Hallo Jens,
* Jens Benecke <jens@jensbenecke.de> [31-01-02 21:09]:
> On Thu, Jan 31, 2002 at 01:50:49AM +0100, Udo Müller wrote:
> >
> > Wenn man auf eine Mail mit geändertem Subject antwortet, nimmt man
> > für üblich das alte Subject raus.
>
> Kann man so machen. Ob das üblich ist, war mir bisher nicht bekannt. Wo
> steht sowas?
>
> > Genau DAS will ich dir damit sagen. Hast du gelesen, was ich geschrieben
> > habe? Einigermaßen dicht ist wie Haus mit Alarmanlage, alle Fenster
> > dicht, nur die Haustür ist sperrangelweit offen. Verstehst du das? Geht
> > das in dein Köpfchen?
>
> Dann hast du aber eine ziemlich lasche Vorstellung von "einigermaßen
> dicht".
Ne, hab ich nicht. Genau das ist _einigermaßen_ dicht. Setzt dich
mal bei Regen in ein Zelt, das einigermaßen dicht ist. Dann kennst
du den Unterschied zu einem dichten Zelt.
> "einigermaßen dicht" heisst für mich in dem Zusammenhang etwa "output
> default allow, input default reject" und evtl. Sachen wie einen HTTP-Proxy,
> der die gröbsten IE-Bugs (readme.eml & Co) filtert und einen MDA, der
> Outlook-Viren killt/zurückschickt. Wie z.B. das "procmail_security"
> rocmail-Skript oder sowas.
>
> "Sehr sicher" würde für mich u.a. bedeuten "output default reject",
> unterschiedliche Rules für forward und output, kein IP-Forwarding (nur
> Proxies), eine DMZ für die Server, kein Windows, etc - was schon alleine
> deshalb rausfällt, weil dort Netzwerk-Software läuft die weder proxyfähig
> ist, noch ohne Windows funktioniert, noch statische Ports alloziert.
>
> Natürlich kann man das noch weiter treiben. Daher "u.a.".
Gut. Also beschränkt sich deine sicherheit _hauptsächlich_ auf
einen Paketfilter.
> > Es geht auch nicht darum, den anderen den Rechner zu konfigurieren,
> > sondern den anderen zu erklären, was überhaupt wichtig ist bei der ganzen
> > Sache. Verstanden?
>
> Genau das, was ich mache. Wenn ich denen aber vorher stundenlang die
> Bedienung einer Shell und das Erstellen von Skripten erklären müsste, weil
> es halt keine Produkte wie Firewall#1 oder Smoothwall gibt, wäre ich a)
> nach einer Woche noch nicht fertig und b) würden die meisten mir nach
> spätestens 10 Minuten gar nicht mehr zuhören.
Wozu, das erkläre mir mal, mußt du jemandem die Shell und das
Erstellen von Skripten erklären, wenn derjenige nur die Dienste auf
die inneren Interfaces drehen soll?
> Genauso, wie ich mich wahrscheinlich verhalten würde, wenn mir ein
> Kollege/Freund das Auto reparieren/tunen soll und mich stundenlang
> volltextet, was es denn für verschiedene Schraubenschlüsselaufsätze gibt.
> Interessiert mich alles nicht, ich will bloss neue Dachgepäckträger / ein
> neues Schloss in die Fahrertür / ...!
>
> Ich finde das Verhalten also völlig verständlich.
s.o.
> > > > Gut. Wenn du bis hierher alles so hast nachvollziehen können,
> > > > sprichst du dem zu, was Guido vertritt.
> > > Dann hat Guido sich aber _sehr_ unverständlich ausgedrückt.
> > Du hast ihn nur nicht verstehen wollen.
>
> Wir haben anscheinend aneinander vorbei geredet. Die Lösung, die er für die
> einzig wahre hält, ist in meinem Fall unerreichbar. Das scheint er nicht
> einsehen zu wollen.
Die Lösung, die Guido anspricht, ziehst du nicht mal in Betracht.
Für dich reicht es, einen Paketfilter zu errichten statt die
Dienste richtig zu konfigurieren.
> > > Smoothwall erfüllt diese Anforderungen. Guido ist anscheinend der
> > Smoothwall erfüllt diese Anforderungen in keinem einzigen Punkt! Oder
>
> Kennst du es?
Nein, muß ich auch nicht. Zitiere vollständig und reiße nichts aus
dem Zusammenhang. Smoothwall konfiguriert keinen einzigen Dienst
auf dem Rechner, so daß dieser nur auf einen LAN-Interface horcht,
oder?
> > konfiguriert Smoothwall das System so, daß Dienste nicht auf dem äußeren
> > Interface angeboten werden?
>
> Ja. Bei den Installationen, die ich bisher gemacht habe, gilt fürs "rote"
> Netzwerk (das äußere, meist mit dem Internet verbunden) "input default
> reject". Ergo, sind von aussen keinerlei Dienste erreichbar. Auch die
> Konfigurations-Oberfläche ist nur über das interne ("grüne") Interface
> erreichbar (und nur über https und natürlich mit Kennwort-Abfrage).
Wilst du nicht verstehen oder kann dein Hirn das nicht begreifen?
Smoothwall ändert NICHT die httpd.conf, wenn du möchtest, daß der
Apache nur dem LAN zur Verfügung steht. Etc...
Lauscht der Dienst nach Smoothwall immer noch auf dem roten
Interface?
> Was allerdings geht (und auch so gedacht und so konfigurierBAR ist), ist
> die Einrichtung einer DMZ ("orange network"). Hosts die dort liegen, können
> durch Smoothwall von aussen durch Port-Forwarding erreicht werden, z.B. ein
> Webserver. Smoothwall selber ist von aussen komplett unsichtbar, bis auf
> 'ping'.
>
> Meinst du, sonst würde ich das Teil benutzen?
Es geht aber nicht um dieses Teil, sondern um die korrekte
Einrichtung des Systems. Nur rumpflastern ist nicht das Wahre.
Außerdem sprechen wir von Newbies, denen du sowas auf den Rechner
machst. Newbies wolen erst mal keine DMZ oder Port-Forwarding. Oder
irre ich mich da? Weiß ein frischer Newbie überhaupt, was eine DMZ
ist? Nein!
> > Nein? Dann stimmt das ja gar nicht, was du schreibst!
>
> Momentan stimmt das nicht was DU schreibst.
Du solltest richtig und aufmerksam lesen. Und anderer Leute meiner
akzeptieren. Nicht als deine Mainung, aber zumindest, das andere so
eine Meinung haben.
> > > daß man (wie ja oft den Fanatikern nachgesagt wird) erstmal Informatik
> > > studieren muss, um irgendwas "richtig" konfigurieren zu können.
> > Also ich studiere Informatik und ich hab da noch nicht einen Satz über
> > richtig konfigurierte Systeme gehört in einer der Vorlesungen.
>
> Ich wiederhole mich:
> > > ... wie ja oft den Fanatikern nachgesagt wird ...
>
> Also, noch mal ganz langsam: Das war bildhaft gemeint. Nicht verstanden?
Nein. Ein Informatik-Studium hat mit der Angelegenheit nichts zu
tun. Hast DU das jetzt verstanden?
> > > Ich sage, daß der "manuelle Weg" für viele einfach überflüssig is..
> > ..er: $EDITOR, bash, Kernelkompilieren steht gar nicht zur Debatte. Es
>
> DOCH! Guido behauptet, das ist "der einzig wahre Weg". Ich behaupte, das
> ist manchmal überflüssig. DAS ist das EINZIGE, worin wir uns nicht einig
> waren. Leider hat Guido irgendwie immer wieder blind auf einem Punkt
> rumgeritten, dem ich eigentlich gar nicht widersprochen habe.
Bite zitiere Guido's Textstellen mal, in denen er DAS behauptet
hat.
> > geht um die Konfiguration eines Systems! Um das sichermachen eines
> > Systems. Nicht um klickbare oder vorgefertigte Scripte.
>
> Ja, und wo ist jetzt der Unterschied zwischen dem Sichermachen eines
> Systems mit irgendeiner Oberfläche, und dem Sichermachen eines Systems
> durch Lernen von Skripten, Kernelkompilation, usw, usw usw, wenn in beiden
> Fällen jemand davor sitzt, der _netzwerktechnis_ das nötige Wissen hat?
Du bist sowas von begriffsstutzig. Wie alt bist du eigentlich? Bist
du Einzelkind? Sorry, dass ich das Frage, aber ich muß das mal
wissen.
> > > Firewallkonzepte lernen muss man immer noch, und das habe ich nie
> > > abgestritten. Nur das ganze überflüssige Geraffel "drumherum" wird
> > > einem abgenommen, und dass das gut sein KANN, scheint Guido nicht zu
> > > begreifen.
> > Ja, sicher wird einem das abgenommen, aber zudem auch Sicherheit
> > vorgegaukelt. Sicher ist nur ein System, welches _keine_ Dienste nach
> > außen hin anbietet, oder?
>
> ACK. Habe ich nie bestritten. Und?
Du hast es aber auch nie be"ja"ht, oder? Du reitest auf
Kernelkomplieren, bash-Programmierung, Skripte schreiben rum. Weißt
du eigentlich, wer diesen Kram ins Spiel gebracht hat?
Weißt du eigentlich, daß es überhaupt nicht darum geht?
> > > Ach. und wo genau habe ich die Nötigkeit des Erlenens von
> > > Netzwerk-Grundlagen usw. bestritten?
> > Nirgendwo, weil du nirgends darauf eingegangen bist.
>
> Weil das für mich selbstverständlich ist und seit jeher war, und daher gar
> nicht zur Debatte stand. Mann, wie schwer ist denn das zu verstehen?
Was für dich selbstverständlich ist, weiß ich nicht, wenn du dich
nicht in der Richtung mitteilst. Wie soll der Blinde von den Lippen
des Tauben ablesen...
> > Für dich zählt die Smoothwall.
>
> Vergiss es, ;) du verstehst das also auch nicht. Les das oben doch bitte
> noch mal.
Das heißt "Lies". Aber egal. Wenn du nicht sorgfältig liest, wirf
es bitte nicht auch noch anderen vor.
> > > > Wozu brauch ich im Haus ne Alarmanlage, wenn das Haus keine Fenster
> > > Wozu brauchst du einen Safe, wenn deine Haustür doch abgeschlossen ist?
> > > Wozu schliesst du deine Garage ab und machst das Tor zu, wenn doch dein
> > Ja, aber wie du grad geschrieben hast, _ist_ die Haustür abgeschlossen.
> > Setzte ich Smotthwall ein, ist die Haustür offen. Verstanden?
>
> Woher willst du denn das wissen? Hast du ihn schon mal benutzt? ICH habe
> das. ICH weiss was bei dem Produkt offen ist und was nicht.
>
> Hör bitte auf, Unwahrheiten über Sachen zu verbreiten, von denen du
> keinerlei Ahnung hast. Bitte.
Ok. Ich geh nen Kompromiss ein: Du ruhig, ich ruhig.
> > Wenn man sein System "Dienstfrei" gemacht hat, kann man dann noch mit
> > einer Firewall alles dichtmachen, aber nicht vorher. Verstanden?
>
> Man kann es auch vorher schon, das Ergebnis ist effektiv das gleiche. Das
> ist aber i.A. wenig sinnvoll. Es gibt (leider!) aber auch Programme, die
^^^^^^^^^^^^^^^^^^^
Dein erster Satz, mit dem du das, was Guido praktiziert, zustimmst.
Wahnsinn.
> sich gar nicht so konfigurieren lassen, nur auf einem Netzwerk zu horchen,
> bei denen ist das dann nicht möglich.
Deswegen schrieb ich, dass man erst das System richtig
konfigurieren soll, um dann die fehlenden Löcher mit einem
Paketfilter zu stopfen. Hab ich das geschrieben? Wer liest hier
nicht richtig?
> > Tut mir jetzt leid mich wiederholen zu müssen, aber: Du hast es nicht
> > verstanden. Es geht bei Guido nicht um die Einrichtung einer manuelle
> > erstellten Firewall, sondern um ein sicher und wohl konfiguriertes
> > System. Verstanden?
>
> Ja, und? Habe ich dem jemals wiedersprochen? Das widerspricht keineswegs
> dem Einsatz eines _von_ _vornherein_ sicherem und wohl konfiguriertem
> System. Wie (zum Beispiel!) einer Firwall-Package wie Smoothwall, FW#1,
> oder sonstwas.
Eine Firewall ist etwas anderes as ein Paketfilter!
Mit $PAKETFILTER erreichst du kein _von_ _vornheirein_ sicheres und
wohlkonfiguriertes System, oder?
> > > > Es geht aber nicht um Tolls, sondern um Grundlagen.
> > > Dann sind wir uns ja einig.
> > Du sprichst aber _immer_ nur über Tools. Smoothwall _ist_ ein Tool.
>
> Richtig. Weil die Grundlagen nicht zur Debatte stehen/standen. Die muss man
> in _beiden_ Fällen lernen. Und nu?
Einsicht ist der beste Weg zur Besserung. Du _willst_ nur deine
Mainung gelten lassen, oder? Einzelkind?
> > > > tut er auch, aber aus dem Grund, daß er halt keinen Pappkarton als
> > > > Tür einbaut, sondern ne schöne Stahltür.
> > > Nicht alles, was hinkt, ist ein Vergleich.
> > Du _hast_ es nicht verstanden, aber ein paar Vergleiche fallenmir schon
> > noch ein.
>
> Was genau soll denn der Pappkarton in deinem Vergleich darstellen?
Sorry, aber jetzt wird mir mit erschrender Gewißheit klar, was ich
hier mache. Ich diskutiere mit einem jungen Menschen, der in der
Pubertät steckt. Diese jungen Leute denken auch immer, daß nur das,
was sie denken richtig ist...
Ich zitiere mich selbst und direkt dahinter dich:
Udo: ...keinen Pappkarton als Tür einbaut ...
Jens: ...Was genau soll denn der Pappkarton in deinem Vergleich darstellen?
Gerafft? Nein? Dachte ich mir.
> > Guido verweigert die Lösung einer Firewall nicht komplett. Er
> > konfiguriert das System nur erst mal so, daß eigentlich eine Firewall
> > unsinnig ist, weil es nichts zu schützen gibt. Kein Dienst - Kein
> > Angriffsziel
>
> Noch mal, für alle, zum mitschreiben. Hinter diesem "Firewall" kommen
> Rechner, namentlich Windows-Rechner, die sich nicht so konfigurieren
> _lassen_!
Diese Rechner können aber auch nicht direkt Dienste im Netz
anbieten! Und dieser Satz ist _nur_ für dich.
> Und bevor jetzt der Fanatiker wieder zuschlägt und sagt "dann gehören die
> eben nicht ans Netz": In der idealen Traumwelt ist das völlig richtig, aber
> die Realität sieht wieder mal anders aus.
Welcher Fanatiker?
> Zusätzlich ist ein Gateway sowieso nötig, weil mehrere Rechner -> ein DSL
> Zugang (als Beispiel). Warum dann nicht gleich richtig?
>
> Ergo: Eine Firewall ist nötig. Wenns nur Linuxrechner wären, würde ich da
> nicht so einen grossen Bedarf sehen. Ist das denn wirklich so schwer?
Werden in deiner Realität alle Dienste, die im LAN laufen durch
Portforwarding nach außen geroutet? Und damit meine ich nicht nur
Win-Dosen. Deinen Aussagen nach, ist das der Fall. Dann ist es aber
egal, welches OS auf den Rechnern läuft.
> > Lohnt sich von deiner Seite überhaupt noch eine Mail? Weichst du
> > überhaupt von deiner Smoothwall ab?
>
> Von mir aus nehme Checkpoint FW#1 als Beispiel. Kostet mehrere tausend €.
> Das Ding hat auch eine klickbare Web-Oberfläche. Ist es deshalb automatisch
> schlecht?
Du _willst_ es gar nicht verstehen. Ich meckere doch nnicht gegen
$FIREWALL. Ich rede über die Konfiguration von Diensten... Ist das
5 ¢ Stück jetzt gefallen?
> > Nein? Dann antworte _bitte_ nicht mehr. Diskussion bedeutet gegenseitige
> > Annäherung. Und die ist dann nicht gegeben.
>
> Die ist durchaus gegeben: Wir drei sind uns einig, daß man
> Netzwerkgrundlagen benötigt, um einen Firewall GLEICH WELCHER ART
> einzurichten. Richtig? Richtig.
Guido und ich haben abernicht über $FIREWALL geredet, sondern über
Konfiguration. Und du? -> $FIREWALL/$PAKETFILTER.
Udo
--
ComputerService Müller | You want my PGP-Key? | Key: 0xAD0EEC22
Kaspersweg 11a | mail -s "get pgp-key" | Tel: 0441-36167578
26131 Oldenburg | Schon fit für € und ¢? | Mobil: 0162-4365411
Registrierter Linux-User #225706 auf Debian GNU/Linux 2.4.17
Attachment:
pgp2FuJx2OE1K.pgp
Description: PGP signature