Hallo Jens,
* Jens Benecke <jens@jensbenecke.de> [30-01-02 17:13]:
> On Wed, Jan 30, 2002 at 12:10:24AM +0100, Guido Hennecke wrote:
>
> > Willst Du ssh nicht nach aussen anbieten, dann konfiguriere sshd richtig.
>
> Du hast das nicht verstanden.
Doch, hat er: Die Frage ist doch: Wofür brauche ich eine Firewall?
Wir sprechen hier hoffentlich über Linux-Rechner, denn Windows-PC's
direkt ans Netz zu hängen, sollte man eh möglichst umgehen.
Die Firewall soll dazu dienen, den Zugriff von außen auf den
eigenen Rechner zu beschränken. Richtig?
Gut. Wie kann jemand von aussen zugriff erhalten auf den im Netz
hängenden Rechner? Über irgendwelche Dienste, die auf disem Rechner
laufen. Richtig?
Gut. Dieser Rechner hat 2 Interfaces, im Fall von ISDN also ippp0
(WWW) und eth0 (LAN). Zugriff aus dem Internet erhält man nur über
das Interface ippp0. Richtig?
Gut. Jetzt geht man ran und entfernt alle Dienste, die man nicht
benötigt, von diesem Rechner. Der Einfachheit halber Rechner A,
alle LAN-Rechner sind Rechner B.
Folge: Man kann von aussen nicht auf diese nicht vorhandenen
Dienste zugreifen. Richtig?
Gut. Es verbleiben aber noch Dienste auf Rechner A. Was tun? Man
konfiguriere diese Dienste/Programme/Dämonen so, daß diese _nur_
auf dem LAN-Interface eth0 lauschen. Im Idealfall kann man _alle_
Dienste/Dämonen so konfigurieren. Welche Dienste werden nun noch
nach außen via ippp0 angeboten? Welche Dienste lauschen auf ippp0?
Keiner. Richtig?
Gut. Wenn du bis hierher alles so hast nachvollziehen können,
sprichst du dem zu, was Guido vertritt.
Jetzt kommt noch der Fall, daß ein Dämon nicht allein auf das
LAN-Interface horchen kann. NUR, und zwar _nur_ für diese Dienste
muß man einen Paketfilter einsetzen, der den entsprechenden Verkehr
blockiert. Richtig?
Gut. Dann schreib noch, daß Guido recht hat und hilf, die dienste
richtig zu konfigurieren.
> > Willst Du die Windows Kisten "verstecken" hast Du das bereits auch mit
> > NAT/PAT geschafft.
>
> Du hast das nicht verstanden.
>
> Ich will einen Router bzw. Firewall _statt_ einer Windowskiste haben.
Da spricht Guido die ganze Zeit von. Wir sind hier ja auf einer
Linux-ML und nicht auf einer Windows-ML, oder? Richtig!
> Deine Schwarzweiss-Ansicht "entweder perfekt oder gar nicht" ist eine
> schöne Theorie, aber leider völlig praxisfremd. Fast nie ist der Idealfall
> wirklich erreichbar. Gibst du immer gleich komplett auf, wenn es nicht
Du hast das nicht verstanden.
> perfekt geht? Hast du früher in der Schule Klausuren auch gar nicht erst
> abgegeben, wenn du dir nich 100% sicher warst, eine 1.0 zu bekommen?
Du hast das nicht verstanden.
> > Fuer die Windows Kisten ist wichtig, dass keine unnoetigen Dienste nach
> > aussen angeboten werden. Das erreicht man nicht mit irgendwelcher
> > Software sondern durch entsprechende Konfiguration.
>
> Du kennst Windows also auch nicht? Dir ist nicht bewusst, daß sowas bei
> Windows oft gar nicht konfiguierbar, viel weniger _kontrollierbar_, ist?
Du hast das nicht verstanden.
> > > Smoothwall erlaubt es einem genauso wie iptables, JEDEN Fetzen zu
> > > konfigurieren.
> > Und was bringt das dem Anfaenger? Und ist das ueberhaupt sinnvoll?
>
> Deiner Meinung nach ja anscheinend schon.
Du hast Guido nicht verstanden.
> > > Die User können also auch _damit_ lernen, wie ein Firewall
> > > funktioniert.
> > Die _User_ haben mit Firewalls nichts im Sinn.
> > Die _Admins_ (und das ist auch jemand, ob er will oder nicht, der einen
>
> Diese Trennung ist ein Idealfall und in vielen Fällen nicht Realität.
> Ich schlage vor, du bleibst in deiner idealen Traumwelt, wenn du damit
> nicht zurechtkommst. :)
Du hast Guido nicht verstanden. Bleib selber da!
> > > Was mich immer wieder abschreckt, Neulingen den "Manuell"-Ansatz
> > > vorzuwerfen, (und was die dann auch abschreckt) ist daß sie dann nicht
> > > nur iptables lernen müssen, sondern auch bash, Debian, vi & Co, und so
> > > weiter.
> > So ist das aber nun mal. Ob dir oder mir oder sonstjemandem das gefaellt
> > ist voellig irrelevant.
>
> Produkte von Cisco & Co kennst du also auch nicht?
>
> Man kann die Funktionen und die volle Komplexität eines Firewalls bzw.
> Paketfilters auch erlernen, OHNE vorher -zig andere Tools lernen zu müssen.
> Man kann solche Tools auch über eine überschaubare Oberfläche bedienen
> können. Wenn sie im Endeffekt das gleiche leisten, dann ist das für mich
> völlig OK.
Es geht auch nicht um Tools, sondern um Grundlagen! Wozu brauch ich
im Haus ne Alarmanlage, wenn das Haus keine Fenster und Türen hat?
> Auch bei Smoothwall muss man sich Gedanken machen, was man erreichen will,
> und muss sich Gedanken machen, was man dann wie filtert usw. Aber diese
> Funktionen werden einem _sofort_ angeboten und nicht erst nach dem Erlernen
> -zig anderer Tools.
Du hast das nicht verstanden.
> > Eine Firewall ist etwas, was nur jemand konfigurieren und administrieren
> > kann, der genau weiss was er da tut und der das auch verstanden hat.
> > Daran aendert auch keine Hipp Software etwas.
>
> Was bringt es denn nun genau einem Firewall-Administrator, wenn er vi und
> bash bedienen kann und Kernel kompilieren kann?
>
> Nichts. Richtig.
Du hast das nicht verstanden.
> > Penisverlaengerung.
>
> Lass die Polemik, und informier dich bitte vorher.
Solltest du auch mal machen.
> > > > Einfach so, ohne das noetige Wissen, ist _jede_ "Firewall" scheisse.
> > > Aha. Du kennst also Smoothwall doch nicht. Denn Smoothwall ist längst
> > > nicht nur eine Firewall, jedenfalls nach "innen".
> > Was laberst Du nur fuer einen Unsinn?
>
> Du hast keine Ahnung von dem Produkt, über das du abziehst, und wenn jemand
> dich darauf hinweist, wirst du beleidigend. Deine Fassade bröckelt.
Du hast das nicht verstanden.
> > > In beiden Fällen fühlt er sich sicher, im ersten ist er damit
> > > allerdings näher an der Realität dran.
> > Endweder es ist sicher oder es ist es nicht.
>
> ROTFL! Jetzt hast du aber wirklich verloren. Seit wann ist Sicherheit was
> binäres? Seit wann ist Sicherheit überhaupt ein Zustand?
Du hast das nicht verstanden. Schon immer so gewesen. Du machst
dein System sicher gegen bestimmte Szenarios. Wenn du alle
szenarios durchspielst und dein System dagegen absicherst, dann
_ist_ es sicher.
> Wie du hoffentlich(?) weisst, ist NICHTS "sicher". Rein gar nichts.
Du hast das nicht verstanden.
> > Hilf ihm,
>
> Genau das habe ich gemacht. Wo ist das Problem?
Weil du ihm nicht an der richtigen Stelle hilfst. Ist das so schwer
zu kapieren?
> > Einfach ein Tool zu empfehlen halte ich fuer sehr sehr schlecht!
>
> Wie soll er denn sowas sonst abschalten, ohne irgendwelche Tools?
> vi ist auch ein Tool.
Es geht aber nicht um Tolls, sondern um Grundlagen. Wenn du ein
unsicheres System hast, kannst du mit einer Firewall nichts dagegen
tun.
> > Es ist voellig irrelevant, was dieses Tool kann. Ist das System nicht
> > ordentlich konfiguriert, ist die beste Firewall Muell.
>
> Und was genau hat das jetzt mit unserem Problem zu tun?
Weil es genau darum geht. Aber das verstehst du nicht.
> > > > Das Ende kannst Du dir selbst ausmahlen.
> > > Ich habe mit Smoothwall ein besseres Gewissen als ganz ohne oder mit
> > > ActiveFirewall-2002-Pro.
> > Ich habe mit sicher konfigurierten Rechner ohne Firewall ein gutes
>
> Die Alternative ist ein Windows-Rechner, der sich per definitionem nicht
> sicher konfigurieren LAESST. Das begreifst du nicht, oder willst du nicht?
Wir sprechen hier aber nicht über Windows-Rechner, sondern über
Linux-Rechner, die es zu konfigurieren gilt. Geschnallt?
> > Bei den meisten Menschen wird eine Firewall nur zur unnoetigen Erhoehung
> > der Komplexitaet beitragen, auf dass sie endgueltig mit der
> > Administration und Sicherung ihrer Systeme ueberfordert sind.
>
> Dir ist wieder entfallen, daß es Systeme gibt, die sich ohne externe Hilfe
> nicht absichern LASSEN. Was meinst du, warum Microsoft vor ihren
> microsoft.com Webservern einen reverse Proxy von Novell stehen hat?
Weil Microsoft halt Microsoft-Produkte verwendet. Mit dieser
Aussage hast du dich aber selbst ins Bein geschossen...
> > Ich kann diesen ganzen Mist nicht mehr hoeren. Leute, kuemmert euch um
> > die korrekte und sichere Konfiguiration eurer Syteme und lasst euch nicht
> > diesen Firewall Scheiss andrehen!
>
> Informier dich bitte genauer bevor du irgendwelche Clichées und pauschale
> Polemikshows abziehst. Danke.
Dito, Sam.
> Guido, du passt richtig gut zu Debian, vor allem in die Welt der
> fanatischen Policy-Perfektionisten. Ist etwas nicht absolut 100% perfekt zu
> lösen, lassen wir es halt ganz - egal ob es 98% der Anwender die Arbeit
> erleichtern würde!
tut er auch, aber aus dem Grund, daß er halt keinen Pappkarton als
Tür einbaut, sondern ne schöne Stahltür.
> Eine Lösung komplett zu verweigern, nur weil sie nicht perfekt ist, ist
> eine schöne Theorie. Nur kommt man damit leider im realen Leben nicht
> weiter.
Du hast das nicht verstanden.
Gruss Udo
--
ComputerService Müller | You want my PGP-Key? | Key: 0xAD0EEC22
Kaspersweg 11a | mail -s "get pgp-key" | Tel: 0441-36167578
26131 Oldenburg | Schon fit für € und ¢? | Mobil: 0162-4365411
Registrierter Linux-User #225706 auf Debian GNU/Linux 2.4.17
Attachment:
pgpq9ZjDFLu0v.pgp
Description: PGP signature