[linux-l] Erfahrungsbericht: Firewall-Tools

Norm@nSteinbach norm at nsteinbach.de
So Jan 6 06:00:24 CET 2008 

Steffen Dettmer wrote:
> `genau das ... was eine Firewall tun sollte'?!
> Sorry, aber bei solchen Aussagen sträuben sich mir dermassen die
> Nackenhaare, dass ich mich zusammenreissen muss, höflich zu antworten...
> mann mann...  
Okay, das war wirklich echtes "DAU-Sprech" - "Firewall" im Sinne von: 
"Ein Stück Software, was Zugriffe auf den PC aus dem Netzwerk/Internet 
unterbinden bzw. gewissen Regeln unterwerfen soll." Dass das natürlich 
nicht in dem Sinne des "Industriestandard-Sprech" ist, welcher hier 
anscheinend Voraussetzung ist, hatte ich beim Schreiben einfach 
vergessen ;-)

>   (Überhaupt schon mal eine Firewall gesehen??? So 19" breit und einen
>    Meter hoch oder so?
Hmm, ich stelle mir eine echte Firewall eher viele, viele, viele zig 
oder hunderte von Metern breit, und mehrere Meter (so 4-5) hoch vor. Und 
vor allem: Sehr Heiß und Sehr Hell! ;-)

>    Das, was Du da beschreibst, ist keine Firewall, sondern ein
>    Paketfilter in Manager-Konfiguration...  SO!
Danke für die Korrektur.

> Der Link heisst auch eindeutig `Firewall_zu_Hause' (gut, sollte
> vielleicht Paketfilter_zu_Hause heissen). Da hört man schon am Namen,
> dass es nichts `richtiges' ist, sondern was einfaches für Normalbürger
> zu Hause ohne WLAN oder besonderen Schutzbedarf :-)
Achso. Wie machen es denn die "unnormalen Elitebürger mit besonderem 
Schutzbedarf"? Die lassen dann nur noch ihre Bodyguards ihre PCs 
bedienen, ja? ;-)

> Wer einen DSL Router hat, dem nützt sowas ziemlich genau nichts, weil
> Masquerading im Prinzip das gleiche macht.
Stimmt, von daher ist es wohl eigentlich auch reichlich unsinnig, dass 
ich es überhaupt einsetze - aber egal, schaden tut es schließlich 
ebensowenig.

> Ich finde das Filtern von ausgehenden Daten wichtig, und gerade das ist
> oft ziemlich schwierig. Hier finde ich Personal-Firewalls (wie Outpost)
> hilfreich, allerdings muss man das natürlich auf allen PCs haben, geht
> nicht wirklich auf Servern etc. Aber für zu Hause find ich das Klasse.
Was ist das bloß für eine grässliche Unsitte, auf einer Linux-Liste 
Win-Software vorzuschlagen oder gar noch zu empfehlen? Das ist IMHO ein 
noch um deutliches Vielfaches schlimmeres Vergehen, als sich (aus 
Unwissenheit) mit DAU-Sprech gegen Elite-/g33k-/n3rd-Sprech abzuheben! ;-)

> Na, und alles von aussen zu? Dann kommt man ja selbst mit starker
> Kryptographie nicht mehr von aussen auf seinen eigenen Router, wäre doch
> auch Schade :)
Wie willst Du denn mit Kryptographie auf den Router kommen? Ist 
Kryptographie etwa eine Angriffsmethode? Obwohl, vielleicht fällt sie so 
auch bald unter das Verbot der Hacker-Tools, dann könnte diese 
Desinformation vielleicht tatsächlich bald mal lanciert werden: "Hacker 
drangen mithilfe starker Kryptographie in Behördencomputer ein, 200 
Tote, keine Verletzten, 30 Millionen Schaden" ... ;->

> (und wenn alles rausdraf, kann einer von innen übrigens auch alles
> reinlassen, beispielsweise über einen SSH Tunnel)
Dazu muss man aber erstmal bereits "drin" sein.

>> Ein Portscan meines Rechners zeigt die folgenden 2 offenen Ports an:
>>>  PORT    STATE SERVICE              VERSION
>>>  111/tcp open  rpcbind (rpcbind V2)  2 (rpc #100000)
>>>  113/tcp open  ident                OpenBSD identd
>> Allerdings hab ich natürlich keine Ahnung, wieso ;-) vermute jedoch mal, 
>> dass das Sachen sind, die "dürfen".
> Komisch, gerade diese beiden Dienste stehen bei mir auf der "was
> unbedingt zu blocken ist Liste" auf Platz zwei und drei (gleich nach
> den ganzen Windows-Ports auf Platz 1)...
> Solltest Du die nicht vielleicht doch lieber zu machen? Brauchst Du doch
> aussen bestimmt nicht, oder?
Wie Ralf bereits geschrieben hat: Die Ports wurden innerhalb des LANs 
gescannt (da zwischen LAN und Internet noch ein Router hängt, und da 
sind alle Ports dicht, außer noch der 80er für http, was aber eh nicht 
bei meinem Rechner ankommt, sondern bei einem anderen PC im LAN). Da die 
offenen Ports LAN-intern sind, habe ich da also ebenfalls kaum Bedenken. 
Dazu müsste ja erstmal jemand eine Tomate zu Matsch zerdrücken, um da 
dranzukommen! ;-)

Und dass mir jemand in meinem LAN einen Trojaner oder irgendwas anderes 
derartiges eingeschmuggelt haben sollte, halte ich für praktisch 
ausgeschlossen. Vielleicht werden die Ports also für irgendwas 
gebraucht, NFS oder so, keine Ahnung. Da Du keinen Link auf die "was 
unbedingt zu blocken ist Liste" gesetzt hast, weiß ich nichtmal, was 
über diese Ports überhaupt für Dienste laufen, und meine Paranoia hält 
sich genügend in Grenzen, als dass ich jetzt in einen Suchrausch deshalb 
verfallen würde. Wenn Du mir einen Link zusenden willst, wo die 
Informationen zu finden sind, was da drauf läuft, dann lese ich mir die 
entsprechende Stelle gerne durch (ist ja erstmal nicht uninteressant), 
aber soo wichtig, dass ich jetzt mit Google&Co Orgien feiern gehen 
würde, bis ich die Information herausgefunden habe, ist es mir dann doch 
nicht.


Wie gesagt: Eigentlich halte ich diesen ganzen Sicherheitsfanatismus für 
übertrieben, zumindest als - wie Du es so schön beschrieben hast - 
"Normalbürger" ohne jegliche elitären Allüren oder (Schutz-)Ansprüche 
;-) Da hätten die paartausend Hacker, die weltweit mit den 
entsprechenden Kenntnissen ausgestattet sind, wirklich alle Hände voll 
zu tun, wenn sie in jeden einfachen "Normalo-PC" reinschnüffeln wollten.



Viele Grüße & SCNR,

Norm at n

Mehr Informationen über die Mailingliste linux-l