[linux-l] Erfahrungsbericht: Firewall-Tools
Norm@nSteinbach
norm at nsteinbach.de
So Jan 6 06:00:24 CET 2008
Steffen Dettmer wrote:
> `genau das ... was eine Firewall tun sollte'?!
> Sorry, aber bei solchen Aussagen sträuben sich mir dermassen die
> Nackenhaare, dass ich mich zusammenreissen muss, höflich zu antworten...
> mann mann...
Okay, das war wirklich echtes "DAU-Sprech" - "Firewall" im Sinne von:
"Ein Stück Software, was Zugriffe auf den PC aus dem Netzwerk/Internet
unterbinden bzw. gewissen Regeln unterwerfen soll." Dass das natürlich
nicht in dem Sinne des "Industriestandard-Sprech" ist, welcher hier
anscheinend Voraussetzung ist, hatte ich beim Schreiben einfach
vergessen ;-)
> (Überhaupt schon mal eine Firewall gesehen??? So 19" breit und einen
> Meter hoch oder so?
Hmm, ich stelle mir eine echte Firewall eher viele, viele, viele zig
oder hunderte von Metern breit, und mehrere Meter (so 4-5) hoch vor. Und
vor allem: Sehr Heiß und Sehr Hell! ;-)
> Das, was Du da beschreibst, ist keine Firewall, sondern ein
> Paketfilter in Manager-Konfiguration... SO!
Danke für die Korrektur.
> Der Link heisst auch eindeutig `Firewall_zu_Hause' (gut, sollte
> vielleicht Paketfilter_zu_Hause heissen). Da hört man schon am Namen,
> dass es nichts `richtiges' ist, sondern was einfaches für Normalbürger
> zu Hause ohne WLAN oder besonderen Schutzbedarf :-)
Achso. Wie machen es denn die "unnormalen Elitebürger mit besonderem
Schutzbedarf"? Die lassen dann nur noch ihre Bodyguards ihre PCs
bedienen, ja? ;-)
> Wer einen DSL Router hat, dem nützt sowas ziemlich genau nichts, weil
> Masquerading im Prinzip das gleiche macht.
Stimmt, von daher ist es wohl eigentlich auch reichlich unsinnig, dass
ich es überhaupt einsetze - aber egal, schaden tut es schließlich
ebensowenig.
> Ich finde das Filtern von ausgehenden Daten wichtig, und gerade das ist
> oft ziemlich schwierig. Hier finde ich Personal-Firewalls (wie Outpost)
> hilfreich, allerdings muss man das natürlich auf allen PCs haben, geht
> nicht wirklich auf Servern etc. Aber für zu Hause find ich das Klasse.
Was ist das bloß für eine grässliche Unsitte, auf einer Linux-Liste
Win-Software vorzuschlagen oder gar noch zu empfehlen? Das ist IMHO ein
noch um deutliches Vielfaches schlimmeres Vergehen, als sich (aus
Unwissenheit) mit DAU-Sprech gegen Elite-/g33k-/n3rd-Sprech abzuheben! ;-)
> Na, und alles von aussen zu? Dann kommt man ja selbst mit starker
> Kryptographie nicht mehr von aussen auf seinen eigenen Router, wäre doch
> auch Schade :)
Wie willst Du denn mit Kryptographie auf den Router kommen? Ist
Kryptographie etwa eine Angriffsmethode? Obwohl, vielleicht fällt sie so
auch bald unter das Verbot der Hacker-Tools, dann könnte diese
Desinformation vielleicht tatsächlich bald mal lanciert werden: "Hacker
drangen mithilfe starker Kryptographie in Behördencomputer ein, 200
Tote, keine Verletzten, 30 Millionen Schaden" ... ;->
> (und wenn alles rausdraf, kann einer von innen übrigens auch alles
> reinlassen, beispielsweise über einen SSH Tunnel)
Dazu muss man aber erstmal bereits "drin" sein.
>> Ein Portscan meines Rechners zeigt die folgenden 2 offenen Ports an:
>>> PORT STATE SERVICE VERSION
>>> 111/tcp open rpcbind (rpcbind V2) 2 (rpc #100000)
>>> 113/tcp open ident OpenBSD identd
>> Allerdings hab ich natürlich keine Ahnung, wieso ;-) vermute jedoch mal,
>> dass das Sachen sind, die "dürfen".
> Komisch, gerade diese beiden Dienste stehen bei mir auf der "was
> unbedingt zu blocken ist Liste" auf Platz zwei und drei (gleich nach
> den ganzen Windows-Ports auf Platz 1)...
> Solltest Du die nicht vielleicht doch lieber zu machen? Brauchst Du doch
> aussen bestimmt nicht, oder?
Wie Ralf bereits geschrieben hat: Die Ports wurden innerhalb des LANs
gescannt (da zwischen LAN und Internet noch ein Router hängt, und da
sind alle Ports dicht, außer noch der 80er für http, was aber eh nicht
bei meinem Rechner ankommt, sondern bei einem anderen PC im LAN). Da die
offenen Ports LAN-intern sind, habe ich da also ebenfalls kaum Bedenken.
Dazu müsste ja erstmal jemand eine Tomate zu Matsch zerdrücken, um da
dranzukommen! ;-)
Und dass mir jemand in meinem LAN einen Trojaner oder irgendwas anderes
derartiges eingeschmuggelt haben sollte, halte ich für praktisch
ausgeschlossen. Vielleicht werden die Ports also für irgendwas
gebraucht, NFS oder so, keine Ahnung. Da Du keinen Link auf die "was
unbedingt zu blocken ist Liste" gesetzt hast, weiß ich nichtmal, was
über diese Ports überhaupt für Dienste laufen, und meine Paranoia hält
sich genügend in Grenzen, als dass ich jetzt in einen Suchrausch deshalb
verfallen würde. Wenn Du mir einen Link zusenden willst, wo die
Informationen zu finden sind, was da drauf läuft, dann lese ich mir die
entsprechende Stelle gerne durch (ist ja erstmal nicht uninteressant),
aber soo wichtig, dass ich jetzt mit Google&Co Orgien feiern gehen
würde, bis ich die Information herausgefunden habe, ist es mir dann doch
nicht.
Wie gesagt: Eigentlich halte ich diesen ganzen Sicherheitsfanatismus für
übertrieben, zumindest als - wie Du es so schön beschrieben hast -
"Normalbürger" ohne jegliche elitären Allüren oder (Schutz-)Ansprüche
;-) Da hätten die paartausend Hacker, die weltweit mit den
entsprechenden Kenntnissen ausgestattet sind, wirklich alle Hände voll
zu tun, wenn sie in jeden einfachen "Normalo-PC" reinschnüffeln wollten.
Viele Grüße & SCNR,
Norm at n
Mehr Informationen über die Mailingliste linux-l