Re: Virenscanner
hi,
Am 12. November 2013 15:31 schrieb Hugo Wau <hugowau@gmx.net>:
> Hallo Björn, Konrad,
> die Welt ist bunt, aber jeder findet in seiner eigenen Welt nur
> schwarz-weiße Antworten, nämlich gut oder schlecht. Es gibt nicht nur
> verschiedene Sicherheitskonzepte, sondern auch verschiedene
> Sicherheitsstufen.
> Für den DSL-Anschluss, privat oder im Kleinunternehmen ist doch wohl eine
> Kombination aus NAT mit Firewall, wie sie in einer Fritzbox etc. realisiert
> ist, (man kann auch einen Linux-Rechner für diesen Zweck nutzen),
> ausreichend geanuso ausreichend, wie ein Türschloss und Zündschloss für das
> Auto. Ich würde das, was am weitesten verbreitet ist, einfach (dynamisch, so
> wie beim Auto die Wegfahrsperre dazu gekommen ist) als den 'Stand der
> Technik' ansehen.
Tust du das? fein. Okay. Also im Privaten. Gern. Ein simples Beispiel:
Ein Fahrrad 2000€, ein Schloss 30€. Reicht ja. Denkste. 20 Sekunden
mit Lockpick und tension wrench. Auch hier muss man überlegen.
Sorry, aber dieses Argument 'privat' lasse ich nicht mehr gelten. Wenn
ich sehe wie viele dial-ups Zombies bei meinen Servern anklopfen und
versuchen mit den ewig gleichen Methoden nut den SMTP abtasten vergeht
es mir. Und nein, es sind nicht alles gecrackte asiatische
Windows-Maschinen.
Das Internet ist ein Mesh aus unabhängigen Unternetzen. Insofern hat
jeder die selbe Verantwortung egal ob privat oder professionell. Das
ist meine Meinung. Doch hier kämpfe ich seit Jahren gegen Windmühlen
mit laxer Einstellung.
> Für breitbandigere Zugänge und für Server-Dienste dahinter (feste IP), auch
> wenn man nur einen Server beim Hoster stehen hat, sollte die Sicherheit viel
> spezifischer ausgelegt werden.
> Wo es um die Sicherheit von kritischen Daten geht, braucht es noch mehr
> Aufwand, diese vor allen bekanntermaßen möglichen - Attacken zu schützen.
> Und wo es um Server geht (Datenbanken z.B.), die nicht ausfallen dürfen,
> braucht es noch mehr Aufwand.
> (Das ist soweit meine laienhafte Sicht mit Resten von Wissen aus alten
> Zeiten in Netzwerken verschiedener Größe.)
S. oben.
> NAT kommt selten alleine, sondern meist wird jeden Tag die IP gewechselt,
ääh, bitte was? Näher erklären bitte, das lese ich zum ersten mal.
> was auch die Sicherheit etwas erhöht und wer keine Firewall im NAT-Router
> unterbringt, ist selber schuld.
Aha. Wenn die Firewall nicht selbst routet, sondern eine firewall vor
dem Router und jeweils eine hinter dem Router (pro Department) sitzt,
ist auch schlecht, mh? Oh man, diese Aussagen hier, allmählich bekomme
ich Gänsehaut.
> Ich denke, einfach, wir sollten verschiedene Sicherheitsstufen
> differenzieren zwischen der Wahrscheinlichkeit eines Angriffsschadens und
> der Höhe des Schadens, der angerichtet werden kann.
Soll ich dir mal ein nächtliches Protokoll zukommen lassen, allein für
automatisiertes Abtasten von öffenlichen Subnetzen (also nur meinen
host innerhalb, mehr hab ich nicht *hust*), da wird dir schlecht, was
da alles abgegrast wird. Und ja, Autop0wnen klappt erstaunlich häufig.
Es gibt noch so viele private Leute, die einen IIS4/5 im Internet
stehen haben. Grauenhaft.
Unterschätzt NIE die Fahrlässigkeit von Menschen. Meine Erfahrung.
> Zu den verschiedenen
> Sicherheitsstufen gehören auch die verschiedenen Konzepte, da jedes Konzept
> mit einem eigenen Aufwand einhergeht.
> Aus der 'Wahrscheinlichkeit' und der 'potenziellen Schadenshöhe' von
> Attacken - läßt sich berechnen wieviel Aufwand (ausgedrückt in €uronen) für
> Netzwerksicherheit sinnvoll getrieben werden sollte.
So nach dem Motto, wenn die Bank es sich erlauben kann, XSS auf der
eigenen Seite zu ermöglichen, kann ich das erst Recht? ;)
Wie gesagt mit den ganzen Frameworks und Scripten und sonst für ein
Scheiß ist die Wahrscheinlichkeit kaum noch relevant. Ich bin nicht in
der Lage einzuschätzen, ob ich nun von einem Spatz angepickt oder
durch Belagerungswaffen beschossen werde (doch schon, natürlich. Das
ist aber an sich schon ein Aufwand). Von daher sind mir persönlich
Kanonen recht.
> Und auch der KMU- oder private Anwender, der sich nie ein Auto ohne
> Türschloss und Wegfahresperre kaufen würde (alleine schon weil das verboten
> ist) muss lernen, dass zum Anschluss ans Internet ein 'Mindestmass' an
> Sicherheit gehört.
Richtig. Genau. Dazu gehört auch, zu wissen, dass NAT nicht
dazugehört. Ansonsten wäre IPv6 ja grundlegend Mist, da unsicher ohne
NAT. Wie gesagt, ich finde gerade in der Entwicklung von IPv6 deutlich
zu sehen, welchen Stellenwert NAT hat. Nämlich
pffffffffffffffffffffffffft ... (Zunge raus gestreckt).
> MfG
> Hugo
Und nun lasst mich bitte da raus.
Gruß,
Björn
Reply to: