[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Firewall oder gesichertes System



On Thu, Jan 31, 2002 at 10:28:29PM +0100, Udo Müller wrote:
 
> > "einigermaßen dicht" heisst für mich in dem Zusammenhang etwa "output
> > default allow, input default reject" und evtl. Sachen wie ein....
> > "Sehr sicher" würde für mich u.a. bedeuten "output default reject..
> > Natürlich kann man das noch weiter treiben. Daher "u.a.".
> Gut. Also beschränkt sich deine sicherheit _hauptsächlich_ auf einen
> Paketfilter.

Ja. Denn sobald man mit Sachen wie filternden Application Proxies anfängt
hat man eine Größenordnung mehr Aufwand, und den brauchen wir hier nicht.

Schau mal, wenn ich durch einen Paketfilter und evtl. einen Virenscanner
99.9% Sicherheit erreichen kann, und für 99.99% Sicherheit den 100fachen
Aufwand treiben muss, dann guck ich mir an, wie kritisch bzw. wichtig das
dahinterliegende Netzwerk ist. Wer das nicht tut, der arbeitet nicht
wirtschaftlich bzw. verschwendet (u.U. sogar seine eigenen) Ressourcen.
 
> > > Es geht auch nicht darum, den anderen den Rechner zu konfigurieren,
> > > sondern den anderen zu erklären, was überhaupt wichtig ist bei der
> > > ganzen Sache. Verstanden?
> > Genau das, was ich mache. Wenn ich denen aber vorher stundenlang die
> > Bedienung einer Shell und das Erstellen von Skripten erklären müsste,
> > weil es halt keine Produkte wie Firewall#1 oder Smoothwall gibt, wäre
> > ich a) nach einer Woche noch nicht fertig und b) würden die meisten mir
> > nach spätestens 10 Minuten gar nicht mehr zuhören.
> Wozu, das erkläre mir mal, mußt du jemandem die Shell und das Erstellen
> von Skripten erklären, wenn derjenige nur die Dienste auf die inneren
> Interfaces drehen soll?

Wo könnte ich das denn für die -zig Dienste, die potenziell laufen sollen,
einstellen? In /etc. In (potenziell) -zig verschiedenen
Konfigurationsdateien. Da fängts schon an.
 
> > > > Smoothwall erfüllt diese Anforderungen. Guido ist anscheinend der
> > > Smoothwall erfüllt diese Anforderungen in keinem einzigen Punkt!
> > Kennst du es?
> Nein, muß ich auch nicht. 

Doch, solltest du, wie du gleich merken wirst.

> Zitiere vollständig und reiße nichts aus dem
> Zusammenhang. Smoothwall konfiguriert keinen einzigen Dienst auf dem
> Rechner, so daß dieser nur auf einen LAN-Interface horcht, oder?

Falsch. Eben drum. siehe unten.
 
> > > konfiguriert Smoothwall das System so, daß Dienste nicht auf dem
> > > äußeren Interface angeboten werden? 
> > Ja. Bei den Installationen, die ich bisher gemacht habe, gilt fü..
> Wilst du nicht verstehen oder kann dein Hirn das nicht begreifen?
> Smoothwall ändert NICHT die httpd.conf, 

Woher willst du denn DAS wissen, wenn du das Teil noch nie gesehen hast?

> wenn du möchtest, daß der Apache nur dem LAN zur Verfügung steht. Etc...
> Lauscht der Dienst nach Smoothwall immer noch auf dem roten Interface?

"Wilst du nicht verstehen oder kann dein Hirn das nicht begreifen?"
Smoothwall ist ein EXTRA RECHNER. auf dem läuft GAR NICHTS ausser dem
Konfigtool, einem Paketfilter, einem DNS Proxy und einem squid (optional).

Du hättest wenigstens mal die Webseite besuchen sollen.
 
> > Meinst du, sonst würde ich das Teil benutzen?
> Es geht aber nicht um dieses Teil, 

Anscheinend schon. Damit hat er Thread ja schließlich angefangen.

> > > Nein? Dann stimmt das ja gar nicht, was du schreibst!
> > Momentan stimmt das nicht was DU schreibst.
> Du solltest richtig und aufmerksam lesen. Und anderer Leute meiner
> akzeptieren. Nicht als deine Mainung, aber zumindest, das andere so eine
> Meinung haben.

Momentan stimmt das nicht, was du da oben geschrieben hast. Wirklich.

Und das liegt nicht daran, daß du eine andere Meinung hast als ich, sondern
daran daß du von falschen Prämissen ausgegangen bist und es nicht für nötig
hieltest diese zu prüfen/korrigieren.
 
> > Also, noch mal ganz langsam: Das war bildhaft gemeint. Nicht
> > verstanden?
> Nein. Ein Informatik-Studium hat mit der Angelegenheit nichts zu tun.
> Hast DU das jetzt verstanden?

<kopfschüttel> siehe unten.
 
> > > geht um die Konfiguration eines Systems! Um das sichermachen eines
> > > Systems. Nicht um klickbare oder vorgefertigte Scripte.
> > Ja, und wo ist jetzt der Unterschied zwischen dem Sichermachen eines
> > Systems mit irgendeiner Oberfläche, und dem Sichermachen eines Systems
> > durch Lernen von Skripten, Kernelkompilation, usw, usw usw, wenn ..
> Du bist sowas von begriffsstutzig. 

Dir geht es um Konfiguration / Sichermachen. Ich frage dich, was ist der
Unterschied zwischen zwei möglichen Methoden, dieses Ziel zu erreichen.
Warum weichst du aus und wirst wieder gleich beleidigend?

> Wie alt bist du eigentlich? 

24, und du?

> Bist du Einzelkind? Sorry, dass ich das Frage, aber ich muß das mal

Ich habe drei Geschwister, und bin/war Jugendleiter, bzw. Gruppenbetreuer.
Jetzt aus Zeitmangel wegen Uni nicht mehr. Und du? 

Noch weitere persönliche Fragen, mit denen du anscheinend hoffst mich
irgendwie blosstellen zu können?
 
> > > vorgegaukelt. Sicher ist nur ein System, welches _keine_ Dienste nach
> > > außen hin anbietet, oder?
> > ACK. Habe ich nie bestritten. Und?
> Du hast es aber auch nie be"ja"ht, oder? Du reitest auf Kernelkomplieren,
> bash-Programmierung, Skripte schreiben rum. 

Ja. Dir geht es ja schliesslich um Konfiguration, wie du ständig betonst.
Zitat 20 Zeilen weiter oben von dir:
---------------------------------------------------------------------------
> > > geht um die Konfiguration eines Systems! Um das sichermachen eines
> > > Systems. Nicht um klickbare oder vorgefertigte Scripte.
---------------------------------------------------------------------------

Dir geht es demnach "nicht um vorgefertigte Skripte": Das beinhaltet
manuelle Arbeit, wie z.B.  die von mir genannte: Skripte schreiben, Krempel
kompilieren, usw.

> Weißt du eigentlich, wer diesen Kram ins Spiel gebracht hat?

Ja. Du. Siehe oben.
 
> Weißt du eigentlich, daß es überhaupt nicht darum geht?

Warum wechselst du eigentlich so oft das Thema? ;-)
 
> > Weil das für mich selbstverständlich ist und seit jeher war, und daher
> > gar nicht zur Debatte stand. Mann, wie schwer ist denn das zu
> Was für dich selbstverständlich ist, weiß ich nicht, wenn du dich nicht
> in der Richtung mitteilst. Wie soll der Blinde von den Lippen des Tauben
> ablesen...

Indem er zuhört.
 
> > > Wenn man sein System "Dienstfrei" gemacht hat, kann man dann noch mit
> > > einer Firewall alles dichtmachen, aber nicht vorher.  Verstanden?
> > Man kann es auch vorher schon, das Ergebnis ist effektiv das gleiche.
> > Das ist aber i.A. wenig sinnvoll. Es gibt (leider!) aber auch
> Dein erster Satz, mit dem du das, was Guido praktiziert, zustimmst.

Nein.
 
> > > erstellten Firewall, sondern um ein sicher und wohl konfiguriertes
> > > System. Verstanden?

Es geht also doch um Konfiguration?
  
> > Ja, und? Habe ich dem jemals wiedersprochen? Das widerspricht keineswegs
> > dem Einsatz eines _von_ _vornherein_ sicherem und wohl konfiguriertem
> > System. Wie (zum Beispiel!) einer Firwall-Package wie Smoothwall, FW#1,
> > oder sonstwas.
> Eine Firewall ist etwas anderes as ein Paketfilter!

IMHO: Firewall \supset Paketfilter

Nicht "was anderes".

> > > > > tut er auch, aber aus dem Grund, daß er halt keinen Pappkarton
> > > > > als Tür einbaut, sondern ne schöne Stahltür.
> > > > Nicht alles, was hinkt, ist ein Vergleich.
> > > Du _hast_ es nicht verstanden, aber ein paar Vergleiche fallenmir
> > > schon noch ein.
> > Was genau soll denn der Pappkarton in deinem Vergleich darstellen?
> Sorry, aber jetzt wird mir mit erschrender Gewißheit klar, was ich hier

Sorry, ich vergass, daß ich mit jemandem rede, der bildhafte Vergleiche
zwar ständig selber bringt, aber nicht begreifen kann (erinnere den
Vergleich mit Informatik). Also, noch mal deutlicher und wörtlicher:

Welchen Teil soll die Tür darstellen, die du als Pappkarton modellierst?
Die Tür ist auch nur eine Metapher.

> (Beleidigungen snipped)

Deine Menschenkenntnis, hm, läßt zu wünschen übrig. Gelinde gesagt.


> Gerafft? Nein? Dachte ich mir.

Nicht arrogant werden, das kommt idR. nicht gut an.

> > Noch mal, für alle, zum mitschreiben. Hinter diesem "Firewall" kommen
> > Rechner, namentlich Windows-Rechner, die sich nicht so konfigurieren
> > _lassen_! 
> Diese Rechner können aber auch nicht direkt Dienste im Netz anbieten! 

Wenn, dann _wegen_ dem IPMasq. Daher reicht das Konfigurieren der Clients
_nicht_ (selbst wenn es möglich wäre): es muss eine _zusätzliche_
Schicht/Rechner dazwischen.  Klar jetzt?

> > Ergo: Eine Firewall ist nötig. Wenns nur Linuxrechner wären, würde ich
> > da nicht so einen grossen Bedarf sehen. Ist das denn wirklich so
> Werden in deiner Realität alle Dienste, die im LAN laufen durch
> Portforwarding nach außen geroutet? 

Du hast keinen Schimmer, was man mit etwas Java/ActiveX und einem nicht
gepatchten IE, oder Outlook, oder einem Word-Dokument o.ä. alles für
Scheisse treiben kann. Dafür reicht IPMasq bei weitem nicht aus.
 
> > > Lohnt sich von deiner Seite überhaupt noch eine Mail? Weichst du
> > > überhaupt von deiner Smoothwall ab? 
> > Von mir aus nehme Checkpoint FW#1 als Beispiel. Kostet mehrere tausend
> > €.  Das Ding hat auch eine klickbare Web-Oberfläche. Ist es deshalb
> > automatisch schlecht?
> Ich meckere doch nnicht gegen $FIREWALL. 

D.h. du nimmst u.a. diese (immerhin falsche) Behauptung zurück?:
---------------------------------------------------------------------------
> > > Smoothwall erfüllt diese Anforderungen in keinem einzigen Punkt!
---------------------------------------------------------------------------

> Ich rede über die Konfiguration von Diensten... 

Jetzt doch wieder? ;)


-- 
mfg, Jens Benecke 
www.jensbenecke.de, www.hitchhikers.de, www.linuxfaq.de

V: Epson Stylus Color 600, 1440dpi, inkl. 4F+4SW-Patronen
V: 2x IBM 4.3GB UW-SCSI Festplatten, hdparm: 10-13MB/sec

Attachment: pgppHJBkxWV84.pgp
Description: PGP signature


Reply to: