Re: welches Modem fuer (T-)DSL
At 31.01.2002, Jens Benecke wrote:
[...]
> Wenn du nicht verstehen willst, ist das dein Problem.
Jens, Du winkst sehr schnell mit der "du verstehst nicht" Fahne und
meinst, Du seist ein Held, weil Du ja ach so kompromissbereit bist.
Vielmehr ist es aber so, dass Du nichtmal ansatzweise verstanden hast,
was ich an deiner Smoothwall Empfehlung kritisiert habe.
> Du lebst in einer
> idealen Traumwelt, und willst alles perfekt oder gar nicht.
(Jens ist offensichtlich ein grosser Fan von MAtrix(tm))
Erstens lebe ich in der Realitaet (was mir nicht immer gafaellt) und Du
gehoerst mit Sicherheit nicht zu den Menschen, die beurteilen koennen,
wie es um mein Realitaetsbewusstsein bestellt ist.
Zweitens will ich _natuerlich_ alles perfekt machen, mir ist aber
durchaus bewusst, dass das in der Realitaet(tm) nicht immer geht.
Was ich vielen Newbies vorschlage _sind_ bereits sehr grosse
Kompromisse. Sie unterscheiden sich aber in so fern von deinen
Vorschlaegen, dass meine Vorschlaege wenigstens das Ziel erreichen.
Einem Newbie, der von IP, Netzwerken und dem System, welches er sich da
installiert hat, keine Ahnung hat, einfach ein Tool vorzuwerfen, von dem
der User dann glaubt sein Problem loesen zu koennen, ist eine nicht nur
Dumme Tat sondern auch eine unverantwortliche.
Und ob der Newbie nun nur noch mit zwei verschiedenen Diensten
saemtliche Filesysteme im Internet rw anbietet oder mit 15 ist ja wohl
voellig egal. Das scheint aber deine Definition eines Kompromisses in
Sachen IT Sicherheit zu sein. "Besser nur 2 Dienste, alle Filesysteme im
Internet preis geben, als 20".
Und genau das ist Schwachsinn. Ausgemachter Schwachsinn sogar. Dieses
Niveau liegt noch deutlich unter dem von Microsoft.
> Wenn es nicht
> perfekt geht, versuche ich Kompromisse zu finden, das scheinst du nicht zu
> schaffen.
Du solltest vielleicht meine Mails mal _lesen_ und nicht nur nach
Moeglichkeiten zu suchen, dich mit dummen Antworten zu profilieren.
Eine perfekte Loesung waere, eine echte Firewall zu errichten. Da Du
anscheinend nichtmal weisst, was das ist, werde ich es extra fuer dich
mal kurz anreissen:
Eine Firewall ist kurz gesagt die technische Umsetzung eines umfassenden
Konzeptes. Dieses _kann_ viele Komponenten wie Paketfilter, Applikation
Level Gateways, Physische Zugangsbeschraenkungen, Updatepolicys,
Softwareauditing etc. umfassen. Zugriffsrechte und noch vieles Mehr
gehoehren auch dazu.
Eine perfekte Loesung bedeutet, dass Dienste, die man nicht unbedingt
benoetigt, nicht nur nicht im Internet angeboten werden, sondern
garnicht - ja, sie sollten nichtmal installiert sein.
Sie bedeutet eine klare beschreibung der Netze, die man miteinander
verbindet und eine ganz klare Aufstellung der Bedrohungsszenarien und
Massnahmen, diese zu entkraeften.
Dieses schliesst viel mehr ein als nur dafuer zu sorgen, dass $DIENST
nicht im Internet verfuegbar ist.
Wenn ich also jemandem, der an der Sicherheit seiner Systeme Interesse
hat, empfehle, nicht benoetigte Dienste nicht zu starten, intern
benoetigte Dienste auf ein internes Interface zu binden und erst dann
das, was er nicht mit seinen Moeglichkeiten beheben kann, mit einem
Paketfilter zu _verstecken_, dann ist dass schon ein riesiger
Kompromiss, der mit einfach Mitteln und recht wenig Aufwand und
Sachverstand erreicht werden kann _und_ wenigstens gegen direkte
Angriffe von aussen einen effektiven Schutz bietet.
Was Du hingegen tust ist unverantwortlich und eine schlichte
Unverschaehmtheit den Newbies gegenueber, die dein KnowHow hier
gravierend ueberschaetzen, dir vertrauen und dann voll auf die Fresse
fliegen.
Die Sprueche ala "Ich denke Linux ist so sicher und von Debian behaupten
immer alle, das waere ueberhaupt das Sicherste und nun hat da voll
krass jemand meine Rechner gehackt!", kennen wir wohl beide. Nicht
zuletzt sind Typen wie Du dafuer verantwortlich, die den Usern einfach
dummdreist ein Tools empfehlen, mit dem sie genausowenig umgehen
koennen, wie mit einem Elektronenbeschlaeuniger.
Und ja, SMotthwall in der Hand eines Unwissenden ist genauso ein
Schwachsinn wie ZA, @garddd und wie der ganze Schmutz heisst. Und
jemand, der soweit ist, dass er IP ausreichend verstanden hat, dass er
damit wirklich umgehen koennte, der _kann_ auch seine ipchains Regeln
selber schreiben. Und komm nicht wieder mit deinem vi Gewaesch. Das geht
mit jedem Editor und Shellscripte schreiben muss man da auch nicht
koennen. Beispiel:
#!/bin/bash
ipchains hier und da und trallala
ipchains macht alles ganz doll sicher
So, Wo muss man da Shellscripte schreiben koennen? Und irgendeinen
Texteditor wird man doch noch bedienen koennen?
Also was soll dein Gesabbel? Was willst Du erreichen? Ist es dir
peinlich, dass dein vorgespieltes Samaritertum hier als
verantwortungsloeses Newbiefutter erkannt wurde? Das ist dein Problem.
Was aber derjenige, der ip Filter (in welcher Form auch immer, also auch
mit einem Bunti Clicky Interface) auf jeden Fall genau wissen muss, ist
was er da tut und warum er das tut. Und vor Allem, was das fuer folgen
hat. Solche Trottel, die ICMP wegwefen, TCP 113 _wegwerfen_ betreiben
Sabotage und nichts weiter.
Mit einem falsch konfigurierten Paketfilter kann man auch recht viel
Schaden anrichten. Mit einem einigermassen sicher konfiguriertem System
eher nicht. Dafuer hat man effektiv Sicherheit gewonnen.
> Mein Problem ist das nicht. Mir ist eine nicht perfekte Lösung
> lieber als gar keine.
Dir ist Snakeoil lieber als an Lungenkrebs zu sterben. Mit Snakeoil
stirbst Du zwar auch daran, Du hast aber wenigstens noch deinen Glauben,
an dem Du dich festhalten kannst. Schoen, die Christen machen das auch
so. Jeder wie er will, aber zieh da nicht unschuldige und (noch)
unwissende Newbies mit rein.
> In der Theorie und prinzipiell hast du recht, wie ich schon mehrfach gesagt
> habe (offensichtlich überliest du das immer,
Nein, dass ueberlese ich nicht. Was zaehlt ist aber die Praxis und ich
habe ein ganz egoistisches Interesse daran, dass auch der allerletzte
Newbie seine Systeme sicher konfiguriert.
Ein aufgemachtes System ist fuer _alle_ eine Gefahr, die Systeme im
Internet betreiben (sollte dir das entgangen sein). Denk nur mal an
Love-Letter etc. Mich hat Love-Letter selbst nicht gestoert, aber dass
einige Mailserver _ueberlastet_ waren, dass hat mich auch gekratzt.
Du bist nicht alleine im Internet und jeder unsichere Rechner ist eine
Gefahr fuer alle Anderen und nicht nur fuer den Besitzer. Sicherheit in
oeffentlichen Netzen wird auch ohne deine "Hilfe" schon ausreichen wenig
beachtet und falsch verstanden. Das halte ich nunmal fuer dumm.
> und gehst nur auf die Sachen
> ein, bei denen du meinst beleidigen zu können).
Ist ja lustig, welches sachliche Argument hast Du Phrasenschwinger zum
Thema Sicherhei denn beigetragen (nein, Schutzwall gildet nicht. Siehe
oben.)?
> Nur der Unterschied
> zwischen Theorie und Praxis ist dir wohl nicht bekannt.
Dir ist nicht bekannt, dass die sichersten Systeme nicht die sind, bei
denen Newbies ohne Sinn und Verstand an einer bunten Oberflaeche
Sicherheitsregler auf "Voll krass sicher" stellen, ohne zu wissen, was
das eigentlich bedeutet.
Mir ist aber bekannt, dass es sehr einfach und effektiv moeglich ist,
einem Newbie zu zeigen, wie er seine Systeme gegen Angriffe von aussen
absichern kann. Ohne Tools. Tut mir ja leid, wenn deine Phantasie da
nicht mitkommt.
> PS: Beleidigungen helfen deinem Standpunkt nicht, sondern wirken kindisch
> und lächerlich.
Du bei Typen wie Du einer bist (wir hatten das ja alles schon mehrfach),
da muss es einfach auch mal raus. Das ist jetzt aber dein Problem.
> Vor allem, wenn sie dort auftreten, wo eigentlich Argumente
> deinerseits stehen sollten. Das solltest du dir mal zu Herzen nehmen.
Wenn ich mal ein Argument von dir sehe, werde ich an diesen Satz denken
und mir ein Laecheln abringen.
Reply to: