© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Salü Andreas
> (B) warum stellst Du eigentlich immer wieder Fragen mit deutlichem
> Linux-Bezug in einer BSD-bezogenen Mailingliste? Und auch fuer ge-
> nerische Sicherheitsfragen gibt es (rein prinzipiell betrachtet)
> bessere Medien.
Dies hat den Grund, dass ich mich zuvor mit Linux beschäftigt habe.
Ich habe dort einmal das mit der Firewall angeschaut aber hatte bis
heute keine Zeit etwas daran zu machen. Nun, bin ich von Linux auf
Unix umgestiegen und würde die Firewall auch derne auf BSD aufsetzen
damit ich einen Standard hätte.
Ich habe es nicht darauf abgesehen euch mit meinen Fragen zu
durchlöchern und wen euch dies stört, trage ich mich halt wieder
aus der Liste aus. Ich habe nur einaml gehofft von euch überhaupt
bzw. anständige Antworten zu bekommen was auch immer so war, nicht
wie in anderen listen.
Und wie schon gesagt....naja,....rtfm ist nun mein nächster anlaufpunkt *s*...
Gruss Hannes
> (A) Eine Firewall ist die Implementierung eines Schutzkonzeptes.
> Ein Paketfilter *kann*eine*[1] Komponente einer solchen Implemen-
> tierung sein.
>
> > war der fast schokiert und meinte, dass dies
> > deine der schlechtesten Varianten sei eine Firewall aufzubauen da
> > diese nur auf die IP Adresse achtet.
>
> Ja, exakt das ist die Aufgabe eines Paketfilters; allerdings koennen
> Paketfilter (mehr oder weniger, je nach "Produkt") nicht nur einfach
> "erlauben" oder "verbieten", sondern auch die "Sinnhaftigkeit" der
> Verbindungen (im TCP-Fall) pruefen.
> Ein nackter Paketfilter hat (per definitionem) natuerlich nur Einsicht
> in die nackten Protokoll-Daten und ist fuer die kommunizierende App-
> likationsschicht transparent. Ein solcher Paketfilter schuetzt also
> "nur" vor Problemen auf Paket-Ebene.
> Fuer Dinge, die darueber hinausgehen, gibt es
> unterschiedliche Ansatze,
> die je nach konkretem Anforderungsprofil, mehr oder weniger sinnvoll
> sind.
>
>
> > Er meinte das ich eine Firewall
> > mit der "Stateful Packet inspection" aufsetzen sollte.
>
> [Hmm. Hatte er gerade Spass daran, Dir das "Buzzword der Woche" der
> Woche an den Kopf zu werfen? Frag ihn mal nach einer technisch
> fundierten Begruendung fuer seine Meinung^W^HGeblubber.]
>
> Eine dieser Ansaetze sind die sogenannten "stateful inspection" (ein
> Marketing-Gewaesch-Sammelbegriff) Methoden. Allen Ansaetzen gemeinsam
> ist das Ziel, die Kommunikation durch Untersuchung der uebermittelten
> Nutzdaten "besser" / "gezielter" zu ueberwachen und Fehlerzustaende
> zu erkennen. Dadurch wird der Paketfilter aber zwangslaeufig deutlich
> komplexer, und damit auch anfaelliger fuer Angriffe auf den
> Paketfilter-
> Code an sich. Insbesondere steigt die Anfaelligkeit fuer DOS-Angriffe.
>
>
>
> > Nun, was meint ihr Obergurrus dazu ? *s*...
>
> hmm. Was ist ein Gurru? Ein boeser Fluch? Eine wueste Beschimpfung?
>
> -Andreas
>
>
> [1] Die "Firewall" einiger "meiner" Netze kaemen de facto ganz ohne
> Paketfilter aus, da saemtliche Kommunikation ueber Proxies auf App-
> likationsebene abgewickelt wird. Dass dort dennoch einige grundlegene
> Regelsaetze (Anti-Spoofing etc.) aktiv sind, dient eher dem
> Schutz der
> jeweiligen exponierten Interfaces; weniger dem Schutz der hinter den
> "Firewalls" liegenden Netze.[2]
>
>
> [2] Jetzt krieg ich bestimmt wieder Haue ;-)
>
>
> --
> sick sick sick. nature?
>
> To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
> with "unsubscribe de-bsd-questions" in the body of the message
>
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 24 Jan 2003 - 10:32:20 CET