
HTTP/FTP Proxies usw, sollte heute wohl auch immer einen Virenscanner
behinhalten. In grösseren Netzen gehört auf jeden Fall ne Intrusion
Detection (IDS) dazu, mindestens ein snort oder sowas, damit man den
shellcode schon mal sieht.

Für zu Hause einfach Masquerading und alle einkommenden TCP-Verbindungen
verbieten (man bietet ja nix an) schützt sicherlich auch vor vielen
Standard-Bugs (und Konfigurationsfehlern).

Wer ernsthaft über Firewalls unter Linux nachdenkt, sollte natürlich die
TCP-Wrapper und sonstigen Applikationsrechte gut konfiguriert haben (bei
SSH, Apache und vielen anderen kann man Source-IP begrenzen, Passwörter
oder Schlüssel vergeben etc, den Rest machen TCP-Wrapper oder libwrap
etc).

Alles zusammen macht dann Sinn: Paketfilter, die man nicht braucht, weil
die Proxies und Gateways eh sicher sind, verschiedene OSes weil die
hoffentlich nicht gleichzeitig die gleichen Bugs haben, Proxies, die man
nicht braucht, weil die Applikationen und Server dahinter eh sicher sind
(also uptodate, ...) UND geschützt (TCP-Wrapper, ...).

Wie Nico schon gesagt hat, hängt sehr davon ab, was man machen will und
schützen muss. Zuhause fallen im Worst-Case paar Stunden
Installationsarbeit an - hat man Kundensteuerdaten oder
Kreditkartendaten etc. sieht's natürlich anders aus. Dann macht man den
Angriff einfach zehnmal teurer als das, was man schützen will, und
hofft, dass niemand so doof ist, 10.000.000 auszugeben, um 1.000.000 zu
stehlen :-) Das darf man dann IMHO "sicher genug" nennen.

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.