[linux-l] Erfahrungsbericht: Firewall-Tools

[Steffen Dettmer]

* Norm at nSteinbach wrote on Sun, Jan 06, 2008 at 08:32 +0100:
> Steffen Dettmer wrote:
> >(sagen wir mal nicht Bürger, sondern Firmen, Banken, Behörden, ...)
> Achso. Diesbzgl. bin ich froh, dass ich mit derlei finstrem Gesindel so 
> wenig wie möglich zu tun habe, und eindeutig nicht in deren 
> "Angst-Klasse" hineinfalle. 

Hast Du denn gar kein Konto? Aber bei Behörden sind Daten über Dich
gespeichert und Du willst ja bestimmt auch nicht, dass jedes
scriptkiddie, was ein nessus bedienen kann, diese auslesen oder gar
unbemerkt ändern kann (z.B. reinschreibt, Du wärst reich und müssest
Steuern nachzahlen oder was auch immer).

> Natürlich gibts auch für Linux Malware, Trojaner, Viren etc. - aber
> sie sind so wenig verbreitet, dass man sich als normaler Anwender
> darum eher nicht zu sorgen braucht - soviel habe ich zumindest schon
> mal gelernt! ;)

Ich glaube, dass liegt neben der geringeren Verbreitung auch daran, dass
Malware es unter Linux schwieriger hatte, sich zu verbreiten. Das ändert
sich natürlich mit der Zeit. In heutige Linuxdistributionen haben
X-Session-Nutzer viele Rechte (in komplizierten Situationen bzw. mit
komplizierten Einschränkungen), Benutzer können z.B. automatisch mounten
etc, da ist die potentielle Gefahr von Lücken bestimmt grösser. Dazu
kommt noch, dass ein Virus ja gar keine root-Rechte braucht, wenn der
einzige lokal arbeitende Benutzer erfolgreich angegriffen wurde :)

> >Ja klar, tut nicht weh, macht nicht viel Arbeit und bei Bedarf kannst Du
> >ja immer noch Regeln hinzufügen. Obwohl man ja eigentlich anders rum
> >vorgehen soll, aber wenn nie was geht, erlaubt man ja dann doch
> >irgendwann `alles'.
> *Wenn* nie was geht. Die Sachen, die ich mache, gehen aber alle, oder 
> wenn, dann liegt es eindeutig nicht an dem kleinen IPtables-Script.

Ja, Du hast ja auch nichts eingeschränkt! Das ist natürlich `weniger
sicher'. Ich meinte, normalerweise (wenn man es `sicherer' möchte) würde
man erst alles verbieten und dann immer, wenn etwas nicht geht, aber
gehen soll und darf, dieses erlauben. Neue Sachen gehen damit (im
Idealfall) also immer erstmal nicht. Dafür hat man dann ein Setup, in
dem wenig erlaubt ist, was nicht gehen soll. Das ist ja im Prinzip ne
Firewallanforderung. Wenn alles geht, auch was vielleicht nicht gehen
soll (z.B. Virus dürfte Daten nach draussen schicken), geht natürlich
schon `alles'. Das ist verwandt mit blacklist vs. whitelist Ansätzen.

> >Na ja, Win spielt nunmal in vielen Netzen eine Rolle, ist einfach mal
> >so. Scheinbar stehen die Leute da auch total drauf, sonst würden sie es
> Sie haben einfach aufgehört zu denken und angefangen zu akzeptieren. 
> Eigentlich traurig.

Ja, finde ich auch. Nur winspirierend, aber wenig inspiriert.

  (Gilt natürlich nicht pauschal, es gibt nach wie vor viele tolle
   Sachen und es kommen auch ständig neue dazu)

> >Unter Linux wäre vor 10 Jahren doch niemand auf die Idee gekommen,
> >ausgerechnet dem DAU, der am X sitzt, irgendwas Netztechnisches
> >entscheiden zu lassen.
> Stimmt, aber in dem Moment wo die Software nicht mehr nur in Firmen (und 
> meist sowieso ausschließlich auf Servern) eingesetzt wird, sondern auch 
> von Privatanwendern oder "Kleingewerbetreibenden" usw, ist es einfach 
> naheliegend, auch den Administrationsaufwand auf ein Maß zu reduzieren, 
> welches man als Anwender auch bewältigen kann, ohne vorher Informatik 
> studiert zu haben.

Ja klar, man bildet sich ein, es wäre billiger. Ich glaube das aber
nicht. In Firmen kann gute IT Zeit sparen. Weniger gute IT spart weniger
Zeit. Das geht schon damit los, dass im Officeschreibprogramm der
Arbeitsgruppenvorlageordner nicht eingestellt ist, beispielsweise, weil
es ihn gar nicht gibt, oder weil man sich einbildet, man könne sämtliche
Dokumente `zu den Projekten' in `Projektordner' speichern (und
wiederfinden), oder weil man denkt, es sei gut, redundant Daten zu
halten, weil das ja schneller zu Erstellen ist (copy & paste & modify),
was bei Korrekturen aber schnell zu viel Arbeit führt, die man dann
vielleicht nicht macht usw.

Ich persönlich glaube, IT muss mehr machen, als Druckerpapier wechseln.
IT muss z.B. Nachteile der Redundanz beachten usw. Vielleicht muss man
dazu studieren. Kleinere Firmen bräuchten dafür aber keinen extra
Mitarbeiter sondern könnten das einkaufen.

Kaum jemand kommt auf die Idee, das Steuergerät eines Autos zu wechseln.
Eine Workstation in einem Windowsnetzwerk hingegen würden viele mal
tauschen.

> >In Win Kreisen ist die Methodik ne ganz andere, eher so
> >MS-DOS-mässig: Personal Computer (so'n Taschenrechner mit viel Power)
> >kann ja jeder bedienen. Die Sekretärin installiert den
> >Druckertreiber. Da braucht man natürlich auch ne Personal Firewall.
> Das sollte dann aber doch eher eine Firewall sein, welche die Systeme 
> vor der Kompromittierung durch das Personal schützt, oder? Also: 
> Wort-Definition überarbeiten!

Ja, das sind Aufgaben einer Firewall. Beispielsweise könnte eine
Firewall verhindern, dass eine Workstation, die nicht der Buchhaltung
zugeordnet ist (und die entsprechenden Sicherheitsanforderungen wie kein
Floppy, kein USB etc gar nicht unbedingt erfüllt) auf die
Buchhaltungsserver zugreifen darf. Das kann man natürlich beliebig
komplex und genau machen. Das war jedenfalls ein klassischer Ansatz.

Ich glaube, in Windows-Netzen ist dieser Ansatz... sagen wir mal
unbeliebt. Windows kann damit auch nicht so gut umgehen, dass bestimmte
Server andere nicht erreichen können (und überhaupt nur auf
Subnetzebene unterscheiden, soweit ich weiss, aber dieses Halbwissen ist
alt). In einem Defective Actory Netzwerk legt man sich mit internen
Firewalls wohl schnell die Karten und dann werden Sachen plötzlich
laaaangsam.

> Ich habe seit Win95 unter dem Mist gelitten, und verspüre heute noch 
> extreme Nachwirkungen davon, z.B. dass ich mich nicht mehr darauf 
> konzentrieren möchte, eine Anwendung zum Laufen zu bringen, sondern sie 
> einfach nutzen möchte. 

Na ja, hängt auch davon ab. Ich habe in den letzten Jahren mit Windows
weniger Probleme und mit Linux deutlich mehr. Gut, unter Windows nerven
mich auch etliche Sachen ziemlich, aber man (ich) muss/kann sich halt
arrangieren. Kommt auch immer darauf an, auf welche Features man
verzichten kann und auf welche nicht.

> Dennoch bin ich nicht der Meinung, mit Win besser bedient zu sein,
> denn dort habe ich mich alle paar Anwendungsschritte über die
> Stupidität und die Undurchsichtigkeit des Bedienkonzeptes geärgert,
> und zwar wirklich geärgert.
> Nein, Linux ist mir eindeutig lieber, auch wenn ich mich damit praktisch 
> kaum auskenne. 

Versteh ich nicht. Ein modernes Linux ahmt doch Windows extrem nach. Das
hört man schon an den Begriffen `Linux Desktop' und `Hauptbenutzer' und
so weiter. Als ich das erste mal Vista gesehen habe, wusste ich sofort,
wo das Standard-Aussehen von einer aktuellen SuSE herkommt. Auch der
komische `intelligente' Such- und Indexkram ist ne typische
Windows-Sache. Unix war klassisch mehr `sag, was Du willst und ich
besorge es Dir', Windows mehr `ich zeige Dir, was ich habe, suche Dir
was aus' und heute ist Linux meiner Meinung nach auch letzeres - das hat
Vorteile aber auch Nachteile.

> Andererseits, wenn mich dann Leute einen Linux-PC 
> bedienen sehen, und ich mache dabei wirklich nichts großartiges, gebe 
> ein paar Befehle im X-Terminal ein, staunen die oft schon und fragen 
> sich, was man dafür doch bloß alles können/wissen muss. Dabei weiß ich 
> praktisch so gut wie garnix darüber!

Na ja, das ist eben immer relativ. Ist bei Windows ja auch ähnlich. Ein
`route print' mit GUI nachzuahmen dauert ne Weile, wenn man mehrere
devices hat.

> Dies nur, falls Deine Empfehlungen eine Anspielung darauf darstellen 
> sollten, ich wäre mit Windows besser bedient. 

Du schätzt ja die Unterschiede. Weiss nicht, womit Du nun besser bedient
wärst. Aber ich glaube, vieles von dem, was Du an Linux magst, geht auch
mit Windows (beispielsweise läuft xterm ja unter cygwin!).

> Schon allein, weil es von einem kapitalistischen Unternehmen (=IMHO
> "alle verbreschä!") kommt, trifft das bei mir nicht zu.

Ja, eine Einstellung, prima. Prima auch, dass ehrlich zuzugeben. Du
sagst, free wie in free beer hat auch was. Das sehe ich genauso
(ein Unternehmen braucht Marketing und dass führt z.B. schnell zu
technischem Unsinn, wenn der sich besser verkaufen lässt etc). 

Viele sagen aber, dass /das/ Tolle an Linux sei free wie in freedom. Ich
glaube, vielen `neuen Linuxern' ist das gar nicht so wichtig. Die nehmen
ihr System eh, wie es ist, ob da nun Linux oder Win draufsteht, ist ne
Preis- und Prestigefrage. Das finde ich Schade.

(Das gilt sicherlich nicht für die Leute von dieser Liste, klar!)

> >Vielleicht nutzen die Linux auch gar nicht wegen free wie in freedom
> >sondern wegen free wie in free beer (sprich, weil es nichts kostet).
> >Aber anderes Thema.
> Achso, und man darf es nicht nutzen, weil es nichts kostet? Darf man es 
> nur nutzen, wenn man zur Entwicklung beiträgt, wenn schon nicht mit 
> eigenem Code, so doch zumindest mit Bugreports? 

Nein nein, das meinte ich überhaupt nicht. Mir ging es überhaupt nicht
um `darf nutzen'. Es ging mir darum, warum man es `möchte'. Nutzt man
Linux, weil man Windows `schlecht' findet und wenn ja, was findet man an
Windows schlecht? Geht das mit Linux wirklich besser und mit Windows
nicht? Beide Systeme kann man ja konfigurieren. Oder nutzt man Linux,
weil man sich einfach nicht von Marktführern manipulieren lassen will,
die meinen, am besten zu wissen, dass man z.B. DRM `will'? Weil man
selbst entscheiden möchte, auch wenn das Nachteile bringt? Das ist free
wie in freedom, finde ich. Das heisst, man verwendet es, weil es sich
bestimmten Kontrollen entzieht, die Firmen oder Staaten vielleicht
machen, weil es Funktionen bietet, die `man' dem User vielleicht nicht
`zutraut' (Kryptographie) usw.

Andere nutzen Linux weil es `in' ist, weil in Foren steht, es könne
irgendwas schneller oder besser oder bunter. Da schreiben dann Leute
ganz stolz, dass sie jetzt Theme XYZ auf GNOME angepasst haben und
installieren konnten. Dagegen ist nichts einzuwenden, wenn es Spass
macht ist doch auch Selbstzweck OK, aber man darf dann nicht behaupten,
man müsse Linux wegen XYZ verwenden (weil man das ja gar nicht braucht,
was man braucht ist irgendwas zu spielen, dass könnte auch ein Mac sein
oder sonstwas). Ich kenne etliche, die sich ständig `etwas angucken'.
Wie gesagt, ist natürlich OK aber etwas anderes als free wie in freedom.
Letztendlich gibt es auch welche, die Linux einsetzen, weil es nichts
kostet. Bei privaten ist das meiner Meinung nach vielleicht gar nicht
sooo oft der Fall, da Möglichkeiten bekannt sind, auch Windows
einzusetzen, ohne es zu bezahlen.

> Was, wenn einem die "free wie in freedom"-Philosophie zwar deutlich
> sympathischer und attraktiver erscheint, aber man sich trotzdem
> entscheidet, den Größten Teil dieses freedoms nicht zu nutzen (aus
> welchen Gründen auch immer, z.B. weil man sich dafür "Wissen in de
> Kopp kloppe'" müsste), und der kostenlos-Aspekt als zusätzliches
> "goodie" angesehen wird? 

Meiner Meinung nach eine wichtige Eigenschaft von Freiheit: man /muss/
sie nicht nutzen, na klar. Daher sage ich ja auch, dass man Win nicht
`verteufeln' soll, sondern ehrlich damit umgeht. Wenn das Thema Firewall
ist, spielt meiner Meinung nach Win halt ne grosse Rolle, weil viele
Linuxbenutzer auch irgendwo Win nutzen (warum ist ja dabei egal).

> >>Wie willst Du denn mit Kryptographie auf den Router kommen? 
> >z.B. SSH oder VPN. SSH kann Password ganz normal oder mit SSH-Key
> >authentifizieren. VPNs gibts ja viele verschiedene.
> Trotzdem ist die Kryptographie dann nicht die Methode, auf den Router 
> zuzugreifen, sondern bloß eine Maßnahme, die die Sicherheit der 
> verwendeten Zugriffsmethode erhöht.

Ja, das ist natürlich vollkommen korrekt. 

 (Mein unklare Frage sollte eigentlich sowas wie `Wie willst Du denn
  remote auf den Router kommen?' mit dem Hinweis, dass damit natürlich
  nicht telnet oder so gemeint ist, sondern etwas `sicheres', was in der
  Praxis Kryptographie benötigt. Sorry für die Verwirrung. Das mit dem
  `zu wörtlich nehmen' bei Firewalls war falsch von mir, auch dafür
  bitte ich um Entschuldigung. So nun ist aber gut :-)).

> >ja, oder "Flughafenpolizei konnte Versuch von Terroristen verhindern,
> >waffenfähige Kryptographie in ein Flugzeug zu schmuggeln" lol
> "Bundesregierung plant, starke Kryptographie in die Verbotsgesetze von 
> Hackertools aufzunehmen" .... das wäre dann das "Aus"...

Sowas gibt es in Frankreich, soweit ich weiss. Ich kann mir vorstellen,
dass das in DE doch irgendwann kommt - leider. Ich hoffe, es kommt nie
dazu.

> >Auch ein Trojaner etc. kann sowas nutzen, beliebt waren ja die
> >`Fernbedienungen' oder die Trojaner, die die Daten in den IRC gepostet
> >haben. Sowas sollte man schon blocken, wenn man kann.
> Definiere "können": 1. Wenn die Möglichkeit besteht, oder 2. Wenn man 
> über alles verfügt, was man braucht um es zu tun?

hum... ich meinte hier vermutlich in etwa: wenn 1 UND 2 UND es einem das
an Zeit wert ist (man die Zeit investieren kann [und will]), dann sollte
man das natürlich blocken. Wenn man das so schreibt ist es natürlich
schon wieder irgendwie trivial (natürlich sollte man sich vor dem
Schützen, vor dem man sich schützen kann und will). naja. war spät.

> Davon abgesehen muss so ein Trojaner ja auch erstmal auf den PC 
> draufkommen. 

Ja klar. Firewalls schützen aber fast ausschliesslich vor Sachen, die
eigentlich gar nicht passieren, also Bugs, falsch konfigurierte
Software, Viren etc.

> Also: Ein Anwender ist mit Linux solange sicher, wenn er der
> Schadsoftware nicht selbst dazu verhilft, seinen Rechner zu
> kompromittieren. 

Keine Schadsoftware und keine Bugs/falsch konfigurierte Software (also
`versehentliche Schadsoftware' sozusagen), ja.
In dem Fall braucht man genau gar keine Firewall, weil ohne ist ja alles
sicher. Man macht trozdem eine, weil lieber zwei Sicherungsnetze unter dem
Trapez als keines :)

> >Der, der rankommen könnte wärst dann wahrscheinlich eh Du selbst, was? :-)
> Von Außen hätte ich genausowenige Chancen, wie jeder durchschnittliche 
> "Dau" ;) 

(jajaja schon klar, wenn etwas gar nicht geht, ist es einfach
abzusichern. Das kann man soweit treiben, bis man feststellt, ohne
Computer ist dieser noch sicherer. Die Kunst ist ja, etwas zu erlauben
und nur genau das, wobei das `genau das' manchmal gar nicht so einfach
zu beschreiben ist).

Ich möchte z.B. von aussen unbedingt rankommen. Da muss ich also darauf
achten, sshd richtig zu konfigurieren, auf alternativem Port laufen zu
lassen usw.

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.