Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben

To: debian-user-german@lists.debian.org
Subject: Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
From: Marcus Jodorf <debian.user.de@killfile.de>
Date: 04 Apr 2003 15:23:51 +0200
Message-id: <[🔎] 87brzmqtug.fsf-bofh@killfile.de>
References: <[🔎] 001a01c2f918$53736d00$0100a8c0@Schwagalnetz> <[🔎] 87pto5t04i.fsf-bofh@killfile.de> <[🔎] 1049298810.2210.9.camel@moppi.local>

Michael Schmidt <Michajnz@freenet.de> schrieb:

>> Nebenbei solltest Du Dich zuallererst mal fragen, wozu Du überhaupt eine
>> Firewall brauchst. Unsachgemäß aufgezogen ist sie im besten Falle nutzlos,
>> ansonsten nicht selten hinderlich und auf sauber konfigurierten Rechnern
>> fast immer überflüssig.  ^^^^^^^^^^^^^^^^^^^^
> ^^^^^^^^^^^^^^^^^^^^^^^
> 
> Mutige Behauptung ... - was ist sauber konfiguriert - wo fängt das an?

Das fängt damit an, daß Du nur nach außen anbietest, was Du in diese
Richtung auch nur benötigst.
Wenn Du also von außen nur ssh machen willst, dann bindest Du nur ssh
auf das Interface und den Rest schaltest Du ab oder erlaubst es nur
intern.
Nicht belegte Ports kann man halt nicht angreifen.
 
> D.h ja mindestens auch das ich immer alle Security-Updates eingespielt
> haben sollte - und der Admin  damit nahezu perfekt arbeitet. 

Daß Du die Software aktuell halten mußt, die Du nach außen anbietest, ist
wohl selbstverständlich. Ob Du nun ein ssh oder sonstwas mit Schwachstellen
mit oder ohne Firewall nach außen freigibst oder nicht, macht absolut keinen
Unterschied. In dem Moment, in dem ein Dienst, den Du nach außen offen
hast, Sicherheitslücken hat, hilft Dir auch keine Firewall mehr.

> Ich denke die Behauptung trifft wenn überhaupt nur auf den
> Privat-Anwender zu.  Im "Server-Bereich" von Firmen ist das einfach
> falsch.

Nein. Aber Firmennetze laufen meist unter anderen Prämissen und
Anforderungen und Firewalls können da dann durchaus sinnvoll sein.
Zum Beispiel taucht da ja auch die Frage auf, wie man die eigenen
Mitarbeiter "drin behält" und auf's Gleis des Gesamtkonzeptes zwingt.

> Ein Webserver der einige tausend Anfragen die Minute hat,
> sollte schon hinter einer Firewall in einer DMZ stehen denke
> ich. Alles andere wäre unprofessional und würde über kurz oder lang
> schief gehen.

Das ist zu oberflächlich. Zunächst einmal ist eine Firewall ein
Sicherheitskonzept und ob und wie man dann konkret Packetfilter,
usw. einsetzt, das steht wiederum auf einem ganz anderen Blatt.

> Ich kann einfach nicht, ein wenn auch "sauber konfiguriertes"
> Firmennetzwerk, OHNE Firewall nach aussen "offen" lassen... Oder?

Kommt u.a. auf die Topologie des Netzes und die dort verwendeten
Installationen an. Pauschal kann man sowas einfach nicht beantworten,
genauso wie eine Firewallsoftware nicht pauschal irgendeinen
Sicherheitsgewinn bringt oder auch nur pauschal Sinn macht.

Die typische Windowsdenke "Ich habe eine personal Firewall und mein
Rechner ist jetzt vor dem bösen Internet geschützt" ist jedenfalls
bestenfalls unbedarft und nicht selten ein gefährlicher Trugschluß.

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Gruß,

Marcus

-- 
            The dark ages were caused by the Y1K problem.
eMail: m@followup-to.de

Reply to:

Follow-Ups:
- Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
  - From: Michael Schmidt <Michajnz@freenet.de>

References:
- Dynamische IP (DynDns - Namen) mit Iptables freigeben
  - From: "Chris" <schwagal@web.de>
- Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
  - From: Marcus Jodorf <debian.user.de@killfile.de>
- Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
  - From: Michael Schmidt <Michajnz@freenet.de>

Prev by Date: Re: Phoenix Profile Manager
Next by Date: ip-up skripte funktionieren nicht (immer)
Previous by thread: Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
Next by thread: Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
Index(es):
- Date
- Thread