Hallo!
On 07 May 2004 at 21:49 +0200, Matthias Taube wrote:
> Optimal wäre ein Programm, bei dem bei jedem Connectversuch der nicht
> explizit erlaubt ist ein Fenster hochpoppt. Dies würde die Erstellung von
> Regeln erheblich vereinfachen.
Das wäre grob fahrlässig. Selbst wenn wirklich nur ein Meldungsfenster
(ohne direkte Modifikationsmöglichkeit des Regelsatzes aus
unprivilegiertem Nutzerkontext heraus) implementiert wäre, fände ich die
Tatsache, dass das /im Kernel/ implementierte Paketfiltern
GUI-Abhängigkeiten bekommt mindestens genauso haarsträubend wie die
Vorstellung, auf diese Weise ganz leicht einen DoS gegen entsprechend
konfigurierte Maschinen fahren zu können.
Hostbasierte Paketfilter haben, sollen sie überhaupt zu etwas nütze
sein, nichtinteraktiv und ausschließlich nach vom Administrator[1]
festgelegten Regelsätzen zu arbeiten.
Interessiert man sich dafür, welche "fremden" Pakete so alles aus dem
WAN bei einem aufschlagen, kann man diese von Netfilter fein säuberlich
loggen lassen oder gleich mit Sniffern/einem NIDS arbeiten.
Gruß,
Elmar
[1] Der (als Person) natürlich durchaus mit dem Benutzer identisch sein
darf...
--
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
·······································································
Die eigene Erfahrung hat den Vorteil völliger Gewißheit.
-- Schopenhauer
Attachment:
pgpU7JX3Y7zNP.pgp
Description: PGP signature