Christoph Wegscheider <[EMAIL PROTECTED]> wrote: > On Saturday 15 November 2003 21:12, Dirk Prösdorf wrote: >> Christoph Wegscheider <[EMAIL PROTECTED]> wrote: >> > Ich bin generell der Meinung das auf einem Computer der ans Internet >> > angeschlossen ist eine Firewall (packet filtering) gehört, denn auch wenn >> > nicht 1000 interne Dienste installiert sind so kann sich dennoch die eine >> > oder ander Angriffsstelle zeigen. >> >> Kannst du mir das mal genauer erleutern? >> Bis jetzt war ich nämlich immer der Auffassung, dass es ausreicht die >> Dienste _nicht_ an das externe Interface zu binden um keine Angriffstelle >> zu bieten und das IP-Spoofing zu verhindern.
> Nicht umsonst sind wichtige Systeme immer (mindestens doppelt) > ausgelegt: > 2 Bremskreise im Auto Hilfe, die beliebten Autovergleiche. > Reservefallschirm beim Fallschirmspringen > redundante Netzanbindung kritischer Server > 13 DNS-Root Server > das Internet als solches > ... Wären dann nicht doppelte Paketfilter oder gar 13 Paketfilter auf dem Rechner wesentlich sicherer? Ich würde mal sagen nein, da durch dieses mehr Software und damit auch mehr an Konfiguration die Gefahr eines Fehlers ja eher höher würde. > Redundanz bringt Sicherheit Die Aussage in ihrer Absolutheit würde ich nicht teilen. Redundanz bringt genau dann weniger Sicherheit, wenn sie durch ihr mehr an Systemen die Angriffsmöglichkeiten erhöht . > Eine Firewall kann natürlich auch Bugs haben oder schlecht > Konfiguriert sein Eine Firewall ist für mich erst einmal ein Konzept und klar, kann dieses Fehler haben oder schlecht umgesetzt sein. Es kann aber auch Bestandteil eines solchen Konzeptes sein, die benötigten Dienste nur dort anzubieten, wo sie auch benötigt werden und sie nicht in die freie Welt zu posaunen (ich finde dies übriegens einen durchaus sinnvollen Bestandteil des Konzeptes ;-). Dies kann man oft über eine sinnvolle Konfiguration erreichen und manchmal halt nur über einen Paketfilter (gerade dann, wenn Netze getrennt werden müssen). > Genauso falsch ist es > freilich sich auf seine Firewall zu verlassen und die Konfiguration zu > vernachlässigen. Ich gehe mal davon aus, dass hier ein Paketfilter gemeint ist. Schade nur, dass du in deinem ersten Beitrag nicht darauf verwiesen hast, die verwendeten Serverdienste richtig zu konfiguieren. Unter diesem Aspekt kann ein Paketfilter ein weiter Schutz sein, wenn man sich dadurch nicht gerade neue Lücken rein holt. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)