Hallo Sascha! On Tue, 2013-11-12 at 02:51 +0100, Sascha Reißner wrote: > Am Montag, den 11.11.2013, 22:03 +0100 schrieb Magnus Wagner: > > NAT ist dummerweise genau nicht dafür das Systeme vom Netz zu trennen > > sondern für das Gegenteil. Es soll den Rechner mit dem Netz verbinden. > > Dazu wird in einigen Fälllen(verbindungslose Protokolle) die hier beim > > Virenscanner gescholtene Heuristik bemüht. > > Wenn die NAT-Engine nicht weiss zu welcher Verbindgung ein Pakt gehört > > dann "rät" sie halt ein Ziel aus dem lokalen Netz. > Sorry, aber so einen Schwachsinn hab ich noch nie gelesen. > Ein Router der per NAT arbeitet ist doch keine Lotterie. > Der Router leitet Pakete weiter zu denen er einen Eintrag in der NAT hat > (statisch oder dynamisch). Ein Paket zu dem der Router keinen Eintrag in > der NAT findet wird entweder zurückgewiesen oder verworfen und genau das > meint Konrad mit Schutz. Welche 'gescholtene Heuristik' du da im Router > vermutest ist mir ein Rätsel. Also dass NAT (Network Adress Translation) genau dafür da ist, was im Namen steht, ist mir vollkommen klar. Und Sascha hat klar verstanden, was ich mit "Schutz" meinte. Ich denke, ich versehe auch, wieso andere meinen, dass es eben kein Schutz ist, denn es dient ja z.B. im Falle des Routers dazu, einen Client erst einmal den Internetzugang zu ermöglichen. Schutz ist also nichts aktives wie eine Firewall sondern einfach nur prinzipbedingt. > @Konrad: > NAT schützt dich nur solange, solange kein Eintrag in der NAT steht. > Wenn du dir bereits Schadsoftware eingefangen hast, könnte diese Löcher > in den Router bohren, wodurch der Schutz dahin ist. Ja genau. Das ist mir vollkommen klar. Aber wenn ich mit meinen Systemen vollen Zugriff auf das Internet haben will, dann ist es nun einmal so, dass auch Schadsoftware dies nutzen kann. Und ich glaube ich verstehe, wieso z.B. Bjoern dies sehr stark zurückgewiesen hat, hier von Schutz zu sprechen. Ich muss gestehen, dass ich IPv6 bisher vernachlässigt habe. Aber nun habe ich einen Provider, der eigentlich nur ipv6 anbietet (ipv4 kommt per dslight tunnel - also sozusagen ein doppeltes NAT). Clients, die ich aus ipv4 Sicht als sicher wähnte und daher (ich übertreibe!) sshd laufen lasse mit erlaubtem root login und der root login ohne passwort ist dann plötzlich per ipv6 erreichbar. Daher ist klar, dass immer aus Sicherheit zu achten ist. Nur eben ist eine dedizierte Firewall für mich keine option. Aber da alle Systeme als Einzelgeräte fungieren (Wir haben nur mobile Geräte) erachte ich das das lokale Netzwerk als unsicher (und freue mich aber weiterhin, dass alle bösen Buben aus dem Internet erst einmal draussen bleiben!) und achte natürlich darauf, dass eben nach aussen keine Services freigegeben werden. Software, die ich brauche hört auf lo und sonst nirgends. (locale Firewall kann man auch gerne zur unterstützung aktivieren. Schaden kann es nicht. Aber der Ansatz sollte immer sein, die Software eben erst gar kein Port auf wlan0 oder eth0 aufmachen zu lassen!) Damit denke ich durchaus, dass ich auf der relativ sicheren Seite bin. Von einem Virenscanner auf Linux nur für das Linux System halte ich aber weiterhin nicht viel :) Ich denke, dass ich durch viele andere Dinge deutlich mehr erreiche um eben eine Infizierung zu vermeiden. Wobei ich im Rahmen der Diskussion gegen Ende den Gedanken hatte, dass es ja auch nicht wirklich schadet, den Scanner regelmäßig über die Dateisysteme zu jagen. Mit den besten Grüßen, Konrad -- Konrad Neitzel <konrad@neitzel.de>
Attachment:
signature.asc
Description: This is a digitally signed message part