[linux-l] Erfahrungsbericht: Firewall-Tools

Norm@nSteinbach norm at nsteinbach.de
So Jan 6 08:32:39 CET 2008


Steffen Dettmer wrote:

> [echte Firewall]
>> Und vor allem: Sehr Heiß und Sehr Hell! ;-)
> ... aber nur, wenn es auch gerade brennt :-)
Ich habe auch schon Wände mit Ecken, Rundungen und Bögen gesehen. Aber 
wenn die grad nicht am Brennen sind, ist es halt keine Firewall ;)

>> Achso. Wie machen es denn die "unnormalen Elitebürger mit besonderem 
>> Schutzbedarf"? Die lassen dann nur noch ihre Bodyguards ihre PCs 
>> bedienen, ja? ;-)
> (sagen wir mal nicht Bürger, sondern Firmen, Banken, Behörden, ...)
Achso. Diesbzgl. bin ich froh, dass ich mit derlei finstrem Gesindel so 
wenig wie möglich zu tun habe, und eindeutig nicht in deren 
"Angst-Klasse" hineinfalle. (Der Begriff "Schutz-Klasse" ist IMHO eine 
Falschdarstellung, da Schutz erst nötig ist, wenn eine konkrete Gefahr 
besteht - vorher ist es die Angst vor der konkreten Gefahr, die das 
Schutzbedürfnis suggeriert)


> Zu den zu übertragenen Daten kann man sich auch viel wünschen. Eine gute
> Firewall soll ja sämtliche Malware, Trojaner, Viren, Würmer, Dialer,
> Web-Spionage-Programme (`Spybots'), vielleicht auch Cookies transparent
> `umändern' oder TOR, vielleicht nur den Aufruf von europäischen
> Webseiten erlauben und nur mit ganz wenigen ausgewählten DNS Servern
> reden und zusätzliche Plausiblitätsprüfungen machen, das payload von
> PING Paketen filtern und OS fingerprinting verhindern ach und noch viel
> mehr. Meine Firewall blockt z.B. paar hundert adserver :) Obwohl man
> heute mit lokalen Browser-popupblockern besser klarkommt.
Die meisten Punkte diesee Auflistung fällt in meinen Augen ungefähr in 
die selbe "muss-ich-haben-klasse", wie Jamba-Klingeltöne. Natürlich 
gibts auch für Linux Malware, Trojaner, Viren etc. - aber sie sind so 
wenig verbreitet, dass man sich als normaler Anwender darum eher nicht 
zu sorgen braucht - soviel habe ich zumindest schon mal gelernt! ;)

> Ja klar, tut nicht weh, macht nicht viel Arbeit und bei Bedarf kannst Du
> ja immer noch Regeln hinzufügen. Obwohl man ja eigentlich anders rum
> vorgehen soll, aber wenn nie was geht, erlaubt man ja dann doch
> irgendwann `alles'.
*Wenn* nie was geht. Die Sachen, die ich mache, gehen aber alle, oder 
wenn, dann liegt es eindeutig nicht an dem kleinen IPtables-Script.

> Na ja, Win spielt nunmal in vielen Netzen eine Rolle, ist einfach mal
> so. Scheinbar stehen die Leute da auch total drauf, sonst würden sie es
Sie haben einfach aufgehört zu denken und angefangen zu akzeptieren. 
Eigentlich traurig.

> nicht nachprogrammieren.  Unter Linux
> wäre vor 10 Jahren doch niemand auf die Idee gekommen, ausgerechnet dem
> DAU, der am X sitzt, irgendwas Netztechnisches entscheiden zu lassen. Da
Stimmt, aber in dem Moment wo die Software nicht mehr nur in Firmen (und 
meist sowieso ausschließlich auf Servern) eingesetzt wird, sondern auch 
von Privatanwendern oder "Kleingewerbetreibenden" usw, ist es einfach 
naheliegend, auch den Administrationsaufwand auf ein Maß zu reduzieren, 
welches man als Anwender auch bewältigen kann, ohne vorher Informatik 
studiert zu haben.

> In Win Kreisen ist die Methodik ne ganz andere, eher so MS-DOS-mässig:
> Personal Computer (so'n Taschenrechner mit viel Power) kann ja jeder
> bedienen. Die Sekretärin installiert den Druckertreiber. Da braucht man
> natürlich auch ne Personal Firewall.
Das sollte dann aber doch eher eine Firewall sein, welche die Systeme 
vor der Kompromittierung durch das Personal schützt, oder? Also: 
Wort-Definition überarbeiten!

> Und in so einer Win Diskussion kann man meiner Meinung nach auch
> Winprogramme anbieten! Ja, sollte vielleicht sogar, weil die Leute
> vielleicht mit Win besser bedient wären.
Ich habe seit Win95 unter dem Mist gelitten, und verspüre heute noch 
extreme Nachwirkungen davon, z.B. dass ich mich nicht mehr darauf 
konzentrieren möchte, eine Anwendung zum Laufen zu bringen, sondern sie 
einfach nutzen möchte. Dennoch bin ich nicht der Meinung, mit Win besser 
bedient zu sein, denn dort habe ich mich alle paar Anwendungsschritte 
über die Stupidität und die Undurchsichtigkeit des Bedienkonzeptes 
geärgert, und zwar wirklich geärgert.
Nein, Linux ist mir eindeutig lieber, auch wenn ich mich damit praktisch 
kaum auskenne. Andererseits, wenn mich dann Leute einen Linux-PC 
bedienen sehen, und ich mache dabei wirklich nichts großartiges, gebe 
ein paar Befehle im X-Terminal ein, staunen die oft schon und fragen 
sich, was man dafür doch bloß alles können/wissen muss. Dabei weiß ich 
praktisch so gut wie garnix darüber!
Dies nur, falls Deine Empfehlungen eine Anspielung darauf darstellen 
sollten, ich wäre mit Windows besser bedient. Schon allein, weil es von 
einem kapitalistischen Unternehmen (=IMHO "alle verbreschä!") kommt, 
trifft das bei mir nicht zu.

> Vielleicht nutzen die Linux
> auch gar nicht wegen free wie in freedom sondern wegen free wie in free
> beer (sprich, weil es nichts kostet). Aber anderes Thema.
Achso, und man darf es nicht nutzen, weil es nichts kostet? Darf man es 
nur nutzen, wenn man zur Entwicklung beiträgt, wenn schon nicht mit 
eigenem Code, so doch zumindest mit Bugreports? Was aber, wenn man 
nichtmal genügend drüber weiß, um einen qualifizierten Bugreport zu 
erstellen (also nicht nur "fehlermeldung abtippen"), und es trotzdem 
benutzen möchte? Was, wenn einem die "free wie in freedom"-Philosophie 
zwar deutlich sympathischer und attraktiver erscheint, aber man sich 
trotzdem entscheidet, den Größten Teil dieses freedoms nicht zu nutzen 
(aus welchen Gründen auch immer, z.B. weil man sich dafür "Wissen in de 
Kopp kloppe'" müsste), und der kostenlos-Aspekt als zusätzliches 
"goodie" angesehen wird? Darf man es dann nicht benutzen?


>> Wie willst Du denn mit Kryptographie auf den Router kommen? 
> z.B. SSH oder VPN. SSH kann Password ganz normal oder mit SSH-Key
> authentifizieren. VPNs gibts ja viele verschiedene.
Trotzdem ist die Kryptographie dann nicht die Methode, auf den Router 
zuzugreifen, sondern bloß eine Maßnahme, die die Sicherheit der 
verwendeten Zugriffsmethode erhöht.

>> Ist Kryptographie etwa eine Angriffsmethode? 
> Nee, eher ein Schutz davor - oder was meinst Du?
Ich habe Dich wörtlich genommen, bei dem was Du geschrieben hast. 
Bewusst wörtlicher, als Du es gemeint hattest, weil Du das oben mit den 
Firewalls auch getan hast :-)

>> bald mal lanciert werden: "Hacker drangen mithilfe starker
>> Kryptographie in Behördencomputer ein, 200 Tote, keine Verletzten, 30
>> Millionen Schaden" ... ;->
> ja, oder "Flughafenpolizei konnte Versuch von Terroristen verhindern,
> waffenfähige Kryptographie in ein Flugzeug zu schmuggeln" lol
"Bundesregierung plant, starke Kryptographie in die Verbotsgesetze von 
Hackertools aufzunehmen" .... das wäre dann das "Aus"...

>>> (und wenn alles rausdraf, kann einer von innen übrigens auch alles
>>> reinlassen, beispielsweise über einen SSH Tunnel)
>> Dazu muss man aber erstmal bereits "drin" sein.
> Die meisten Angriffe kommen von innen (u.A. hab ich mal 80% gelesen).
Nicht bei einem LAN, was aus 2 Leuten besteht ;-)

> Auch ein Trojaner etc. kann sowas nutzen, beliebt waren ja die
> `Fernbedienungen' oder die Trojaner, die die Daten in den IRC gepostet
> haben. Sowas sollte man schon blocken, wenn man kann.
Definiere "können": 1. Wenn die Möglichkeit besteht, oder 2. Wenn man 
über alles verfügt, was man braucht um es zu tun?
Davon abgesehen muss so ein Trojaner ja auch erstmal auf den PC 
draufkommen. Wenn man jedoch keine E-Mail-Anhänge öffnet die einem nicht 
vertrauenswürdig erscheinen, keine einfach mal so von irgend einer 
Website heruntergeladenen Binarys oder Shell-Scripte etc. ausführt, dann 
kann sowas unter Linux doch eigentlich nahezu ausgeschlossen werden, 
oder? Also: Ein Anwender ist mit Linux solange sicher, wenn er der 
Schadsoftware nicht selbst dazu verhilft, seinen Rechner zu 
kompromittieren. Nun ist die Kunst dabei, eine Gratwanderung hinzulegen, 
so viel zu wissen, dass diese Anwendungsfehler ausgeschlossen sind, aber 
man trotzdem nicht so viel Wissen anzuhäufen braucht, um sich gegen 
wirklich böswillige und vor allem auf das eigene System gezielt 
ausgeführte Angriffe wehren zu können (da solche ohnehin fast kaum 
vorkommen, und der einzige wirksame Schutz dagegen ein von Strom- und 
Datennetzen physikalisch getrennter, ausgeschalteter Rechner ist).

>> Dazu müsste ja erstmal jemand eine Tomate zu Matsch zerdrücken, um da 
>> dranzukommen! ;-)
> Der, der rankommen könnte wärst dann wahrscheinlich eh Du selbst, was? :-)
Von Außen hätte ich genausowenige Chancen, wie jeder durchschnittliche 
"Dau" ;) Ob es jemanden gibt, der mehr Chancen hätte, weil er Backdoors 
in der Router-Firmware kennt (und weiß, welche das ist), aber sie nicht 
veröffentlicht, lässt sich nur spekulieren. Wenn es solche Leute geben 
sollte, halte ich es aber für ausgeschlossen, dass sie ein Interesse 
daran hätten, sich mit mir zu beschäftigen. Und von innen komme ich 
natürlich ran, ist ja doch "mein" LAN...

>> weiß ich nichtmal, was über diese Ports überhaupt für Dienste laufen,
> das stand doch dran: 111 ist portmapper (hiess früher gern sun.rpc)
> und 113 ist ident 
Klingt so, als würde das beides fürs NFS gebraucht werden. Also 
meinetwegen OK :)

> http://de.wikipedia.org/wiki/Ident
> (die Seite ist toll, find ich)
Sie ist ausführlich und trotzdem einfach zu verstehen, so wie ein 
Lexikonartikel sein sollte.

>> sie in jeden einfachen "Normalo-PC" reinschnüffeln wollten.
> und selbst wenn, schlimmstenfalls muss man neuinstallieren, was geheimes
> hat man wohl eher nicht. privat ist das ärgerlich, aber nicht das Ende. 
> Das sieht 'ne Bank natürlich anders ^^
> Eigentlich müssten auch Ämter sehr auf sowas achten, aber die Realität
> sieht ja leider ganz anders aus :(
Wenn dann mal die ersten freilaufenden Bundestrojaner für Linux 
gesichtet wurden, kann man sich ja nochmal Gedanken machen, ob man 
seinen Privat-PC nicht auch gegen solche unbefugten Zugriffe schützen 
sollte - aber da bin ich dann schon wieder der Community dankbar dafür, 
dass solche expliziten Informationen dann problemlos gezielt dafür 
abrufbar gemacht werden, so dass man keine Sourcecodes wälzen oder 
Debugger anschmeißen muss, um trotzdem vor dem "Gröbsten" geschützt zu 
sein (z.B. wenn der Bundestrojaner ein Bundeswurm wäre, der sich 
automatisch verbreitete, womit sich die Auftraggeber dessen 
Programmierer tendenzell allerdings ohnehin eher keinen Gefallen täten).


Viele Grüße,

Norm at n



Mehr Informationen über die Mailingliste linux-l