[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Firewall oder gesichertes System



On Thu, Jan 31, 2002 at 01:50:49AM +0100, Udo Müller wrote:
> Hallo Jens,
> 
> Wenn man auf eine Mail mit geändertem Subject antwortet, nimmt man
> für üblich das alte Subject raus.

Kann man so machen. Ob das üblich ist, war mir bisher nicht bekannt. Wo
steht sowas?
 
> > > Wir sprechen hier hoffentlich über Linux-Rechner, denn Windows-PC's
> > > direkt ans Netz zu hängen, sollte man eh möglichst umgehen.
> > GENAU DAS ist mein Ziel. Mehr nicht.
> Ok. mein erstes ACK.

Prima.
 
> > > (... ausführliche Erläuterungen ...) ..geboten? Welche Dienste
> > > lauschen auf ippp0?
> > Ich weiss nicht was du mir damit jetzt sagen willst, denn das stand gar
> > nicht zur Debatte. Mein Ziel ist, einigen Leuten einen möglichst simpel
> > konfiguierbaren Linuxrechner als Ersatz für ein Wingate o.ä.
> > hinzustellen.  Und zwar so, daß das Teil benutzbar und einigermaßen
> > dicht ist, ohne daß _ich_ alle naselang irgendwas umkonfigurieren muss,
> > weil die es nicht können.
> 
> Genau DAS will ich dir damit sagen. Hast du gelesen, was ich geschrieben
> habe? Einigermaßen dicht ist wie Haus mit Alarmanlage, alle Fenster
> dicht, nur die Haustür ist sperrangelweit offen.  Verstehst du das? Geht
> das in dein Köpfchen?

Dann hast du aber eine ziemlich lasche Vorstellung von "einigermaßen
dicht".

"einigermaßen dicht" heisst für mich in dem Zusammenhang etwa "output
default allow, input default reject" und evtl. Sachen wie einen HTTP-Proxy,
der die gröbsten IE-Bugs (readme.eml & Co) filtert und einen MDA, der
Outlook-Viren killt/zurückschickt. Wie z.B. das "procmail_security"
rocmail-Skript oder sowas.

"Sehr sicher" würde für mich u.a. bedeuten "output default reject",
unterschiedliche Rules für forward und output, kein IP-Forwarding (nur
Proxies), eine DMZ für die Server, kein Windows, etc - was schon alleine
deshalb rausfällt, weil dort Netzwerk-Software läuft die weder proxyfähig
ist, noch ohne Windows funktioniert, noch statische Ports alloziert.

Natürlich kann man das noch weiter treiben. Daher "u.a.".

> Es geht auch nicht darum, den anderen den Rechner zu konfigurieren,
> sondern den anderen zu erklären, was überhaupt wichtig ist bei der ganzen
> Sache. Verstanden?

Genau das, was ich mache. Wenn ich denen aber vorher stundenlang die
Bedienung einer Shell und das Erstellen von Skripten erklären müsste, weil
es halt keine Produkte wie Firewall#1 oder Smoothwall gibt, wäre ich a)
nach einer Woche noch nicht fertig und b) würden die meisten mir nach
spätestens 10 Minuten gar nicht mehr zuhören.

Genauso, wie ich mich wahrscheinlich verhalten würde, wenn mir ein
Kollege/Freund das Auto reparieren/tunen soll und mich stundenlang
volltextet, was es denn für verschiedene Schraubenschlüsselaufsätze gibt.
Interessiert mich alles nicht, ich will bloss neue Dachgepäckträger / ein
neues Schloss in die Fahrertür / ...! 

Ich finde das Verhalten also völlig verständlich.
 
> > > Gut. Wenn du bis hierher alles so hast nachvollziehen können,
> > > sprichst du dem zu, was Guido vertritt.
> > Dann hat Guido sich aber _sehr_ unverständlich ausgedrückt.
> Du hast ihn nur nicht verstehen wollen.

Wir haben anscheinend aneinander vorbei geredet. Die Lösung, die er für die
einzig wahre hält, ist in meinem Fall unerreichbar. Das scheint er nicht
einsehen zu wollen.
 
> > Smoothwall erfüllt diese Anforderungen. Guido ist anscheinend der
> Smoothwall erfüllt diese Anforderungen in keinem einzigen Punkt!  Oder

Kennst du es?

> konfiguriert Smoothwall das System so, daß Dienste nicht auf dem äußeren
> Interface angeboten werden? 

Ja. Bei den Installationen, die ich bisher gemacht habe, gilt fürs "rote"
Netzwerk (das äußere, meist mit dem Internet verbunden) "input default
reject". Ergo, sind von aussen keinerlei Dienste erreichbar. Auch die
Konfigurations-Oberfläche ist nur über das interne ("grüne") Interface
erreichbar (und nur über https und natürlich mit Kennwort-Abfrage).

Was allerdings geht (und auch so gedacht und so konfigurierBAR ist), ist
die Einrichtung einer DMZ ("orange network"). Hosts die dort liegen, können
durch Smoothwall von aussen durch Port-Forwarding erreicht werden, z.B. ein
Webserver. Smoothwall selber ist von aussen komplett unsichtbar, bis auf
'ping'.

Meinst du, sonst würde ich das Teil benutzen?

> Nein? Dann stimmt das ja gar nicht, was du schreibst!

Momentan stimmt das nicht was DU schreibst.

> > daß man (wie ja oft den Fanatikern nachgesagt wird) erstmal Informatik
> > studieren muss, um irgendwas "richtig" konfigurieren zu können.
> Also ich studiere Informatik und ich hab da noch nicht einen Satz über
> richtig konfigurierte Systeme gehört in einer der Vorlesungen.

Ich wiederhole mich:
> > ... wie ja oft den Fanatikern nachgesagt wird ...

Also, noch mal ganz langsam: Das war bildhaft gemeint. Nicht verstanden?

> > Ich sage, daß der "manuelle Weg" für viele einfach überflüssig is..
> ..er: $EDITOR, bash, Kernelkompilieren steht gar nicht zur Debatte.  Es

DOCH! Guido behauptet, das ist "der einzig wahre Weg". Ich behaupte, das
ist manchmal überflüssig. DAS ist das EINZIGE, worin wir uns nicht einig
waren. Leider hat Guido irgendwie immer wieder blind auf einem Punkt
rumgeritten, dem ich eigentlich gar nicht widersprochen habe.

> geht um die Konfiguration eines Systems! Um das sichermachen eines
> Systems. Nicht um klickbare oder vorgefertigte Scripte.

Ja, und wo ist jetzt der Unterschied zwischen dem Sichermachen eines
Systems mit irgendeiner Oberfläche, und dem Sichermachen eines Systems
durch Lernen von Skripten, Kernelkompilation, usw, usw usw, wenn in beiden
Fällen jemand davor sitzt, der _netzwerktechnis_ das nötige Wissen hat?
 
> > Firewallkonzepte lernen muss man immer noch, und das habe ich nie
> > abgestritten. Nur das ganze überflüssige Geraffel "drumherum" wird
> > einem abgenommen, und dass das gut sein KANN, scheint Guido nicht zu
> > begreifen.
> Ja, sicher wird einem das abgenommen, aber zudem auch Sicherheit
> vorgegaukelt. Sicher ist nur ein System, welches _keine_ Dienste nach
> außen hin anbietet, oder?

ACK. Habe ich nie bestritten. Und?
 
> > Ach. und wo genau habe ich die Nötigkeit des Erlenens von
> > Netzwerk-Grundlagen usw. bestritten?
> Nirgendwo, weil du nirgends darauf eingegangen bist. 

Weil das für mich selbstverständlich ist und seit jeher war, und daher gar
nicht zur Debatte stand. Mann, wie schwer ist denn das zu verstehen?

> Für dich zählt die Smoothwall.

Vergiss es, ;) du verstehst das also auch nicht. Les das oben doch bitte
noch mal.
 
> > > Wozu brauch ich im Haus ne Alarmanlage, wenn das Haus keine Fenster
> > Wozu brauchst du einen Safe, wenn deine Haustür doch abgeschlossen ist?
> > Wozu schliesst du deine Garage ab und machst das Tor zu, wenn doch dein
> Ja, aber wie du grad geschrieben hast, _ist_ die Haustür abgeschlossen.
> Setzte ich Smotthwall ein, ist die Haustür offen.  Verstanden?

Woher willst du denn das wissen? Hast du ihn schon mal benutzt? ICH habe
das. ICH weiss was bei dem Produkt offen ist und was nicht.

Hör bitte auf, Unwahrheiten über Sachen zu verbreiten, von denen du
keinerlei Ahnung hast. Bitte.
 
> > Weil "errare humanum est", doppelt hält besser, und so weiter. 
> Wenn man sein System "Dienstfrei" gemacht hat, kann man dann noch mit
> einer Firewall alles dichtmachen, aber nicht vorher.  Verstanden?

Man kann es auch vorher schon, das Ergebnis ist effektiv das gleiche. Das
ist aber i.A. wenig sinnvoll. Es gibt (leider!) aber auch Programme, die
sich gar nicht so konfigurieren lassen, nur auf einem Netzwerk zu horchen,
bei denen ist das dann nicht möglich.

Also: ACK. Und?
 
> > Guido erwartet, daß man viel Kram lernt, und damit meine ich NICHT
> > Netzwerkgrundlagen usw.), um sowas einrichten zu können. Das halte ich
> > für falsch. Mehr nicht.
> Tut mir jetzt leid mich wiederholen zu müssen, aber: Du hast es nicht
> verstanden. Es geht bei Guido nicht um die Einrichtung einer manuelle
> erstellten Firewall, sondern um ein sicher und wohl konfiguriertes
> System. Verstanden?
 
Ja, und? Habe ich dem jemals wiedersprochen? Das widerspricht keineswegs
dem Einsatz eines _von_ _vornherein_ sicherem und wohl konfiguriertem
System. Wie (zum Beispiel!) einer Firwall-Package wie Smoothwall, FW#1,
oder sonstwas.

Also?

> > > > > Einfach ein Tool zu empfehlen halte ich fuer sehr sehr schlecht!
> > > > Wie soll er denn sowas sonst abschalten, ohne irgendwelche Tools?
> > > > vi ist auch ein Tool.
> > > Es geht aber nicht um Tolls, sondern um Grundlagen. 
> > Dann sind wir uns ja einig.
> Du sprichst aber _immer_ nur über Tools. Smoothwall _ist_ ein Tool.

Richtig. Weil die Grundlagen nicht zur Debatte stehen/standen. Die muss man
in _beiden_ Fällen lernen. Und nu?
 
> > > tut er auch, aber aus dem Grund, daß er halt keinen Pappkarton als
> > > Tür einbaut, sondern ne schöne Stahltür.
> > Nicht alles, was hinkt, ist ein Vergleich.
> Du _hast_ es nicht verstanden, aber ein paar Vergleiche fallenmir schon
> noch ein.

Was genau soll denn der Pappkarton in deinem Vergleich darstellen?
 
> Guido verweigert die Lösung einer Firewall nicht komplett. Er
> konfiguriert das System nur erst mal so, daß eigentlich eine Firewall
> unsinnig ist, weil es nichts zu schützen gibt.  Kein Dienst - Kein
> Angriffsziel

Noch mal, für alle, zum mitschreiben. Hinter diesem "Firewall" kommen
Rechner, namentlich Windows-Rechner, die sich nicht so konfigurieren
_lassen_! 

Und bevor jetzt der Fanatiker wieder zuschlägt und sagt "dann gehören die
eben nicht ans Netz": In der idealen Traumwelt ist das völlig richtig, aber
die Realität sieht wieder mal anders aus.

Zusätzlich ist ein Gateway sowieso nötig, weil mehrere Rechner -> ein DSL
Zugang (als Beispiel). Warum dann nicht gleich richtig?

Ergo: Eine Firewall ist nötig. Wenns nur Linuxrechner wären, würde ich da
nicht so einen grossen Bedarf sehen. Ist das denn wirklich so schwer?
 
> Lohnt sich von deiner Seite überhaupt noch eine Mail? Weichst du
> überhaupt von deiner Smoothwall ab? 

Und *noch* mal: Mir geht es nicht speziell um Smoothwall. Guido, und du
oben auch, hat angefangen Smoothwall schlechtzumachen ohne ein einziges Mal
auch nur die FAQ auf der Webseite gelesen zu haben. Ich finde es ziemlich
albern, wenn man lauthals pauschal Sachen schlechtmacht, und dabei
offensichtlich wird, daß man sie kein bisschen kennt. Daher habe ich das
als Beispiel weiterverwendet.

Von mir aus nehme Checkpoint FW#1 als Beispiel. Kostet mehrere tausend €.
Das Ding hat auch eine klickbare Web-Oberfläche. Ist es deshalb automatisch
schlecht?

> Nein? Dann antworte _bitte_ nicht mehr. Diskussion bedeutet gegenseitige
> Annäherung. Und die ist dann nicht gegeben.

Die ist durchaus gegeben: Wir drei sind uns einig, daß man
Netzwerkgrundlagen benötigt, um einen Firewall GLEICH WELCHER ART
einzurichten. Richtig? Richtig. 

Die Unterschiede liegen woanders.


-- 
mfg, Jens Benecke 
www.jensbenecke.de, www.hitchhikers.de, www.linuxfaq.de

V: Epson Stylus Color 600, 1440dpi, inkl. 4F+4SW-Patronen
V: 2x IBM 4.3GB UW-SCSI Festplatten, hdparm: 10-13MB/sec

Attachment: pgppBiryyFs7F.pgp
Description: PGP signature


Reply to: