Hallo Björn! On Tue, 2013-11-12 at 08:26 +0100, Bjoern Meier wrote: > Apropos Schwachsinn. Offensichtlich wird nach wie vor nicht verstanden > was NAT ist. Es ist lediglich eine Adressumsetzung. Also mir ist durchaus klar, was NAT genau ist. Ich kenne auch andere Anwendungsszenarien als eben dieser weit verbreitete Router. > Die Liste scheint davon auszugehen, dass man im privaten Netz jeden > Mist machen kann, solange er von außen nicht erreichbar ist. Wo bitte hast Du etwas gelesen, dass Dich so etwas denken lässt? Nur eben soll man sehr genau beachten, über was genau diskutiert wird. So halte ich den Virenscanner auf einem "reinen" Linux System (also ohne dass Daten für Windows Systeme bereit gehalten werden wie bei Fileservern oder Mailservern) nicht für wichtig. Und in diesem Zusammenhang dann mit SQL Injection und PHP Angriffen zu kommen ist einfach Schwachsinn. Da fehlt nur noch jemand, der nach der Lokation fragt: "Wie? Knormales Haus? Da reichen ja schon konventionelle Bomben als Denial of Service Angriff." Das ist dann auch der Grund, wieso ich mich zurückgezogen habe. Flash Lücken als Webbrowser-Probleme abzustempel ist ja fast genau so wie zu sagen: "Linux ist absolut unsicher! Sobald du die PHP Lösung "EasyToHack" installiert hast dauert es im Netz keine 10 min und das System ist von einem Script Kiddy übernommen!" Flash ist ein Addon. Ich kann auch ein Firefox Addon schreiben, dass gezielt zugriff für Dritte erlaubt. Ja und? Das hat dann mit Firefox nichts mehr zu tun. Wir können gerne Sicherheit globaler betrachten. Dann sind wir aber vom Thema Virenscanner weit entfernt. Dann landen wir - Bei Dingen, die Benutzer machen. (Und da kommt dann auch noscript mit in den Fokus, denn die Lücken, die ich so gesehen habe, sind JavaScript basiert gewesen. Das ist aber dann nur ein kleines Rädchen! Und der Mailserver verhindert, dass der DAU Anhänge bekommt. Sorry, aber selbst Archive werden rausgefiltert. Statt dessen kann man dann gerne ein File-Transfer Service bauen. Wir hatten eine Weblösung, bei der sich alle aus dem Konzern anmelden konnten um dann Dateien hochzuladen, Empfänger angeben und dann ging eine Infomail an diesen Empfänger. So dieser keinen Account hatte, wurde ein temporärer Account angelegt. So ist sicher gestellt, dass die Postfächer nicht überirdisch gross werden auf Grund der Dateien die damit verschickt werden und es muss eine Benutzer-KOmmunikation stattfinden a.la. "Björn: Ich lasse Dir die Datei mal zukommen. Kriegst eine separate Email mit den Daten." Aber dazu gehört natürlich auch die jährliche Datenschutz-Unterweisung!) - Bei Dingen, die man macht. Und da ist das Netz generell nicht sicher. Mein lokales Netz erachte ich nicht als sicher! Mein Router hat auch WLAN und ich denke nicht, dass die Verschlüsselung sicher ist... Und jemand der im Haus ist, kann sich eben einstöseln. In Firmen wird viel gemacht mit MAC Address Filter und so. Aber wirklich viel bringen tut es nicht ... - Also macht man nicht jeden Schwachsinn. Man hat immer auf die Sicherheit zu achten. Da ist dann die lokale Firewall (von der ich auch nicht viel halte!) ein Hilfsmittel für Leute die zu doof sind, ihre Software zu konfigurieren. Wenn ich einen Service lokal bei mir bräuchte (habe ich derzeit nicht), dann konfigurere ich ihn so, dass er nur auf lo hört und eben nicht auf eth0 und wlan0. Also Du bist im Netz (egal ob Du vor der Tür stehst und das WLAN benutzt oder Du den Windows Laptop meiner Frau gehackt hast (Nur weil ICH kein flash und meist kein JavaScript habe, haben andere das durchaus :) ) juckt mich das nicht wirklich auf meinem Laptop. Scan doch mal die Ports. Scheisse aber auch. Nicht einmal ein SSH auf den Client kannst Du machen. Aber nicht desto trotz bin ich froh, dass ich über den NAT Router das Internet erreichen kann und mein System eben nicht von aussen erreichbar ist. Einfach ein Erlebnis aus der Vergangenheit - Es ist zu Zeiten von Windows Server 2003, kurz bevor 2003R2 erschien. Ich habe einen solchen Server betrieben mit allen Ports auf diesen weiter geleitet (Also als DMZ Host eingetragen - so nannte sich das in dem Router, wobei das DMZ falsch ist... ach was wunderst Du Dich über (in Deinen Augen) falsches Wissen der Leute. Die Hersteller machen doch schon nur Müll! Das hatte ja mit DMZ nichts zu tun!) Das ging erstaunlich gut auch mit Exchange, IIS, DC und Remote Desktop. Aber dann habe ich das Teil einmal neu aufgebaut. Ich habe da einen Tag geflucht. Immer brach die Installation an einer anderen Stelle ab. Bis ich dann endlich gecheckt habe was abging und ich diese Weiterleitung rausgenommen habe. Nach Installation aller Patche/Service Packs habe ich es wieder reingenommen. Also ja - dieses nur per NAT ins Internet kommen (um Patche und SPs zu laden) ohne dass ich Angriffen ausgesetzt war, hat gewisse Vorteile. Und ich erinnere mich auch an Zeiten bei denen SuSE bei der Installation auch jeden Mist installierte und auch gleich aktivierte. Da war dann auch viel an Diensten von aussen erreichbar. (Das ist aber schon lange her. Das war vor 2000 meine ich! Damals war SuSE meine Lieblingsdistro da ich dort regelmäßig schön viel Software bekommen habe. Das waren ja 6 CDs oder so. War damals recht genial.) Also bei Sicheitsaspekten gibt es kein "Das Netz ist sicher". Nichts ist sicher. Daher minimiert man die Angriffsfläche, wo es nur geht. Aber das ändert dann nichts daran, dass auch NAT in einem Router den Clients dahinter einen gewissen Schutz bietet. Mein Beispiel hat das evtl. verdeutlicht, was ich meine. (Aber das macht das Netz nicht sicher! Eine Firewall bietet auch einen gewissen Schutz wenn gewisse Dinge abgeblockt werden. Aber dennoch macht es ein Netz nicht zu einem sicheren Netz.) Und es ändert auch weiterhin nichts daran, dass ich mein Linux System nicht regelmäig danach scanne, ob da nicht einer von zigtausend bekannten Windows "Viren" drauf ist (Ich bezweifle weiterhin, dass da gross Linux-Malware erfasst ist, aber diesbezüglich wurde mir ja bisher keine Info gegeben. Hat sich auch keiner gemeldet der meinte: Ja, bei mir / einem Bekannten wurde so Linux Malware erkannt und wir haben so ein kompromitiertes System erkannt.) Und natürlich gibt es andere Dinge, die ich mache wie z.B. Logfiles prüfen und laufende Prozesse checken und Filesystem überwachen. Malware wird sich ja meist auf der Platte speichern und meist wird es eigene Prozesse haben. Nicht immer, aber ClamAV erkennt auch keinen modifizierten Prozess. Ein Apache Thread, der plötzlich irgendwie Schadcode eingefangen hat und diesen nun ausführt wird ClamAV ebenso nicht mitbekommen. Mit den besten Grüßen, Konrad -- Konrad Neitzel <konrad@neitzel.de>
Attachment:
signature.asc
Description: This is a digitally signed message part