Hallo Jens, At 29.01.2002, Jens Benecke wrote: > On Tue, Jan 29, 2002 at 09:20:41PM +0100, Guido Hennecke wrote: > > > Was _konkret_ missfällt dir an dem Teil? > Die Frage steht noch. Nein, ich habe sie soweit beantwortet, wie sich meine Ausagen darauf bezogen. > > > Beachte, daß es bei denen, denen ich bisher Smoothwall empfohlen habe, > > > eher die Alternative zwischen irgendeinem Windows-Desktop-Firewall und > > > Smoothwall gegeben hätte, die wären an einer manuellen Konfiguration > > > allesamt kläglichst gescheitert. > > Nein. Es gibt keine Alternative. > Wenn man spezielle oder detaillierte Firewallregeln will: ja. Es ging um Firewall und nicht um "ich will einen Proxy und ein Mailgate". > Wenn man > nichts weiter will als einen HTTP-Proxy, automatisches Mailabholen, und > einfach alle eingehenden Verbindungen ausser vielleicht ssh blockieren, > _und_ die Windowskisten dahinter verstecken, sieht das anders aus. Das hat nichts mit Firewalls zu tun. Das hat nichts mit Sicherheit zu tun. Warum sollte man ssh blockieren? Warum sollte man Windows Kisten "verstecken"? Zur Erklaerung: Willst Du ssh nicht nach aussen anbieten, dann konfiguriere sshd richtig. Willst Du die Windows Kisten "verstecken" hast Du das bereits auch mit NAT/PAT geschafft. Fuer die Windows Kisten ist wichtig, dass keine unnoetigen Dienste nach aussen angeboten werden. Das erreicht man nicht mit irgendwelcher Software sondern durch entsprechende Konfiguration. > Smoothwall erlaubt es einem genauso wie iptables, JEDEN Fetzen zu > konfigurieren. Und was bringt das dem Anfaenger? Und ist das ueberhaupt sinnvoll? > (Kunststück, es benutzt iptables bzw. ipchains.) Man kann > sich notfalls auch per ssh einloggen und die Skripte selbst anpassen. Welch neues Feature! NOT > Die > User können also auch _damit_ lernen, wie ein Firewall funktioniert. Die _User_ haben mit Firewalls nichts im Sinn. Die _Admins_ (und das ist auch jemand, ob er will oder nicht, der einen Paketfilter auf seinen Rechner installiert), muessen die Grundlagen verstanden haben, um einen Paketfilter zu konfigurieren. Bitte schau dir den bereits genannten Thread an. Keine Software nimmt ihm das ab. Nicht Za, nicht @gard, nicht Smoothwald. > Was > mich immer wieder abschreckt, Neulingen den "Manuell"-Ansatz vorzuwerfen, > (und was die dann auch abschreckt) ist daß sie dann nicht nur iptables > lernen müssen, sondern auch bash, Debian, vi & Co, und so weiter. So ist das aber nun mal. Ob dir oder mir oder sonstjemandem das gefaellt ist voellig irrelevant. Eine Firewall ist etwas, was nur jemand konfigurieren und administrieren kann, der genau weiss was er da tut und der das auch verstanden hat. Daran aendert auch keine Hipp Software etwas. Ich finde es fahrlaessig und schlecht fuer des Users Sicherheit, wenn Du und andere, solchen unerfahrenen Usern irgendwelche Firewall Marketinggags empfehlen. Diese User meinen nach der Installation einer solch unverstandenen Software, sie waere sicher dahinter. Die Folgen sind unabsehbar. Viel sinnvoller finde ich es, dem Anfaenger hier ein Forum zu bieten, indem auch dem Anfaenger dabei geholfen wird, seine System sicher zu konfigurieren. Das ist sicherer als $FIREWALL. "In des tumbem Tohren Hand ist das beste Werkzeug Tand" (Daniel Duesentrieb). > Das ist so ähnlich als würdest du einem Baby sagen "Nein, ich fütter dich > nicht, lern selbst laufen und lern selbst essen, denn wenn du dich von > jedem füttern läßt, dann vergiftet dich irgendwann jemand." Klar, diese > Dinge muss es irgendwann lernen, nur bis dahin ist es verhungert. Also sag dem Baby nicht, es solle $TOOL benutzen, dann braucht es nicht essen lernen, sondern hilf ihm dabei, dass essen zu erlernen. Also hilf ihm, seine Systeme sicher zu konfigurieren. _Das_ bringt ihm wenigstens Sicherheit. Smoothwall bringt nur "Ich hab krass sichere Firewall" Penisverlaengerung. > > Einfach so, ohne das noetige Wissen, ist _jede_ "Firewall" scheisse. > Aha. Du kennst also Smoothwall doch nicht. Denn Smoothwall ist längst nicht > nur eine Firewall, jedenfalls nach "innen". Was laberst Du nur fuer einen Unsinn? > Prinzipielles ACK, aber eine gute Firewall in den Händen eines Unwissenden > ist immer noch besser als eine schlechte Firewall - oder gar keine - in den > Händen eines Unwissenden, wenn auch nur marginal. Nein, es ist Jacke wie Hose. Firewall, ob gut oder schlecht, von einem Menschen konfiguriert, der sich damit nicht auskennt, ist gefaehrlich. Mehr nicht. > In beiden Fällen fühlt er > sich sicher, im ersten ist er damit allerdings näher an der Realität dran. Endweder es ist sicher oder es ist es nicht. Der normale Smoothwall User will gar keine Dienste im boesen weiten Internet anbieten. Hilf ihm, wie er das abschaltet und solche Dienste entdeckt und dann hast Du wirklich was fuer ihn getan. Einfach ein Tool zu empfehlen halte ich fuer sehr sehr schlecht! > > Darum geht es. Und ausgerechnet der unwissende Newbie installiert sich > > dann so einen Mist und denkt, er waere voll krass sicher. > Das denken diejenigen, denen ich das aufbrumme, nicht. Aha. Kennst Du denn denjenigen, dem Du das empfohlen hast? Und auch alle, die deine Mail gelesen haben und sich denken, "na dann installier ich mal!"? Nein? Wie war gleich dein Argument? > Dafür sorge ich. Wo? > Ich > erkläre denen was das Teil kann und was nicht, und warum es immer noch mehr > kann als irgendwelche Windows-Desktop-Firewalls. Es ist voellig irrelevant, was dieses Tool kann. Ist das System nicht ordentlich konfiguriert, ist die beste Firewall Muell. > > Das Ende kannst Du dir selbst ausmahlen. > Ich habe mit Smoothwall ein besseres Gewissen als ganz ohne oder mit > ActiveFirewall-2002-Pro. Ich habe mit sicher konfigurierten Rechner ohne Firewall ein gutes Gewissen. Dieser ganze Firewall Hype kotzt mich an. Die meisten Menschen brauchen das garnicht - im Gegenteil. Bei den meisten Menschen wird eine Firewall nur zur unnoetigen Erhoehung der Komplexitaet beitragen, auf dass sie endgueltig mit der Administration und Sicherung ihrer Systeme ueberfordert sind. > Das wäre, wie schon gesagt, oft ohne mich > installiert worden, und es wäre auch irgendwann installiert worden, wenn > sie mit einer manuellen Installation die Geduld verlieren. Ich kann diesen ganzen Mist nicht mehr hoeren. Leute, kuemmert euch um die korrekte und sichere Konfiguiration eurer Syteme und lasst euch nicht diesen Firewall Scheiss andrehen! > > Bitte siehe den Thread zu iptables und Anfaengern. > schon gelesen. Wie gesagt, prinzipielles ACK, aber oft nicht das kleinste > Übel. Man faengt mit der Konfiguration an und nicht mit Toolz! Sind wir hier in debian-user-script-kiddies? Gruss, Guido
Attachment:
pgpGC1U1n5Fwr.pgp
Description: PGP signature