© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hannes Widmer <h.widmer(at)cybernet.ch> wrote:
> [...]
> Was währe deiner Meinung nach am ganzen falsch ?....
> Mehr maschinen, mehr stom und mehr admin arbeit....
> lohnt sich so was ?....
Also, wie man das bei sich privat handhabt, muß jeder für
sich selbst entscheiden. Letztendlich ist es ein Kompro-
miß zwischen Paranoia und Kosten/Aufwand. ;-)
Ich persönlich habe daheim z.B. kein snort laufen. Wozu?
Mein Paketfilter schmeißt praktisch alles weg, was von
außen kommt. Ich biete ja von daheim aus keine Services
ins Internet an. Damit bin ich bereits tausendmal sicherer
als der durchschnittliche Windows-PC.
Wenn Du Deiner Filtersoftware nicht traust, dann setze eine
weitere zusätzlich ein. Du kannst z.B. IPFilter und IPFW
gleichzeitig benutzen: Da beide aus völlig unterschiedli-
cher Entwicklungsbasis stammen, ist es sehr unwahrschein-
lich, daß beide einen Bug haben, der dasselbe Paket fälsch-
licherweise durchläßt.
Wenn man eine Firewall für eine Firma konzipiert (oder um
irgendwelche kommerziellen Sachen abzusichern), dann ist
das natürlich ganz was anderes -- aber dann hat man auch
die Resourcen (sprich: Geld), um einen höheren Aufwand zu
treiben, denn man hat ja auch mehr zu verlieren, und man
stellt ein attraktiveres Angriffsziel dar. Das BSI em-
pfielt z.B. einen dreistufigen Aufbau für eine Unterneh-
mensfirewall (Paketfilter, Application-Level-Gateway, Pa-
ketfilter). Auf den Paketfiltern läuft dann tatsächlich
_nichts_ außer dem eigentlichen Filter, insbesondere keine
Software, die irgendwelche TCP/IP-Funktionen (listen(),
connect(), ...) aufruft, und im optimalen Fall booten die
Maschinen von einem Read-Only-Medium.
Gruß
Olli
--
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"Unix gives you just enough rope to hang yourself --
and then a couple of more feet, just to be sure."
-- Eric Allman
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 21 Jun 2004 - 17:20:44 CEST