Re: [Newbie] Kann ping-en, aber nicht ge-ping-t werden.

To: debian-user-german@lists.debian.org
Subject: Re: [Newbie] Kann ping-en, aber nicht ge-ping-t werden.
From: Gebhard Dettmar <gebhard.dettmar@student.hu-berlin.de>
Date: Thu, 21 Jul 2005 23:59:23 +0200
Message-id: <[🔎] 200507212155.j6LLtP8m014062@nsuncom.rz.hu-berlin.de>
In-reply-to: <[🔎] 20050721164237.GB3046@fsst.mops.rwth-aachen.de>
References: <[🔎] db5186$h0v$1@news.hispeed.ch> <[🔎] 200507211456.j6LEua8m021973@nsuncom.rz.hu-berlin.de> <[🔎] 20050721164237.GB3046@fsst.mops.rwth-aachen.de>

On Thursday 21 July 2005 18:42, Frank Terbeck wrote:
> Gebhard Dettmar <gebhard.dettmar@student.hu-berlin.de> wrote:
> [...]
>
> > Im Ernst: Ausgerechnet Windows-Nutzern weiszumachen, eine Firewall
> > brächte nichts, also ich komm da nicht mehr mit.
>
> Tag Gebhard,
>
> In dem ganzen Zusammenhang ist
> <http://www.fefe.de/pffaq/halbesicherheit.txt>
> auch interessant. Haste aber sicher gelesen denke ich.
Yo. Halte ich für nicht viel besser. beispiel: Bei Paketfiltern konzediert 
er mögliche Bugs, fährt aber fort mit:
---schnipp--
Nur folgt daraus nicht, daß man das mit der Sicherheit eh vergessen
kann, sondern daß man auf Routern alle Dienste (HTTP, telnet, SMTP)
abschaltet und nur Paketfilter einsetzt, bei denen man die Funktion
anhand des Quellcodes verifizieren kann.
---schnapp---
Zu seinem Stein des Anstoßes sagt er dagegen lapidar:
Bei der Personal Firewall gibt es diese Art von Zusage nicht, weil sie
eben ausgehebelt und abgeschaltet werden kann.
---schnapp--
Das ist doch mit zweierlei Maß gemessen. Jemand, der Paketfilter auf Bugs 
im Quellcode checkt, wird auch eine PFW, die er in Windows-Mininetzwerken 
ohne HW-FW einsetzt, mit Admin-Passwort versehen, Regeln insbesondere für 
die einschlägig bekannten Sicherheitslöcher (also Windows-Netzwerkdienste) 
definieren, so dass kein noch so unbedarfter User damit irgendwelchen Mist 
bauen kann. Das ist doch kein Problem
> Eigentlich ist alles unter "See also" lesenswert, aber in
> "halbesicherheit.txt" wird nochmals auf das "ein bisschen Sicherheit ist
> besser als gar keine Sicherheit"-Problem eingegangen.
>
> Nebenbei bemerkt kam es gerade bei WindowsPFWs immer mal wieder dazu
> das die Firewall selbst einen gravierenden Bug hatte durch welchen man
> ins System einbrechen konnte. Und für solche Bugs haben Kiddies immer
> ein l33tes pr0ggie...
>
Ja. Alles richtig, aber ...
> Ich bin auch der Meinung das man nichts Sicherheitsrelevantes
> installieren sollte ohne das zu Grunde liegende Konzept zu verstehen.
>
Genau hier liegt m.E. der Hund begraben. Wer A sagt, muss auch B sagen, 
das heißt für diesen Fall: Man sollte generell überhaupt nichts 
installieren, dessen zu Grunde liegendes Konzept man nicht versteht. Da 
eine DFÜ-/LAN-Verbindung aber an TCP/IP gebunden ist, darf das nur jemand 
einrichten, der über grundlegende Kenntnisse zu diesem Protokoll verfügt. 
Alle anderen können das Internet eben nicht nutzen. Punktum.
Das sagt natürlich keiner (und wenn, würde niemand auf ihn hören), aber 
beim Thema Firewall fällt es ihnen dann auf einmal ein. Da ist die 
Kausalkette aber schon längst im Gange, da ist es zu spät.
Deswegen bleibt einem hier nur noch Schadensbegrenzung, und da spricht 
jede Empirie für PFWs, selbst wenn sie so schrottig wie die in SP2 sind. 
Und den Schindluder, der damit möglicherweise getrieben wird, kann man mit 
ipchains genauso treiben. Man muss sich einfach die Alternative vor Augen 
halten, mit der man es auf diesem Feld (MS Windows im Internet) zu tun 
hat: keine Firewall, aber offene Ports. Und da finde ich die Vergleiche, 
die fefe u.A. heranziehen, ziemlich verniedlichend: Fenster, die man nicht 
aufmachen darf, aber immerhin schützen sie vor Insekten? Das sind keine 
Insekten, das sind polymorphe Würmer, die auf einem befallenen Rechner 
machen können, was sie wollen. Selbstverständlich kann man sich dagegen 
mit PFWs schützen, jeder, der das Gegenteil behauptet, weiß nicht, wovon 
er redet. A fool with a tool is still a fool, klar. Das ist aber kein 
Grund, das Tool abzuschaffen. Die meisten Windows-Privat-Anwender haben 
doch gar keine andere Möglichkeit als eine PFW.
Ich weiß noch, wie im Herbst 2003 der Wurm Swen unterwegs war - jede 3. 
Mail auf der Liste hatte den zum Thema: "Ich hatte heute 400" "Ich 500" 
usw. Ich will nicht wissen, was ohne PFWs heute auf dieser Liste los wäre. 
Oder wieviel Platz auf meiner Platte durch eine Spam-Blacklist belegt wäre 
(dafür sind die Viecher ja heutzutage auch schon zuständig)
> Es ist müssig sich darüber zu streiten, da sich der Gegenüber vermutlich
> nicht vom Gegenteil überzeugen lassen wird.
Och, ich finde sowas immer sehr anregend (und empfinde es auch nicht 
unbedingt als Streit). Ich lass mich auch gern überzeugen, aber das muss 
dann eben überzeugend sein. Also sag jetzt nicht: Dienste abstellen ;-)
>
> Gruss, Frank
dito Gebhard

Reply to:

References:
- [Newbie] Kann ping-en, aber nicht ge-ping-t werden.
  - From: "F. GEIGER" <fgeiger@datec.at>
- Re: [Newbie] Kann ping-en, aber nicht ge-ping-t werden.
  - From: Gebhard Dettmar <gebhard.dettmar@student.hu-berlin.de>
- Re: [Newbie] Kann ping-en, aber nicht ge-ping-t werden.
  - From: Frank Terbeck <frank.terbeck@rwth-aachen.de>

Prev by Date: Re: defrag
Next by Date: Re: defrag
Previous by thread: Re: [Newbie] Kann ping-en, aber nicht ge-ping-t werden.
Next by thread: Re: [Newbie] Kann ping-en, aber nicht ge-ping-t werden.
Index(es):
- Date
- Thread