[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Firewall oder gesichertes System (was: Re: welches Modem fuer (T-)DSL)



On Wed, Jan 30, 2002 at 06:05:20PM +0100, Udo Müller wrote:
 
> * Jens Benecke <jens@jensbenecke.de> [30-01-02 17:13]:
> > On Wed, Jan 30, 2002 at 12:10:24AM +0100, Guido Hennecke wrote:
> > 
> > > Willst Du ssh nicht nach aussen anbieten, dann konfiguriere sshd richtig.
> > Du hast das nicht verstanden.
> Doch, hat er: Die Frage ist doch: Wofür brauche ich eine Firewall?

Hallo,

Ich habe nirgendwo gesagt, daß ich sshd nicht anbieten will. Ich habe genau
das Gegenteil gesagt. Das hat Guido offensichtlich nicht begriffen.

> Wir sprechen hier hoffentlich über Linux-Rechner, denn Windows-PC's
> direkt ans Netz zu hängen, sollte man eh möglichst umgehen.

GENAU DAS ist mein Ziel. Mehr nicht.
 
> (... ausführliche Erläuterungen ...)
> ..geboten? Welche Dienste lauschen auf ippp0?

Ich weiss nicht was du mir damit jetzt sagen willst, denn das stand gar
nicht zur Debatte. Mein Ziel ist, einigen Leuten einen möglichst simpel
konfiguierbaren Linuxrechner als Ersatz für ein Wingate o.ä. hinzustellen.
Und zwar so, daß das Teil benutzbar und einigermaßen dicht ist, ohne daß
_ich_ alle naselang irgendwas umkonfigurieren muss, weil die es nicht
können.

> Gut. Wenn du bis hierher alles so hast nachvollziehen können,
> sprichst du dem zu, was Guido vertritt.

Dann hat Guido sich aber _sehr_ unverständlich ausgedrückt.

Smoothwall erfüllt diese Anforderungen. Guido ist anscheinend der Ansicht,
daß man (wie ja oft den Fanatikern nachgesagt wird) erstmal Informatik
studieren muss, um irgendwas "richtig" konfigurieren zu können.

Ich sage, daß der "manuelle Weg" für viele einfach überflüssig ist. Wenn
man eine übersichtliche Oberfläche (egal welcher Art, kann natürlich auch
textbasiert sein) hat und damit genau die gleichen Rules einstellen kann
wie mit einem Skript, ist das Lernen von $EDITOR, bash, Kernelkompilieren
usw. völlig überflüssig. 

Firewallkonzepte lernen muss man immer noch, und das habe ich nie
abgestritten. Nur das ganze überflüssige Geraffel "drumherum" wird einem
abgenommen, und dass das gut sein KANN, scheint Guido nicht zu begreifen.


Als ich dieses Argument gebracht habe, ist Guido mal wieder zum arroganten
Grosskotz geworden. Vielleicht weil er kein Gegenargument weiss, aber das
nicht zugeben kann/will? Ich weiss es nicht.
 

> Du hast das nicht verstanden.

Och, komm. Begib dich nicht auf den gleichen Level wie die Diskussion mit
Guido.
   
> > Man kann die Funktionen und die volle Komplexität eines Firewalls bzw.
> > Paketfilters auch erlernen, OHNE vorher -zig andere Tools lernen zu
> > müssen.  Man kann solche Tools auch über eine überschaubare Oberfläche
> > bedienen können. Wenn sie im Endeffekt das gleiche leisten, dann ist
> > das für mich völlig OK.
> Es geht auch nicht um Tools, sondern um Grundlagen! 

Ach. und wo genau habe ich die Nötigkeit des Erlenens von
Netzwerk-Grundlagen usw. bestritten?

> Wozu brauch ich im Haus ne Alarmanlage, wenn das Haus keine Fenster und
> Türen hat?

Wozu brauchst du einen Safe, wenn deine Haustür doch abgeschlossen ist?
Wozu schliesst du deine Garage ab und machst das Tor zu, wenn doch dein
Auto abgeschlossen ist?

Weil "errare humanum est", doppelt hält besser, und so weiter. 

Wer behauptet in irgendeiner Hinsicht perfekt zu sein, ist ein Idiot oder
ein Lügner. Meist beides.
 
> > Auch bei Smoothwall muss man sich Gedanken machen, was man erreichen
> > will, und muss sich Gedanken machen, was man dann wie filtert usw. Aber
> > diese Funktionen werden einem _sofort_ angeboten und nicht erst nach
> > dem Erlernen -zig anderer Tools. 
> Du hast das nicht verstanden.

Tu mir bitte einen Gefallen und werd nicht genauso kindisch wie Guido.

Guido erwartet, daß man viel Kram lernt, und damit meine ich NICHT
Netzwerkgrundlagen usw.), um sowas einrichten zu können. Das halte ich für
falsch. Mehr nicht.
 
> > > Eine Firewall ist etwas, was nur jemand konfigurieren und administrieren
> > > kann, der genau weiss was er da tut und der das auch verstanden hat.
> > > Daran aendert auch keine Hipp Software etwas.
> > Was bringt es denn nun genau einem Firewall-Administrator, wenn er vi und
> > bash bedienen kann und Kernel kompilieren kann? 

Also, was bringt es? 

Wenn es nach Guido geht ist das ja scheinbar notwendig.
 
> > > Penisverlaengerung.
> > Lass die Polemik, und informier dich bitte vorher.
> Solltest du auch mal machen.

Wo genau habe ich mich nicht vorher über Smoothwall informiert?
   
> > > Was laberst Du nur fuer einen Unsinn?
> > Du hast keine Ahnung von dem Produkt, über das du abziehst, und wenn
> > jemand dich darauf hinweist, wirst du beleidigend.  Deine Fassade
> > bröckelt.
> Du hast das nicht verstanden.

Guido ist auch diesmal nicht zu verstehen. Vor allem verstehe ich nicht,
warum er bei jedem zweiten Argument nicht kontert, sondern beleidigt.
 
> > > > In beiden Fällen fühlt er sich sicher, im ersten ist er damit
> > > > allerdings näher an der Realität dran.
> > > Endweder es ist sicher oder es ist es nicht.
> > ROTFL! Jetzt hast du aber wirklich verloren. Seit wann ist Sicherheit
> > was binäres? Seit wann ist Sicherheit überhaupt ein Zustand?
> Du hast das nicht verstanden. Schon immer so gewesen. Du machst dein
> System sicher gegen bestimmte Szenarios. Wenn du alle szenarios
> durchspielst und dein System dagegen absicherst, dann _ist_ es sicher.

Und genau DAS existiert höchstens in einer idealen Traumwelt. Sicherheit
ist ein Prozess, kein Zustand; und absolute Sicherheit existiert nicht,
genauso wie ein exakter Ausdruck der Zahl pi. Siehe "perfekt sein".
 
> > Wie du hoffentlich(?) weisst, ist NICHTS "sicher". Rein gar nichts.
> Du hast das nicht verstanden.

Nein. Das wirklich nicht. Zeig mir ein reales absolut _sicheres_ System.
Sowas existiert nicht. Larry Ellison hat sich mit der Behauptung gerade die
Nase gebrochen.
 
> > > Hilf ihm, 
> > Genau das habe ich gemacht. Wo ist das Problem?
> Weil du ihm nicht an der richtigen Stelle hilfst. Ist das so schwer zu
> kapieren?

Die "richtige" Stelle ist nicht erreichbar. Ich gehe da so nah ran wie es
möglich ist. Wenn er damit klar kommt und es gut funktioniert, kann man
evtl. _schrittweise_ an was besseres rankommen. Wenn man ihm gleich sowas
vorwirft, fühlt er sich gegen die Wand gefahren und geht zurück zu Windows.
DAS will ich vermeiden. 

Ist das wirklich so schwer zu begreifen? 
Vielleicht hat das Wahlfach Pädagogik damals bei mir doch Spuren
hinterlassen?
  
> > > Einfach ein Tool zu empfehlen halte ich fuer sehr sehr schlecht!
> > Wie soll er denn sowas sonst abschalten, ohne irgendwelche Tools?  vi
> > ist auch ein Tool.
> Es geht aber nicht um Tolls, sondern um Grundlagen. 

Dann sind wir uns ja einig.
 
> > Die Alternative ist ein Windows-Rechner, der sich per definitionem nicht
> > sicher konfigurieren LAESST. Das begreifst du nicht, oder willst du nicht?
> Wir sprechen hier aber nicht über Windows-Rechner, sondern über
> Linux-Rechner, die es zu konfigurieren gilt. Geschnallt?

Wir sprechen über Linuxrechner, die einen Windowsrechner ersetzen sollen.
Und?
 
> > Guido, du passt richtig gut zu Debian, vor allem in die Welt der
> > fanatischen Policy-Perfektionisten. Ist etwas nicht absolut 100%
> > perfekt zu lösen, lassen wir es halt ganz - egal ob es 98% der Anwender
> > die Arbeit erleichtern würde!
> tut er auch, aber aus dem Grund, daß er halt keinen Pappkarton als Tür
> einbaut, sondern ne schöne Stahltür.

Nicht alles, was hinkt, ist ein Vergleich.
 
> > Eine Lösung komplett zu verweigern, nur weil sie nicht perfekt ist, ist
> > eine schöne Theorie. Nur kommt man damit leider im realen Leben nicht
> > weiter.
> Du hast das nicht verstanden.

Schade, gerade die Kernargumente von mir, gegen die ich bisher noch gar
nichts stichhaltiges gehört habe, werden immer mit irgendwas kindischem
oder albernem kommentiert und überhaupt nicht gekontert oder kritisiert.
Da würde es doch erst interessant werden.


-- 
mfg, Jens Benecke 
www.jensbenecke.de, www.hitchhikers.de, www.linuxfaq.de

V: Epson Stylus Color 600, 1440dpi, inkl. 4F+4SW-Patronen
V: 2x IBM 4.3GB UW-SCSI Festplatten, hdparm: 10-13MB/sec

Attachment: pgpRm0ij2xHyw.pgp
Description: PGP signature


Reply to: