Re: Firewall-Skript schreiben
On 12/14/2010 01:31 PM, Bjoern Meier wrote:
> Entschuldige, hier muss von mir ein LOL kommen. Wir haben mehrere
> Software die von anderen Firmen kommen, als MS, Adobe oder sonst wie.
> Ja, ich bin mir 100% sicher wir haben Sicherheitslücken in der
> FiBu-Software etc. Das ist etwas das kann man NIE verhindern. Es gibt
> meiner Meinung nach kein System auf dem es keine Lücke gibt. Ob
> bekannt oder nicht ist erstmal irrelevant. Frag mal den Iran zum Thema
> Sicherheitslücken, die hatten bestimmt auch kein "falsches
> Sicherheitskonzept". Zeig mir ein System wovon du glaubst es sei ohne
> Sicherheitslücke und ich zeig dir einen der rein kommt.
Und das hat jetzt noch was mit dem Thema zu tun? Ein Packetfilter behebt
keine Sicherheitslücken noch schützt es davor. Daher brauchst auch
keinen einrichten.
Es ist simpel wie ich sagte. Soll ein Dienst laufen, dann muss er
laufen, und der packetfilter erlaubt auch den Zugriff. Dann kann aber
auch Sicherheitslücken ausgenutzt werden.
Soll der Dienst nicht laufen -> Dann deaktievere den Dienst oder lass
ihn auf localhost laufen. Dann kann auch keine Sicherheitslücke
ausgenutzt werden.
Sicherheitslücken haben absolut 0 mit dem Thema zu tun. Und ein
packetfilter schützt dich vor gar nichts. Ich frage mich was du hier
auslachst. Deine eigene unwissenheit?
> Kommt drauf an, was du mit ausgehend meinst. ICH meine damit
> Internetzugriff zu haben, DAS haben einige Server nicht bei uns.
Wenn du kein Internetzugriff hast brauchst erst recht kein Packetfilter.
Willst du nur trollen oder was?
>> Ansonsten hilft ein Packetfilter nicht davor von Trojanern befallen zu
>> werden, noch diese zu beseitigen.
> Habe ich auch nie behauptet.
Du bist derjenige der erzählte das man bei mir ein Trojaner installieren
könne. Ich habe dir gesagt das ein Packetfilter an der Tatsache nichts
ändert.
Und Ziel von Sicherheit ist es nicht Schaden zu begrenzen wenn ein
Trojaner auf dem System ist, was dann nahezu unmöglich ist, sondern
Sicherheit bedeutet zu verhindern das er auf das System kommt.
Und ein Packetfilter nicht zu nutzen macht es nicht einfacher etwas zu
installieren. Die Verwendung eines Packetfilters ändern absolut gar
nichts daran.
> Klar muss ich es vom Netz nehmen, nur die Zeit bis ich es merke, dass
> dort ein Trojaner kann schon ausreichen. Ein Trojaner der nicht
> kommunizieren kann, weil er nicht raus darf ist nutzlos. Kann
> höchstens versuchen innerhalb des Netzes zu hoppen.
Wenn er rein gekommen ist, kommt er auch raus.
> Sag mir was sinnvoller ist. Ein System komplett gegen Trojaner
> abzusichern ist - allein durch menschliches Versagen - in meinen Augen
> nicht möglich.
Habe ich auch nicht behauptet.
> Ich habe beim Auditing einer Bundesweit beauftragten Firma eine sehr
> gute Bewertung bekommen. Hat meinem Arbeitgeber gereicht und das soll
> mir auch reichen.
LOL, *schenkelklopf* wahrscheinlich wie TÜV Süd. Seite ist sicher und
die simpelsten Sicherheitslücken die ein 16-jähriger findet sind noch da.
Sicherheit kann man nicht als zertifikat austeilen oder großartig
bewerten. Und wenn du nichtmal iptables als Grundlage kennst dann ist
deine Bewertung erst recht wertlos.
Zum anderen willst mir erzählen du hättest das OpenBook gelesen, sagst
aber gleichzeitig du hast keine Ahnung von iptables. Wenn du das Buch
gelesen hättest dürftest du iptables so ziemlich in und auswendig kennen.
> Also hat dein System nie einen Trojaner, weil die Möglichkeit gibt es
> bei dir ja nie, da du ja Dienste beendet hast. Ich finde es übrigens
> sehr gemein von dir, dass du Debian nicht früher auf die schwachen
> Zertifikate aufmerksam gemacht hast.
Hmm, zu viel geraucht? Wo sagte ich das mein System nie ein Trojaner hat?
Ich sagte "Die beste möglichkeit ein system abzusichern...". Das dies
nicht bedeutet: "Es kann nie ein Trojaner drauf kommen und es ist 100%
sicher" soviel unterscheidung solltest du selber noch hinbekommen.
> Wie ich darauf komme? Ganz einfach: Du schreibst als würdest du ja
> mehrere Server administrieren. Weiterhin gehe ich davon aus, dass du
> nicht bei jedem an der Konsole stehst, sondern ssh benutzt.
Ja.
> Du da dein System ja sicher hast,
gibt keine absolute sicherheit.
> wirst du auch auf Passwort-Eingabe verzichten
> und lieber auf Zertifikate vertrauen. Da deine Systeme keine
> Sicherheitslücken haben
Gibt immer Sicherheitslücken. Ich schrieb doch sogar das man eine
automatisierte Benachrichtigung bei Updates einpflegen sollte. Was du
dir da irgendwie zusammen reimst geht auf keiner kuhhaut.
> Ok, war natürlich nicht ernst gemeint, sondern bloß ein übertriebenes
> Beispiel. So ein Fall: dagegen helfen weder Firewall, noch IDS .. und
> schon mal gar nicht dieses - was man ja schon in der ComputerBILD
> liest - "Dienste abschalten".
Doch, Dienste abschalten ist das Sinnvolste überhaupt. Benötigst du
keinen Apache auf Port 80, dann deaktiviere Apache, oder deinstalliere
ihn. Das ist das sinvollste was du tun kannst. Wenn er nicht läuft kann
man ihn auch nicht angreifen.
Wird Apache wirklich benötigt so macht ein packetfilter absolut gar
nichts. Und macht auch nichts sicherer, da er alles zulässt. Ein
packetfilter kennt nur. Packet zulassen oder nicht zulassen.
Und Dienste abschalten empfiehlt dir übrigens keine ComputerBILD. Eine
ComputerBild empfiehlt die Norton Security oder sonstigen Personal
Firewall Schrott. Weil Sie davon auch schön gesponsered werden. Und
genau der Typ bist du ja anscheint.
Keine Ahnung von der Materie, aber vom Bund eine gute Bewertung für
Sicherheit der denkt mehr Software zu installieren und Blocken anstatt
einfach deaktivieren würde eine tolle Sicherheit sein.
Aber wie gesagt. Wenn du meinst das wäre Sicherer dann tue es halt. Hält
dich keiner davon ab.
Reply to: