[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Firewall oder gesichertes System



Hallo Jens,

At 01.02.2002, Jens Benecke wrote:
> On Thu, Jan 31, 2002 at 10:28:29PM +0100, Udo Müller wrote:
[...]
> > Gut. Also beschränkt sich deine sicherheit _hauptsächlich_ auf einen
> > Paketfilter.
> Ja. Denn sobald man mit Sachen wie filternden Application Proxies anfängt
> hat man eine Größenordnung mehr Aufwand, und den brauchen wir hier nicht.

Wenn ich Udo richtig verstanden habe, dann war das nicht in Richtung
_noch mehr_ Software und Applikation Level Gateways und Schnick Schnack
gemeint sondern in Richtung "wollen wir nicht erstmal die Software, die
wir brauchen und installiert haben, richtig konfigurieren, ehe wir die
Paketfilter auspacken?".

> Schau mal, wenn ich durch einen Paketfilter und evtl. einen Virenscanner
> 99.9% Sicherheit erreichen kann, und für 99.99% Sicherheit den 100fachen
> Aufwand treiben muss, dann guck ich mir an, wie kritisch bzw. wichtig das
> dahinterliegende Netzwerk ist. Wer das nicht tut, der arbeitet nicht
> wirtschaftlich bzw. verschwendet (u.U. sogar seine eigenen) Ressourcen.

Diese Argumentation finde ich recht durcheinander und fuer keinen
Menschen nachvollziehbar. Ganz besonders die mathematischen Wertte, die
nur voellig aus der Luft gegriffen sein koennen.

Ausserdem (wenn ich Udo richtig verstanden habe), geht es ihm nicht
darum (wie mir auch), _mehr_ Software und _mehr_ Komplexitaet ins Spiel
zu bringen, sondern _weniger_.

Im Idealfall also _nichtmal_ einen Paketfilter. Das System soll schlicht
und ergreifend auch so sicher sein.

Mit _weniger_ Aufwand als Du ihn treiben willst.

[...]
> > Wozu, das erkläre mir mal, mußt du jemandem die Shell und das Erstellen
> > von Skripten erklären, wenn derjenige nur die Dienste auf die inneren
> > Interfaces drehen soll?
> Wo könnte ich das denn für die -zig Dienste, die potenziell laufen sollen,
> einstellen? In /etc. In (potenziell) -zig verschiedenen
> Konfigurationsdateien. Da fängts schon an.

Jens, wenn Du $DIENST betreiben willst, dann _musst_ Du dich damit
soweit auseinander setzen, dass Du _mindestens_ das kannst. Sonst kannst
Du den Dienst eben nicht guten Gewissens anbieten. Auch nicht mit
Smoothwall.

Schau dir mal einen Paketfilter an. Eine einzige unverstandene und
falsche Regel kann den ganzen Paketfilter unbrauchbar machen. Willst Du
dich auf ein so wackeliges Konzept verlassen und dahinter munter und im
guten Glauben an Smoothwall offen und frei alle Dienste betreiben?

Hoffentlich nicht.

Was ist, wenn Smoothwall nicht ganz hoch kommt? Ist es dir noch nie
passiert, dass das Paketfilter Script nicht durchlaeuft (warum auch
immer)? Dann waere bei deinem Vorschlag aber Rom offen!

> > > > > Smoothwall erfüllt diese Anforderungen. Guido ist anscheinend der
> > > > Smoothwall erfüllt diese Anforderungen in keinem einzigen Punkt!
> > > Kennst du es?
> > Nein, muß ich auch nicht. 
> Doch, solltest du, wie du gleich merken wirst.

Jetzt bin ich neugierig...

[...]
> Falsch. Eben drum. siehe unten.

Egal worum es geht, ich bin immer noch neugierig...

[...]
> > Wilst du nicht verstehen oder kann dein Hirn das nicht begreifen?
> > Smoothwall ändert NICHT die httpd.conf, 
> Woher willst du denn DAS wissen, wenn du das Teil noch nie gesehen hast?

Ich werde immer neugieriger...

> > wenn du möchtest, daß der Apache nur dem LAN zur Verfügung steht. Etc...
> > Lauscht der Dienst nach Smoothwall immer noch auf dem roten Interface?
> "Wilst du nicht verstehen oder kann dein Hirn das nicht begreifen?"
> Smoothwall ist ein EXTRA RECHNER. auf dem läuft GAR NICHTS ausser dem
> Konfigtool, einem Paketfilter, einem DNS Proxy und einem squid (optional).

Das wars? Ich dachte, jetzt kommt etwas, was ich echt noch nicht
wusste! Das Smoothwall nur YamLr (Yet another Linux Router) ist, ist
doch nicht neu. Was aendert das am Problem?

> Du hättest wenigstens mal die Webseite besuchen sollen.

Wozu?

> > > Meinst du, sonst würde ich das Teil benutzen?
> > Es geht aber nicht um dieses Teil, 
> Anscheinend schon. Damit hat er Thread ja schließlich angefangen.

Naja, was mich angeht, ging es nicht um Smoothwall selbst (Du haettest
auch Firewall 1 empfehlen koenne) sondern darum, dass Du einem
Anfaenger, der weder mit ipchains, noch mit IP, Firewall 1 oder
Cisco Pix umgehen kann, Smoothwall empfohlen hast, was die Sicherheit in
diesem Falle eher negativ beeinflusst, da er sich in falscher Sicherheit
wiegt.

[...]
> > Nein. Ein Informatik-Studium hat mit der Angelegenheit nichts zu tun.
> > Hast DU das jetzt verstanden?

Womit Udo aber wirklich Recht hat.

> <kopfschüttel> siehe unten.

Ich bin erneut gespannt...

[...]
> > Du bist sowas von begriffsstutzig. 
> Dir geht es um Konfiguration / Sichermachen.

Exakt.

> Ich frage dich, was ist der
> Unterschied zwischen zwei möglichen Methoden, dieses Ziel zu erreichen.
> Warum weichst du aus und wirst wieder gleich beleidigend?

Ich wiederhole es nicht nochmal, ich habe das jetzt in dieser und einer
vorran gegangenen Mail erklaert. Ich denke, dass wirst Du jetzt auch so
sehen.

Ein Paketfilter dient der Fehlertolleranz. Nicht der sicheren
Konfiguration.

> > Wie alt bist du eigentlich? 
> 24, und du?

Bin zwar nicht gefragt, aber 29.

Nur, was spielt das eigentlich fuer eine Rolle? ;-)

[...]
> > > > vorgegaukelt. Sicher ist nur ein System, welches _keine_ Dienste nach
> > > > außen hin anbietet, oder?
> > > ACK. Habe ich nie bestritten. Und?
> > Du hast es aber auch nie be"ja"ht, oder? Du reitest auf Kernelkomplieren,
> > bash-Programmierung, Skripte schreiben rum. 
> Ja. Dir geht es ja schliesslich um Konfiguration, wie du ständig betonst.
> Zitat 20 Zeilen weiter oben von dir:
> ---------------------------------------------------------------------------
> > > > geht um die Konfiguration eines Systems! Um das sichermachen eines
> > > > Systems. Nicht um klickbare oder vorgefertigte Scripte.
> ---------------------------------------------------------------------------
> Dir geht es demnach "nicht um vorgefertigte Skripte": Das beinhaltet
> manuelle Arbeit, wie z.B.  die von mir genannte: Skripte schreiben, Krempel
> kompilieren, usw.

Was Du immer mit deinem Kernel kompilieren hast, weiss ich nicht und
Scripte musst Du auch keine schreiben (hab ich zwar gemacht, muss man
aber nicht (man ipchains-save)).

Und ja, vorgefertigte Scripte koennen nicht gut sein, weil jeder
Paketfilter Massarbeit ist. Das _ist_ nunmal so. Leider aber Realitaet.

Und _vor_ dem Paketfilter steht die sichere Konfiguration der Dienste.

> > Weißt du eigentlich, wer diesen Kram ins Spiel gebracht hat?
> Ja. Du. Siehe oben.

Das sehe ich nicht so. Udo meinte (Du hast das schlecht gequotet) mit
"diesem Kram" das von dir oft wiederholte Kernel kompilieren und Scripte
schreiben. Und Du bist der Einzige, der das immer wieder nannte. Weder
ich noch Udo sagten etwas davon.

> > > Weil das für mich selbstverständlich ist und seit jeher war, und daher
> > > gar nicht zur Debatte stand. Mann, wie schwer ist denn das zu
> > Was für dich selbstverständlich ist, weiß ich nicht, wenn du dich nicht
> > in der Richtung mitteilst. Wie soll der Blinde von den Lippen des Tauben
> > ablesen...
> Indem er zuhört.

Nein sorry, aber Du kannst nicht erwarten, dass die Glaskugel deiner
Leser immer funktioniert. Was Du fuer selbstverstaendlich haelsts, hast
Du weder vollstaendig geschrieben noch deckt sich das mit dem, was ich
fuer selbstverstaendlich halte. Aber dieser Teil der Diskussion ist
eigentlich auch ueberfluessig. Wollen wir nicht lieber zur Sache zurueck
kommen?

> > > > Wenn man sein System "Dienstfrei" gemacht hat, kann man dann noch mit
> > > > einer Firewall alles dichtmachen, aber nicht vorher.  Verstanden?
> > > Man kann es auch vorher schon, das Ergebnis ist effektiv das gleiche.
> > > Das ist aber i.A. wenig sinnvoll. Es gibt (leider!) aber auch
> > Dein erster Satz, mit dem du das, was Guido praktiziert, zustimmst.
> Nein.

Stimmt. Ich stimme Jens da auch nicht zu. Es ist ein grosser
Unterschied, ob ich keine Dienste anbiete oder diese hinter einem
Paketfilter verstecke. Letzteres ist ein Wackelkonzept, welches
irgendwann mal zusammen bricht.

> > > > erstellten Firewall, sondern um ein sicher und wohl konfiguriertes
> > > > System. Verstanden?
> Es geht also doch um Konfiguration?

Na sicher. Das sagte ich und Udo die ganze Zeit.

Wie man an deinem Quoting erkennt, auch nicht erst in der Mail, auf die
ich hier antworte ;-)

> > > Ja, und? Habe ich dem jemals wiedersprochen? Das widerspricht keineswegs
> > > dem Einsatz eines _von_ _vornherein_ sicherem und wohl konfiguriertem
> > > System. Wie (zum Beispiel!) einer Firwall-Package wie Smoothwall, FW#1,
> > > oder sonstwas.
> > Eine Firewall ist etwas anderes as ein Paketfilter!
> IMHO: Firewall \supset Paketfilter
> Nicht "was anderes".

Huh! Aber sicher doch.

Ein Paketfilter _kann_ Teil einer technischen Umsetzung eines
Sicherheitskonzeptes (Firewall) sein. Muss es aber nicht und ist somit
auch kein Subset davon. Aber das spielt in der Sache um die es hier geht
auch keine Rolle. Also schlage ich vor, kehren wir zur Sache zurueck.

[viel Zeug gesnippt]
> > > Noch mal, für alle, zum mitschreiben. Hinter diesem "Firewall" kommen
> > > Rechner, namentlich Windows-Rechner, die sich nicht so konfigurieren
> > > _lassen_! 
> > Diese Rechner können aber auch nicht direkt Dienste im Netz anbieten! 
> Wenn, dann _wegen_ dem IPMasq.

Die naechste urban legend. Weder NAT noch PAT sind Sicherheitsfeatures.
Dass sie den netten Nebeneffekt haben, dass man bei PAT nicht direkt aus
$EXTERN auf $INTERN zugreifen kann ist zwar richtig, aber dazu wurde PAT
nicht gebaut.

> Daher reicht das Konfigurieren der Clients
> _nicht_ (selbst wenn es möglich wäre): es muss eine _zusätzliche_
> Schicht/Rechner dazwischen.  Klar jetzt?

Nein.

Jeder Rechner _muss_ sicher konfiguriert sein. Der Paketfilter davor ist
dann zwar mehr als nur nice to have - im Normalfall aber "redundant".
Das nennt sich Sicherheit.

> > > Ergo: Eine Firewall ist nötig. Wenns nur Linuxrechner wären, würde ich
> > > da nicht so einen grossen Bedarf sehen. Ist das denn wirklich so
> > Werden in deiner Realität alle Dienste, die im LAN laufen durch
> > Portforwarding nach außen geroutet? 
> Du hast keinen Schimmer, was man mit etwas Java/ActiveX und einem nicht
> gepatchten IE, oder Outlook, oder einem Word-Dokument o.ä. alles für
> Scheisse treiben kann. Dafür reicht IPMasq bei weitem nicht aus.

Falscher Ansatz. Da bringt kein Paketfilter, kein Applikation Level
Proxy und keine Firewall 1 etwas. Und auch Virenscanner sind hier nur
das Bekaempfen von Symptomen und ein Wettruesten, bei dem Du immer etwas
hinter dem "Feind" her laeufst. Hat also mit Sicherheit auch nichts zu
zun.

> > > > Lohnt sich von deiner Seite überhaupt noch eine Mail? Weichst du
> > > > überhaupt von deiner Smoothwall ab? 
> > > Von mir aus nehme Checkpoint FW#1 als Beispiel. Kostet mehrere tausend
> > > €.  Das Ding hat auch eine klickbare Web-Oberfläche. Ist es deshalb
> > > automatisch schlecht?
> > Ich meckere doch nnicht gegen $FIREWALL. 
> D.h. du nimmst u.a. diese (immerhin falsche) Behauptung zurück?:
> ---------------------------------------------------------------------------
> > > > Smoothwall erfüllt diese Anforderungen in keinem einzigen Punkt!
> ---------------------------------------------------------------------------
> > Ich rede über die Konfiguration von Diensten... 
> Jetzt doch wieder? ;)

Ich sehe keine Zielgruppe fuer Smoothwall.

Fuer Anfaenger genauso ungeeignet wie jedes andere Tool, weil sie es
nicht verstehen (gibst Du selber zu). Fuer Leute, die wissen worum es
geht, ueberfluessig und zu schlecht handelbar, weil das Zusammenclicken
einer Konfiguration vil zu umstaendlich ist, wenn man eh weiss, wie es
geht.

Mal so eine Frage (ich koennte auch auf der Webseite nachsehen):

Welchen Kernel setzt Smoothwall ein? Welche Software (Die Versionen sind
interessant)?

Gruss, Guido

Attachment: pgpw3QVsKiJrZ.pgp
Description: PGP signature


Reply to: