On Thursday 21 July 2005 18:42, Frank Terbeck wrote: > Gebhard Dettmar <[EMAIL PROTECTED]> wrote: > [...] > > > Im Ernst: Ausgerechnet Windows-Nutzern weiszumachen, eine Firewall > > brächte nichts, also ich komm da nicht mehr mit. > > Tag Gebhard, > > In dem ganzen Zusammenhang ist > <http://www.fefe.de/pffaq/halbesicherheit.txt> > auch interessant. Haste aber sicher gelesen denke ich. Yo. Halte ich für nicht viel besser. beispiel: Bei Paketfiltern konzediert er mögliche Bugs, fährt aber fort mit: ---schnipp-- Nur folgt daraus nicht, daß man das mit der Sicherheit eh vergessen kann, sondern daß man auf Routern alle Dienste (HTTP, telnet, SMTP) abschaltet und nur Paketfilter einsetzt, bei denen man die Funktion anhand des Quellcodes verifizieren kann. ---schnapp--- Zu seinem Stein des Anstoßes sagt er dagegen lapidar: Bei der Personal Firewall gibt es diese Art von Zusage nicht, weil sie eben ausgehebelt und abgeschaltet werden kann. ---schnapp-- Das ist doch mit zweierlei Maß gemessen. Jemand, der Paketfilter auf Bugs im Quellcode checkt, wird auch eine PFW, die er in Windows-Mininetzwerken ohne HW-FW einsetzt, mit Admin-Passwort versehen, Regeln insbesondere für die einschlägig bekannten Sicherheitslöcher (also Windows-Netzwerkdienste) definieren, so dass kein noch so unbedarfter User damit irgendwelchen Mist bauen kann. Das ist doch kein Problem > Eigentlich ist alles unter "See also" lesenswert, aber in > "halbesicherheit.txt" wird nochmals auf das "ein bisschen Sicherheit ist > besser als gar keine Sicherheit"-Problem eingegangen. > > Nebenbei bemerkt kam es gerade bei WindowsPFWs immer mal wieder dazu > das die Firewall selbst einen gravierenden Bug hatte durch welchen man > ins System einbrechen konnte. Und für solche Bugs haben Kiddies immer > ein l33tes pr0ggie... > Ja. Alles richtig, aber ... > Ich bin auch der Meinung das man nichts Sicherheitsrelevantes > installieren sollte ohne das zu Grunde liegende Konzept zu verstehen. > Genau hier liegt m.E. der Hund begraben. Wer A sagt, muss auch B sagen, das heißt für diesen Fall: Man sollte generell überhaupt nichts installieren, dessen zu Grunde liegendes Konzept man nicht versteht. Da eine DFÜ-/LAN-Verbindung aber an TCP/IP gebunden ist, darf das nur jemand einrichten, der über grundlegende Kenntnisse zu diesem Protokoll verfügt. Alle anderen können das Internet eben nicht nutzen. Punktum. Das sagt natürlich keiner (und wenn, würde niemand auf ihn hören), aber beim Thema Firewall fällt es ihnen dann auf einmal ein. Da ist die Kausalkette aber schon längst im Gange, da ist es zu spät. Deswegen bleibt einem hier nur noch Schadensbegrenzung, und da spricht jede Empirie für PFWs, selbst wenn sie so schrottig wie die in SP2 sind. Und den Schindluder, der damit möglicherweise getrieben wird, kann man mit ipchains genauso treiben. Man muss sich einfach die Alternative vor Augen halten, mit der man es auf diesem Feld (MS Windows im Internet) zu tun hat: keine Firewall, aber offene Ports. Und da finde ich die Vergleiche, die fefe u.A. heranziehen, ziemlich verniedlichend: Fenster, die man nicht aufmachen darf, aber immerhin schützen sie vor Insekten? Das sind keine Insekten, das sind polymorphe Würmer, die auf einem befallenen Rechner machen können, was sie wollen. Selbstverständlich kann man sich dagegen mit PFWs schützen, jeder, der das Gegenteil behauptet, weiß nicht, wovon er redet. A fool with a tool is still a fool, klar. Das ist aber kein Grund, das Tool abzuschaffen. Die meisten Windows-Privat-Anwender haben doch gar keine andere Möglichkeit als eine PFW. Ich weiß noch, wie im Herbst 2003 der Wurm Swen unterwegs war - jede 3. Mail auf der Liste hatte den zum Thema: "Ich hatte heute 400" "Ich 500" usw. Ich will nicht wissen, was ohne PFWs heute auf dieser Liste los wäre. Oder wieviel Platz auf meiner Platte durch eine Spam-Blacklist belegt wäre (dafür sind die Viecher ja heutzutage auch schon zuständig) > Es ist müssig sich darüber zu streiten, da sich der Gegenüber vermutlich > nicht vom Gegenteil überzeugen lassen wird. Och, ich finde sowas immer sehr anregend (und empfinde es auch nicht unbedingt als Streit). Ich lass mich auch gern überzeugen, aber das muss dann eben überzeugend sein. Also sag jetzt nicht: Dienste abstellen ;-) > > Gruss, Frank dito Gebhard
-- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)