Re: Welche Firewall bzw. Paketfilter verwenden

From: Michaela Susan Buesing <ela(at)mausehaus.org>
Date: Tue, 30 Jan 2007 13:56:11 +0100

Hallo 'World of Replica'!

(Ist "World" Dein Vorname, und "of Replica" irgend eine Art Adelstitel?)

On Tue, Jan 30, 2007 at 12:57:12PM +0100, World of Replica wrote:

> keine firewall????

Ja.

> tschuldigung in was für einer traumwelt lebst du????

Bitte? Die Gegend hier nennt sich 'Oberbayern', und ist tatsaechlich
ziemlich traumhaft. Immerhin leben hier die gluecklichsten Menschen
Deutschlands, und so schoen in weisse Zuckerwatte gepackt laedt die
Landschaft schon auch zum traeumen ein...

> ein pc ohne fw hat keine überlebenschance.

Meine Erfahrungen sagen da anderes.

> also hast du einen webserver online? das ist kein sicherheitsrisiko? lol

Es ist immer ein Sicherheitsrisiko einen Rechner an ein von aussen
zugaengliches Netzwerk anzuschliessen. Ich denke bloss, dass in meinem
konkreten Fall der zusaetzlichste Nutzen einer Firewall nicht besonders
gross waere.

Dass sie eine zusaetzliche "line of defense" bildet und die Sicherheit
insgesamt vermutlich tatsaechlich erhoehen wuerde gestehe ich Dir gerne
zu, aber die trade-offs sind es mir halt einfach nicht wert. So moechte
ich es z.B. meinen (vertrauenswuerdigen) Usern erlauben ohne
Ruecksprache mit mir auch Serverdienste aufzusetzen, ohne dass ich ihnen
root-Rechte geben will.

> Zer0day-lücken sagen dir was?

Ja. Auch wenn ich sie nicht so l33+$peeX-maessig benennen wuerde.

Aber nun erklaere mir mal wie eine Paketfilter-Firewall meinen
vulnerablen Webserver vor dem boesen Hacker schuetzt. - Tatsaechlich
leider gar nicht, da ich Port 80 ja eh freigeben muss.

Das einzige was eine Firewall im Falle von Exploits bringen kann ist
dass sie Dienste nach aussen hin abschottet, die nur intern genutzt
werden sollten. Wenn also fuer einen dieser Dienste ein Exploit
existiert, und der entsprechende Dienst auch noch so konfiguriert ist
dass er unnoetiger Weise auch Verbindungen von aussen annimmt, ja dann
bringt Dir eine Firewall tatsaechlich etwas.

Oder falls ein User einen Trojaner o.ae. einschleppt der dann auf irgend
einem Port auf Befehle lauscht.

Nachdem ich kaum Dienste laufen habe und meinen Usern insofern vertraue
dass sie keine problematische Software/Trojaner laufen lassen sehe ich
den zusaetzlichen Nutzen halt als eher gering an.

> haste den sql-server auch da drauf?

Nein.

> das gefühl unix sei das sicherste?

Ich halte zwei der aktuellen Unixe (OpenBSD, Solaris) tatsaechlich fuer
die sichersten Massenbetriebssysteme. Ist das falsch? - Dass meine alte
Irix-Kiste die noch nicht einmal SSH kennt und seit Jahren kein Software-
Update mehr gesehen hat irgendwie besonders sicher ist glaube ich
hingegen nicht. Die wird hoechstens noch von ihrer Exotik geschuetzt. ;)

> es gibt keine sicherheit.

Es gibt relative Sicherheit.

> ein exploit kann dich auch auf nem unix erwischen und du merkst es
> nicht!

Und? - Habe ich denn etwas anderes behauptet?

> wünsche viel glück bei solchem spass;)

Und ich wuensche mir dass Du in Zukunft ein Bisschen freundlicher bist.
Wenn Du eine andere Meinung hast als ich, dann werde ich sicher gerne
mit Dir diskutieren. Es besteht meiner Meinung nach jedoch keine
Notwendigkeit Deinerseits herablassend zu werden.

Text-oben-Fullquote-unten-Postings sind uebrigens auch nicht gerade
hoeflich.

Mit freunlichen Gruessen,

Michaela Buesing.

-- 
NIC: MSB1-6BONE     |     Jabber: ela[aT]jabber[pErIoD]org
WWW: http://www.mausehaus.org/?doc=ela | ela@mausehaus.org
Please avoid  sending me  Word or  PowerPoint attachments.
See http://www.gnu.org/philosophy/no-word-attachments.html
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 30 Jan 2007 - 14:00:37 CET

search this site