Re: Offene Ports schließen
Felix M. Palmen <zirias@despammed.com> schrieb:
> Hallo Christian,
>
> * Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de> [20050828 16:39]:
> > Das ist keine Alternative.
> > Wenn man nicht moechte, dass "ein Port offen ist" (ein Dienst auf
> > diesem Port lauscht), dann schaltet man den Dienst ab.
> > Oder haengst Du beim Verlassn Deiner Wohnung auch nur ein Schild
> > "Abgeschlossen" an Deine Wohnungstuer?
>
> Das ist ein ziemlich dämlicher Vergleich. Ein vernünftiger Paketfilter
Nein. Ein Paketfilter ist nicht dafür gedacht, eine verkorkste
Konfiguration abzusichern.
> Unter Umständen ist das sogar die einzige Möglichkeit, wenn man einen
> Dienst nur im LAN haben will, dieser aber keine
> Konfigurationsmöglichkeiten bietet hinsichtlich der Interfaces, an
> denen er horcht.
Prinzipiell ACK, aber nenne bitte mal ein paar Dienste, die das
betrifft. (ja, ich kenne einen...)
> Wenn irgend möglich sollte man sowohl den Dienst dazu bringen, NICHT am
> externen interface zu lauschen (oder je nachdem ihn ganz beenden) als
> auch Pakete filtern. Sicherheitskonzepte möchte man nämlich gerne
> redundant haben.
Jo. Nur die Pauschalaussage 'dann installier halt ne Firewall' und noch
dazu mit Kanonen auf Spatzen (auf netfilter.org ist ein Beispiel, wie
das mit 3 Zeilen iptables geht) führt berechtigterweise bei vielen
Leuten zu Brechreiz.
Andreas
--
Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau-
fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei
von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA
Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-)
Reply to: