Hallo Chris,
At 31.01.2002, Chris Hessmann wrote:
> > ZA klinkt sich in den IP Stack ein und Du hast den _Nachteil_, dass
> > Du damit die Angriffsflaeche _erhoehst_ und nicht _verringerst_.
> > Bitte denk darueber mal nach.
> Nungut, wir haben hier zwei verschiedene Ansichten:
> Du hast die Ansicht (gegen die ich absolut nichts einwenden kann, weil
> sie einfach wahr ist), dass ein Rechner ohne Services, die auf's Netz
> zugreifen, sicher ist. Einverstanden.
Also gibt es folgende zwei Ansichten (nach dir):
Meine - wahr
Deine - unwahr
Oder habe ich dich jetzt falsch verstanden? ;-)
> In der Praxis ist es im Augenblick (!) aber so, dass nicht viele
> exploits fuer so "exotische" Software wie eine PFW entwickelt bzw.
> ausprobiert werden,
Darf ich mal fragen, woher Du diese interessante Information hast?
> schliesslich haben die script-kiddies ca. 100
> Millionen voellig ungeschuetzte Windows-Rechner, die alle moeglichen
> Dienste (womoeglich gar ihre Shares) im Netz anbieten. Und auch ein
> Script-Kiddie hat nicht ewig Zeit, sondern will moeglichst schnell
> seine IRC-Bots auf die Kisten bringen, die ihm dann DDOS-Angriffe
> ermoeglichen.
Du, die gehen regelmaessig auf ihre Toolz und Warez Seiten und downen
die neuesten Exploidz und clickenz die einfach an.
> Damit ist "meine" Sicherheit natuerlich eine truegerische.
Eher eine nicht vorhandene.
> Aber
> solange es noch so unterschiedliche PFWs gibt und diese auf so wenigen
> Rechnern laufen, ist meine Sicherheit einfach die, dass sich niemand
> die Muehe macht, genau die zu knacken (erstmal muss er Rechner finden,
> auf denen sie laufen, dann muss das die richtige Version fuer den
> exploit sein etc.), wenn er im gleichen Subnetz 100 Windows-Rechner
> ohne Schutz hat. Natuerlich rede ich hier nur von Einwahl-Usern mit
> dynamischer IP-Adresse, denn Firmen, die sich mit PFW schuetzen
> wollen, sind bescheuert und haben es nicht anders verdient...
Ich glaube, Du hast eine voellig falsche Vorstellung davon, wie sowas
bei einem ScriptzKiddiez ablaeuft. Der nimmt $TOOLZ und das geht dann
einfach blind ein Netz durch. Bist Du zufaelig dabei, gute Nacht.
> > Das bischen an Angriffsmoeglichkeiten, welches solche
> > Tools beseitigen wird aber durch die negativen Eingenschaften der
> > Software _und_ durch das veraenderte Verhalten des Users leider
> > massiv ueberkompensiert. Selbiges gilt fuer Virenscanner.
> Nungut, ueber das "bisschen" habe ich oben schon geschrieben (genau
> aus diesem bisschen bestehen zur Zeit ueber 90% der Angriffe).
Ja und? Willst Du mir jetzt damit sagen, dass Du mit deinem Rechner 2
Tage laenger ungehackt bleibst, wenn Du eine PF installierst
(statistisch)?
> Das
> geaenderte Verhalten des Users ist natuerlich ein Problem, da gebe ich
> Dir recht. Aber auch hier muss ich sagen, dass ich meinem Vater mit
> seinem Windows 2000 Rechner lieber eine PFW installiere als garnichts,
> denn sein Verhalten wird immer gleich sein (den Anhang von eMails nie
> oeffnen, keine dubiose Software runterladen, das war's).
Dagegen hilft auch keine PF.
Entferne doch einfach alle Bindungen ausser TCP/IP vom externen
Interface und die liebe Seele hat Ruhe.
Das geht bei Windows2000 doch ganz leicht. Habe ich meine Vater mal
eingerichtet.
> Mit der PFW
> (von der er nicht weiss, dass sie installiert ist) hat er (im
> Augenblick) Schutz vor den meisten Angriffen aus dem Netz, sollte fuer
> ZA ein exploit mal groessere Verbreitung finden, muss ich mir was
> neues einfallen lassen.
Er hat keinen Schutz. Denk mal drueber nach. Vor was genau soll er denn
gescheutzt sein?
> > Falsch. Das ist ein suinnloses Wettruesten. Die Scriptkiddies laden
> > sich die neuen Tools runter, die dein neues Tool einfach umgehen
> > oder gar ausnutzen.
> Es gibt inzwischen so viele Script-Kiddies, dass ich es IMHO ziemlich
> genau merken werde, wenn sie jetzt eine Moeglichkeit haben, gegen ZA
> (oder jede andere PFW) vorzugehen.
Wie denn?
> Es ist nunmal so, dass es insgesamt
> vielleicht gerade mal eine Handvoll verschiedener Attacken auf
> SOHO-Rechner gibt, diese funktionieren so gut, dass sie jeder
> anwendet, schon verbreiten sich im Netz wieder die Schreckensmeldungen
> ueber ein neues Loch in dieser und jener Software. Wenn man dann
> schnell genug reagiert und auf etwas wechselt, bei dem die
> Schwachstellen noch nicht gefunden bzw. so bekannt sind, dann habe ich
> wieder Schutz gegen 90% der Angriffe. Soviel zum Wettruesten.
Eben. Sinnloses Wettruesten, bei dem Du nur verlieren kannst.
> > > haette jeder SOHO-Nutzer diese Sicherheit, wuerde es im Netz um
> > > einiges ruhiger ablaufen, CR 1+2, Nimda etc. waeren wirkungslos im
> > > Nirvana verschwunden....
> > Wenn Du dich mal nicht taeuschst.
> OK, so ist das nicht korrekt. Wenn jeder SOHO-Nutzer diese Sicherheit
> haette, wuerden sich alle auf die Loecher in den PFWs stuerzen. Ich
> verstecke mich ja gerade dahinter, dass nur wenige ueberhaupt die
> "Standard-Loecher" in ihren Rechnern schliessen.
Ts.
Also das gehoert nun wirklich nicht hier her und ich habe auch keine
Lust, dieses Thema zum 23523. Male zun diskutieren. Ebensowenig habe ich
ein Interesse daran, dich zu missionieren.
Wenn dich das Thema und die Argumente interessieren, dann schau doch
mal auf http://groups.google.com/ in der Gruppe
de.comp.security.firewall nach. Alle nur denkbaren Argumente pro und
contra PF sind dort AFAIK genannt worden.
Gruss, Guido
F'up2poster please.
--
>2. Sicherheit
Mit einer dynamischen IP und ZoneAlarm kein Problem.
- Message-ID: <9isva7$kt7ts$2@ID-70333.news.dfncis.de> -
Attachment:
pgpKdWOV8gTkB.pgp
Description: PGP signature