[linux-l] Re: /proc & Co.

Volker Grabsch vog at notjusthosting.com
Di Okt 24 20:55:35 CEST 2006


On Tue, Oct 24, 2006 at 09:56:38AM +1000, Peter Ross wrote:
> > > Eine geschlossene Firewall (auch nach aussen, geoeffnet sind nur SSH, 
> > > SMTP, HTTP(S), Messengerports und FTP und wsas immer man noch wirklich 
> > > braucht) verhindert auch, dass eingeschleuste Malware Amok laeuft und 
> > > hilft, sie zu entdecken.
> > 
> > Nein, auch das halte ich für Augenwischerei. Du blockierst Programme,
> > die sich zu "unerwarteten" Ports nach draußen verbinden. Schön, dann
> > benutzt die Malware eben Port 80.
> 
> Ja, das Problem existiert.
> Trotzdem faengt es eine Menge "Zeugs" ab.

Was bedeutet für dich "eine Menge"? Wenn ich "eine Menge Spam" abwehre,
meine ich damit mind. 50%, normalerweise 80%-90%.

Wieviel Malwäre machst du mit dieser Firewall unschädlich? Ich
bezweifle, dass es auch nur über 5% hinaus geht, lasse mich aber gern
eines Besseren belehren, von mir aus auch zum Thema Windows-Malware.
(da dürfte es ausführlichere Statistiken geben als über das bisschen
Unix-Malware)

> Es verhindert auch das unbemerkt gestartete Daemons von aussen erreichbar 
> sind, (als Punkt 2 einer Einbruchsstrategie) 

Das habe ich doch sowieso empfohlen. Bei einem Heimanwenden sollten von
außerhalb *gar keine* Dienste erreichbar sein. Da sind wir einer Meinung.
Darum geht es hier gar nicht! (siehe obiges Zitat)

> > Die Zielgruppe sind Heimanwender. Unwirksame Maßnahmen täuschen eine
> > falsche Sicherheit vor.
> 
> Ich bestreite, dass es unwirksam ist (s.oben), es ist nur kein 
> Allheilmittel.

Ich kenne fast keine Malware für Linux, aber die Masse sind wohl Spam-
Schleudern und DDOS-Attacken, richtig? Und genau diese beiden würde
deine Firewall nicht blockieren.

Selbst wenn Spyware für dich zur "Masse" zählt: Woher weißt du,
dass die Masse an Spyware an unübliche Ports sendet? Sinnvoll ist
das schließlich nicht, im Gegenteil, HTTP-GET oder -POST über Port 80
wäre die perfekte Tarnung, oder sogar HTTPS-POST über Port 443, sodass
man auch nicht mehr nach verdächtigen Mustern im Netzwerkverkehr suchen
kann.

> > Das ist viel schädlicher, als wenn man ihnen von Anfang an sagt, dass 
> > man Spyware per Firewall nicht wirksam blockieren kann.
> 
> Sicherheitsgurte und Airbags ist nur was fuer Weicheier, die nicht richtig 
> Auto fahren koennen. Ohne Sicherheitsgurte und Airbags fahren sie besser, 
> da sie wissen, was ihnen blueht, enn es kracht?

Diese Analogie ist in meinen Augen zu weit hergeholt, da es hier um
Menschenleben geht, nicht um Spam-Schleudern. Dies ist somit
Hochsicherheitsbereich, und dort gelten ganz andere Maßstäbe. Dies
habe ich längst eingeräumt. Ich bitte dich, eine bessere Analogie
zu suchen.

Allerdings bezweifle ich den Zweck einer Analogie, da zwischen uns
gar kein Verständnisproblem besteht. Ich wüsste also nicht, was du
mir durch diese Analogie verdeutlichen willst. Schließlich hast du
in den obigen Zeilen alles gesagt und ich habe dich auch vollkommen
verstanden.  (verstanden != zustimmen ;-))


Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR



Mehr Informationen über die Mailingliste linux-l