On Sat, Feb 02, 2002 at 12:19:28AM +0100, Guido Hennecke wrote:
> Hallo Jens,
>
Moin,
> > > Vielmehr ist es aber so, dass Du nichtmal ansatzweise verstanden hast,
> > > was ich an deiner Smoothwall Empfehlung kritisiert habe.
> > das klingt sachlich. Guter Anfang. Ich versuchs nochmal.
> Gut.
> > Alles, was ich meine, ist daß die "manuelle" Methode oft - nicht immer,
> > aber oft - viel FÜR DEN FIREWALLBETRIEB unnötiges Wissen vorrausetzt.
> Wenn Du dir die Syntax von ipchains ansiehst, ist das vom Aufwand
> equivalent dazu, die Smoothwall Doku zu lesen. Also das waere kein
> Argument dagegen, es manuell mit ipchains zu machen. Auch VI und
> Shellscripte sind nicht notwendig (wie Du siehst).
Für uns beide ist das absolut kein Problem. Richtig. Es gibt jedoch Leute,
die mögen einfach keine Kommandozeile - genauso wie du keine GUI magst.
> Das ist nicht zu viel verlangt und erfordert nicht mehr Aufwand als
> Smoothwall.
Wenn man
mit bash umgehen kann,
sich in der Verzeichnisstruktur auskennt,
weiss, was /etc ist und wie man darin was macht,
sich mit dem init-Konzept auskennt,
die Syntax von ipchains kennt,
usw.
ist das völlig richtig. Das ist genau das Wissen, was du implizit
vorraussetzt, was aber oft nicht vorhanden ist.
> Aber das Wichtigste ist, _bevor_ man dieses tut, sollte man (siehe
> anderen Thread) seine Dienste ordentlich konfiguriert haben (ist auch
> kein Hexenwerk - sehen wir ja gerade).
Oder gleich ein System als Gateway installieren, welches gar keine
anbietet.
> Ein Paketfilter ist im Idealfall (und der ist auch in der Praxis recht
> leicht erreichbar) unnoetig (man sollte ihn aber trotzdem haben). Er
> dient lediglich dazu, die Fehlertolleranz zu erhoehen. Sprich: Ich Admin
Ebent. Daher bin ich auch u.U. für den umgekehrten Weg: erstmal per
ipchains alles dicht machen. Danach kann man sich in aller Ruhe die Dienste
angucken und richtig konfigurieren. Denn so hat man für kürzere Zeit ein
angreifbares System.
Nur eins der beiden machen ist, wie schon erwähnt, gefährlich.
> > wie man $EDITOR bedient,
> Du wirst mit keinen Unix System auch nur ansatzweise weiter kommen, wenn
Ich behaupte, man kann auch ein Unix-System so präperieren, daß jemand ohne
Interna-Kenntnisse damit einen klar abgesteckten Aufgabenkreis erledigen
kann (z.B. ein Gateway einrichten). Das ist ja das Ziel dieser ganzen
"ready-to-run" Systeme.
Meine Erfahrung sagt ferner anderes. Ich kenne mittlerweile mindestens zehn
Leute (klar: User, keine Admins) in meinem Bekanntenkreis, die haben
absolut keinen Schimmer von Computern (schon gar nicht Unix), können aber
mit ihrer SuSE umgehen und arbeiten damit problemlos ihren Bürokram, surfen
im Netz und schreiben Mails. Sie richten eigenständig ihre TV-Karte und ihr
T-DSL ein und installieren sich Programme. Und sie haben keine Angst mehr
beim Öffnen von Mail-Attachments.
Und eins muss man SuSE lassen: Das mit der Sicherheit haben sie
mittlerweile wenigstens ansatzweise begriffen: Leere Passwörter sind nicht,
und in einer Standard-Clientinstallation läuft ausser portmap und ssh (kein
root-login) kein Dienst auf einem non-lo Netzwerkdevice.
> Du keinen Editor bedienen kannst. Das kann ja auch KEdit sein. Kein
> Problem. Du kannst auch Wordpad nehmen.
Ätsch. Wordpad nicht. :-)
(hint: CR/LF Problem)
> Die Methode mit der Oberflaeche oder dem Tool hat auch immer den
> Nachteil, dass Du hinterher ueberpruefen musst, was diese Oberflaeche nun
> genau gemacht hat und ob das auch ok so ist.
Wie gesagt, ich gehe davon aus, daß in Oberfläche ABC (grafisch) genauso
viele oder wenig Bugs drin sind wie in Oberfläche XYZ (shell-basiert).
(s.a. unten)
Wenn du absolute Kontrolle wolltest, müsstest du die Kernelparameter direkt
checken (am besten über /proc/kmem oder sowas). Damit würdest du dann auch
Anzeigebugs bei iptables -nL umgehen können.
> > Ich behaupte, nicht jeder braucht dieses Wissen. Was man braucht, ist
> > Wissen über Netzwerke und TCP/IP. Das braucht man aber in jedem Fall.
> > Und genau da greifen Programme wie Checkpoint, Smoothwall & Co ein.
> Ein Wot zu Checkpoint und Co.. Schau mal in die Bugtrackinlisten. Faellt
> dir was auf? Du hast ein Tool, von dem Du nicht ueberpruefen kannst, w..
Ich habe nicht gesagt daß das Teil bugfrei ist. Es ist ja kommerziell. :*)
Ferner, wenn du in deinem ipchains-Skript einen Syntaxfehler hast (nur
einen!) dann gibts beim Start einen "syntax error" und dann bringen dir
deine Rules genau gar nichts. Genau das gleiche Resultat, im Prinzip.
> > erlauben eine detaillierte Firewallkonfiguration, mit TCP/IP-Wissen,
> > aber _ohne_ das ganze "Drumherum". Sie stellen also einen "direkteren"
> Und genau das sehe ich anders. Der Weg ist nicht diskret sondern er
> verschleiert. Und Du musst das Ergebnis genau ueberpruefen - was noch
> komplizierter ist, als selbst erstellte Regeln zu ueberpruefen.
OK.
Sagen wir so: Eine Oberfläche *kann* eine zusätzliche Abstraktionsschicht
darstellen. Sie *kann* damit eine zusätzliche Fehlerquelle darstellen. Sie
*muss* nicht. Aber *wenn* sie es tut, dann tun Skripte, Makros,
Konfigurationsdateien und so weiter das auch.
Bevor du jetzt noch was sagst, guck dir bitte _wenigstens_ mal die
Screenshots von Smoothwall's web-GUI an, und sage nicht "brauche ich
nicht", denn das würde deine Meinung darüber nicht ernsthaft erscheinen
lassen.
> Und von direkter kann keine Rede sein. Du versuchst mit deinen Tools (ist
> jetzt nich boese gemeint!), die Sicherheit zu erhoehen, indem Du mehr
> Software einsetzt.
Nein! Ich möchte bloss unnötige (nur die! nur die unnötige) Komplexität zu
verstecken, weil die vom Ziel ablenkt.
> Aber mehr Software und erhoehte Komplexitaet steht im krassen Gegensatz
> zu Sicherheit. KISS.
Dann dürftest du auch keine Skripte schreiben, denn bash ist ein
Risikofaktor (wer sagt dir, dass da kein Bug in bash ist, der jede 42.
Zeile in Skripten bei Halbmond nicht ausführt?)
> > Was meinst du, warum Firmen wie Juniper oder Cisco so dick sind?
> Das ist leicht, das erlebe ich taeglich im Job. Diese Firmen verkaufen
> auf Hochglanzprospekten das gute Gefuehl an inkompetente Admins und
> Manager. Das ist leider so und ist keine Polemik.
Aber klar haben diese Firmen eine Marketingabteilung.
> Was glaubst Du, warum Microsoft so "dick" ist? Weil sie gute Software
> verkaufen?
Microsoft spielt in dieser Liga nicht mit. Hier geht es nicht um McDonalds,
sondern eher schon ums BlockHouse (als Vergleich).
> Dei einzigen Leute, die das immer noch einsetzen sind genau die Leute,
> die immer noch nicht verstanden haben, dass Stateful Paketfilter nur die
> Komplexitaet aber nicht die Sicherheit erhoehen.
Please elaborate. Ich sehe deutliche Vorteile in zustandsbehafteten
Systemen: rate limiting, Reaktion nicht nur auf den momentanen Zustand,
sondern abhängig von der Geschichte ("der hat mich jetzt drei mal
portscanned -> IP-block für 10min" oder sowas) usw.
> DoS laesst gruessen und hat auch schon oft genug gegruesst.
Es gibt - meines Wissens - auch keine wirklich sichere Methode FÜR EINE
MASCHINE, zu erkennen, ob etwas nun ein DoS ist oder einfach nur eine Menge
Requests darstellt. Menschen "sehen" sowas (u.U.), das ist aber auch oft
höchst subjektiv.
> > Weil sie u.a. solche Lösungen anbieten. Firewalls, bei denen man
> > _nicht_ "erst einen Lötkurs machen muss".
> Sie suggerieren, dass man auch als DAU Security schaffen kann
> und das ist schlicht und ergreifend falsch.
Wäre das so, dürften nur KFZ-Mechaniker Auto fahren. Du glaubst gar nicht,
wie die Mechaniker oft über ihre "doofen" Kunden herziehen - da ist das,
was in (d)asr abläuft, noch richtig harmlos gegen.
> > Programme oder Tools, die diese detaillierte Konfiguration _nicht_
> > erlauben (oder nicht erfordern) - wie z.B. ZA - sind natürlich i.A.
> > Blödsinn und u.a. sogar "psychologisch" gefährlich, _KÖNNEN_ aber in
> > den richtigen Händen auch nützlich sein. ACK?
> Nein, ganz im Gegenteil!
> Programme wie Cisco Pix, Za, Checkpoint Firewall1 und co setzen die Leute
ZA und FW#1 sind meilenweit voneinander entfernt. Wenigstens vom Preis.
> Das ganze ist ein einziger Kompromiss, der aber ueberpruefbar zu einem
> definierten Ergebnis fuehert, welches derjenige, der seine Systeme so
> konfiguriert aber eben auch verstehen kann. Und so kann er sich auch
> weiter bilden und an seiner "Loesung" feilen und sie Steuck fuer Steuck
> weiter perfektionieren. Aber es ist ein _Anfang_ gemacht, der nicht nur
> _effektiv_ die Sicherheit erhoeht und genau definierte
> Bedrohungsszenarien _ausschaltet_ und in diesem Bezug zu hundert
Zu dem "Bedrohungsszenarien ausschalten" fällt mir noch etwas ein. Das ist
das, was _ich_ unter DAU verstehe. Ich habe vor ca. einem Jahr einem Freund
einen DSL-Router gebaut. Mit Debian. Lief auch alles prima, und er war
bereit zu lernen, wie das funktioniert. Bis er Netmeeting (oder
irgendsowas) haben wollte. Das liessen meine ipchains-rules damals nicht
zu. Ich habe ihm erklärt, welche Ports er noch aufmachen muss bzw. dass er
das h323-Modul installieren muss.
Ne Woche später bin ich bei ihm gewesen und habe gesehen daß er die
ipchains-rules einfach alle gelöscht hatte. Es "hat irgendwie nicht
funktioniert" und "so geht es ja auch". Aber weil Netmeeting irgendwie
immer noch nicht funktionierte, und weil ein paar Leute aus dem IRC mit ihm
"direkt" chatten wollten hat er ihnen "kurz mal" einen Telnet-account
eingerichtet. (deren $HOME hättest du sehen sollen)
Ich habe ihn an die Wand genagelt, mittels /var/lib/dpkg/info/* die md5s
aller Dateien prüfen lassen und /etc durchsucht (war nix), ipchains wieder
aktiviert, ihm versucht begreiflich zu machen was er da getrieben hatte und
bin gegangen. Etwas später war ich wieder da, da lief auf der Kiste
plötzlich Wingate. Ihm war das alles mit Linux zu kompliziert. Ich habe ihm
per Google ein paar Exploits für das Gate vorgeführt - "na und, dann
installier ich das halt schnell neu".
Schau, wie du schon richtig sagtest, es ist nicht MEIN sondern UNSER
Internet. und *solche* Leute sind es, die den Kiddies ihren Lebenssinn
geben. Da geb ich denen doch lieber irgendein Programm, was eine sinnvolle
Basis hat (i.e. schon mal kein Windows) und was sie bedienen können,
anstatt sie mit der vollen Ladung zu konfrontieren und nur zuschauen zu
können wie sie abprallen.
> Bedrohungsszenario!) _und_ derjenige, der dort mitliest, hat gleich den
> Startpunkt erstanden, der es ihm ermoeglicht, selbst weiter zu machen,
> eben weil er _verstanden_ hat, was er da genau macht.
Es gibt leider nun mal Leute, die kommen gar nicht soweit. Obs nun daran
liegt daß sie einfach dumm sind, oder weil das Interesse nicht da ist oder
weil sie keine Zeit dafür haben, ist doch egal.
Und diese Leute seh ich lieber hinter einem Firewall mit Oberfläche als
hinter einer Zeitbombe wie Wingate.
> > > Einem Newbie, der von IP, Netzwerken und dem System, welches er sich
> > > da installiert hat, keine Ahnung hat, einfach ein Tool vorzuwerfen,
> > > von dem der User dann glaubt sein Problem loesen zu koennen, ist eine
> > > nicht nur Dumme Tat sondern auch eine unverantwortliche.
> > ACK.
> Schoen, dass wir da einer Meinung sind. Du hast aber (und das war ja der
> Ausgangspunkt unseres Disputes) einem solchen Newbie empfohlen, sich doch
> mal Smoothwall anzusehen und das mal zu benutzen.
Jep.
> Ich glaube dir, dass Du das durchaus gut gemeint hast (ich halte dich ja
> nicht fuer ein fieses Aass!) aber Du musst doch aus deiner jetzigen Sicht
> zugeben, dass es vielleicht doch keine so gute Idee war und dem Anfaenger
> nicht unbedingt wirklich und effektiv hilft.
Sagen wir mal so: Wenn ich dem Anfänger zutraue dabei zu bleiben, dann
kriegt er eine Debian oder was ähnliches und eine Menge Doku und
Hilfestellungen. wenn ich ihn so einschätze wie den Typen von oben, dann
kriegt er lieber was halbwegs vernünftiges zum Klicken, bevor er sich
selber was vollends schwachsinniges installiert.
> > > Das scheint aber deine Definition eines Kompromisses in Sachen IT
> > > Sicherheit zu sein. "Besser nur 2 Dienste, alle Filesysteme im Internet
> > > preis geben, als 20".
> > NACK. Das habe ich nie gesagt.
> Gut, haben wir das geklaert. Ich hatte das so verstanden.
OK.
> > Und nach aussen offen ist ebenfalls rein gar nichts (von ICMP Echo für
> > 'ping', und ich glaube einem "anonymen" identd, mal abgesehen).
> Der Ident ist meist schon ueberfluessig und ist er ueberfluessig, ist er
> ein Sicherheitsrisiko.
Hm. Viele mail- und FTP-Server machen ein ident lookup. Ich sehe darin kein
prinzipielles Problem, solange der keine "echten" Informationen rausrückt.
> > Wenn man über die Web-Gui dann anfängt und Ports öffnet,
> WebGui? Potentille Angriffsflaeche.
Genauso wie ssh. :)
> Und was heisst, Ports oeffnet? Dienste starten? Oder Filter entfernen und
> dahinter sind gestartete Dienste? Siehe oben.
Beides.
> > kommt ab und an mal ein Popup "This is a BAD IDEA" und eine Erklärung.
> Das ist doch Voodoo.
Nein. Das ist (IMHO) sinnvoll. Ich wüsste bei irgendwelchen kernel logs
auch gerne mal, was denn nun eigentlich Port 4728 üblicherweise für ein
Dienst ist und warum da so viele Anfragen kommen.
Wo ist jetzt das prinzipielle Problem, wenn ich genau dieses Log sehe,
bloss in eine HTML-Tabelle formatiert und u.a. die Port-Nummern sind
anklickbar und es erscheint dann eine kurze Erklärung?
> Du hast selbst gesagt, dass man auch bei Smoothwall genau ueber IP
> bescheid wissen muss.
"Sollte".
> Ist es nicht so? Jemand, der genau bescheid weiss, der laesst sich doch
> nicht von einer dahergelaufenen WebGui erzaehlen, was eine gute Idee ist
> und was nicht. Der _weiss_ es.
Man lernt nie aus. Ich halte Hilfen nicht für sinnlos. Wer es weiss, wird
sie nicht brauchen, sie stören aber auch nicht. Wer *DAS* jetzt gerade
nicht parat hat, der
> Oder redest Du jetzt doch ueber Hilfen fuer Newbies, dies es doch nicht
> so genau wissen?
Ich gehe davon aus, daß selbst ein Profi nicht perfekt ist. Und ich gehe
davon aus, daß sich selbst Profis von dieser mplayer-Mentalität (*)
abschrecken lassen bzw. beleidigt fühlen.
(*) "Wir machen die Installation absichtlich nicht einfach, denn wer zu
doof ist sich Makefiles selber zu schreiben, hat sowieso nicht genügend
Hirn um unser Programm zu benutzen" ->
http://www.idg.net/ic_780421_1794_9-10000.html
> > (Hab ich allerdings selbst noch nicht gesehen, sondern mir im IRC sagen
> > lassen.)
> Naja, nimms mir nicht uebel, aber soooo gut, sacheint es mit deinem
> KnowHow um Smoothwall dann auch nicht bestellt zu sein.
Ich habe es ein paar mal installiert und anderen vorgeführt. Selber
benutzen tu ich es nicht.
> (aber bitte, dass soll kein Angriff sein. Ich habe grossen Respekt davor,
> dass Du es nochmals sachlich und ernsthaft versuchst!)
dito.
> > > So, Wo muss man da Shellscripte schreiben koennen? Und irgendeinen
> > Wo pack ich dann das danach hin? -> init-Konzept lernen
> > Wieso funktioniert das dann beim Booten nicht -> modules-Konzept lernen
> > Wieso kann ich kein QoS/.../etc. machen? -> module fehlen, Kernel kompilieren lernen
> Also ich finde deine Beispiele etwas Weltfremd.
Wieso? So geht das - manuell.
> Du willst QOS machen und weisst nicht, wie man _einen_ Aufruf in ein
> InitScript packt?
"Du willst Autofahren können und weiss nicht, wie man einen Zylinder
austauscht?"
Muss ein Autofahrer IMHO auch nicht.
> Sorry, aber das ist nicht realistisch. Das geht mit keinem Tool.
Wie wärs denn mit
[X] Enable QoS
? Wo ist jetzt da faktisch der Unterschied zu dem Init-Skript Geraffel, bis
auf das meine Lösung um Längen einfacher ist?
> > > Ein aufgemachtes System ist fuer _alle_ eine Gefahr, die Systeme im
> > > Internet betreiben (sollte dir das entgangen sein). Denk nur mal ..
> > Leute, die über von mir kontrollierte Rechner Viren verschicken, können
> > mind. 1 Woche keine Attachments verschicken, im Wiederholungsfall
> > länger bzw. werden gleich komplett gesperrt. Das ist mittlerweile sogar
> > automatisiert.
> Wenn ich jetzt von einem _ordentlich_ und professionell konfigurierten
> und adminstrierten System ausgehe,
Reicht es zu sagen, dass _dieses_ spezielle Beispiel ein Studenten-LAN ist,
wir Studentenwerk dafür zwar viel Lob, aber keinen ¢ kriegen, trotzdem
unser bestes tun, "nebenbei" noch an Diplomarbeiten etc. werkeln, und seit
ca drei Monaten ein komplettes Redesign vorhaben (u.a. aus DEN Gründen)?
Ich administriere auch noch andere Netze, wo ich mehr Zeit und Aufwand
reinstecke, dafür aber auch mehr kriege.
> dann muss ich sagen, dass der Admin gelartet gehoert, der es moeglich
> gemacht hat, dass der User sich I-Love-You eingefangen hat und nicht der
> User.
Admin. :-)
Ich darf User-Mail ohne Anlass nicht anfassen ("Befehl von oben"), wegen
Privatsphäre. Und ein von oben akzeptierter Anlass ist "Gefährdung des
Netzwerkes". Daher: Sperre nur, wie sagt man, postmortem.
Auch das ändert sich hoffentlich bald.
> Ich finde also deinen letzten Satz sehr schlecht und voellig an der
> Realitaet vorbei. Attachments sind fuer den User zum Anclicken da.
Können sie machen. Wenn sie was anklicken ohne zu denken, haben sie aber
auch die Konsequenzen zu tragen.
Ich hätte jetzt eigentlich gedacht, du erwartest von den Usern eine
Mindestmasse Hirn, weil du ja auch sonst so viel Wert darauf legst, daß
jeder das volle Programm lernt, der irgendwas benutzen will.
Jemand der nicht wissen will wie man richtig mit Attachments umgeht und was
die Gefahren dabei sind, soll gefälligst einen Mailclient benutzen, der
keine Attachments verarbeiten kann.
> Sie haben keinen anderen Zweck und der User nicht das KnowHow, Gutes von
> Boesem zu unterscheiden. Der User kann auch keine Massnahmen ergreifen,
> Schaden zu verhindern.
man virenscanner
man hirn
man logisches_denkvermoegen
man warn_mails_von_den_admins
> Das kann der Admin. Sein Fehler, wenn das n icht passiert ist.
Admins sind oft "Hauspersonal". Bessere Hausmeister. Kriegen von den Usern
aufn Deckel wenn was nicht funktioniert, vom Management wenn die User Viren
verbreiten, können selber kaum Entscheidungen treffen und haben aber immer
Schuld, egal ob berechtigt oder nicht.
Siehe asr-FAQ.
> > Sind wir uns nun endlich einig?
> Ich bin nicht sicher. Was meinst Du?
Hm. Du meinst, jeder muss zum Profi werden. Ich habe Angst, daß viele, die
man zum Profi trainieren will, abrutschen und sich danach noch mehr Schaden
zufügen, als wenn man sie nur zum Amateur gebracht hätte.
Was ist besser? Kommt auf die Zielgruppe an.
> ich sehe doch nirgendwo ein Fenster wo ich die Daten von 1&1 eingeben
> soll damit ich eine Verbindung bekomme. Wie kann ich jetz online gehen?
> Angeblich Karte Modem usw ist alles ok aber wo finde ich das
> Anmeldungsfenster??? <3B0BF610.67AF6612@tu-bs.de>
;) Und warum sollte man ihm denn kein Fenster geben?
--
mfg, Jens Benecke /// www.hitchhikers.de, www.linuxfaq.de, www.linux.ms
V: Epson Stylus Color 600, 1440dpi, inkl. 4F+4SW-Patronen
"Gnome 4.0 should be based on .NET"
-- Miguel de Icaza, http://theregister.co.uk/content/4/23919.html
Attachment:
pgpsX7lJuR6Yx.pgp
Description: PGP signature