[linux-l] Erfahrungsbericht: Firewall-Tools

Steffen Dettmer steffen at dett.de
So Jan 6 06:51:20 CET 2008 

* Norm at nSteinbach wrote on Sun, Jan 06, 2008 at 06:00 +0100:
> Steffen Dettmer wrote:
> >`genau das ... was eine Firewall tun sollte'?!
> "Industriestandard-Sprech" ist, welcher hier anscheinend Voraussetzung
> ist, hatte ich beim Schreiben einfach vergessen ;-)

 (Nee, sorry, sooo war das auch nicht gemeint...  Hab ich wirklich blöd
  geschrieben und das war überhaupt nicht nett.)

Einmal sind die Grenzen fliessend und zum anderen wird `Firewall'
(leider) sehr oft so verwendet.

[echte Firewall]
> Und vor allem: Sehr Heiß und Sehr Hell! ;-)

... aber nur, wenn es auch gerade brennt :-)

> >Der Link heisst auch eindeutig `Firewall_zu_Hause' (gut, sollte
> >vielleicht Paketfilter_zu_Hause heissen). Da hört man schon am Namen,
> >dass es nichts `richtiges' ist, sondern was einfaches für Normalbürger
> >zu Hause ohne WLAN oder besonderen Schutzbedarf :-)
> Achso. Wie machen es denn die "unnormalen Elitebürger mit besonderem 
> Schutzbedarf"? Die lassen dann nur noch ihre Bodyguards ihre PCs 
> bedienen, ja? ;-)

(sagen wir mal nicht Bürger, sondern Firmen, Banken, Behörden, ...)

Ja, physikalischer Schutz ist natürlich wirklich wichtig. Auch
Abschirmung der Leitungen wegen Abstrahlung usw. Das ist ein weites
Feld.

Zu den zu übertragenen Daten kann man sich auch viel wünschen. Eine gute
Firewall soll ja sämtliche Malware, Trojaner, Viren, Würmer, Dialer,
Web-Spionage-Programme (`Spybots'), vielleicht auch Cookies transparent
`umändern' oder TOR, vielleicht nur den Aufruf von europäischen
Webseiten erlauben und nur mit ganz wenigen ausgewählten DNS Servern
reden und zusätzliche Plausiblitätsprüfungen machen, das payload von
PING Paketen filtern und OS fingerprinting verhindern ach und noch viel
mehr. Meine Firewall blockt z.B. paar hundert adserver :) Obwohl man
heute mit lokalen Browser-popupblockern besser klarkommt.

Oft haben Firewalls ein Frontend, in dem man sich anmelden kann, und
dann kann man kurz was freischalten oder so. Dann kann man auch bisschen
abschätzen, wer was gemacht hat.

> >Wer einen DSL Router hat, dem nützt sowas ziemlich genau nichts, weil
> >Masquerading im Prinzip das gleiche macht.
> Stimmt, von daher ist es wohl eigentlich auch reichlich unsinnig, dass 
> ich es überhaupt einsetze - aber egal, schaden tut es schließlich 
> ebensowenig.

Ja klar, tut nicht weh, macht nicht viel Arbeit und bei Bedarf kannst Du
ja immer noch Regeln hinzufügen. Obwohl man ja eigentlich anders rum
vorgehen soll, aber wenn nie was geht, erlaubt man ja dann doch
irgendwann `alles'.

> >für zu Hause find ich das Klasse.
> Was ist das bloß für eine grässliche Unsitte, auf einer Linux-Liste
> Win-Software vorzuschlagen oder gar noch zu empfehlen? Das ist IMHO
> ein noch um deutliches Vielfaches schlimmeres Vergehen, als sich (aus
> Unwissenheit) mit DAU-Sprech gegen Elite-/g33k-/n3rd-Sprech abzuheben!
> ;-)

:-)

Na ja, Win spielt nunmal in vielen Netzen eine Rolle, ist einfach mal
so. Scheinbar stehen die Leute da auch total drauf, sonst würden sie es
nicht nachprogrammieren. kMyFirewall sieht auch schon wieder sehr
winspiriert (das ist jetzt meine neue Wortschöpfung) aus. Unter Linux
wäre vor 10 Jahren doch niemand auf die Idee gekommen, ausgerechnet dem
DAU, der am X sitzt, irgendwas Netztechnisches entscheiden zu lassen. Da
wollte man ein Script, weils einfach ist, mit RCS verwaltet werden kann
etc. Da konnte man reinschreiben, wer wann welche Regel warum gemacht
hat.

In Win Kreisen ist die Methodik ne ganz andere, eher so MS-DOS-mässig:
Personal Computer (so'n Taschenrechner mit viel Power) kann ja jeder
bedienen. Die Sekretärin installiert den Druckertreiber. Da braucht man
natürlich auch ne Personal Firewall.

Und in so einer Win Diskussion kann man meiner Meinung nach auch
Winprogramme anbieten! Ja, sollte vielleicht sogar, weil die Leute
vielleicht mit Win besser bedient wären. Vielleicht nutzen die Linux
auch gar nicht wegen free wie in freedom sondern wegen free wie in free
beer (sprich, weil es nichts kostet). Aber anderes Thema.

> > Na, und alles von aussen zu? Dann kommt man ja selbst mit starker
> > Kryptographie nicht mehr von aussen auf seinen eigenen Router, wäre
> > doch auch Schade :)

> Wie willst Du denn mit Kryptographie auf den Router kommen? 

z.B. SSH oder VPN. SSH kann Password ganz normal oder mit SSH-Key
authentifizieren. VPNs gibts ja viele verschiedene.

> Ist Kryptographie etwa eine Angriffsmethode? 

Nee, eher ein Schutz davor - oder was meinst Du?

> Obwohl, vielleicht fällt sie so auch bald unter das Verbot der
> Hacker-Tools, dann könnte diese Desinformation vielleicht tatsächlich
> bald mal lanciert werden: "Hacker drangen mithilfe starker
> Kryptographie in Behördencomputer ein, 200 Tote, keine Verletzten, 30
> Millionen Schaden" ... ;->

ja, oder "Flughafenpolizei konnte Versuch von Terroristen verhindern,
waffenfähige Kryptographie in ein Flugzeug zu schmuggeln" lol

> >(und wenn alles rausdraf, kann einer von innen übrigens auch alles
> >reinlassen, beispielsweise über einen SSH Tunnel)
> Dazu muss man aber erstmal bereits "drin" sein.

Die meisten Angriffe kommen von innen (u.A. hab ich mal 80% gelesen).
Auch ein Trojaner etc. kann sowas nutzen, beliebt waren ja die
`Fernbedienungen' oder die Trojaner, die die Daten in den IRC gepostet
haben. Sowas sollte man schon blocken, wenn man kann.

> bei meinem Rechner ankommt, sondern bei einem anderen PC im LAN). Da die 
> offenen Ports LAN-intern sind, habe ich da also ebenfalls kaum Bedenken. 
> Dazu müsste ja erstmal jemand eine Tomate zu Matsch zerdrücken, um da 
> dranzukommen! ;-)

Der, der rankommen könnte wärst dann wahrscheinlich eh Du selbst, was? :-)

> weiß ich nichtmal, was über diese Ports überhaupt für Dienste laufen,

das stand doch dran: 111 ist portmapper (hiess früher gern sun.rpc)
http://de.wikipedia.org/wiki/Portmapper
http://www.uni-duesseldorf.de/~cappel/betriebs-kurs/node40.html
http://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/2003-December/044596.html

und 113 ist ident 
http://de.wikipedia.org/wiki/Ident
(die Seite ist toll, find ich)

> und meine Paranoia hält sich genügend in Grenzen, als dass ich jetzt
> in einen Suchrausch deshalb verfallen würde. Wenn Du mir einen Link
> zusenden willst, wo die Informationen zu finden sind, was da drauf
> läuft, 

(fauler Hund ;))
na, intern ist ja eh egal.

> aber soo wichtig, dass ich jetzt mit Google&Co Orgien feiern gehen

wikipedia ist heute in :)

> Da hätten die paartausend Hacker, die weltweit mit den entsprechenden
> Kenntnissen ausgestattet sind, wirklich alle Hände voll zu tun, wenn
> sie in jeden einfachen "Normalo-PC" reinschnüffeln wollten.

und selbst wenn, schlimmstenfalls muss man neuinstallieren, was geheimes
hat man wohl eher nicht. privat ist das ärgerlich, aber nicht das Ende. 
Das sieht 'ne Bank natürlich anders ^^

Eigentlich müssten auch Ämter sehr auf sowas achten, aber die Realität
sieht ja leider ganz anders aus :(

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l