Hallo Jens, * Jens Benecke <jens@jensbenecke.de> [25-07-01 22:11]: > > Wenn Du keine Dienste anbieten willst und keine TCP Syn Pakete von aussen > > rein laesst, brauchst Du dich fuer TCP Dienste nicht weiter darum > > kuemmern. Das schreib ich auch. Nur sollte eben die erste Massnahme sein, > > Dienste, die man nicht anbieten will, erst garnicht anzubieten. > > ACK. Weitere Sicherheismassnahmen werden dadurch allerdings nicht > überflüssig. ACK. [...] > Das fällt mir so spontan ein. Das kann in vielen Situationen sehr, sehr > nützlich sein. Wie verhinderst du z.B. einen DoS? Gar nicht. Beim Opfer ist es dazu (meistens) zu spaet. Von DDos ganz zu schweigen... > Ich würde z.B. ab einem > bestimmten Limit von einer böse ausschauenden IP einfach für die nächsten > YY min nur noch XX kb/sec oder ZZ Pakete/sec akzeptieren. Wie sehen denn 'böse IPs' aus? ;) > Mit ipchains ist das m.W. nicht so ohne weiteres (i.e. wrapper-skripte, > externe programme) möglich. Das stimmt... > Ach ja: ipfilter wird aktiv entwickelt. ipchains wird nur noch gepflegt. Aber AFAIK noch recht intensiv. > Sie ist halt nich zu 100% richtig, sondern vielleicht nur zu 98%. Mir fällt > zwar keiner ein, aber es gibt sicher noch Gründe, ipfilter nicht zu > benutzen. Vielleicht nennst du mal ein paar konkrete. Bugtraq 2602. Die Sache mit dem FTP - Stateful Inspection bzw. Connection Tracking. Es ist anzunehmen, dass noch mehr solcher Sachen endeckt werden. BTW: Ist das eigentlich schon gefixt? Janto -- Ich habe die Tastenknoepfe ca. jaehrlich einzeln abmontiert und in einen Kopfkissenbezug geworfen, etwas Waschmittel dazu, zugeknotet und 30 Grad Feinwaesche (Spuelmaschine ist heisser). Den "Gehaeuserest" habe ich mit Lappen und Brennspiritus behandelt. - Wau Holland in de.org.ccc
Attachment:
pgpxelRr9ezgv.pgp
Description: PGP signature