Re: [Sicherheit] WLAN-AP auf Server?!

[Thorsten Steinbrenner]

FunkyFish schrieb:


Hi Thorsten,


Hallo!


Szenario 1: AP bleibt AP, Server bleibt Server
Jan hat schon Recht, wenn er sagt, das man grundsätzlich Dienste trennt,
damit Sicherheitslücken sich nicht auf alles auswirken. Allerdings musst
du hier bedenken, dass wenn jemand dein WPA knackt, er kompletten
Zugriff auf dein Netzwerk hat. Er kann also alles mithören, was


Das gilt allerdings doch für beide Varianten, oder?! WPA geknackt heißt 
Stecker im LAN, unabhängig ob WLAN im Router oder Server. D.h. ein 
Angreifer könnte alle unverschlüsselten Dinge mitlesen (und das sind 
ziemlich viele hier im LAN) ins Internet, Spam verschicken usw. usf.



unverschlüsselt passiert. Loggst du dich zum Beispiel per Telnet oder
http (kein https) auf deinem Router ein, bekommt der Angreifer alle
Passwörter auf dem Tablett serviert. Das gleiche gilt für die
Kommunikation mit deinem Server. Eventuelle Windows-Freigaben usw.
liegen alle offen da.


Soweit klar.


Szenario 2: Server spielt den AP
Hier hat Jan auch Recht. Prinzipiell bedeutet das knacken des "APs" auch
Zugriff auf deinen ganzen Server. Allerdings kann man dagegen auch
vorgehen. Es gibt Möglichkeiten zur Virtualisierung (Xen), user-mode
linux und chroot. Der Vorteil bei einer solchen Lösung? Du kannst dein
WLan in ein eigenes virtuelles Lan packen und nur bestimmte Dienste über
das Wlan zulassen (zum Beispiel nur http und ftp). Im Prinzip kannst du
so noch eine Firewall zwischen Wlan und dem Rest packen. Das ganze ist
dann allerdings schon ein gewaltiger Bastel-Aufwand ;) Aber wenn es dir
Spaß macht hast du damit eine sehr flexible und meines Erachtens auch
sichere Lösung (natürlich nur, wenn es sauber implementiert ist).


Naja, mit geht es mehr um's Lernen als um den Zeitaufwand. Einen Router 
(fli?) in einer XEN-Umgebung. Hm, das könnte mir schon gefallen. Mal 
sehen wann ich mal gnz viel Zeit zum Basteln habe.



Die c't hatte das ganze so ähnlich auch einmal in einem Homeserver mit
Debian und IpCop. Da lief als Server OS Debian und per user-mode linux
IpCop als Firewall. IpCop hat die Verbindung ins Internet hergestellt
und als Firewall fungiert. Diverse Dienste des Servers waren dann aus
dem Internet erreichbar, andere wiederum nur aus dem eigenen Lan.


Ja, stimmt, du hast recht! Habe die c't im Abo aber daran hatte ich 
nicht mehr gedacht. Muss ich gleich mal rauskramen um mir Ideen zu holen.
Das Problem mit Sicherheitsfragen ist IMHO, dass normale Menschen wie 
ich gar nicht daran denken, was potentielle Angreifer tun _könnten_ weil 
eben diesen normalen Menschen sowas nie im Traum einfallen würde...

Herzlichen Dank für deine ausführliche Antwort!!

Viele Grüße,


Tom

--
"Bill Gates fing in einer Garage an. In Deutschland wäre er damit
 bereits an der Gewerbeaufsicht gescheitert."
-- Roman Herzog


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [Sicherheit] WLAN-AP auf Server?!

[FunkyFish]

Hi Thorsten,

Thorsten Steinbrenner schrieb:
> Hallo!
> 
> Bitte nicht hauen wegen der blöden Frage, aber macht es
> sicherheitstechnisch einen Unterschied ob ich einen WLAN-AP im LAN habe
> (konkret im DSL-Router) oder diesen gleich im Server integriere?!
Wie schon in der Antwort von Jan: Ja es macht einen Unterschied!

> Natürlich jeweils WPA-verschlüsselt usw.
> Hintergrund ist der, dass ich in meiner Soekris eigentlich eine
> WLAN-Karte eingebaut habe, diese aber z.Z. brach liegt, weil der
> DSL-Router auch AP spielt. Jetzt würde ich die Soekris-Box nicht nur
> Server sondern auch gerne AP spielen lassen.
Prinzipiell natürlich möglich.

Ich möchte nur noch ein paar Dinge zu beiden Varianten los werden.
Vielleicht hilft dir das bei der Entscheidung.

Szenario 1: AP bleibt AP, Server bleibt Server
Jan hat schon Recht, wenn er sagt, das man grundsätzlich Dienste trennt,
damit Sicherheitslücken sich nicht auf alles auswirken. Allerdings musst
du hier bedenken, dass wenn jemand dein WPA knackt, er kompletten
Zugriff auf dein Netzwerk hat. Er kann also alles mithören, was
unverschlüsselt passiert. Loggst du dich zum Beispiel per Telnet oder
http (kein https) auf deinem Router ein, bekommt der Angreifer alle
Passwörter auf dem Tablett serviert. Das gleiche gilt für die
Kommunikation mit deinem Server. Eventuelle Windows-Freigaben usw.
liegen alle offen da.

Szenario 2: Server spielt den AP
Hier hat Jan auch Recht. Prinzipiell bedeutet das knacken des "APs" auch
Zugriff auf deinen ganzen Server. Allerdings kann man dagegen auch
vorgehen. Es gibt Möglichkeiten zur Virtualisierung (Xen), user-mode
linux und chroot. Der Vorteil bei einer solchen Lösung? Du kannst dein
WLan in ein eigenes virtuelles Lan packen und nur bestimmte Dienste über
das Wlan zulassen (zum Beispiel nur http und ftp). Im Prinzip kannst du
so noch eine Firewall zwischen Wlan und dem Rest packen. Das ganze ist
dann allerdings schon ein gewaltiger Bastel-Aufwand ;) Aber wenn es dir
Spaß macht hast du damit eine sehr flexible und meines Erachtens auch
sichere Lösung (natürlich nur, wenn es sauber implementiert ist).

Die c't hatte das ganze so ähnlich auch einmal in einem Homeserver mit
Debian und IpCop. Da lief als Server OS Debian und per user-mode linux
IpCop als Firewall. IpCop hat die Verbindung ins Internet hergestellt
und als Firewall fungiert. Diverse Dienste des Servers waren dann aus
dem Internet erreichbar, andere wiederum nur aus dem eigenen Lan.

Gruß
-Sascha-


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [Sicherheit] WLAN-AP auf Server?!

[Thorsten Steinbrenner]

Jan Luehr schrieb:


Das ist vor allem sicherheitstechnisch relevant. Es empfiehlt sich,
Dienste soweit von einander zu trennen, dass nicht bei Kompromittierung eines 
Dienstes (z.B. Bug in Samba) andere Dienste, (in die ein Einbruch schwerer 
ist, aber zugleich schwerwiegendere Folgen hat z.B. Routing) verhindert wird.


Alles klar.

Du musst davon ausgehen, dass ein AP durch seine Wlan-Antenne und dem 
erreichbaren Softwarebackend einer erhöhten Gefahr ausgesetzt ist.
Letzendlich musst du abschätzen ob du das Risiko tragen willst: Hier: Z.B. 
Durch einen Exploit im WPA-Backend Zugriff auf die auf dem Fileserver 
gesicherten Daten nehmen.


Hm, wohl eher nicht. Denke, dass die Trennung in Server einerseits und 
Router/AP andererseits doch so bleibt, wie sie ist.
So weit hatte ich nicht gedacht: ich dachte, wenn jemand den AP "hackt", 
dann hat er quasi nur einen "Stecker" im LAN, aber noch lange nicht 
Zugriff darauf. An einen "richtigen" Exploit hatte ich so nicht gedacht.

Also sorry für meine naive Frage und danke f.d. etwas erhellende Antwort!

Viele Grüße,



Tom

--
Es genügt nicht nur, keinen Gedanken zu haben, man muss ihn
auch nicht ausdrücken können.
-- Kurt Tucholsky


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [Sicherheit] WLAN-AP auf Server?!

[Jan Luehr]

ja hallo erstmal,..

Am Montag, 10. Juli 2006 09:12 schrieb Thorsten Steinbrenner:
> Hallo!
>
> Bitte nicht hauen wegen der blöden Frage, aber macht es
> sicherheitstechnisch einen Unterschied ob ich einen WLAN-AP im LAN habe
> (konkret im DSL-Router) oder diesen gleich im Server integriere?!
> Natürlich jeweils WPA-verschlüsselt usw.
> Hintergrund ist der, dass ich in meiner Soekris eigentlich eine
> WLAN-Karte eingebaut habe, diese aber z.Z. brach liegt, weil der
> DSL-Router auch AP spielt. Jetzt würde ich die Soekris-Box nicht nur
> Server sondern auch gerne AP spielen lassen.

Das ist vor allem sicherheitstechnisch relevant. Es empfiehlt sich,
Dienste soweit von einander zu trennen, dass nicht bei Kompromittierung eines 
Dienstes (z.B. Bug in Samba) andere Dienste, (in die ein Einbruch schwerer 
ist, aber zugleich schwerwiegendere Folgen hat z.B. Routing) verhindert wird.

Du musst davon ausgehen, dass ein AP durch seine Wlan-Antenne und dem 
erreichbaren Softwarebackend einer erhöhten Gefahr ausgesetzt ist.
Letzendlich musst du abschätzen ob du das Risiko tragen willst: Hier: Z.B. 
Durch einen Exploit im WPA-Backend Zugriff auf die auf dem Fileserver 
gesicherten Daten nehmen.

Keep smiling
yanosz

Re: Sicherheit vorm bösen Internet

[Matthias Houdek]

Hallo Christian Frommeyer, hallo auch an alle anderen

Freitag, 7. April 2006 15:21 - Christian Frommeyer wrote:
> Am Freitag 07 April 2006 14:17 schrieb Felix M. Palmen:
> > Immer wieder der gleiche Mist, das langweilt wirklich. Wenn du
> > meinst, dass dir eine gelbe Schachtel hilft, lebst du in einer
> > Traumwelt. Material das zu belegen gibt es mehr als genug, Links
> > wurden genannt.
>
> Ich weiß jetzt ja nicht was für gelbe Schachteln Du meinst und was
> das für einen Zusammenhang mit PFWs haben soll aber bitte...

Es gibt einer relativ bekannten Hersteller, der seine PFWs in solchen 
gelben Schachteln verkauft.

> Und ja die Links habe ich zur Kenntnis genommen und ja mir ist
> bekannt das das gegen Angriffe nicht hilft und ja mir ist bekannt,
> das es Sicherheitsprobleme gibt/geben kann. Die Einzige
> Schwachstelle, die in Bezug auf erwünschte SW die Daten unerwünschter
> Weise nach draußen bringen will war, das die via
> Windows-Fenstersystem "von selber das Erlaubenknöpfchen drücken"
> können. Das kann man aber (zumindest bei manchen PFWs) abstellen.

Dann hast du wahrscheinlich nur die Links zur Kenntnis genommen und 
nicht die Texte dahinter. 
Ob du in der PFW-Software das Kreuzchen bei "Automatisch bestätigen" 
oder so setzt oder nicht ist unerheblich. Wenn du als User dieses 
Kreuzchen setzen/nehmen kannst, dann kann es auch jede Software. Bzw. 
sie kann automatisch bestätigen, was eigentlich du manuell machen 
willst.

> > Dich zwingt auch niemand, Software einzusetzen, der du nicht
> > vertrauen willst.
>
> Jetzt nicht. Aber ich kann mich aus Zeiten als ich Windoof noch öfter
> nutzen musste durchaus an Situationen erinnern, wo es keine
> Alternativen gab.

Es gibt (fast) immer Alternativen. Ich habe z.B. durchgesetzt, dass ich 
meine Steuererklärungen nach wie vor auf Papier abgebe.

Oder du nutzt diese Software eben auf einer (virtuellen) Maschine, die 
gar nicht erst mit dem Rest der Welt verbunden ist (und es auch nie 
sein wird).

> > Wenn DU sie aber aus mehr oder weniger dringenden Gründen einsetzen
> > WILLST
>
> Die Frage ob etwas sein muss oder man "nur" einen dringenden Grund
> dafür hat ist oft wohl nur von theoretischem aber nicht praktischem
> Interesse.
>
> > wird die eine virtual machine sicher mehr helfen als ein
> > IP-Vergewaltiger.
>
> Da wüsste ich dann doch gerne wie das gehen soll. Mal ganz abgesehen
> davon, das ich dann doch gern genauso hohe Anforderungen an die VM
> und das System darin stellen würde...

Die VM kriegt einfach keine Netzwerkschnittstellen. Dann schmort sie nur 
im eigenen Saft.

> PS: ich will PFWs weder gut noch schlecht reden. Ich habe eine
> Zeitlang eine PFW genutzt und in der Zeit auch tatsächlich
> unerwünschte Kommunikation mit eben selber verhindert. 

... die PFW hat dir reißerisch aufgezeigt, was sie wahrscheinlich wieder 
tolles geblockt hat: fremde pings, ein paar Portscans, ein paar 
Windows-Messages, ... - sowas ist alltäglich und bedarf keiner 
Firewall, weil es keine Bedrohungen für ein halbwegs sauber 
aufgesetztes System darstellen.

> Wenn Du eine 
> _praktikable_ bessere Alternative weißt immer her damit wenn nicht
> ... krieg Dich wieder ein.

Da sind doch schon etliche genannt.

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: Sicherheit vorm böse n Internet

[Andreas Kretschmer]

am  08.04.2006, um 17:33:55 +0200 mailte Michelle Konzack folgendes:
> Das ist der Grunz, warum eine Personal-Fire-Wall Ausschließlich
> unter Windowsen funktionieren kann.

Ich weiß nicht, was Du da zu Dir genommen hast, aber es war definitiv
nicht gut.


Andreas
-- 
Andreas Kretschmer(Kontakt: siehe Header)
Heynitz:  035242/47215,  D1: 0160/7141639
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===Schollglas Unternehmensgruppe=== 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Michelle,

* Michelle Konzack <[EMAIL PROTECTED]> [20060408 17:33]:
> Am 2006-04-07 15:37:32, schrieb Felix M. Palmen:
> 
> > Bitte keine War-Storys. Dass Filter auf ausgehenden Datenverkehr
> > prinzipbedingt nur mehr oder weniger zufällig funktionieren können ist
> > eindeutig (und wenn es sein muss auch formal) belegbar. Was du meinst,
> > früher einmal getan zu haben, ist da kein brauchbares Gegenargument.
> 
> Stimmt nicht,
[...]

Der Blödsinn ist eigentlich keiner Antwort würdig, daher einmal für's
Protokoll: Wer sich mal über verschiedene Möglichkeiten, jeden Filter
zu umgehen, informieren will, findet genug auf hier bereits geposteten
Adressen bzw auch einfach mit Google.

Und jetzt verzieh dich wieder...

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bösen Internet

[dirk.finkeldey]

Michelle Konzack schrieb:

  Am 2006-04-07 13:28:58, schrieb dirk.finkeldey:

  
  
Netbios ist auf allen verfügbaren Interfaces deaktiviert , wer das 

  
  
???  Du meinst wohl AKTIVIERT!

Nein ich meine was ich schreibe , ich habe für alle
Netzwerkverbindungen NetBios deaktiviert - LMHOSTS-Abfrage habe ich
auch deaktiviert.

  
aktiviert hat lädt ja quasi die Welt ein sich auf seinen Rechner aus zu 
toben.

  
  
Was sie auch tun...

Teilweise hatte ich über 50 Nachbarn in der Liste...

Anm.:   Das geht nur, wenn Deine Workststion oder Dein Laptop
direkt per PPP(OE) am Internet hängt.  Sobald NAT im Spiel ist.
ist schluß (anderes Netzzwerg Segment).

Greetings
Michelle Konzack

Mit freundlichen Grüßen Dirk Finkeldey

Re: Sicherheit vorm böse n Internet

[Michelle Konzack]

Am 2006-04-07 13:28:58, schrieb dirk.finkeldey:

> Netbios ist auf allen verfügbaren Interfaces deaktiviert , wer das 

???  Du meinst wohl AKTIVIERT!

Aufgrund der "dummen" Windows $USER hat der französische ISP
Wanadoo auf allen Dial-In-Pools und DSLAMS das forwarding des
NetBIOS Protocoll unterbunden.  Seitdem klopft kein Windows-
Rechner mehr an meinem Linux-Router an...

Will damit sagen ein 'apt-get install smbbrowse' hat dich in
die Lage versetzt Windows-Shares anderer Wanadoo kunden per
Internet (im gleichen Netzwerk Segment) anzuzapfen.

> aktiviert hat lädt ja quasi die Welt ein sich auf seinen Rechner aus zu 
> toben.

Was sie auch tun...

Teilweise hatte ich über 50 Nachbarn in der Liste...

Anm.:   Das geht nur, wenn Deine Workststion oder Dein Laptop
direkt per PPP(OE) am Internet hängt.  Sobald NAT im Spiel ist.
ist schluß (anderes Netzzwerg Segment).

Greetings
Michelle Konzack


-- 
Linux-User #280138 with the Linux Counter, http://counter.li.org/
# Debian GNU/Linux Consultant #
Michelle Konzack   Apt. 917  ICQ #328449886
   50, rue de Soultz MSM LinuxMichi
0033/3/8845235667100 Strasbourg/France   IRC #Debian (irc.icq.com)


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Michelle Konzack]

Am 2006-04-07 15:37:32, schrieb Felix M. Palmen:

> Bitte keine War-Storys. Dass Filter auf ausgehenden Datenverkehr
> prinzipbedingt nur mehr oder weniger zufällig funktionieren können ist
> eindeutig (und wenn es sein muss auch formal) belegbar. Was du meinst,
> früher einmal getan zu haben, ist da kein brauchbares Gegenargument.

Stimmt nicht, denn ich habe einst unter Windows programmiert
und Du kannst jeder beliebigen Application den Internetzugang
oder Ports sperren.

Dafür ist eine API zwischen der Application und dem Winsock.

Unter den Unicen ist dies NICHT möglich.

Das ist der Grunz, warum eine Personal-Fire-Wall Ausschließlich
unter Windowsen funktionieren kann.

> Grüße, Felix

Greetings
Michelle Konzack


-- 
Linux-User #280138 with the Linux Counter, http://counter.li.org/
# Debian GNU/Linux Consultant #
Michelle Konzack   Apt. 917  ICQ #328449886
   50, rue de Soultz MSM LinuxMichi
0033/3/8845235667100 Strasbourg/France   IRC #Debian (irc.icq.com)


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Michelle Konzack]

Am 2006-04-05 22:34:12, schrieb Joerg Zimmermann:
> Hi Niels,

> sorry, ich wollte hier kein neues Fass aufmachen. Aber da Du fragst;
> Was darfs denn sein, root-exploit, kernel, kde, Web ...

Das lustige ist nur, das z.B, auf meine Wokstation und mein
Laptop nicht mehr als 2% der Bugs zum tragen kommen...

Und für die meisten Bugs dieser 2% sind Lösungen vorhanden.

Greetings
Michelle Konzack


-- 
Linux-User #280138 with the Linux Counter, http://counter.li.org/
# Debian GNU/Linux Consultant #
Michelle Konzack   Apt. 917  ICQ #328449886
   50, rue de Soultz MSM LinuxMichi
0033/3/8845235667100 Strasbourg/France   IRC #Debian (irc.icq.com)


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Michelle Konzack]

Am 2006-04-04 08:36:45, schrieb Dirk Salva:

> Einfluß nur in Verzicht besteht. Klar, jetzt könnten von heute auf
> morgen alle Anwender sich dazu entschließen, einen acroread, der nach
> Hause telefoniert, nicht mehr zu verwenden. Aber da glaubst Du doch
> wohl selbst nicht dran, oder? Und Verzicht einzelner ist wirkungslos.

Du kannste ihn auch in ein chroot mit SSH einschließen und
die IP sperren.  --  Dann ist nichts mehr mit teflonieren!

Greetings
Michelle Konzack

-- 
Linux-User #280138 with the Linux Counter, http://counter.li.org/
# Debian GNU/Linux Consultant #
Michelle Konzack   Apt. 917  ICQ #328449886
   50, rue de Soultz MSM LinuxMichi
0033/3/8845235667100 Strasbourg/France   IRC #Debian (irc.icq.com)


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[Gebhard Dettmar]

On Friday 07 April 2006 14:40, niels jende wrote:
> [...]
>
> http://www.computec.ch/download.php?view.481

Mann, der muss sich ja wirklich für den lieben Gott persönlich halten.
Don't believe the hype!

-- 
Celebrate Hannibal Day this year.  Take an elephant to lunch.

Re: Sicherheit vorm böse n Internet

[Michelle Konzack]

Am 2006-04-04 08:36:45, schrieb Dirk Salva:

> Einfluß nur in Verzicht besteht. Klar, jetzt könnten von heute auf
> morgen alle Anwender sich dazu entschließen, einen acroread, der nach
> Hause telefoniert, nicht mehr zu verwenden. Aber da glaubst Du doch
> wohl selbst nicht dran, oder? Und Verzicht einzelner ist wirkungslos.

Du kannste ihn auch in ein chroot mit SSH einschließen und
die IP sperren.  --  Dann ist nichts mehr mit teflonieren!

Greetings
Michelle Konzack

-- 
Linux-User #280138 with the Linux Counter, http://counter.li.org/
# Debian GNU/Linux Consultant #
Michelle Konzack   Apt. 917  ICQ #328449886
   50, rue de Soultz MSM LinuxMichi
0033/3/8845235667100 Strasbourg/France   IRC #Debian (irc.icq.com)


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[C. Ace Dahlmann]

Hi!

Am Fri, 7 Apr 2006 19:06:16 +0200
schrieb Andreas Kretschmer <[EMAIL PROTECTED]>:

> Auf einem OS ohne Rechtetrennung kompletter Unfug.
> [...]
> Ab W2K ist ein halbwegs brauchbarer Packetfilter an Board, man bracht
> kein extra Schlangenöl. Aber das ist hier massiv Offtopic.

Ja, aber erklär das wie gesagt mal den Otto-Normal-Usern, wie sie das
"mal eben" mit den Boardmitteln kompetent konfigurieren.

> Noch einmal, kann man dieses Thema nun mal beerdigen? Wenn ich was zu
> PFW in Wixdos wissen/lernen will, brauch ich mir keine Debian-ML zu
> abbonieren. Punkt.

Die anderen durften aber viiel mehr dazu sagen. *jammer*

Aber hast ja Recht, ich lass jetzt wieder ab. ;-)

LG,
Ace
-- 
()  ASCII Ribbon Campaign - against HTML mail 
/\- against Microsoft attachments
http://www.efn.no/html-bad.html
http://www.goldmark.org/netrants/no-word/attach.html


signature.asc
Description: PGP signature

Re: Sicherheit vorm böse n Internet

[Andreas Kretschmer]

am  07.04.2006, um 18:10:54 +0200 mailte C. Ace Dahlmann folgendes:
> Das bringt mich nämlich zu einem weiteren Gesichtspunkt: Ich habe
> jahrelang (besonders in der Windows 9x/ME-Zeit) auf Freunde und
> Bekannte eingeredet, dass sie eine PFW benötigen (besonders halt die

Auf einem OS ohne Rechtetrennung kompletter Unfug.


> Aber erklär jetzt mal all den Leuten, dass sie jetzt besser doch keine
> PFW mehr bei ihrem aktuellen XP nutzen sollen.

Ab W2K ist ein halbwegs brauchbarer Packetfilter an Board, man bracht
kein extra Schlangenöl. Aber das ist hier massiv Offtopic.


> Ich selbst hab bald keine Energie mehr für Freunde und Bekannte mit
> Windows-Rechnern und bin momentan eher auf der Strategie, dass sich der

Ich schon seit ca. 10 Jahren nicht.

Noch einmal, kann man dieses Thema nun mal beerdigen? Wenn ich was zu PFW
in Wixdos wissen/lernen will, brauch ich mir keine Debian-ML zu
abbonieren. Punkt.


Andreas
-- 
Andreas Kretschmer(Kontakt: siehe Header)
Heynitz:  035242/47215,  D1: 0160/7141639
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===Schollglas Unternehmensgruppe=== 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[C. Ace Dahlmann]

Hallo,

Am Fri, 7 Apr 2006 13:05:34 +0200
schrieb Gerhard Wolfstieg <[EMAIL PROTECTED]>:

Da wir hier eh schon völlig OT sind, es aber gerade interessant wird,
kommt es sicher nicht mehr drauf an, wenn ich auch noch meinen Senf
dazu abgebe:

> Für einen FW sprechen unter den einzig dafür in Frage kommenden
> Windows-Rechnern (neuerdings auch andere wg. Adobe) einen Schutz vor
> dem "nach Hause telefonieren", wie löchrig der auch immer sein mag,
> ganz wirkungslos ist er nicht. Außerdem scheint es für BSs bis
> Win98/ME überhaupt keine andere Möglichkeit zum Schließen von Ports
> zu geben.

Das bringt mich nämlich zu einem weiteren Gesichtspunkt: Ich habe
jahrelang (besonders in der Windows 9x/ME-Zeit) auf Freunde und
Bekannte eingeredet, dass sie eine PFW benötigen (besonders halt die
mit Dialups, also ohne Router-Firewall) und habe zum Teil auch selber
von außen mit Script-Kiddie-Tools demonstriert, was ohne PFW passieren
kann.

Ich sehe die Argumente gegen PFWs ein und habe mich auch durch [1]
überzeugen lassen...
Aber erklär jetzt mal all den Leuten, dass sie jetzt besser doch keine
PFW mehr bei ihrem aktuellen XP nutzen sollen.

Ich hab schon Probleme genug, die Leute davon zu überzeugen, dass sie
Windows auf dem neusten Stand halten sollen (also die automatischen
Updates - INKL. SP2 - nutzen sollen). Dazu kommt dann noch, dass man
dabei manchmal gegen die SP2-is-evil-Fraktion ankämpfen muss, nur weil
sie Angst haben, ihre "extern ausgelagerte Sicherheitskopie" von Windows
auf die Microsoft-Update-Seite zu lassen. - Mal ganz abgesehen davon,
dass mein Argument, dass sie die Software auch gefälligst kaufen sollen,
wenn sie sie benutzen, eh nicht zieht.

Wie dem auch sei... am Ende ist es doch wieder alles eine Sache der
Aufklärung und nachdem heutzutage "jeder" einen Rechner hat, auf dem
dann meist Windows läuft, soll das doch bitte Microsoft oder die Medien
tun... Wenn sie schon von Sasser im TV berichten können, dann doch
bitte auch von sicherem und vernünftigem Umgang mit dem Computer.

Ich selbst hab bald keine Energie mehr für Freunde und Bekannte mit
Windows-Rechnern und bin momentan eher auf der Strategie, dass sich der
geneigte Windows-User doch bitte selber im Netz informieren soll (wofür
gibt's Google und Co), anstatt wild marodierend überall drauf zu
klicken. Ich bin ja meist noch so freundlich und versorge die Leute ab
und an mit entsprechenden Links...

However... Was sollen "wir" tun!?

[1] http://www.ulm.ccc.de/PersonalFirewalls

Übrigens hab ich mir mal wieder eine VMWare installiert und da dann
auch mal die Kerio PFW getestet. Ich hab gestaunt, _wie_ schlimm das
tatsächlich mit den vielen Fragen ist, die der CCC im o.a. Link
beschreibt. Ich kannte jahrelang kaum was anderes als die freie
ZoneAlarm und da hält es sich ja in Grenzen.
Bei der Kerio sind die Fragen, was eine Verbindung haben darf und was
davon wiederum ein anderes Programm starten darf, etc., etc. so
dermaßen viele, dass ein vernünftiges Arbeiten mit dem System bei
aktivierter Kerio kaum mehr möglich ist.
Ich habe dies sunbelt Software dann übrigens per Mail mitgeteilt und
ihnen auch mal o.a. Link geschickt. ;) Mal sehen, ob eine Antwort
kommen wird.

LG,
Ace
-- 
()  ASCII Ribbon Campaign - against HTML mail 
/\- against Microsoft attachments
http://www.efn.no/html-bad.html
http://www.goldmark.org/netrants/no-word/attach.html


signature.asc
Description: PGP signature

Re: Sicherheit vorm böse n Internet

[Andreas Kretschmer]

am  07.04.2006, um 16:26:52 +0200 mailte niels jende folgendes:
> Hast Du nur das Doc mit der PP Präsentation gelesen, oder bist Du,

Ich lese hier weder *.doc noch *.ppt. Dafür bitte ich Dich, nun einfach
wieder unter Deinen Stein zu kriechen. Danke.


Andreas
-- 
Andreas Kretschmer(Kontakt: siehe Header)
Heynitz:  035242/47215,  D1: 0160/7141639
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===Schollglas Unternehmensgruppe=== 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Andreas Kretschmer]

am  07.04.2006, um 16:05:06 +0200 mailte niels jende folgendes:
[ knapp 70 Zeilen sinnfreies Quoting entsorgt ]

Nils, könntest Du Dich jetzt bitte entfernen? Danke.


Andreas
-- 
Andreas Kretschmer(Kontakt: siehe Header)
Heynitz:  035242/47215,  D1: 0160/7141639
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===Schollglas Unternehmensgruppe=== 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[niels jende]

Felix M. Palmen schrieb:
> Hallo niels,
>
> * niels jende <[EMAIL PROTECTED]> [20060407 14:40]:
>   
>> http://www.computec.ch/download.php?view.481
>> http://www.computec.ch
>> 
>
> Was hat das denn mit dem Thema zu tun? Zu PFWs verliert der Verfasser
> ja kaum ein Wort, wirft dazu den Paketfilter von Windows mit in den
> Topf und versäumt es, vor den Gefahren zu warnen.
>   
Hast Du nur das Doc mit der PP Präsentation gelesen, oder bist Du,
deswegen der untere Link, mal insgesamt durch seine Doc's gewandert?
Ersteres scheint der Fall!

> Offenbar wurde viel Wert auf die Aufmachung gelegt und als Zielgruppe
> Leute gewählt, die keinerlei Vorwissen über Netzwerke haben.
>
>   
Das ist ja hübsch, dass Du weisst wer welches Vorwissen besitzt und wer
nicht! Aber einer muss es ja wissen!
>> Marc Ruef, dies sei noch erwähnt, ist wohl einer der begnadetsten Hacker
>> in Europa! Und ja, er weiss sehr genau was er macht und wovon er spricht!
>> 
>
> Das mag ja sein, aber da er zum konkreten Thema gar nichts zu sagen hat
> verstehe ich nicht, warum du den Link postest.
>
>   
Dann siehe doch mal hierhin:
http://www.computec.ch/download.php?view.632
oder
http://www.computec.ch/guide.php?7

Auf den Seiten von Marc wirst Du noch viel mehr sehen und finden und
vllt auch das eine oder andere, was selbst DU noch nicht kanntest/wusstest!

> Grüße, Felix
>
>   
Gruß
Niels

P.S.: Ich habe nicht gesagt das PFW`s oder FW`s per se schlecht sind!
Das wollt ich nur noch mal klarstellen!


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo niels,

* niels jende <[EMAIL PROTECTED]> [20060407 14:40]:
> http://www.computec.ch/download.php?view.481
> http://www.computec.ch

Was hat das denn mit dem Thema zu tun? Zu PFWs verliert der Verfasser
ja kaum ein Wort, wirft dazu den Paketfilter von Windows mit in den
Topf und versäumt es, vor den Gefahren zu warnen.

Offenbar wurde viel Wert auf die Aufmachung gelegt und als Zielgruppe
Leute gewählt, die keinerlei Vorwissen über Netzwerke haben.

> Marc Ruef, dies sei noch erwähnt, ist wohl einer der begnadetsten Hacker
> in Europa! Und ja, er weiss sehr genau was er macht und wovon er spricht!

Das mag ja sein, aber da er zum konkreten Thema gar nichts zu sagen hat
verstehe ich nicht, warum du den Link postest.

Grüße, Felix

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bösen Internet

[niels jende]

Christian Frommeyer schrieb:
> Am Freitag 07 April 2006 14:17 schrieb Felix M. Palmen:
>   
>> Immer wieder der gleiche Mist, das langweilt wirklich. Wenn du
>> meinst, dass dir eine gelbe Schachtel hilft, lebst du in einer
>> Traumwelt. Material das zu belegen gibt es mehr als genug, Links
>> wurden genannt.
>> 
>
> Ich weiß jetzt ja nicht was für gelbe Schachteln Du meinst und was das 
> für einen Zusammenhang mit PFWs haben soll aber bitte...
>   
Symantec verpackt alles in so hübschen gelben Schachteln!
> Und ja die Links habe ich zur Kenntnis genommen und ja mir ist bekannt 
> das das gegen Angriffe nicht hilft und ja mir ist bekannt, das es 
> Sicherheitsprobleme gibt/geben kann. Die Einzige Schwachstelle, die in 
> Bezug auf erwünschte SW die Daten unerwünschter Weise nach draußen 
> bringen will war, das die via Windows-Fenstersystem "von selber das 
> Erlaubenknöpfchen drücken" können. Das kann man aber (zumindest bei 
> manchen PFWs) abstellen.
>
>   
>> Dich zwingt auch niemand, Software einzusetzen, der du nicht
>> vertrauen willst.
>> 
>
> Jetzt nicht. Aber ich kann mich aus Zeiten als ich Windoof noch öfter 
> nutzen musste durchaus an Situationen erinnern, wo es keine 
> Alternativen gab.
>
>   
>> Wenn DU sie aber aus mehr oder weniger dringenden Gründen einsetzen
>> WILLST
>> 
>
> Die Frage ob etwas sein muss oder man "nur" einen dringenden Grund dafür 
> hat ist oft wohl nur von theoretischem aber nicht praktischem 
> Interesse.
>
>   
>> wird die eine virtual machine sicher mehr helfen als ein
>> IP-Vergewaltiger. 
>> 
>
> Da wüsste ich dann doch gerne wie das gehen soll. Mal ganz abgesehen 
> davon, das ich dann doch gern genauso hohe Anforderungen an die VM und 
> das System darin stellen würde...
>
> Gruß Chris
>
> PS: ich will PFWs weder gut noch schlecht reden. Ich habe eine Zeitlang 
> eine PFW genutzt und in der Zeit auch tatsächlich unerwünschte 
> Kommunikation mit eben selber verhindert. Wenn Du eine _praktikable_ 
> bessere Alternative weißt immer her damit wenn nicht ... krieg Dich 
> wieder ein.
>
>   
Niels


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Andreas Kretschmer]

am  07.04.2006, um 15:28:12 +0200 mailte niels jende folgendes:
> 
> > Na schau einer an. Und was schließen wir daraus? Richtig, Symantec ist
> > suuuper.
> >   
> >   
> Wenn die Jungens bei Symantec auch nur halb soviel Energie und
> Enthusiasmus in die Entwicklung Ihrer Windoof Produkte stecken würden
> wie in Ihre Werbung, wären die Produkte vllt gut, aber sper
> wohl immer noch nicht!
> Und zum anderen, wenn ich meine Windoof Kiste testen möchte, dann mache

Könnte man diesen Thread, in dem es offensichtlich nicht mehr um das
Listen-Topic geht, nun einfach mal zu Grabe tragen?


Andreas
-- 
Andreas Kretschmer(Kontakt: siehe Header)
Heynitz:  035242/47215,  D1: 0160/7141639
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===Schollglas Unternehmensgruppe=== 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Christian,

* Christian Frommeyer <[EMAIL PROTECTED]> [20060407 15:21]:
> Und ja die Links habe ich zur Kenntnis genommen und ja mir ist bekannt 
> das das gegen Angriffe nicht hilft und ja mir ist bekannt, das es 
> Sicherheitsprobleme gibt/geben kann. Die Einzige Schwachstelle, die in 
> Bezug auf erwünschte SW die Daten unerwünschter Weise nach draußen 
> bringen will war, das die via Windows-Fenstersystem "von selber das 
> Erlaubenknöpfchen drücken" können. Das kann man aber (zumindest bei 
> manchen PFWs) abstellen.

Da hast du nicht umfassend gelesen. Es gibt schier unendlich viele
Möglichkeiten, Daten durch andere Protokolle zu tunneln, da hilft dir
kein noch so komplexes Filtersystem auch nur halbwegs zuverlässig
dagegen.

> > Wenn DU sie aber aus mehr oder weniger dringenden Gründen einsetzen
> > WILLST
> 
> Die Frage ob etwas sein muss oder man "nur" einen dringenden Grund dafür 
> hat ist oft wohl nur von theoretischem aber nicht praktischem 
> Interesse.

Ach, es ist doch immer so nett, mit vorgeschobenen "Zwängen" zu
argumentieren. Kennen wir doch alle...

> > wird die eine virtual machine sicher mehr helfen als ein
> > IP-Vergewaltiger. 
> 
> Da wüsste ich dann doch gerne wie das gehen soll.

Prinzip der Sandbox. Nicht vertrauenswürdige Software läuft in einer
Umgebung, in der sie garantiert keinen Zugriff auf irgendwie
vertrauliche Daten hat.

> PS: ich will PFWs weder gut noch schlecht reden. Ich habe eine Zeitlang 
> eine PFW genutzt und in der Zeit auch tatsächlich unerwünschte 
> Kommunikation mit eben selber verhindert. Wenn Du eine _praktikable_ 
> bessere Alternative weißt immer her damit wenn nicht ... krieg Dich 
> wieder ein.

Bitte keine War-Storys. Dass Filter auf ausgehenden Datenverkehr
prinzipbedingt nur mehr oder weniger zufällig funktionieren können ist
eindeutig (und wenn es sein muss auch formal) belegbar. Was du meinst,
früher einmal getan zu haben, ist da kein brauchbares Gegenargument.

Grüße, Felix

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bösen Internet

[niels jende]

> Na schau einer an. Und was schließen wir daraus? Richtig, Symantec ist
> suuuper.
>   
>   
Wenn die Jungens bei Symantec auch nur halb soviel Energie und
Enthusiasmus in die Entwicklung Ihrer Windoof Produkte stecken würden
wie in Ihre Werbung, wären die Produkte vllt gut, aber sper
wohl immer noch nicht!
Und zum anderen, wenn ich meine Windoof Kiste testen möchte, dann mache
ich das doch wohl eher mit einem qualifizierten Tool, u.a. auf der Seite
der c't zu finden!
Wenn ich ein Netz bestehend aus Windoof Kisten habe, denn setze man doch
bitte Nessus, GFI LanScanner oder auch den Saint6 ein! Oder???
Und wenn ich wissen will, wie sicher meine Firewall wirklich ist, mein
Gott dann penetriere ich die doch mal! Auch hierzu gibt es hervorragende
Tools! Z.Bsp. TFN2K, Stacheldraht, etc.pp!

EOD
Niels


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[Christian Frommeyer]

Am Freitag 07 April 2006 14:17 schrieb Felix M. Palmen:
> Immer wieder der gleiche Mist, das langweilt wirklich. Wenn du
> meinst, dass dir eine gelbe Schachtel hilft, lebst du in einer
> Traumwelt. Material das zu belegen gibt es mehr als genug, Links
> wurden genannt.

Ich weiß jetzt ja nicht was für gelbe Schachteln Du meinst und was das 
für einen Zusammenhang mit PFWs haben soll aber bitte...
Und ja die Links habe ich zur Kenntnis genommen und ja mir ist bekannt 
das das gegen Angriffe nicht hilft und ja mir ist bekannt, das es 
Sicherheitsprobleme gibt/geben kann. Die Einzige Schwachstelle, die in 
Bezug auf erwünschte SW die Daten unerwünschter Weise nach draußen 
bringen will war, das die via Windows-Fenstersystem "von selber das 
Erlaubenknöpfchen drücken" können. Das kann man aber (zumindest bei 
manchen PFWs) abstellen.

> Dich zwingt auch niemand, Software einzusetzen, der du nicht
> vertrauen willst.

Jetzt nicht. Aber ich kann mich aus Zeiten als ich Windoof noch öfter 
nutzen musste durchaus an Situationen erinnern, wo es keine 
Alternativen gab.

> Wenn DU sie aber aus mehr oder weniger dringenden Gründen einsetzen
> WILLST

Die Frage ob etwas sein muss oder man "nur" einen dringenden Grund dafür 
hat ist oft wohl nur von theoretischem aber nicht praktischem 
Interesse.

> wird die eine virtual machine sicher mehr helfen als ein
> IP-Vergewaltiger. 

Da wüsste ich dann doch gerne wie das gehen soll. Mal ganz abgesehen 
davon, das ich dann doch gern genauso hohe Anforderungen an die VM und 
das System darin stellen würde...

Gruß Chris

PS: ich will PFWs weder gut noch schlecht reden. Ich habe eine Zeitlang 
eine PFW genutzt und in der Zeit auch tatsächlich unerwünschte 
Kommunikation mit eben selber verhindert. Wenn Du eine _praktikable_ 
bessere Alternative weißt immer her damit wenn nicht ... krieg Dich 
wieder ein.

-- 
A: because it distrupts the normal process of thought
Q: why is top posting frowned upon

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Dirk,

* Dirk Finkeldey <[EMAIL PROTECTED]> [20060407 14:20]:
> Felix M. Palmen schrieb:
> 
> Hallo dirk.finkeldey,
> 
> * dirk.finkeldey <[EMAIL PROTECTED]> [20060407 11:48]:
> 
> 
> Das ist die IP meines ISP , die mir zugewiesene IP ist anders :-P

-- snip --

Versuch's doch mal mit Stricken oder Häkeln...

*kopfschüttelnd* und EOD, Felix

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bösen Internet

[niels jende]

Hallöchen!

Also, da das Them hier ja mittlerweile sehr lebhaft diskutiert wird,
explizit die Thamtik Sinn und Unsinn von Firewalls - die von W$ ist echt
dreck - hier mal ein Link um sich schlau zu machen! Ich weiss, es sind
massig Folien, aber vllt öffnet es ja dem einen oder anderen der hier
mit halbwissen und halbwahrheiten glänzt(e) die Augen!

http://www.computec.ch/download.php?view.481
http://www.computec.ch

Marc Ruef, dies sei noch erwähnt, ist wohl einer der begnadetsten Hacker
in Europa! Und ja, er weiss sehr genau was er macht und wovon er spricht!

Gruß
Niels
>   


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[Dirk Finkeldey]

Felix M. Palmen schrieb:

  Hallo dirk.finkeldey,

* dirk.finkeldey <[EMAIL PROTECTED]> [20060407 11:48]:

Das ist die IP meines ISP , die mir zugewiesene IP ist anders  :-P 

Derzeit habe ich keine PF im einsatz , verwende lediglich den
Paketfilter den AVM mit der Software für den DSL  Controller mitliefert.

Ob da auch eine IP-Maskiring tätig ist weiß ich jetzt nicht - müßte ich
nochmal nachlesen.

Ebenso benutze ich die Verbindungsüberwachung die ebenfalls von AVM für
den Controller mitgeliefert wird.

  Na schau einer an. Und was schließen wir daraus? Richtig, Symantec ist
suuuper.

Nee , eher die asoziation das die PF Funktionstüchtig ist .

  
Bei NT4 und ab Win 2000 hast du dahingehend recht das es da Bordmittel 
gibt geziehlt Port freizugeben
oder auch nicht.

  
  
Auch das ist Quatsch. Es gibt Bordmittel, IP-Verkehr zu filtern.

Packetfilter  dienen doch dazu IP-Verkehr nur auf bestimmten Ports zu
ermöglichen bsw. versuche zu unterbinden IP-Verkehr auf anderen Ports
zu ermöglichen.

Bei einer PF handelt es sich doch prinzipiel um die verknüpfung 
folgender komponenten :

IP-Filter

IP-Maskiring  - soll den Status der Ports verschleihern

Verbindungsüberwachung - gezieltes zulassen von Verbindungen aus dem
Internet und ins Internet

Wenn ich hier falsch liege bitte korigieren.

  www.deppenapostroph.de

Werde ich mir mal ansehen .

  Ein vernünftiger Paketfilter tut genau das nicht. Dass so etwas für
Windows 98 existiert glaube ich zwar kaum, andererseits dürfte das
inzwischen auch keinen mehr interessieren.

Ein Paketfilter ist also unbrauchbar nur weil er den Benutzer eine
Hilfestellung liefert welche Ports zu welchen Diensten gehören - hm

Mit freundlichen Grüßen Dirk Finkeldey

Re: Sicherheit vorm bösen Internet

[Daniel Leidert]

Am Freitag, den 07.04.2006, 13:28 +0200 schrieb dirk.finkeldey:
> Daniel Leidert schrieb:
> 
> > Gott, wenn ich diesen Stuss lese, wundere ich mich nicht mehr über 
> > diehohen Infektionsraten von Windows-Systemen. Menschen wie du, 
> > denenFachwissen völlig abgeht, sind einer der Gründe für die hohen 
> > Spam- undWurmmail-Aufkommen.
> 
> Das mit den fachwissen kannst du nicht grundsätzlich voraussetzen , die 
> folgen daraus auch nicht.

Ach nein? Ist dir bewusst, dass ein PC ein Tatwerkzeug sein kann, um
Straftaten zu begehen? Also warum kann ich das nicht voraussetzen? Weil
einige Menschen zu faul sind, um sich mit der Materie zu beschäftigen?
Weil Spiele, Filme oder MP3s wichtiger sind als die Systemsicherheit?
Weil ein Fachmann Geld kostet? Weil die Werbung dem Nutzer irgendwelchen
Unsinn weiszumachen versucht? Und warum kann ich nicht voraussetzen,
dass du deine Aussagen zuerst einmal einer gründlichen Prüfung
unterziehst, bevor du sie tätigst? Weil die Wahrheit dir nicht gefällt?

[..]
> > Daniel, der diese OT-Diskussion jetzt kopfschüttelnd endgültig verlässt

Jetzt endgültig EOD. Zu dem restlichen Unsinn, will ich mich gar nicht
mehr äußern.

Daniel

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Christian,

* Christian Frommeyer <[EMAIL PROTECTED]> [20060407 13:54]:
> Am Freitag 07 April 2006 13:48 schrieb Felix M. Palmen:
> > Wer closed source Software einsetzt muss nunmal dem Hersteller
> > vertrauen. Daran führt auch mit dümmlichen Filterversuchen kein Weg
> > vorbei.
> 
> Das ist ja super. Klar wenn man die Wahl hat... Und wie stellst Du Dir 
> das vor, wenn man gezwungen ist ein bestimmtes Produkt zu nutzen, das 
> halt nunmal Daten aus dem Rechner schleusen will. Dann soll man das 
> Kabel ziehen oder wie?

*gähn*

Immer wieder der gleiche Mist, das langweilt wirklich. Wenn du meinst,
dass dir eine gelbe Schachtel hilft, lebst du in einer Traumwelt.
Material das zu belegen gibt es mehr als genug, Links wurden genannt.

Dich zwingt auch niemand, Software einzusetzen, der du nicht vertrauen
willst. Wenn DU sie aber aus mehr oder weniger dringenden Gründen
einsetzen WILLST, wird die eine virtual machine sicher mehr helfen als
ein IP-Vergewaltiger.

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bösen Internet

[Christian Frommeyer]

Am Freitag 07 April 2006 13:48 schrieb Felix M. Palmen:
> > Für einen FW sprechen unter den einzig dafür in Frage kommenden
> > Windows-Rechnern (neuerdings auch andere wg. Adobe) einen Schutz
> > vor dem "nach Hause telefonieren", wie löchrig der auch immer sein
> > mag,
>
> WIE LANGE MUSS MAN DIESES ET-BILD EIGENTLICH NOCH ÜBER SICH ERGEHEN
> LASSEN?
>
> Wer closed source Software einsetzt muss nunmal dem Hersteller
> vertrauen. Daran führt auch mit dümmlichen Filterversuchen kein Weg
> vorbei.

Das ist ja super. Klar wenn man die Wahl hat... Und wie stellst Du Dir 
das vor, wenn man gezwungen ist ein bestimmtes Produkt zu nutzen, das 
halt nunmal Daten aus dem Rechner schleusen will. Dann soll man das 
Kabel ziehen oder wie?

Gruß Chris

-- 
A: because it distrupts the normal process of thought
Q: why is top posting frowned upon

Re: Sicherheit vorm bösen Internet

[Frank Terbeck]

dirk.finkeldey <[EMAIL PROTECTED]>:
> Daniel Leidert schrieb:
> 
> >Daniel, der diese OT-Diskussion jetzt kopfschüttelnd endgültig verlässt
> 
> Menschen wie DU tragen dazu bei das wichtiges wissen um  vorhandene 
> /mögliche  Sicherheitsrisiken  und deren beseitigung nicht allen Usern 
> zugänglich ist.
> 
> Mit schlechten englischkenntnißen ist es nicht so einfach die 
> endsprechenden Website?s bzw. foren zu lesen und sich so zu Bilden.

Der Link  steht schon irgendwo
hier im Thread. Und unter den Links sind auch einige in deutscher
Sprache. Einer dieser Links verweist zum Beispiel auf die Seite zu
einem Seminar des CCC Ulm, das sich ausführlich mit dem Thema PFW
auseinandersetzt. Dort kann man sich sogar ein Video des Vortrags
herunter laden. Man muss also im Prinzip nicht einmal Lesen können,
wenn man jemanden kennt, der lesen kann und das Video startet.

Du solltest also den Thread komplett lesen.

Wer nach der Lektüre der Seiten aus der oben genannten Linksammlung
immer noch der Meinung ist, er/sie wolle eine PFW haben, der soll sie
in Gottes Namen installieren. Dann werden wenigstens die Arbeitnehmer
der Hersteller dieser Produkte nicht arbeitslos.

Gruss, Frank


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Gerhard,

* Gerhard Wolfstieg <[EMAIL PROTECTED]> [20060407 13:05]:
> kann man die Auseinandersetzung versachlichen?

Sachlich gibt es nichts mehr zu sagen, was nicht schon da ist.

> Worum geht es den Nutzern
> von FWs, worum den Gegnern von FWs? Warum setzt das Thema soviel
> Adrenalin um?

Es ging um /P/FWs.

> Wenn ich Nepp-Produkte ausschließe, finde ich als Argument für eine
> Ablehnung, daß FWs in eine trügerische Sicherheit wiegen, wenn nicht
> ungenutzte Tore geschlossen und die anderen bewacht werden und wenn dies
> getan wird, ein Firewall in den meisten Rechnern nichts mehr bewirkt.

Wenn du "Nepp-Produkte" ausschließt bleiben Firewalls und Paketfilter
übrig, aber sicher keine PFWs.

> Für einen FW sprechen unter den einzig dafür in Frage kommenden
> Windows-Rechnern (neuerdings auch andere wg. Adobe) einen Schutz vor dem
> "nach Hause telefonieren", wie löchrig der auch immer sein mag,

WIE LANGE MUSS MAN DIESES ET-BILD EIGENTLICH NOCH ÜBER SICH ERGEHEN
LASSEN?

Wer closed source Software einsetzt muss nunmal dem Hersteller
vertrauen. Daran führt auch mit dümmlichen Filterversuchen kein Weg
vorbei.

> ganz wirkungslos ist er nicht.

Nicht ganz aber fast? Na, das ist überzeugend :p

> Außerdem scheint es für BSs bis Win98/ME
> überhaupt keine andere Möglichkeit zum Schließen von Ports zu geben.

Ports sind immer geschlossen, solange sie nicht ein Programm explizit
durch listening "öffnet".

Grüße, Felix

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo dirk.finkeldey,

* dirk.finkeldey <[EMAIL PROTECTED]> [20060407 11:48]:
> Felix M. Palmen schrieb:
> 
> >Der Kern der Sache ist aber, dass eine PFW nicht die geringsten
> >sicherheitsrelevanten Funktionen bringt, die Windows nicht sowieso schon
> >hat (mit anderen Worten: völlig überflüssig ist), und man dabei
> >gleichzeitig riskiert, die Sicherheit seines Rechners aktiv zu
> >gefährden.
> >
> Das verstehe ich nicht .

Merkt man.

> Wie soll die Sicherheit eines Rechners durch eine PW gefährdet werden , 

Wurde schon ausreichend erklärt, du musst einfach lesen.

> wenn ohne PW nicht mal der Hauch einer Sicherheit existiert.

Dieser Unsinn wurde schon ausreichend widerlegt.

> Ich kann mich gut daran erinnern das es von Microsoft unter Win98 keine 
> funktion zur Port freigabe gab.

"Port freigabe"? Du willst dich über IP schlau machen. Windows 98
brachte keine Server-Dienste mit außer NetBIOS. Letzteres konnte man
problemlos mit wenigen Mausklicks an die richtigen Netzwerkinterfaces
binden, ein Paketfilter war also völlig überflüssig.

> Mit dem Produkt von Symantec war man in der lage das Scheunentormäßige 
> Win98 zu sichern , eigene Versuche mit Hacking-Tools auf die eigene IP 
> beweisen das die PW sehr wohl Funktioniert.

*ROFL*

> Man kann auch einen Test von der Symantes Homepage ausführen und dem 
> eigenen Rechner checken lassen.

Na schau einer an. Und was schließen wir daraus? Richtig, Symantec ist
suuuper.

> Bei NT4 und ab Win 2000 hast du dahingehend recht das es da Bordmittel 
> gibt geziehlt Port freizugeben
> oder auch nicht.

Auch das ist Quatsch. Es gibt Bordmittel, IP-Verkehr zu filtern.

> >Wenn du hier also für PFWs Stellung beziehst machst du dich indirekt
> >mitschuldig an Malware- und Spam-Verbreitung.
> >
> In wie weit unterstützt eine PW so etwas ?

Fehlerhafter Code mit Admin-Rechten. Lies einfach den Thread nochmal
richtig.

> Selbst bei Freihen PW's wird darauf hingewiesen was für aktionen über 
> welche Port's laufen und man bei der Configuration zu beachten hat.

www.deppenapostroph.de

Ein vernünftiger Paketfilter tut genau das nicht. Dass so etwas für
Windows 98 existiert glaube ich zwar kaum, andererseits dürfte das
inzwischen auch keinen mehr interessieren.

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bösen Internet

[dirk.finkeldey]

Daniel Leidert schrieb:

Gott, wenn ich diesen Stuss lese, wundere ich mich nicht mehr über 
diehohen Infektionsraten von Windows-Systemen. Menschen wie du, 
denenFachwissen völlig abgeht, sind einer der Gründe für die hohen 
Spam- undWurmmail-Aufkommen.


Das mit den fachwissen kannst du nicht grundsätzlich voraussetzen , die 
folgen daraus auch nicht.


Sie quatschen irgendwas von "Ports dichtmachen" und"Scheunentore"; 
haben aber mit an Sicherheit grenzenderWahrscheinlichkeit immer noch 
Netbios und die Datei- und Druckerfreigabeauf dem externen Interface 
zum WAN hängen


Wer macht den sowas.

Netbios ist auf allen verfügbaren Interfaces deaktiviert , wer das 
aktiviert hat lädt ja quasi die Welt ein sich auf seinen Rechner aus zu 
toben.


Daten und Druckerfreigabe wird wen überhaupt notwendig nur für das 
interne /private netzwerk aktiviert , das hat ja nichts im WAN zu suchen 
- um drucker übers Wan verfügbar zu machen gibt es bessere Lösungen , 
wenn ich sowas wollte würde ich mich über IPX/SPX sachkundig machen . 
Banken setzen so etwas ein um Kontoauszugsdrucker und Geldautomaten mit 
ihren Rechenzentren per isdn zu verbinden.



Daniel, der diese OT-Diskussion jetzt kopfschüttelnd endgültig verlässt


Menschen wie DU tragen dazu bei das wichtiges wissen um  vorhandene 
/mögliche  Sicherheitsrisiken  und deren beseitigung nicht allen Usern 
zugänglich ist.


Mit schlechten englischkenntnißen ist es nicht so einfach die 
endsprechenden Website´s bzw. foren zu lesen und sich so zu Bilden.


Mit freundlichen Grüßen Dirk Finkeldey

Re: Sicherheit vorm bösen Internet

[Gebhard Dettmar]

On Thursday 06 April 2006 13:54, Felix M. Palmen wrote:
> Hallo Joerg,
>
> [...]
>
> Du hast nichts verstanden. Die "trügerische Sicherheit" ist /ein/
> häufiges Problem.
>
Das ist richtig. Daraus aber, so wie du unten ("für PFWs Stellung 
beziehen") den Umkehrschluss zu ziehen, dass jeder, der eine PFW 
installiert, sich in Sicherheit wiegt - die ja eben dadurch trügerisch 
wird, dass man sich in ihr wiegt - ist doch völliger Unsinn. Es gibt 
ebenso häufig Leute, die PFWs aus Bequemlichkeit installieren 
(Beispiele s.u)
> Der Kern der Sache ist aber, dass eine PFW nicht die geringsten
> sicherheitsrelevanten Funktionen bringt, die Windows nicht sowieso
> schon hat (mit anderen Worten: völlig überflüssig ist), und man dabei
> gleichzeitig riskiert, die Sicherheit seines Rechners aktiv zu
> gefährden.
>
Das ist so i.d.T. nicht richtig. Wenn du ab und an Freunden/Bekannten 
die Laptops ein wenig sicherer machst (ein andrer Browser/Mailclient 
etc.) dann wirst du dir, wenn du das eine Woche nach der reinen Lehre 
(=keine SW, die nicht wirklich nötig ist) gemacht hast, entweder ein 
"No, I will not fix your Computer"-T-Shirt kaufen - oder aber eine PFW 
trotz abgestellter Dienste, IPsec z.B. allein deshalb installieren, um 
die Nachhausetelefoniererei der ganzen SP2-"Tülchens" zu unterbinden 
(msn search bar, der ganze Multimedia-Kram - was weiß ich, was es da 
alles gibt - ich hab kein XP) Sonst müsstest du die alle händisch 
abstellen - das machst du einmal, dann hast du die Schnauze voll (sag 
jetzt nicht: nee ich deinstallier das alles - das wolln die 
Betreffenden nicht)
Du musst mal auf einem frischen XP eine PFW installieren, den ganzen 
Kram doppelklicken und die Outgoing Connections mitzählen - Acrobat 
(wie oben im Thread) ist da eine Petitesse.
Auf dem Laptop meiner Freundin ist XP Home durch Win2k (+ Debian 
natürlich) ersetzt, Dienste abgestellt, keine PFW, Multimedia, Office, 
Internet alles Opensource. Den Stress mach ich mir aber nicht bei jedem.

> Wenn du hier also für PFWs Stellung beziehst machst du dich indirekt
> mitschuldig an Malware- und Spam-Verbreitung.

Das gilt für diejenigen, die an diese Sicherheit glauben. Aus Jörgs 
Mail geht klar hervor, dass er zu denen nicht gehört.
Gruß Gbehard


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[Gerhard Wolfstieg]

 Hallo,

kann man die Auseinandersetzung versachlichen? Worum geht es den Nutzern
von FWs, worum den Gegnern von FWs? Warum setzt das Thema soviel
Adrenalin um?

Wenn ich Nepp-Produkte ausschließe, finde ich als Argument für eine
Ablehnung, daß FWs in eine trügerische Sicherheit wiegen, wenn nicht
ungenutzte Tore geschlossen und die anderen bewacht werden und wenn dies
getan wird, ein Firewall in den meisten Rechnern nichts mehr bewirkt.

Für einen FW sprechen unter den einzig dafür in Frage kommenden
Windows-Rechnern (neuerdings auch andere wg. Adobe) einen Schutz vor dem
"nach Hause telefonieren", wie löchrig der auch immer sein mag, ganz
wirkungslos ist er nicht. Außerdem scheint es für BSs bis Win98/ME
überhaupt keine andere Möglichkeit zum Schließen von Ports zu geben.

Richtig so und vollständig?

 Grüße,  Gerhard

PS:  Wäre es nicht an der Zeit, einen Verein zur Führung von
Musterklagen zu gründen?  Wenn Adobe zwangsweise übermittelt bekommt,
was ich lese, ist das vollendete Gedankenkontrolle (auch bei
freiwilliger Übermittlung). Wir leben weit nach 1984. Da sollte auch
Marillat keinen Sachzwängen mehr folgen.

Re: Sicherheit vorm bösen Internet

[Daniel Leidert]

Am Freitag, den 07.04.2006, 11:48 +0200 schrieb dirk.finkeldey:
> Felix M. Palmen schrieb:
> 
> >Der Kern der Sache ist aber, dass eine PFW nicht die geringsten
> >sicherheitsrelevanten Funktionen bringt, die Windows nicht sowieso schon
> >hat (mit anderen Worten: völlig überflüssig ist), und man dabei
> >gleichzeitig riskiert, die Sicherheit seines Rechners aktiv zu
> >gefährden.
> >
> Das verstehe ich nicht .
> 
> Wie soll die Sicherheit eines Rechners durch eine PW gefährdet werden , 
> wenn ohne PW nicht mal der Hauch einer Sicherheit existiert.

Du hast eher von Windows "nicht den Hauch" einer Ahnung und hättest mal
besser nur den ersten Satz geschrieben Und was diese mehr als blöde
Frage angeht, so wurde sie in diesem OT-Thread schon ausführlich
beantwortet. Als Beispiel für D/PF-Lücken: DDoS gegen
ZoneAlarm-Anwender, DDoS gegen Symantec-Anwender, diverse lokale und
auch entfernte Root-Exploits. Gerade letzteres ist wunderschön für eine
Software, die eigentlich möglicherweise für Root-Exploits anfällige
Dienste "unerreichbar" machen soll. Die News sind Jahr für Jahr voll
davon - im letzten traf es so ziemlich jede D/PF-Software. Da du in
dieser ML schreibst gehe ich mal davon aus, dass du immerhin des Lesens
mächtig bist und die Nachrichten selber suchen kannst.

> Ich kann mich gut daran erinnern das es von Microsoft unter Win98 keine 
> funktion zur Port freigabe gab.

Schon einmal die offenen Ports unter einem Windows 98 und einem Windows
NT 5.x verglichen? Ganz offensichtlich nicht. Kennst du überhaupt die
Hauptunterschiede zwischen diesen Betriebssystemen?

> Mit dem Produkt von Symantec war man in der lage das Scheunentormäßige 
> Win98 zu sichern , eigene Versuche mit Hacking-Tools

LOL. "Hacking-Tools". Ich lach mich scheckig. Weißt du, was diese
Werkzeuge probieren? Vielleicht liest du mal den Rest des Threads. Da
wurde auf die mißbräuchliche Nutzung des Begriffes "Hacker" eingegangen.
Und den Spruch mit Tor, Werkzeug und Tand erspare ich mir mal.

> auf die eigene IP 
> beweisen das die PW sehr wohl Funktioniert.

Du bist entweder ein Troll oder ein Elch.

> Man kann auch einen Test von der Symantes Homepage ausführen und dem 
> eigenen Rechner checken lassen.
> 
> Bei NT4 und ab Win 2000 hast du dahingehend recht das es da Bordmittel 
> gibt geziehlt Port freizugeben
> oder auch nicht.
> 
> >Wenn du hier also für PFWs Stellung beziehst machst du dich indirekt
> >mitschuldig an Malware- und Spam-Verbreitung.
> >
> In wie weit unterstützt eine PW so etwas ?

Echte oder geheuchelte Lernresistenz? man Scheinsicherheit, man Placebo

> Selbst bei Freihen PW's wird darauf hingewiesen was für aktionen über 
> welche Port's laufen und man bei der Configuration zu beachten hat.

Gott, wenn ich diesen Stuss lese, wundere ich mich nicht mehr über die
hohen Infektionsraten von Windows-Systemen. Menschen wie du, denen
Fachwissen völlig abgeht, sind einer der Gründe für die hohen Spam- und
Wurmmail-Aufkommen. Sie quatschen irgendwas von "Ports dichtmachen" und
"Scheunentore"; haben aber mit an Sicherheit grenzender
Wahrscheinlichkeit immer noch Netbios und die Datei- und Druckerfreigabe
auf dem externen Interface zum WAN hängen und bügeln dieses "Problem"
dann noch mit 100MB mehr Code aus. Dein Beitrag glänzt einfach nur durch
Halb- und Fehlwissen und Trollerei.

Daniel, der diese OT-Diskussion jetzt kopfschüttelnd endgültig verlässt

Re: Sicherheit vorm bösen Internet

[Joerg Zimmermann]

Hi,

Felix M. Palmen wrote:
> Hallo Joerg,
> 
> * Joerg Zimmermann <[EMAIL PROTECTED]> [20060406 16:43]:
> 
>>Felix M. Palmen wrote:
>>
>>>Du hast nichts verstanden. Die "trügerische Sicherheit" ist /ein/
>>
>>Woher nimmst Du Dir das Recht, mit zur unterstellen das ich etwas
>>nicht verstanden habe, zumal ich mich ja inhaltlich zur Sache noch
>>nicht geäussert habe?
> 
> 
> Daher:

?? Das ist eine Textpassage aus meiner Mail nach Deiner
Unterstellung. Wie kann das sein?

>>Der erste Teil ist eine nicht haltbare Behauptung Deinerseits. Mag
>>ja sein, dass Dir keine solche Funktionen bekannt sind, einer
>>Softwaregattung jedoch grundsätzlich bestimmte Fähigkeiten
>>abzusprechen, setzt die genaue Kenntniss jedes Programmes dieser
>>Gattung voraus.
> 
> 
> Der Absatz zeigt sehr deutlich, dass du keine Ahnung vom Thema hast.

Und Du wirst wieder nicht inhaltlich, sondern nur persönlich.

>>Ob eine bestimmte Software sinnvoll ist oder nicht, ist eine Frage
>>die im Einzelfall zu stellen ist.
> 
> 
> Nicht immer. Ob du das nun nicht verstehen WILLST weil du dich ja so
> gerne profilierst, oder ob du es WIRKLICH nicht verstehst, sei
> dahingestellt. Ist mir letztendlich auch egal. Aber unkommentiert darf
> solcher Blödsinn nicht stehenbleiben.

Es nützt Dir gar nichts persönlich zu werden. Ich sehe auch nicht wo
ich mich hier profilieren will. Belege das doch mal.
Wenn man inhaltlich nicht weiterkommt, ist es eine schlechte Idee
persönlich zu werden.
Wie gesagt, unterste Schublade Felix M. Palmen. Aber das ist jetzt
Dein Problem.
Ich werde mich zu Dir nicht mehr äussern.
*plonk


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[dirk.finkeldey]

Felix M. Palmen schrieb:


Der Kern der Sache ist aber, dass eine PFW nicht die geringsten
sicherheitsrelevanten Funktionen bringt, die Windows nicht sowieso schon
hat (mit anderen Worten: völlig überflüssig ist), und man dabei
gleichzeitig riskiert, die Sicherheit seines Rechners aktiv zu
gefährden.


Das verstehe ich nicht .

Wie soll die Sicherheit eines Rechners durch eine PW gefährdet werden , 
wenn ohne PW nicht mal der Hauch einer Sicherheit existiert.


Ich kann mich gut daran erinnern das es von Microsoft unter Win98 keine 
funktion zur Port freigabe gab.


Mit dem Produkt von Symantec war man in der lage das Scheunentormäßige 
Win98 zu sichern , eigene Versuche mit Hacking-Tools auf die eigene IP 
beweisen das die PW sehr wohl Funktioniert.


Man kann auch einen Test von der Symantes Homepage ausführen und dem 
eigenen Rechner checken lassen.


Bei NT4 und ab Win 2000 hast du dahingehend recht das es da Bordmittel 
gibt geziehlt Port freizugeben

oder auch nicht.


Wenn du hier also für PFWs Stellung beziehst machst du dich indirekt
mitschuldig an Malware- und Spam-Verbreitung.


In wie weit unterstützt eine PW so etwas ?

Selbst bei Freihen PW's wird darauf hingewiesen was für aktionen über 
welche Port's laufen und man bei der Configuration zu beachten hat.


Mit freundlichen Grüßen Dirk Finkeldey

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Joerg,

* Joerg Zimmermann <[EMAIL PROTECTED]> [20060406 16:43]:
> Felix M. Palmen wrote:
> > Du hast nichts verstanden. Die "trügerische Sicherheit" ist /ein/
> 
> Woher nimmst Du Dir das Recht, mit zur unterstellen das ich etwas
> nicht verstanden habe, zumal ich mich ja inhaltlich zur Sache noch
> nicht geäussert habe?

Daher:

> Der erste Teil ist eine nicht haltbare Behauptung Deinerseits. Mag
> ja sein, dass Dir keine solche Funktionen bekannt sind, einer
> Softwaregattung jedoch grundsätzlich bestimmte Fähigkeiten
> abzusprechen, setzt die genaue Kenntniss jedes Programmes dieser
> Gattung voraus.

Der Absatz zeigt sehr deutlich, dass du keine Ahnung vom Thema hast.

> Ob eine bestimmte Software sinnvoll ist oder nicht, ist eine Frage
> die im Einzelfall zu stellen ist.

Nicht immer. Ob du das nun nicht verstehen WILLST weil du dich ja so
gerne profilierst, oder ob du es WIRKLICH nicht verstehst, sei
dahingestellt. Ist mir letztendlich auch egal. Aber unkommentiert darf
solcher Blödsinn nicht stehenbleiben.

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bösen Internet

[Helmut Waitzmann]

Matthias Houdek <[EMAIL PROTECTED]> writes:

>Montag, 3. April 2006 01:23 - Christoph Grzeschik wrote:

>Schau dir ggf. auch mal chroot an, damit kannst du Programme in einer 
>eigenen, abgesicherten Systemumgebung laufen lassen.

Falls Christoph Grzeschik kein profundes Wissen um »chroot« hat, solltest
Du Deinen Vorschlag lieber so formulieren:

Den Rat »Schau dir ggf. auch mal chroot an« solltest Du lieber nicht
leichtfertig befolgen, denn sofern Du es nicht vollständig verstanden
hast, wirst du damit Programme in einer eigenen, ungesicherten
Systemumgebung laufen lassen, und aus dieser Systemumgebung werden sie
ausbrechen.

Vor den Prozessen, die in einer »chroot«-Umgebung laufen, ist der Rest
des Rechners mitnichten geschützt:  »chroot« ist keine
Sandkastenumgebung, in der man nichts kaputt machen kann.  Ein Beispiel
sei hier nur genannt:  der Systemaufruf »kill«.

Umgekehrt bedeutet eine chroot-Umgebung:  Du musst diese Umgebung wie
einen weiteren Rechner -- wenn auch sehr spartanisch -- vollständig
konfigurieren:  Das bedeutet doppelten Aufwand.

Stell Dir nur mal vor, ein Prozess in der chroot-Umgebung erhält wegen
eines Sicherheitslochs aufgrund einer Fehlkonfiguration Zugriff auf den
Festplattencontroller.  Dann ist die ganze chroot-Umgebung für die Katz.

Nein, »chroot« ist nur was für Leute, die sich damit aus dem FF
auskennen.  Nicht umsonst ist der Systemaufruf »chroot« Prozessen mit der
maßgeblichen Benutzerkennung »root« vorbehalten.

Hinweis zum Weiterdenken, warum das so ist:  »chroot« kann aus der Datei
in meinem HOME-Verzeichnis »/home/helmut/rootjail/etc/passwd«, die
natürlich mir gehört und von mir manipuliert werden kann, ruckzuck eine
Datei mit dem Namen »/etc/passwd« werden lassen.  Jetzt fehlt nur noch
das ganz normale »su«-, »sudo«- oder »login«-Programm dazu.  Wenn ich das
auch noch geschafft habe, dann gute Nacht...
-- 
Wenn Sie mir E-Mail schreiben, stellen |  When writing me e-mail, please
Sie bitte vor meine E-Mail-Adresse |  precede my e-mail address with
meinen Vor- und Nachnamen, etwa so:|  my full name, like
Helmut Waitzmann <[EMAIL PROTECTED]>, (Helmut Waitzmann) [EMAIL PROTECTED]


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [OT] Firewall (was: Re: Sicherheit vorm bös en Internet)

[Gerhard Wolfstieg]

 Matthias Houdek  am Thu, 6 Apr 2006 14:11:38 +0200:
> relativ  ungünstiger Vergleich. Sprache tut nun mal ein Gebrauchsgut
> sein,  weswegen es überwiegend auch von denen gestaltet wird, die da
> welche es  auch nutzen tun (der Stil ist hier Absicht ;-).

Da ist ein großes Dilemma, wenn nicht ein unauflösbarer Widerspruch.
Sprache hat zwei "Funktionen", sie ist Medium des Kommunizierens und des
Denkens. Auf der einen Seite gibt es die Alltagssprache mit der Abnahme
an intellektueller Konzentration durch Unlust, die sich in der Häufung
des falschen Satzbaus in Nebensätzen nach 'weil' bemerkbar macht und das
Kämpfen um jedes Wort, jedes einzelne Zeichen in Dichtung und das Ringen
um Schärfe im Denken (/Philosophieren), das auf jede Nuance des Mediums
Sprache angewiesen ist. Da sieht es im Vergleich mit wenig Überspitzung
so aus, als ob etwa Mathematiker in den Unis sich maximal mit dem
Dreisatz beschäftigen sollten oder alternativ aus der Gesellschaft
gedrängt werden.

 Grüße,  Gerhard


PS: Ich bin dankbar, daß noch niemand "Aufhören, [OT]!" eingeworfen hat.
Ich sehe wohltuend so etwas wie eine wahrgenommene gesellschaftliche
Verantwortung derer, die sich hier intensiv mit IT beschäftigen, die
vollkommene Abwesenheit von Fachidiotie.

Re: Sicherheit vorm bösen Internet

[Joerg Zimmermann]

Hi,

Felix M. Palmen wrote:
> Hallo Joerg,
> 
> * Joerg Zimmermann <[EMAIL PROTECTED]> [20060405 21:56]:
> 
>>PFW ist besser als nix und diejenigen, welche hier glauben, Benutzer
>>einer PFW würden sich in einer trügerichen Sicherheit wiegen,
>>sollten sich mal fragen in welcher Sicherheit Sie sich denn selber
>>wiegen.
> 
> 
> Du hast nichts verstanden. Die "trügerische Sicherheit" ist /ein/

Woher nimmst Du Dir das Recht, mit zur unterstellen das ich etwas
nicht verstanden habe, zumal ich mich ja inhaltlich zur Sache noch
nicht geäussert habe?
> häufiges Problem.


> Der Kern der Sache ist aber, dass eine PFW nicht die geringsten
> sicherheitsrelevanten Funktionen bringt, die Windows nicht sowieso schon
> hat (mit anderen Worten: völlig überflüssig ist), und man dabei

Der erste Teil ist eine nicht haltbare Behauptung Deinerseits. Mag
ja sein, dass Dir keine solche Funktionen bekannt sind, einer
Softwaregattung jedoch grundsätzlich bestimmte Fähigkeiten
abzusprechen, setzt die genaue Kenntniss jedes Programmes dieser
Gattung voraus.
Ich glaube nicht das Du diese Kenntnisse besitzt.

> gleichzeitig riskiert, die Sicherheit seines Rechners aktiv zu
> gefährden.

Ob eine bestimmte Software sinnvoll ist oder nicht, ist eine Frage
die im Einzelfall zu stellen ist.
Ich argumentiere hier nicht grundsätzlich _für_ PFWs, allerdings
auch nicht dagegen.
Ich finde lediglich, das man immer aller Optionen im Auge behalten
sollte.

> Wenn du hier also für PFWs Stellung beziehst machst du dich indirekt
> mitschuldig an Malware- und Spam-Verbreitung.

Unterste Schublade Felix M. Palmen. Aber auch Dein Rundumschlag
nützt Dir nichts. Dogmatiker können nicht Recht haben, die Wahrheit
ist niemals Schwarz oder Weiss sondern immer Grau, mal heller mal
dunkler.

-Jörg


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

[Matthias Houdek]

Hallo Gebhard Dettmar, hallo auch an alle anderen

Mittwoch, 5. April 2006 20:35 - Gebhard Dettmar wrote:
> On Tuesday 04 April 2006 14:39, Matthias Houdek wrote:
> > Hallo Gerhard Wolfstieg, hallo auch an alle anderen
> >
> > Dienstag, 4. April 2006 13:50 - Gerhard Wolfstieg wrote:
> > > [...]
> > >
> > > Dabei ziehen Schriftsteller und Dichter
> > > wie Karl Kraus in der Regel den Kürzeren. Ihn wegen der
> > > Wirkungslosigkeit seines Eintretens zu verlachen, wie vor Kurzen
> > > in Medien geschehen, ist existentielle Dummheit. Da könnte man
> > > auch den zweiten Weltkrieg rechtfertigen, weil er es geschafft
> > > hat, sich zu entfalten, sich quasi durchzusetzen.
> >
> > entfalten = durchsetzen?
> >
> > Letzlich ist er doch total gescheitert - oder?
>
> klar, aber er war 6 Jahre in großen Teilen der Welt eine verdammt
> bittere Realität - in diesem Sinne hat er sich durchgesetzt, oder
> anders gesagt: die Deutschen haben ihn der Welt erfolgreich
> aufgezwungen.

Dann gab es aber etliche Wirrungen, die sich über längere Zeit entfaltet 
haben und letztlich doch nicht durchgesetzt haben.

Und du hast ja Recht - es gibt nix, das den WW-2 oder andere 
geschichtliche Entgleisungen rechtfertigt. Aber es ist auch ein relativ 
ungünstiger Vergleich. Sprache tut nun mal ein Gebrauchsgut sein, 
weswegen es überwiegend auch von denen gestaltet wird, die da welche es 
auch nutzen tun (der Stil ist hier Absicht ;-).

> > > So führt mich die innere Logik über den gemeinsamen Ursprung zur
> > > direktesten semantisch korrekten Übersetzung, die Feuerwall
> > > lautet.
> >
> > ... womit du sämtlichen Wörterbüchern widersprichst.
> >
> > Zum semantischen Ursprung:
> > Im englischen Sprachgebrauch wird "wall" als Bezeichnung für
> > Objekte verwendet, die in Latein "murus" genannt werden, von dem
> > sich wiederum unser deutsches "Mauer" ableitet (weiblich)
> >
> > Das lateinische "vallum" (das du hier ggf. als Ursprung für den
> > deutschen "Wall" heranziehst) bezeichnet Schutzpfeiler (bzw. die
> > Zwischenräume dazwischen -> inter vallum).
>
> Das ist die Frage (s. antwort an Frank)

Aber IMHO nicht entscheidend. Da Firewall nun mal nicht direkt aus dem 
Lateinischen kommt.

> > Im Übrigen scheint es mir ohnehin vergebene Mühe zu sein, in der
> > Verwendung des Geschlechts im Deutschen irgend eine Logik finden zu
> > wollen (das Meer, die See und der Ozean).
>
> mare, is n.  das Meer, See weiß ich auf die Schnelle nicht, Ozean <-
> Oceanus, i, m. Ozeanus, der Meeresgott (griech. Oikeanos), Weltmeer,
> Ozean. Deshalb (aus deiner anderen Mail zitiert: "Wollte man für alle
> letzlich aus dem Lateinischen entlehnten Worte den Genus des
> lateinischen Ursprungswortes fordern, müsste man die deutsche Sprache
> neu schreiben." (Zitatende)
> Da wäre ich mir nicht so sicher. Ein schönes Beispiel ist Frank
> (Küsters) Beispiel: Nase - irgendein Genuspendant findet sich immer
> (behaupte ich jetzt einfach mal ;-)

Naja, von narus zu Nase ist aber ein weiter Weg. Zumal ja auch ein 
anderer Sinn dahinter steckt. nasus -> Nase ist da rein sprachlich 
schon direkter und auch sinnhafter. 

Ich hab jetzt keine Lust, das Wörterbuch zu durchforsten. Nur so auf die 
Schnelle, was mir sofort einfällt: 

das Lokal <- locus (m)
das Fenster <- fenestra (f)
der Dacia <- dacia (f) (Gebiet in Rumänien: Dakien, Dacia: Automarke)
der Körper <- corpus (n)

> > > Die Unkenntnis des Wortes Feuerwall scheint die Ursache für den
> > > falschen Gebrauch der Mehrheit
> >
> > Was soll denn ein "Feuerwall" sein? Ein Wall aus Feuer?
> >
> > Die einzig korrekte Übersetzung aus dem Englischen "firewall" in
> > deutsche lautet "Brand(schutz)mauer", was sogar nahezu wörtlich ist
> > (fire -> Brand, Feuer und wall -> Wand, Mauer).
>
> Hmm. Mein Cassell's (also in der Nomenklatur der Wörterbücher nicht
> grade weit unten) sagt: Wall = die Wand (inside), die Mauer
> (outside); (fortification) der Wall.

Das ist aber eine sehr spezifizierte Aussage und bezieht sich nicht auf 
den allgemeinen Wall im Sinne einer (Erd-)Aufschüttung, sondern auf 
einen Burgwall (i.d.R. mit einer Befestigungsmauer versehen). Der 
Engländer würde hier woch auch eher "rampart" verwenden.

BTW: Diese Diskussion ist zwar ammüsant bis lehrreich (muss sich ja 
nicht ausschließen *g*), passt aber nicht mehr so richtig hier her. Auf 
der SuSE-Liste wurde seinerzeit dafür eine eigene Liste gegründet: 
suse-talk. ;-)

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Gebhard,

* Gebhard Dettmar <[EMAIL PROTECTED]> [20060405 21:17]:
> aber auch garnicht sein muss - dass hier also PFWs selbstverständlich mehr 
> nutzen als schaden, wie der Rückgang solcherart Würmer seit SP2 ja wohl 
> auch hinreichend belegt, 

Du sitzt hier einer Verwechslung auf. SP2 ist nicht mit PFW
vergleichbar. In SP2 hat lediglich der schon immer vorhandene
Paketfilter "mehr GUI" bekommen (was ich eher kritisch sehe) und die
entscheidende und wichtige Neuerung: er ist per default aktiviert.

Das hat so viel mit "PFW" zu tun wie der Linux Netfilter...

Grüße, Felix

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Joerg,

* Joerg Zimmermann <[EMAIL PROTECTED]> [20060405 21:56]:
> PFW ist besser als nix und diejenigen, welche hier glauben, Benutzer
> einer PFW würden sich in einer trügerichen Sicherheit wiegen,
> sollten sich mal fragen in welcher Sicherheit Sie sich denn selber
> wiegen.

Du hast nichts verstanden. Die "trügerische Sicherheit" ist /ein/
häufiges Problem.

Der Kern der Sache ist aber, dass eine PFW nicht die geringsten
sicherheitsrelevanten Funktionen bringt, die Windows nicht sowieso schon
hat (mit anderen Worten: völlig überflüssig ist), und man dabei
gleichzeitig riskiert, die Sicherheit seines Rechners aktiv zu
gefährden.

Wenn du hier also für PFWs Stellung beziehst machst du dich indirekt
mitschuldig an Malware- und Spam-Verbreitung.

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bösen Internet

[Joerg Zimmermann]

Hi Niels,

niels jende wrote:
> Joerg Zimmermann schrieb:
> 
> 
> Hi Joerg,
> 
>>Diskussionen über PFW sind genauso müssig wie über das richtige OS,
>>den richten MUA etc.
>>Ich finde allerdings, dass Du Dich hier sehr gut gehalten hast,
>>daher wollte ich Dir hier zumindest meine Zustimmung signalisieren.
>>
>>PFW ist besser als nix und diejenigen, welche hier glauben, Benutzer
>>einer PFW würden sich in einer trügerichen Sicherheit wiegen,
>>sollten sich mal fragen in welcher Sicherheit Sie sich denn selber
>>wiegen.
>>Denn eins sollte ja mal klar sein, auch Linux ist mittlerweile nur
>>noch eine Gebrauchssoftware, welche unter hohem Druck
>>weiterentwickelt wird. Einhergehend damit, gibt es auch gerade hier
>>teilweise haarsträubende Sicherheitsprobleme.
>>
>>  
> 
> welche denn so ???

sorry, ich wollte hier kein neues Fass aufmachen. Aber da Du fragst;
Was darfs denn sein, root-exploit, kernel, kde, Web ...

Einstieg hier:
http://packetstormsecurity.nl/

oder in den einschlägigen Mailinglisten, Einstieg hier:
[EMAIL PROTECTED]

die Liste ist lang, ..sehr lang. Aber wie gesagt, ich fände es nur
schade, wenn sich jemand in 'falscher Sicherheit wiegt'. Mehr wollte
ich damit nicht sagen.

-Jörg


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[niels jende]

Joerg Zimmermann schrieb:


Hi Joerg,
> Diskussionen über PFW sind genauso müssig wie über das richtige OS,
> den richten MUA etc.
> Ich finde allerdings, dass Du Dich hier sehr gut gehalten hast,
> daher wollte ich Dir hier zumindest meine Zustimmung signalisieren.
>
> PFW ist besser als nix und diejenigen, welche hier glauben, Benutzer
> einer PFW würden sich in einer trügerichen Sicherheit wiegen,
> sollten sich mal fragen in welcher Sicherheit Sie sich denn selber
> wiegen.
> Denn eins sollte ja mal klar sein, auch Linux ist mittlerweile nur
> noch eine Gebrauchssoftware, welche unter hohem Druck
> weiterentwickelt wird. Einhergehend damit, gibt es auch gerade hier
> teilweise haarsträubende Sicherheitsprobleme.
>
>   
welche denn so ???
> -Jörg
>
>   
Niels


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[Joerg Zimmermann]

Hi Gebhard,

Gebhard Dettmar wrote:
> On Tuesday 04 April 2006 23:40, niels jende wrote:
> 
>>Gebhard Dettmar schrieb:
> Siehst du? Felix hat obigen Link geposted. Dort findest du u.a. 
> http://www.pcflank.com/art21.htm, Personal firewalls vs Leak Tests
> 
> Das sind Hacker, die ihre Ergebnisse den betreffenden Firmen mitteilen und 
> deren Reaktionen abdrucken. Die kommen nicht in die Tagesschau (obwohl das 
> vielleicht besser wäre). Script Kiddies normalerweise auch nicht - es sei 
> denn, sie räumen so ab wie bei Blaster & Sasser. Ich sage nun, dass PFWs 
> zwar grundsätzlich genauso problematisch sind, wie auf den betreffenden 
> Seiten unter linkblock dargestellt, dass sie gegen Blaster und Co. - also 
> Malware von Script-Kiddies, die nicht sehr sophisticated ist (der remote 
> procedure call-Absturz von Blaster war garantiert nicht beabsichtigt, im 
> Prinzip sogar ein Glück für die Anwender, da es sonst wer weiß wie lange 
> gedauert hätte, bis sie die Infektion überhaupt bemerkt hätten), das bei 
> derart vielen offenen Ports, wie sie zu Vor-SP2-Zeiten die Regel waren, 
> aber auch garnicht sein muss - dass hier also PFWs selbstverständlich mehr 
> nutzen als schaden, wie der Rückgang solcherart Würmer seit SP2 ja wohl 
> auch hinreichend belegt, weswegen mir der oft polemische Ton gegen PFWs 
> (insb. http://www.fefe.de/pffaq/) nicht gefällt, und ich deshalb immer 
> sofort zu Flamewars dazu aufgelegt bin *JOKE*
> (Uff, meine Sätze ;-))

Diskussionen über PFW sind genauso müssig wie über das richtige OS,
den richten MUA etc.
Ich finde allerdings, dass Du Dich hier sehr gut gehalten hast,
daher wollte ich Dir hier zumindest meine Zustimmung signalisieren.

PFW ist besser als nix und diejenigen, welche hier glauben, Benutzer
einer PFW würden sich in einer trügerichen Sicherheit wiegen,
sollten sich mal fragen in welcher Sicherheit Sie sich denn selber
wiegen.
Denn eins sollte ja mal klar sein, auch Linux ist mittlerweile nur
noch eine Gebrauchssoftware, welche unter hohem Druck
weiterentwickelt wird. Einhergehend damit, gibt es auch gerade hier
teilweise haarsträubende Sicherheitsprobleme.

-Jörg


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[Gebhard Dettmar]

On Tuesday 04 April 2006 23:40, niels jende wrote:
> Gebhard Dettmar schrieb:
> > On Tuesday 04 April 2006 14:33, Daniel Leidert wrote:
> >> Am Dienstag, den 04.04.2006, 16:02 +0200 schrieb Gebhard Dettmar:
> >>> On Tuesday 04 April 2006 12:03, Felix M. Palmen wrote:
>  www.linkblock.de
  
Schau da mal
> >>>
> >>> [...]
>
> Einspruch!!! Und zwar ganz massiv! Es sind keine Hacker, sondern
> Cracker! Das meldet Dir Google und auch Wikipedia!
>
> > aus - die Würmer, die es bis
> > in die Tagesschau gebracht haben
>
> Hacker kommen nicht bis in die Tagesschau oder in sonstige Medien per
> Perosn, weil sie eben nichts kriminelles tun! Das Gegenteil ist der
> Fall!
>
> > , stammten aber i.d.R. von Script-Kiddies,

Siehst du? Felix hat obigen Link geposted. Dort findest du u.a. 
http://www.pcflank.com/art21.htm, Personal firewalls vs Leak Tests

Das sind Hacker, die ihre Ergebnisse den betreffenden Firmen mitteilen und 
deren Reaktionen abdrucken. Die kommen nicht in die Tagesschau (obwohl das 
vielleicht besser wäre). Script Kiddies normalerweise auch nicht - es sei 
denn, sie räumen so ab wie bei Blaster & Sasser. Ich sage nun, dass PFWs 
zwar grundsätzlich genauso problematisch sind, wie auf den betreffenden 
Seiten unter linkblock dargestellt, dass sie gegen Blaster und Co. - also 
Malware von Script-Kiddies, die nicht sehr sophisticated ist (der remote 
procedure call-Absturz von Blaster war garantiert nicht beabsichtigt, im 
Prinzip sogar ein Glück für die Anwender, da es sonst wer weiß wie lange 
gedauert hätte, bis sie die Infektion überhaupt bemerkt hätten), das bei 
derart vielen offenen Ports, wie sie zu Vor-SP2-Zeiten die Regel waren, 
aber auch garnicht sein muss - dass hier also PFWs selbstverständlich mehr 
nutzen als schaden, wie der Rückgang solcherart Würmer seit SP2 ja wohl 
auch hinreichend belegt, weswegen mir der oft polemische Ton gegen PFWs 
(insb. http://www.fefe.de/pffaq/) nicht gefällt, und ich deshalb immer 
sofort zu Flamewars dazu aufgelegt bin *JOKE*
(Uff, meine Sätze ;-))
Gruß gebhard


-- 
Training is everything.  The peach was once a bitter almond; cauliflower is
nothing but cabbage with a college education.
-- Mark Twain, "Pudd'nhead Wilson's Calendar"

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

[Gebhard Dettmar]

On Tuesday 04 April 2006 14:39, Matthias Houdek wrote:
> Hallo Gerhard Wolfstieg, hallo auch an alle anderen
>
> Dienstag, 4. April 2006 13:50 - Gerhard Wolfstieg wrote:
> > [...]
>
> > Dabei ziehen Schriftsteller und Dichter
> > wie Karl Kraus in der Regel den Kürzeren. Ihn wegen der
> > Wirkungslosigkeit seines Eintretens zu verlachen, wie vor Kurzen in
> > Medien geschehen, ist existentielle Dummheit. Da könnte man auch den
> > zweiten Weltkrieg rechtfertigen, weil er es geschafft hat, sich zu
> > entfalten, sich quasi durchzusetzen.
>
> entfalten = durchsetzen?
>
> Letzlich ist er doch total gescheitert - oder?
>
klar, aber er war 6 Jahre in großen Teilen der Welt eine verdammt bittere 
Realität - in diesem Sinne hat er sich durchgesetzt, oder anders gesagt: 
die Deutschen haben ihn der Welt erfolgreich aufgezwungen.

> > So führt mich die innere Logik über den gemeinsamen Ursprung zur
> > direktesten semantisch korrekten Übersetzung, die Feuerwall lautet.
>
> ... womit du sämtlichen Wörterbüchern widersprichst.
>
> Zum semantischen Ursprung:
> Im englischen Sprachgebrauch wird "wall" als Bezeichnung für Objekte
> verwendet, die in Latein "murus" genannt werden, von dem sich wiederum
> unser deutsches "Mauer" ableitet (weiblich)
>
> Das lateinische "vallum" (das du hier ggf. als Ursprung für den
> deutschen "Wall" heranziehst) bezeichnet Schutzpfeiler (bzw. die
> Zwischenräume dazwischen -> inter vallum).
>
Das ist die Frage (s. antwort an Frank)

> Im Übrigen scheint es mir ohnehin vergebene Mühe zu sein, in der
> Verwendung des Geschlechts im Deutschen irgend eine Logik finden zu
> wollen (das Meer, die See und der Ozean).
>
mare, is n.  das Meer, See weiß ich auf die Schnelle nicht, Ozean <- 
Oceanus, i, m. Ozeanus, der Meeresgott (griech. Oikeanos), Weltmeer, Ozean.
Deshalb (aus deiner anderen Mail zitiert: "Wollte man für alle letzlich 
aus dem Lateinischen entlehnten Worte den Genus des lateinischen 
Ursprungswortes fordern, müsste man die deutsche Sprache neu schreiben."
(Zitatende)
Da wäre ich mir nicht so sicher. Ein schönes Beispiel ist Frank (Küsters) 
Beispiel: Nase - irgendein Genuspendant findet sich immer (behaupte ich 
jetzt einfach mal ;-)

> > Die Unkenntnis des Wortes Feuerwall scheint die Ursache für den
> > falschen Gebrauch der Mehrheit
>
> Was soll denn ein "Feuerwall" sein? Ein Wall aus Feuer?
>
> Die einzig korrekte Übersetzung aus dem Englischen "firewall" in
> deutsche lautet "Brand(schutz)mauer", was sogar nahezu wörtlich ist
> (fire -> Brand, Feuer und wall -> Wand, Mauer).
>
Hmm. Mein Cassell's (also in der Nomenklatur der Wörterbücher nicht grade 
weit unten) sagt: Wall = die Wand (inside), die Mauer (outside); 
(fortification) der Wall.

> > -- und wiederholend:  der Begriff wurde
> > auch als "der Firewall" in die Fachsprache eingeführt (meines Wissens
> > durch Microsoft); erst danach war eine Geschlechtsumwandlung zu
> > beobachten.
>
> Noch ein Grund mehr, die weibliche Form zu verwenden ;-)
ROFL
Gruß Gebhard

-- 
Q:  How do you catch a unique rabbit?
A:  Unique up on it!

Q:  How do you catch a tame rabbit?
A:  The tame way!

Re: Sicherheit vorm bösen Internet

[Gebhard Dettmar]

On Wednesday 05 April 2006 10:22, Felix M. Palmen wrote:
> Hallo Gebhard,
>
> * Gebhard Dettmar <[EMAIL PROTECTED]> [20060404
> > [...]
>
> [...]
>
> *rofl* jaja, du willst den Flamewar mit aller Gewalt, richtig?
>
Oops, ertappt - ich bin ein heimlicher Fan von sowas ;-)

> Naja, schätze du weißt jetzt, dass das nicht einfach eine 'Behauptung'
> ist.
>
Klaro
Friedliche Grüße,
Gebhard

-- 
Swerve me?  The path to my fixed purpose is laid with iron rails,
whereon my soul is grooved to run.  Over unsounded gorges, through
the rifled hearts of mountains, under torrents' beds, unerringly I rush!
-- Captain Ahab, "Moby Dick"

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Gebhard,

* Gebhard Dettmar <[EMAIL PROTECTED]> [20060404 23:31]:
> Ach ja, wir hatten da ja letztens sonen URL, ich habs: den 
> (wissenschaftlich natürlich zweifelsfrei belegten ;-)) Nutzen von PFWs zu 
> leugnen, ist in etwa wie die Schöpfung der Welt in 6 Tagen gegenüber der 
> Evolution zu behaupten
[...]

*rofl* jaja, du willst den Flamewar mit aller Gewalt, richtig?

Naja, schätze du weißt jetzt, dass das nicht einfach eine 'Behauptung'
ist.

Grüße, Felix

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bös e n Internet

[Dirk Salva]

On Wed, Apr 05, 2006 at 01:54:34AM +0200, Bjoern Schliessmann wrote:
> Worum handelt es sich bei diesem bösen Nachhause-Telefonier-Paket,
> und worin besteht das Problem?

Acroread-plugin

This package contains plugins who enable javascript in acroread and
thus make acroread able to send?
to a remote host which pdf files you are reading. See
http://lwn.net/Articles/129729/  ?

ciao, Dirk
-- 
|  Akkuschrauber Kaufberatung and AEG GSM stuff   |
|   Visit my homepage:   http://www.nutrimatic.ping.de/   |
| FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de |
|The "Ruhrgebiet", best place to live in Germany! |


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Bjoern Schliessmann]

Dirk Salva wrote:

> Das funktioniert nur noch, wenn man eine Version =<
> acroread_7.0.1-0.2_i386 von Christian Marillat nimmt. Bei allen
> späteren Versionen muß man das Paket mit dem
> nach-Hause-telefonier-Problem mitinstallieren, sonst gibts ne
> Fehlermeldung.

Worum handelt es sich bei diesem bösen Nachhause-Telefonier-Paket,
und worin besteht das Problem?

Grüße,


Björn

-- 
BOFH excuse #199:

the curls in your keyboard cord are losing electricity.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[niels jende]

Gebhard Dettmar schrieb:
> On Tuesday 04 April 2006 14:33, Daniel Leidert wrote:
>   
>> Am Dienstag, den 04.04.2006, 16:02 +0200 schrieb Gebhard Dettmar:
>> 
>>> On Tuesday 04 April 2006 12:03, Felix M. Palmen wrote:
>>>   
 www.linkblock.de
 
>>> [...]
>>> hängt jeder von 5 weiteren ab, das ist nicht trivial, in Windows 
>>> Dienste abzustellen)
>>>   
>> Das ist schlicht Unsinn. Es gibt sogar eine ausführliche Dokumentation
>> von Microsoft, was ein Dienst macht, wovon er abhängt und welche
>> Auswirkungen in Funktion und Abhängigkeit die Veränderung der Startart
>> hat. Das Abschalten der Dienste folgt einer von Microsoft selbst
>> herausgegebenen Empfehlung [1]! Also erzählt bitte nicht ständig, wie
>> schwer und unmöglich das doch ist. Zig Leute haben es hinbekommen (mit
>> Dank an Frank Kaune). MS selbst empfiehlt es. Und die D/PF-Fraktion
>> behauptet dennoch steif und fest das Gegenteil. Langsam wird's
>> lächerlich und OT sind wir eh schon.
>>
>> 
> Ich behaupte nicht das Gegenteil. Ok, ich relativiere mal meine 
> Aussage: Verglichen mit Debian ist es unter Windows nicht trivial --> soll 
> sagen, man muss schon Google dafür anschmeißen - das kannst du bei den 
> Leuten, von denen ich rede, vergessen. Sowas machen die nicht. Die zig 
> Leute, von denen du redest, sind alle daran gewöhnt, 
> Computerproblemen mit Google etc. begegnen, die Leute, die ich meine, 
> benutzen Google noch nicht mal, wenn man ihnen die Suchwörter zumailt 
> (anstatt die Frage zu beantworten). Natürlich wissen die auch nichts mit 
> vernünftig gestalteten Firewall-Warnungen anzufangen, natürlich ist es 
> Quatsch, jedes ICMP-Paket abzulehnen, natürlich bieten PFWs letztlich nur 
> Scheinsicherheit - das bestreite ich alles nicht, ich sage nur, dass 
> Sasser & Co. mit PFWs nicht annähernd den Verbreitungsgrad erreicht 
> hätten, den sie realiter nun mal hatten. Ihr geht von ernsthaften 
> Attacken, gestartet von ernsthaften Hackern 
Einspruch!!! Und zwar ganz massiv! Es sind keine Hacker, sondern
Cracker! Das meldet Dir Google und auch Wikipedia!
> aus - die Würmer, die es bis 
> in die Tagesschau gebracht haben
Hacker kommen nicht bis in die Tagesschau oder in sonstige Medien per
Perosn, weil sie eben nichts kriminelles tun! Das Gegenteil ist der Fall!
> , stammten aber i.d.R. von Script-Kiddies, 
> angefangen bei I Love You - der schonmal nicht halb so erfolgreich gewesen 
> wäre, wenn es diese 'bekannte Dateinamen ausblenden'-Einstellung nicht 
> gegeben hätte - nichtsdestotrotz gibt es die bis heute und zwar per 
> default. 
>   
>> [1]
>> http://www.microsoft.com/germany/technet/datenbank/articles/900048.mspx
>> Kapitel Systemdienste
>>
>> 
> Na das hört sich hier aber etwas anders an
> http://support.microsoft.com/default.aspx?scid=kb;en-us;811832#XSLTH3152121122120121120120
> Klar, ich hab das vor 2 Jahren oder so auf meinem Win2k auch über
> www.ntsvcfg.de gemacht
> Wenn ich allerdings z.B. deinen obigen Link, Kapitel Systemdienste, den 
> Leuten von denen ich rede (meine Kommilitonen in Geschichte / Latein, die 
> sitzen neben mir in der Bibliothek mit Laptops < 1000 EUR, alle mit XP 
> Home - soviel zum Thema: Microsoft und seine restricted 
> Privileges-Kampagne)  zeige, fragen die mich, ob ich sie verar will
>
>   
>>> oder - in Gottes Namen - eine PFW? Ersteres kriegt
>>> der nie im Leben auf die Reihe, letzteres hätte bei all den
>>> Schwachstellen, die sie haben (leak tests etc.), bei den ganzen
>>> Würmern, die über offene Ports kamen (Lovsan/Blaster, Sasser) schon ne
>>> Menge bewirkt.
>>>   
>> "Eine Menge bewirkt" hätte, wenn MS seinen CDs die Rollup-CDs gleich
>> beigelegt hätte oder über Werbekanäle breitflächig über die Risiken
>> aufgeklärt hätte. Das fatale war, dass die Werbung dem Anwender
>> versprach: Ein Klick und sie sind online. Und die Realität schlug zu
>> mit: Ein Klick und ihr System ist kompromittiert. Der in XP integrierte
>> HBPF hätte aber schon Abhilfe geschafft. Da braucht es nicht ein
>> zweifelhaftes Stück Code.
>>
>> 
> Was ist an dessen Code denn weniger zweifelhaft?
> http://www.pcwelt.de/know-how/extras/103039/
>
>   
>>> Also, würdest du dem sagen, dass ein löchriger Damm schlechter ist als
>>> gar keiner?
>>>   
>> Nenne mir mal bitte den Unterschied im Ergebnis. Richtig. In beiden
>> Fällen wird das Hinterland geflutet. Bei ersterem vielleicht langsamer,
>> aber trotzdem stetig. Assoziationen zum Thema Scheinsicherheit bieten
>> sich auch noch an. Aber das Thema wurde in zig Beispielen und
>> Gegenbeispielen durchgekaut, so dass ich mir dass einfach mal spare.
>>
>> MfG Daniel,
>> der dir das aus nä. Nähe aus Dresden schildern kann
>> 
>
> Oh je, alles Gute nach Sachsen,
> Gebhard
>
>
>
>   
Gruß
Niels


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL 

Re: Sicherheit vorm bösen Internet

[Gebhard Dettmar]

On Tuesday 04 April 2006 14:33, Daniel Leidert wrote:
> Am Dienstag, den 04.04.2006, 16:02 +0200 schrieb Gebhard Dettmar:
> > On Tuesday 04 April 2006 12:03, Felix M. Palmen wrote:
> > > www.linkblock.de
> > [...]
> > hängt jeder von 5 weiteren ab, das ist nicht trivial, in Windows 
> > Dienste abzustellen)
>
> Das ist schlicht Unsinn. Es gibt sogar eine ausführliche Dokumentation
> von Microsoft, was ein Dienst macht, wovon er abhängt und welche
> Auswirkungen in Funktion und Abhängigkeit die Veränderung der Startart
> hat. Das Abschalten der Dienste folgt einer von Microsoft selbst
> herausgegebenen Empfehlung [1]! Also erzählt bitte nicht ständig, wie
> schwer und unmöglich das doch ist. Zig Leute haben es hinbekommen (mit
> Dank an Frank Kaune). MS selbst empfiehlt es. Und die D/PF-Fraktion
> behauptet dennoch steif und fest das Gegenteil. Langsam wird's
> lächerlich und OT sind wir eh schon.
>
Ich behaupte nicht das Gegenteil. Ok, ich relativiere mal meine 
Aussage: Verglichen mit Debian ist es unter Windows nicht trivial --> soll 
sagen, man muss schon Google dafür anschmeißen - das kannst du bei den 
Leuten, von denen ich rede, vergessen. Sowas machen die nicht. Die zig 
Leute, von denen du redest, sind alle daran gewöhnt, 
Computerproblemen mit Google etc. begegnen, die Leute, die ich meine, 
benutzen Google noch nicht mal, wenn man ihnen die Suchwörter zumailt 
(anstatt die Frage zu beantworten). Natürlich wissen die auch nichts mit 
vernünftig gestalteten Firewall-Warnungen anzufangen, natürlich ist es 
Quatsch, jedes ICMP-Paket abzulehnen, natürlich bieten PFWs letztlich nur 
Scheinsicherheit - das bestreite ich alles nicht, ich sage nur, dass 
Sasser & Co. mit PFWs nicht annähernd den Verbreitungsgrad erreicht 
hätten, den sie realiter nun mal hatten. Ihr geht von ernsthaften 
Attacken, gestartet von ernsthaften Hackern aus - die Würmer, die es bis 
in die Tagesschau gebracht haben, stammten aber i.d.R. von Script-Kiddies, 
angefangen bei I Love You - der schonmal nicht halb so erfolgreich gewesen 
wäre, wenn es diese 'bekannte Dateinamen ausblenden'-Einstellung nicht 
gegeben hätte - nichtsdestotrotz gibt es die bis heute und zwar per 
default. 
> [1]
> http://www.microsoft.com/germany/technet/datenbank/articles/900048.mspx
> Kapitel Systemdienste
>
Na das hört sich hier aber etwas anders an
http://support.microsoft.com/default.aspx?scid=kb;en-us;811832#XSLTH3152121122120121120120
Klar, ich hab das vor 2 Jahren oder so auf meinem Win2k auch über
www.ntsvcfg.de gemacht
Wenn ich allerdings z.B. deinen obigen Link, Kapitel Systemdienste, den 
Leuten von denen ich rede (meine Kommilitonen in Geschichte / Latein, die 
sitzen neben mir in der Bibliothek mit Laptops < 1000 EUR, alle mit XP 
Home - soviel zum Thema: Microsoft und seine restricted 
Privileges-Kampagne)  zeige, fragen die mich, ob ich sie verar will

> > oder - in Gottes Namen - eine PFW? Ersteres kriegt
> > der nie im Leben auf die Reihe, letzteres hätte bei all den
> > Schwachstellen, die sie haben (leak tests etc.), bei den ganzen
> > Würmern, die über offene Ports kamen (Lovsan/Blaster, Sasser) schon ne
> > Menge bewirkt.
>
> "Eine Menge bewirkt" hätte, wenn MS seinen CDs die Rollup-CDs gleich
> beigelegt hätte oder über Werbekanäle breitflächig über die Risiken
> aufgeklärt hätte. Das fatale war, dass die Werbung dem Anwender
> versprach: Ein Klick und sie sind online. Und die Realität schlug zu
> mit: Ein Klick und ihr System ist kompromittiert. Der in XP integrierte
> HBPF hätte aber schon Abhilfe geschafft. Da braucht es nicht ein
> zweifelhaftes Stück Code.
>
Was ist an dessen Code denn weniger zweifelhaft?
http://www.pcwelt.de/know-how/extras/103039/

> > Also, würdest du dem sagen, dass ein löchriger Damm schlechter ist als
> > gar keiner?
>
> Nenne mir mal bitte den Unterschied im Ergebnis. Richtig. In beiden
> Fällen wird das Hinterland geflutet. Bei ersterem vielleicht langsamer,
> aber trotzdem stetig. Assoziationen zum Thema Scheinsicherheit bieten
> sich auch noch an. Aber das Thema wurde in zig Beispielen und
> Gegenbeispielen durchgekaut, so dass ich mir dass einfach mal spare.
>
> MfG Daniel,
> der dir das aus nä. Nähe aus Dresden schildern kann

Oh je, alles Gute nach Sachsen,
Gebhard

Re: Sicherheit vorm bösen Internet

[Gebhard Dettmar]

On Tuesday 04 April 2006 14:10, Frank Lanitz wrote:
> Am Dienstag 04 April 2006 16:02 schrieb Gebhard Dettmar:
> > [...]
>
> Denke EoT, oder?
> aber wobei. Habe noch keinen NAZI-Vergleich gelesen 
Mist, ich wollte grade  Muss ich mir was andres ausdenken ...
Ach ja, wir hatten da ja letztens sonen URL, ich habs: den 
(wissenschaftlich natürlich zweifelsfrei belegten ;-)) Nutzen von PFWs zu 
leugnen, ist in etwa wie die Schöpfung der Welt in 6 Tagen gegenüber der 
Evolution zu behaupten (PFWs haben in der Informatik natürlich den 
gleichen Status wie die Evolution in den Naturwissenschaften, oder will da 
jetzt etwa jemand widersprechen?)
Ok, ihr seid alle  Kreationisten ;-))
Gebhard "Kerio/Zonealarm" Dettmar
-- 
Troubled day for virgins over 16 who are beautiful and wealthy and live
in eucalyptus trees.

Re: Sicherheit vorm böse n Internet

[Andreas Pakulat]

On 04.04.06 21:57:56, Dirk Salva wrote:
> On Tue, Apr 04, 2006 at 12:45:55PM +0200, Andreas Pakulat wrote:
> > BTW: Ich weiss ja nicht um welches Plugin es Dirk ueberhaupt ging, aber
> > hier ist nur dieses Search-Plugin installiert und Acrobat funktioniert
> > praechtig.
> 
> Dateiname: nppdf.so
> The Adobe Reader plugin is used to enable viewing of PDF and
> FDF files from within the browser.
> 
> Das funktioniert nur noch, wenn man eine Version =<
> acroread_7.0.1-0.2_i386 von Christian Marillat nimmt. Bei allen
> späteren Versionen muß man das Paket mit dem
> nach-Hause-telefonier-Problem mitinstallieren, sonst gibts ne
> Fehlermeldung.

PS: Das ganze betrifft _nur_ das Browser-Plugin und sollte von daher
doch wohl eh nicht soo schlimm sein. Schliesslich kann der Browser auch
das PDF runterladen und dann den normalen Reader aufmachen.

Andreas

-- 
In the stairway of life, you'd best take the elevator.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Andreas Pakulat]

On 04.04.06 21:57:56, Dirk Salva wrote:
> On Tue, Apr 04, 2006 at 12:45:55PM +0200, Andreas Pakulat wrote:
> > BTW: Ich weiss ja nicht um welches Plugin es Dirk ueberhaupt ging, aber
> > hier ist nur dieses Search-Plugin installiert und Acrobat funktioniert
> > praechtig.
> 
> Dateiname: nppdf.so
> The Adobe Reader plugin is used to enable viewing of PDF and
> FDF files from within the browser.
> 
> Das funktioniert nur noch, wenn man eine Version =<
> acroread_7.0.1-0.2_i386 von Christian Marillat nimmt. Bei allen
> späteren Versionen muß man das Paket mit dem
> nach-Hause-telefonier-Problem mitinstallieren, sonst gibts ne
> Fehlermeldung.

Interessant. Allerdings nicht soo schlimm oder? Man kann das Javascript
deaktivieren und schon telefoniert auch nichts mehr nach Hause. 

Ja ich weiss JS in Acroread ist per Default an.

Andreas

-- 
Don't you wish you had more energy... or less ambition?


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Dirk Salva]

On Tue, Apr 04, 2006 at 12:45:55PM +0200, Andreas Pakulat wrote:
> BTW: Ich weiss ja nicht um welches Plugin es Dirk ueberhaupt ging, aber
> hier ist nur dieses Search-Plugin installiert und Acrobat funktioniert
> praechtig.

Dateiname: nppdf.so
The Adobe Reader plugin is used to enable viewing of PDF and
FDF files from within the browser.

Das funktioniert nur noch, wenn man eine Version =<
acroread_7.0.1-0.2_i386 von Christian Marillat nimmt. Bei allen
späteren Versionen muß man das Paket mit dem
nach-Hause-telefonier-Problem mitinstallieren, sonst gibts ne
Fehlermeldung.


ciao, Dirk
-- 
|  Akkuschrauber Kaufberatung and AEG GSM stuff   |
|   Visit my homepage:   http://www.nutrimatic.ping.de/   |
| FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de |
|The "Ruhrgebiet", best place to live in Germany! |


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[Frank Evers]

Am Dienstag, 4. April 2006 12:20 schrieb Matthias Houdek:

>
> Netgear und ZyXEL ist schon ein wenig her und die Teile stehen auch
> nicht bei mir. Aber zumindest eine SPI (Stateful Paket Inspection)
> haben die auch gemacht.

Netgear GB834B:
Paketfilter mit SPI, rudimentäres NIDS mit email-Benachrichtigung, VPN 
Support mit IPSec oder PPTP, NAT und voll konfigurierbares 
Port-Forwarding, Zugriffskontrolle, Zeitsteuerung, Sperrmöglichkeit 
für Webseiten, komfortable Unterstützung für TrendMicro Produkte im 
Netzwerk, blah, blah...

Eigentlich nicht schlecht für ein SoHo-Produkt, aber ich denke mal das 
ist heute alles weitgehend Standard.

-- 
Gruß Frank

Re: Sicherheit vorm böse n Internet

[Jochen Schulz]

Matthias Houdek:
> Dienstag, 4. April 2006 09:10 - Jochen Schulz wrote:
> > Matthias Houdek:
> > >
> > > Die, die ich kenne, können mehr (Siemens, Netgear, Linksys, ZyXEL).
> >
> > Was denn?
> 
> z.B.:
> Siemens: SX541 
>  - gezieltes Port-Forwarding/Port-NAT an einzelne Hosts
>  - Port-Sperren nach Diensten, manuelle Angabe und auch noch 
> zeitgesteuert

Stimmt, die Zeitsteuerung hatte ich vergessen. Was ich mit "Firewall"
meinte war tatsächlich eine Checkbox mit entsprechender Beschriftung
ohne weitere Erklärung und Einstellungsmöglichkeiten. Außer
E-Mail-Benachricþtigung bei "Angriffen". Habe ich IIRC bei älteren
SMC-Boxen gesehen.

>  - DoS-Attacken-Abwehr (mit e-Mail-Benachrichtigung)

Da fragt man sich natürlich, wie er das macht, aber gut.

> Linksys: WRT54G
> Mein Liebling, da es hier komplette Linux-ISOs gibt, die man selbst 
> konfigurieren und aufspielen kann. ;-)

Hab ich hier auch. :) Nur schade, dass die CPU nicht für ordentlichen
Durchsatz mit OpenVPN reicht.


J.
-- 
When I am at nightclubs I enjoy looking at other people and assessing
their imagined problems.
[Agree]   [Disagree]
 


signature.asc
Description: Digital signature

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

[Matthias Houdek]

Hallo Gerhard Wolfstieg, hallo auch an alle anderen

Dienstag, 4. April 2006 13:50 - Gerhard Wolfstieg wrote:
> [...]
> Einspruch, nein! Zwei Sachen vorweg, bevor ich mich hier nicht mehr
> dazu äußere (höchsten noch als PM): wall und Wall haben den gleich
> Ursprung im Lateinischen. Ein endgültiges Urteil akzteptiere ich von
> einem Schriftsteller und Dichter, nicht von einem Wissenschaftler und
> wissenschaftlichen Erzeugnissen.

Interessant - diese Trennung von Literatur (Schriftsteller, Dichter) und 
Wissenschaft ;-)

> In einem kurzen Text, der in der Süddeutschen abgedruckt wurde, habe
> ich als einen Grundfehler bei der Rechtschreibreform beschrieben, wie
> eine mechanistische äußere Logik die innere Logik der Sprache
> verdrängt hat. Es gibt immer wieder Gegensätze zwischen denen gibt,
> die kreativ mit der Sprache umgehen und sorgsam wie den größten
> Schatz pflegen und Anderen. 

... oder besser: "als den größten Schatz pflegen" ?

Denn "wie" impliziert eine Gleichsetzung, was dem Superlativ "größten" 
widerspricht. *g*

> Dabei ziehen Schriftsteller und Dichter 
> wie Karl Kraus in der Regel den Kürzeren. Ihn wegen der
> Wirkungslosigkeit seines Eintretens zu verlachen, wie vor Kurzen in
> Medien geschehen, ist existentielle Dummheit. Da könnte man auch den
> zweiten Weltkrieg rechtfertigen, weil er es geschafft hat, sich zu
> entfalten, sich quasi durchzusetzen. 

entfalten = durchsetzen?

Letzlich ist er doch total gescheitert - oder?

> So führt mich die innere Logik über den gemeinsamen Ursprung zur
> direktesten semantisch korrekten Übersetzung, die Feuerwall lautet.

... womit du sämtlichen Wörterbüchern widersprichst.

Zum semantischen Ursprung: 
Im englischen Sprachgebrauch wird "wall" als Bezeichnung für Objekte 
verwendet, die in Latein "murus" genannt werden, von dem sich wiederum 
unser deutsches "Mauer" ableitet (weiblich)

Das lateinische "vallum" (das du hier ggf. als Ursprung für den 
deutschen "Wall" heranziehst) bezeichnet Schutzpfeiler (bzw. die 
Zwischenräume dazwischen -> inter vallum). 

Im Übrigen scheint es mir ohnehin vergebene Mühe zu sein, in der 
Verwendung des Geschlechts im Deutschen irgend eine Logik finden zu 
wollen (das Meer, die See und der Ozean).

> Die Unkenntnis des Wortes Feuerwall scheint die Ursache für den
> falschen Gebrauch der Mehrheit

Was soll denn ein "Feuerwall" sein? Ein Wall aus Feuer?

Die einzig korrekte Übersetzung aus dem Englischen "firewall" in 
deutsche lautet "Brand(schutz)mauer", was sogar nahezu wörtlich ist 
(fire -> Brand, Feuer und wall -> Wand, Mauer).

> -- und wiederholend:  der Begriff wurde 
> auch als "der Firewall" in die Fachsprache eingeführt (meines Wissens
> durch Microsoft); erst danach war eine Geschlechtsumwandlung zu
> beobachten. 

Noch ein Grund mehr, die weibliche Form zu verwenden ;-)

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: Sicherheit vorm bösen Internet

[Christian Frommeyer]

Am Dienstag 04 April 2006 12:38 schrieb Matthias Houdek:
> Es wird das verschlüsselte Passwort übertragen, aber (noch) nicht
> über eine gesicherte Verbindung. Mit Brute-Force-Attacke (der

Was wird denn anschließend noch weiter gesichert?

> Oder man schafft es, sich als Angreifer in den Datenfluss der
> Verbindung zwischenzuschalten und schickt beim nächsten
> Verbindungsaufbau seinen eigenen öffentlichen Schlüssel ... ;-)

So eine Attacke sollte aber auch bei PK-Auth möglich sein oder?

> Wenn jemand auf meiner Platte meinen privaten Schlüssel runterholen
> kann, habe ich schon ganz andere Probleme als das eines
> unauthorisierten SSH-Zugriffs (der ohnehin nie für root gestattet
> sein sollte).

Wenn das Dein Rechner in Deinen 4 Wänden ist ja. Wenn das aber z. B. Der 
Arbeitsplatzrechner o. ä. ist, gibt es immer schon ein paar Personen 
die das können. Und von deren Sicherheitsproblemen Dein Key dann evtl. 
auch betroffen ist (oh habe ich vergessen das paranoia-flag sichtbar zu 
setzen;))

Gruß Chris

-- 
A: because it distrupts the normal process of thought
Q: why is top posting frowned upon

Re: Sicherheit vorm bösen Internet

[Daniel Leidert]

Am Dienstag, den 04.04.2006, 16:02 +0200 schrieb Gebhard Dettmar:
> On Tuesday 04 April 2006 12:03, Felix M. Palmen wrote:
> > www.linkblock.de
> Das hatten wir doch schonmal. Wenn dir jemand erzählt, dass er sich auf 
> einer Seite der Humboldt-Uni einen Virus eingefangen hat (er geht davon 
> aus, dass der von der HU-Seite kam) - dann sagst du ihm erstmal, dass 
> das höchstwahrscheinlich nichts mit der Seite, auf der er war, sondern 
> mit offenen Ports zu tun hat. Wie gehts jetzt weiter? Empfiehlst du ihm 
> einen Portscan mit anschließender Abschaltung der Dienste, die er 
> sowieso alle nicht braucht? Stell unter Windows mal Dienste ab (da 
> hängt jeder von 5 weiteren ab, das ist nicht trivial, in Windows 
> Dienste abzustellen)

Das ist schlicht Unsinn. Es gibt sogar eine ausführliche Dokumentation
von Microsoft, was ein Dienst macht, wovon er abhängt und welche
Auswirkungen in Funktion und Abhängigkeit die Veränderung der Startart
hat. Das Abschalten der Dienste folgt einer von Microsoft selbst
herausgegebenen Empfehlung [1]! Also erzählt bitte nicht ständig, wie
schwer und unmöglich das doch ist. Zig Leute haben es hinbekommen (mit
Dank an Frank Kaune). MS selbst empfiehlt es. Und die D/PF-Fraktion
behauptet dennoch steif und fest das Gegenteil. Langsam wird's
lächerlich und OT sind wir eh schon.

[1] http://www.microsoft.com/germany/technet/datenbank/articles/900048.mspx
Kapitel Systemdienste

> oder - in Gottes Namen - eine PFW? Ersteres kriegt 
> der nie im Leben auf die Reihe, letzteres hätte bei all den 
> Schwachstellen, die sie haben (leak tests etc.), bei den ganzen 
> Würmern, die über offene Ports kamen (Lovsan/Blaster, Sasser) schon ne 
> Menge bewirkt.

"Eine Menge bewirkt" hätte, wenn MS seinen CDs die Rollup-CDs gleich
beigelegt hätte oder über Werbekanäle breitflächig über die Risiken
aufgeklärt hätte. Das fatale war, dass die Werbung dem Anwender
versprach: Ein Klick und sie sind online. Und die Realität schlug zu
mit: Ein Klick und ihr System ist kompromittiert. Der in XP integrierte
HBPF hätte aber schon Abhilfe geschafft. Da braucht es nicht ein
zweifelhaftes Stück Code.

> Also, würdest du dem sagen, dass ein löchriger Damm schlechter ist als 
> gar keiner?

Nenne mir mal bitte den Unterschied im Ergebnis. Richtig. In beiden
Fällen wird das Hinterland geflutet. Bei ersterem vielleicht langsamer,
aber trotzdem stetig. Assoziationen zum Thema Scheinsicherheit bieten
sich auch noch an. Aber das Thema wurde in zig Beispielen und
Gegenbeispielen durchgekaut, so dass ich mir dass einfach mal spare.

MfG Daniel,
der dir das aus nä. Nähe aus Dresden schildern kann

Re: Sicherheit vorm bösen Internet

[Frank Terbeck]

Felix M. Palmen <[EMAIL PROTECTED]>:
> Hallo Gebhard,
> 
> * Gebhard Dettmar <[EMAIL PROTECTED]> [20060404 16:02]:
> > On Tuesday 04 April 2006 12:03, Felix M. Palmen wrote:
> > > www.linkblock.de
> > Das hatten wir doch schonmal.
> *snip*
> > Dienste abzustellen) oder - in Gottes Namen - eine PFW? Ersteres kriegt 
> 
> Dummschwall, Windows hat einen einwandfrei arbeitenden Paketfilter an
> Bord. Unnötige Dienste abschalten ist /trotzdem/ eine gute Idee,
> Dokumentation (oder gar Scripts, wenn man denen vertrauen will) gibt es
> genügend.

ACK.



Der Sourcecode dafür ist dabei, wer also dem fertigen Program nicht
trauen will, der kann sich durch den Code wühlen und anschliessend
selbst mit dem Bau beginnen.

Gruss, Frank


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Matthias,

* Matthias Houdek <[EMAIL PROTECTED]> [20060404 13:31]:
> Ist eine Man-in-the-Middle-Attacke oder ein Auspionieren mittels 
> DNS-Spoofing sooo unrealistisch? 

In Zusammenhang mit geklautem Host-Key: Ja.

> Wieviele User fallen täglich auf Phishing-Attacken herein? Doch 
> offensichtlich so viele, dass es sich lohnt.

Das fällt in die gleiche Kategorie wie Host-Key Warnung gedankenlos
wegklicken. Wer sowas tut, dem ist nicht zu helfen, auch nicht mit noch
so vielen technischen Maßnahmen.

Als es an der Uni Kalrsruhe zu einem "Hackereinbruch" kam fand man bei
der folgenden Analyse eine sehr große Menge unverschlüsselter
SSH-private-keys. Gegen Blödheit ist eben kein Kraut gewachsen.

Nichtsdestotrotz: SSH lässt sich so einstellen, dass es im Fall eines
"falschen" Hostkey nicht verbindet solange man diesen nicht /von Hand/
löscht. Ein Versehen ist damit sehr sicher auszuschließen.

> Aber zurück zum Thema: Shared Keys sind einfach mal sicherer und daher 
> zu bevorzugen - da sind wir uns doch sicher einig.

Ja. Aber vor Blödheit sind die auch nicht sicher, siehe Beispiel oben.
Und wer mit der Passwort-Authentifizierung richtig umgeht riskiert damit
in der Praxis auch nicht wirklich etwas.

Grüße, Felix

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Gebhard,

* Gebhard Dettmar <[EMAIL PROTECTED]> [20060404 16:02]:
> On Tuesday 04 April 2006 12:03, Felix M. Palmen wrote:
> > www.linkblock.de
> Das hatten wir doch schonmal.
*snip*
> Dienste abzustellen) oder - in Gottes Namen - eine PFW? Ersteres kriegt 

Dummschwall, Windows hat einen einwandfrei arbeitenden Paketfilter an
Bord. Unnötige Dienste abschalten ist /trotzdem/ eine gute Idee,
Dokumentation (oder gar Scripts, wenn man denen vertrauen will) gibt es
genügend.

> Also, würdest du dem sagen, dass ein löchriger Damm schlechter ist als 
> gar keiner?

Lass den stereotypen Blödsinn bitte zuhause.

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bösen Internet

[Frank Lanitz]

Am Dienstag 04 April 2006 16:02 schrieb Gebhard Dettmar:
> Das hatten wir doch schonmal. Wenn dir jemand erzählt, dass er sich auf
> einer Seite der Humboldt-Uni einen Virus eingefangen hat (er geht davon
[...]
> Würmern, die über offene Ports kamen (Lovsan/Blaster, Sasser) schon ne
> Menge bewirkt.
> Also, würdest du dem sagen, dass ein löchriger Damm schlechter ist als
> gar keiner?

Das Problem an der Sache ist halt eben nur, dass er sich dann mit hoher 
Wahrscheinlichkeit auf die PFW verlässt und /dev/brain ausschaltet. 

Denke EoT, oder? 
aber wobei. Habe noch keinen NAZI-Vergleich gelesen  
-- 
Ich habe meiner besten Freundin viel Geld für eine kosmetische
Operation geliehen. Nun würde ich es gerne wiederhaben, aber ich weiß
nicht, wie sie aussieht...

Re: Sicherheit vorm bösen Internet

[Gebhard Dettmar]

On Tuesday 04 April 2006 12:03, Felix M. Palmen wrote:
> www.linkblock.de
Das hatten wir doch schonmal. Wenn dir jemand erzählt, dass er sich auf 
einer Seite der Humboldt-Uni einen Virus eingefangen hat (er geht davon 
aus, dass der von der HU-Seite kam) - dann sagst du ihm erstmal, dass 
das höchstwahrscheinlich nichts mit der Seite, auf der er war, sondern 
mit offenen Ports zu tun hat. Wie gehts jetzt weiter? Empfiehlst du ihm 
einen Portscan mit anschließender Abschaltung der Dienste, die er 
sowieso alle nicht braucht? Stell unter Windows mal Dienste ab (da 
hängt jeder von 5 weiteren ab, das ist nicht trivial, in Windows 
Dienste abzustellen) oder - in Gottes Namen - eine PFW? Ersteres kriegt 
der nie im Leben auf die Reihe, letzteres hätte bei all den 
Schwachstellen, die sie haben (leak tests etc.), bei den ganzen 
Würmern, die über offene Ports kamen (Lovsan/Blaster, Sasser) schon ne 
Menge bewirkt.
Also, würdest du dem sagen, dass ein löchriger Damm schlechter ist als 
gar keiner?
Gruß Gebhard


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[Matthias Houdek]

Hallo Andreas Pakulat, hallo auch an alle anderen

Dienstag, 4. April 2006 13:27 - Andreas Pakulat wrote:
> On 04.04.06 09:11:27, Matthias Houdek wrote:
> > Mit verteilten Schlüsseln erhält der Client vorab einen vom Server
> > generierten Schlüssel (nicht über das Netzwerk, sondern z.B. über
> > einen USB-Stick oder zur Not auch mit einer (verschlüsselten?)
> > Mail).
>
> Bin ich jetzt bloed, oder ist das falschrum formuliert? Das
> public/private Key-Paar wird doch wohl auf dem ssh-client erzeugt und
> der public-Key wird dann auf den ssh-Server uebertragen. Damit
> erlaubt der Server den Login mittels des private-Key der zu dem
> abgelegten public-Key gehoert.

Fipptehler. :-/

Ist ja auch logisch, der Client muss seine Authenzität am Server 
nachweisen. Also braucht der Server den Public-Key, um diese prüfen zu 
können.

<Ätsch-Modus>
Ganz sauber formulierst du aber auch nicht:
Der Server prüft nicht mittels des Private-Key (den wird er nie zu 
Gesicht bekommen), sondern mittels eines auf dem Client per Private-Key 
verschlüsselten Wertes, den der Server mittels des bekannten Public-Key 
des Clients verifizieren kann.


-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: [OT] Firewall (was: Re: Sicherheit vorm bös en Internet)

[Gerhard Wolfstieg]

 Frank Evers  am Tue, 4 Apr 2006 13:01:43 +0200:
> Am Dienstag, 4. April 2006 11:33 schrieb Gebhard Dettmar:
> 
> > Das trifft Gerhards Punkt jetzt aber überhaupt nicht. Der fordert
> > nicht die Vermeidung von Anglizismen sondern die Einhaltung
> > deutscher Genusregeln für englische Begriffe. Ich hab das auch mal
> > probiert und in einem Artikel über Logfile-Analyse ständig von "dem
> > URL" gesprochen, weil Locator ja wohl maskulin ist - ich habs dann
> > irgendwann aufgegeben, aber im Prinzip hat er recht, da beißt die
> > Maus keinen Faden ab.
> 
> Na dann soll er es aber auch richtig machen. Entweder er entschließt 
> sich den Begriff korrekt zu übersetzen (DIE Brandmauer), verwendet 
> den englischen Begriff direkt und übernimmt den Artikel entsprechend 
> (DAS Firewall, denn firewall ist im Englischen neutrum), oder er 
> aktzeptiert Firewall als neues (deutsches) Lehnwort mit dem Artikel 
> den der Volksmund ihm verpasst hat (DIE Firewall).

Einspruch, nein! Zwei Sachen vorweg, bevor ich mich hier nicht mehr dazu
äußere (höchsten noch als PM): wall und Wall haben den gleich Ursprung
im Lateinischen. Ein endgültiges Urteil akzteptiere ich von einem
Schriftsteller und Dichter, nicht von einem Wissenschaftler und
wissenschaftlichen Erzeugnissen.

In einem kurzen Text, der in der Süddeutschen abgedruckt wurde, habe ich
als einen Grundfehler bei der Rechtschreibreform beschrieben, wie eine
mechanistische äußere Logik die innere Logik der Sprache verdrängt hat.
Es gibt immer wieder Gegensätze zwischen denen gibt, die kreativ mit der
Sprache umgehen und sorgsam wie den größten Schatz pflegen und Anderen.
Dabei ziehen Schriftsteller und Dichter wie Karl Kraus in der Regel den
Kürzeren. Ihn wegen der Wirkungslosigkeit seines Eintretens zu
verlachen, wie vor Kurzen in Medien geschehen, ist existentielle
Dummheit. Da könnte man auch den zweiten Weltkrieg rechtfertigen, weil
er es geschafft hat, sich zu entfalten, sich quasi durchzusetzen.
  So führt mich die innere Logik über den gemeinsamen Ursprung zur
direktesten semantisch korrekten Übersetzung, die Feuerwall lautet. Die
Unkenntnis des Wortes Feuerwall scheint die Ursache für den falschen
Gebrauch der Mehrheit -- und wiederholend:  der Begriff wurde auch als
"der Firewall" in die Fachsprache eingeführt (meines Wissens durch
Microsoft); erst danach war eine Geschlechtsumwandlung zu beobachten.

 Gerhard

Re: Sicherheit vorm bösen Internet

[Matthias Houdek]

Hallo Felix M. Palmen, hallo auch an alle anderen

Dienstag, 4. April 2006 13:12 - Felix M. Palmen wrote:
> Hallo Matthias,
>
> * Matthias Houdek <[EMAIL PROTECTED]> [20060404 12:42]:
> > Da das Passwort übertragen wird, kann ich es auch technisch
> > ausspionieren. Brute-Force ist sicher eine Möglichkeit, aber nicht
> > die einzige. (Siehe meine andere Mail)
>
> Natürlich gibt es andere, bspw. einen geklauten Host-Key +
> DNS-Spoofing. Ich schrieb ja auch das einzige /realistische/
> Angriffsszenario.

Ist eine Man-in-the-Middle-Attacke oder ein Auspionieren mittels 
DNS-Spoofing sooo unrealistisch? 
Wieviele User fallen täglich auf Phishing-Attacken herein? Doch 
offensichtlich so viele, dass es sich lohnt. 

Aber zurück zum Thema: Shared Keys sind einfach mal sicherer und daher 
zu bevorzugen - da sind wir uns doch sicher einig.

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

[Matthias Houdek]

Hallo Frank Evers, hallo auch an alle anderen

Dienstag, 4. April 2006 13:01 - Frank Evers wrote:
> Am Dienstag, 4. April 2006 11:33 schrieb Gebhard Dettmar:
> > Das trifft Gerhards Punkt jetzt aber überhaupt nicht. Der fordert
> > nicht die Vermeidung von Anglizismen sondern die Einhaltung
> > deutscher Genusregeln für englische Begriffe. Ich hab das auch mal
> > probiert und in einem Artikel über Logfile-Analyse ständig von "dem
> > URL" gesprochen, weil Locator ja wohl maskulin ist - ich habs dann
> > irgendwann aufgegeben, aber im Prinzip hat er recht, da beißt die
> > Maus keinen Faden ab.
>
> Na dann soll er es aber auch richtig machen. Entweder er entschließt
> sich den Begriff korrekt zu übersetzen (DIE Brandmauer), verwendet
> den englischen Begriff direkt und übernimmt den Artikel entsprechend
> (DAS Firewall, denn firewall ist im Englischen neutrum), oder er
> aktzeptiert Firewall als neues (deutsches) Lehnwort mit dem Artikel
> den der Volksmund ihm verpasst hat (DIE Firewall).

Der Duden sagt: die Firewall (auch: der ~) aus dem Englischen wörtlich: 
Brandmauer

Die weibliche Form ist also klar favorisiert, die männliche Form ist 
möglich und rührt offensichtlich aus der (sachlichen falschen) 
Übernahme des Genus vom deutschen Wort "Wall", das mit dem englischen 
Wort "wall" nix zu tun hat.

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: Sicherheit vorm böse n Internet

[Andreas Pakulat]

On 04.04.06 09:11:27, Matthias Houdek wrote:
> Mit verteilten Schlüsseln erhält der Client vorab einen vom Server 
> generierten Schlüssel (nicht über das Netzwerk, sondern z.B. über einen 
> USB-Stick oder zur Not auch mit einer (verschlüsselten?) Mail).

Bin ich jetzt bloed, oder ist das falschrum formuliert? Das
public/private Key-Paar wird doch wohl auf dem ssh-client erzeugt und
der public-Key wird dann auf den ssh-Server uebertragen. Damit erlaubt
der Server den Login mittels des private-Key der zu dem abgelegten
public-Key gehoert.

Andreas

-- 
You look tired.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[niels jende]

Felix M. Palmen schrieb:
> Hallo Matthias,
>
> * Matthias Houdek <[EMAIL PROTECTED]> [20060404 12:42]:
>   
>> Da das Passwort übertragen wird, kann ich es auch technisch 
>> ausspionieren. Brute-Force ist sicher eine Möglichkeit, aber nicht die 
>> einzige. (Siehe meine andere Mail)
>> 
>
> Natürlich gibt es andere, bspw. einen geklauten Host-Key +
> DNS-Spoofing. Ich schrieb ja auch das einzige /realistische/
> Angriffsszenario.
>
>   
Eine Windose auszuhebeln mit und oder ohne FW od PFW ist nach meinem
derzeitigen Wissensstand leichter als einen Käsekuchen backen! Explizit
dann, wenn man davon ausgehen kann und darf das der gewöhnliche Anwender
ohnehin keine Securitypatches in sein W$ einpflegt! Man betrachte nur
mal all die Exploits zum IE der letzen 12 Monate (s.eeyesecurity /
www.eeye.com) oder andere Exploits! Für ein Scriptkiddie ist das eine
förmliche Einladung zur Sabotage! Zur Not nimmt man das Tool von Mixter
(TFN2K) für eine brachiale DDOS Attacke, bastelt dann einen positiven
Trojaner und wir haben fertig!
Die größte Gefahr bei den firewalls ist doch, dass der User i.d.R. die
Werte alle brav auf den Defaults lässt!
Und Tschüss
Niels


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [OT] Sprachwandel (was: Firewall (was: Re: Sicherheit vorm

[Andre Berger]

bösen Internet))
Reply-To:
In-Reply-To: <[EMAIL PROTECTED]>
X-GPG-Fingerprint: 6991 DFD7 5BED A877 779F  F7DE 9A56 EBBE 7FB4 C1A3
X-GPG-Key: 0x7FB4C1A3 : "http://www.keyserver.net";
Mail-Copies-To: nobody

* Gebhard Dettmar (2006-04-04):
> On Tuesday 04 April 2006 02:12, Andre Berger wrote:
> > * Gerhard Wolfstieg (2006-04-03):
> > > [...]
> >
> > Zwar sprechen das Flugzeug und der Computer Englisch. Ich bin aber
> > gern zu Kompromissen bereit, wenn der Feuerwall ein gutes Schild vom
> > Computer bleibt. Weil wenn er nicht die richtigen Haefen blockiert,
> > werden die Viren gedownloadet und dann hat man geloost.
> >
> > SCNR,
> >
> Das trifft Gerhards Punkt jetzt aber überhaupt nicht. Der fordert nicht 
> die Vermeidung von Anglizismen sondern die Einhaltung deutscher 
> Genusregeln für englische Begriffe. Ich hab das auch mal probiert und in 
> einem Artikel über Logfile-Analyse ständig von "dem URL" gesprochen, weil 
> Locator ja wohl maskulin ist - ich habs dann irgendwann aufgegeben, aber 
> im Prinzip hat er recht, da beißt die Maus keinen Faden ab.

"Firewall" ist genauso eine Metapher wie der von Gerhard
vorgeschlagene "Feuerwall". Es ist selbstverstaendlich in Ordnung,
seine eigene Interpretation einzubringen, die auf die gemeinsamen
Sprachwurzeln abhebt. Die eigene Metapher dann aber gegen den
ueblichen Sprachgebrauch sowohl im Englischen als auch im Deutschen
als Norm durchsetzen zu wollen, ist ein Kampf gegen Windmuehlen.

Mir persoenlich straeuben sich immer die Nackenhaare bei
"gedownloadet" -- es muss aus systematischen Gruenden natuerlich
"downgeloadet" heissen!

-Andre


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

[Matthias Houdek]

Hallo Gerhard Wolfstieg, hallo auch an alle anderen

Dienstag, 4. April 2006 12:41 - Gerhard Wolfstieg wrote:
>  Felix M. Palmen  am Tue, 4 Apr 2006 12:05:09 +0200:
> > Wall heißt immer noch Wand. Und wenn eine Wand irgendwann nicht
> > mehr weiblich sein sollte, dann hat Gerhard recht, vorher sicher
> > nicht.
>
> Dann haben wir es:  wie übersetzt Du (ins Englische) Wall?

rampart, parapet

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Matthias,

* Matthias Houdek <[EMAIL PROTECTED]> [20060404 12:42]:
> Da das Passwort übertragen wird, kann ich es auch technisch 
> ausspionieren. Brute-Force ist sicher eine Möglichkeit, aber nicht die 
> einzige. (Siehe meine andere Mail)

Natürlich gibt es andere, bspw. einen geklauten Host-Key +
DNS-Spoofing. Ich schrieb ja auch das einzige /realistische/
Angriffsszenario.

Grüße, Felix

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bösen Internet

[Frank Evers]

Am Dienstag, 4. April 2006 10:08 schrieb Christian Frommeyer:

>
> Richtig. Auf der anderen Seite ist ein Passwort, das nur im
> Gedächtnis gespeichert ist auch sicherer vor unbefugtem Zugriff
> geschützt als ein Schlüssel auf Platte.

deshalb schützt du ja auch deinen Schlüssel mit einer Passphrase ;)

-- 
Gruß Frank

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

[Frank Evers]

Am Dienstag, 4. April 2006 11:33 schrieb Gebhard Dettmar:

> Das trifft Gerhards Punkt jetzt aber überhaupt nicht. Der fordert
> nicht die Vermeidung von Anglizismen sondern die Einhaltung
> deutscher Genusregeln für englische Begriffe. Ich hab das auch mal
> probiert und in einem Artikel über Logfile-Analyse ständig von "dem
> URL" gesprochen, weil Locator ja wohl maskulin ist - ich habs dann
> irgendwann aufgegeben, aber im Prinzip hat er recht, da beißt die
> Maus keinen Faden ab.

Na dann soll er es aber auch richtig machen. Entweder er entschließt 
sich den Begriff korrekt zu übersetzen (DIE Brandmauer), verwendet 
den englischen Begriff direkt und übernimmt den Artikel entsprechend 
(DAS Firewall, denn firewall ist im Englischen neutrum), oder er 
aktzeptiert Firewall als neues (deutsches) Lehnwort mit dem Artikel 
den der Volksmund ihm verpasst hat (DIE Firewall).

-- 
Gruß Frank

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

[Frank Evers]

Am Dienstag, 4. April 2006 12:41 schrieb Gerhard Wolfstieg:
>  Felix M. Palmen  am Tue, 4 Apr 2006 12:05:09 +0200:
> > Wall heißt immer noch Wand. Und wenn eine Wand irgendwann nicht
> > mehr weiblich sein sollte, dann hat Gerhard recht, vorher sicher
> > nicht.
>
> Dann haben wir es:  wie übersetzt Du (ins Englische) Wall?

alternativ auch mound oder barrier, je nach Art des Walls.

-- 
Gruß Frank

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

[Frank Evers]

Am Dienstag, 4. April 2006 12:41 schrieb Gerhard Wolfstieg:
>  Felix M. Palmen  am Tue, 4 Apr 2006 12:05:09 +0200:
> > Wall heißt immer noch Wand. Und wenn eine Wand irgendwann nicht
> > mehr weiblich sein sollte, dann hat Gerhard recht, vorher sicher
> > nicht.
>
> Dann haben wir es:  wie übersetzt Du (ins Englische) Wall?

rampart

-- 
Gruß Frank

Re: Sicherheit vorm böse n Internet

[Andreas Pakulat]

On 04.04.06 08:44:04, Christian Frommeyer wrote:
> Am Montag 03 April 2006 23:38 schrieb Andreas Pakulat:
> > Mir ist noch nicht viel untergekommen was nicht mit xpdf und Co zu
> > lesen war. Drucken tue ich sowas eh selten.
> 
> Mir leider schon (viel Zeug von der Uni). Drucken ist dann immer noch ne 
> größere Herausforderung.

Hmm, noe von der Uni gibts entweder ppt, oder vernuenftige pdf's - naja
Ausnahmen bestaetigen die Regel.

Ich wollte grad noch anfuehren dass ich auch so ein PDF fuer eine VL
habe, aber nun wo ich nachschaue geht da jetzt auch alles.. (IIRC waren
irgendwelche Zeichnungen total "kaputt")

BTW: Ich weiss ja nicht um welches Plugin es Dirk ueberhaupt ging, aber
hier ist nur dieses Search-Plugin installiert und Acrobat funktioniert
praechtig.

Andreas

-- 
You're working under a slight handicap.  You happen to be human.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Sicherheit vorm bösen Internet

[Matthias Houdek]

Hallo Christian Frommeyer, hallo auch an alle anderen

Dienstag, 4. April 2006 10:08 - Christian Frommeyer wrote:
> Am Dienstag 04 April 2006 09:11 schrieb Matthias Houdek:
> > Beim Passwort-Dialog wird ein Passwort übertragen, bevor die
> > eigentlich gesicherte Verbindung steht.
>
> Ja, aber nur von der Tastatur zum SSH-Client. Ob das schlimmer ist,
> als beim privaten Schlüssel, der von der Platte zum SSH-Client geht
> wage ich zu bezweifeln. (Außer bei Funktastaturen...)

Es wird das verschlüsselte Passwort übertragen, aber (noch) nicht über 
eine gesicherte Verbindung. Mit Brute-Force-Attacke (der öffentliche 
Schlüssel des Servers wird mir ja übertragen ;-) hat man hier beste 
Angriffsmöglichkeiten.
Oder man schafft es, sich als Angreifer in den Datenfluss der Verbindung 
zwischenzuschalten und schickt beim nächsten Verbindungsaufbau seinen 
eigenen öffentlichen Schlüssel ... ;-) 
Mal ehrlich, wer prüft schon, ob der beim Verbindungsaufbau angezeigte 
auch wirklich der echte ist? Die meisten werden wahrscheinlich nicht 
mal stutzig, wenn sie bei einem späteren Verbindungsaufbau erneut 
gefragt werden.

> > Zusätzlich sind Passwörter
> > gemein hin nicht so komplex wie ein RSA oder DSA-Schlüssel (man
> > will sie ja auch halbwegs bequem tippen können ;-).
>
> Richtig. Auf der anderen Seite ist ein Passwort, das nur im
> Gedächtnis gespeichert ist auch sicherer vor unbefugtem Zugriff
> geschützt als ein Schlüssel auf Platte.

Wenn jemand auf meiner Platte meinen privaten Schlüssel runterholen 
kann, habe ich schon ganz andere Probleme als das eines 
unauthorisierten SSH-Zugriffs (der ohnehin nie für root gestattet sein 
sollte).

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: Sicherheit vorm bösen Internet

[Matthias Houdek]

Hallo Felix M. Palmen, hallo auch an alle anderen

Dienstag, 4. April 2006 10:19 - Felix M. Palmen wrote:
> Hallo Matthias,
>
> * Matthias Houdek <[EMAIL PROTECTED]> [20060404 09:11]:
> [SSH]
>
> > Beim Passwort-Dialog wird ein Passwort übertragen, bevor die
> > eigentlich gesicherte Verbindung steht.
>
> Das ist so nicht richtig oder zumindest irreführend formuliert: Das
> Passwort wird bei SSH selbstverständlich "sicher" (verschlüsselt)
> übertragen.

Ja. (Siehe meine andere Mail)

> > Zusätzlich sind Passwörter gemein hin
> > nicht so komplex wie ein RSA oder DSA-Schlüssel (man will sie ja
> > auch halbwegs bequem tippen können ;-).
>
> Das hingegen ist richtig, trifft aber nicht den Kern der Sache. Beim
> Public-Key Verfahren wird der private Schlüssel nämlich NIE
> übertragen, so dass selbst wenn es jemand schaffen sollte, die
> Verbindung mitzuhören, er immer noch nichts davon hat.

ACK.
Mir ging es hier auch um das "Erraten" - was bei RSA/DSA-Schlüsseln wohl 
praktisch unmöglich sein sollte. Bei Passwörtern klappt ja meist 
schon "Sozial Hacking" aus ("Hast du nicht einen neuen Hund - oh, süß - 
und wie heißt der?" *g*)

> Das einzig realistische Angriffsszenario gegen SSH mit Passwörtern
> ist allerdings stupides Brute-Force. Mit gut gewählten Passwörtern,
> Verbot von Passwort-Authentifikation für privilegierte Accounts sowie
> eventuell einer geeigneten Paketfilterkonfiguration, die die Anzahl
> der neuen Verbindungen pro Zeit zum SSHD beschränkt hat man mehr als
> genug möglichkeiten, sich wirksam vor Brute-Force zu schützen. Die
> erstgenannte ist natürlich die wichtigste und normalerweise schon
> völlig ausreichend.

Da das Passwort übertragen wird, kann ich es auch technisch 
ausspionieren. Brute-Force ist sicher eine Möglichkeit, aber nicht die 
einzige. (Siehe meine andere Mail)

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: [OT] Firewall (was: Re: Sicherheit vorm bös en Internet)

[Gerhard Wolfstieg]

 Felix M. Palmen  am Tue, 4 Apr 2006 12:05:09 +0200:
> Wall heißt immer noch Wand. Und wenn eine Wand irgendwann nicht mehr
> weiblich sein sollte, dann hat Gerhard recht, vorher sicher nicht.

Dann haben wir es:  wie übersetzt Du (ins Englische) Wall?

 Gruß,  Gerhard

Re: Sicherheit vorm bösen Internet

[Matthias Houdek]

Hallo Jochen Schulz, hallo auch an alle anderen

Dienstag, 4. April 2006 09:10 - Jochen Schulz wrote:
> Matthias Houdek:
> > Montag, 3. April 2006 11:57 - Jochen Schulz wrote:
> > > Nach dem, was ich mir bisher so angeschaut habe (ist nicht viel
> > > und es gibt genug Leute, die sich mit sowas besser auskennen),
> > > versteckt sich hinter diesen Firewallfunktionen nur Unsinn, zB
> > > ein "Stealthmodus", der dann ICMP komplett abschaltet. Und
> > > Contentfilter sind manchmal dabei, für besorgte Eltern.
> >
> > Die, die ich kenne, können mehr (Siemens, Netgear, Linksys, ZyXEL).
>
> Was denn?

z.B.:
Siemens: SX541 
 - gezieltes Port-Forwarding/Port-NAT an einzelne Hosts
 - Port-Sperren nach Diensten, manuelle Angabe und auch noch 
zeitgesteuert
 - DoS-Attacken-Abwehr (mit e-Mail-Benachrichtigung)

Linksys: WRT54G
Mein Liebling, da es hier komplette Linux-ISOs gibt, die man selbst 
konfigurieren und aufspielen kann. ;-)
Da gibt es fast nix, was das Teil nicht kann (so es in den Speicher 
passt).

Netgear und ZyXEL ist schon ein wenig her und die Teile stehen auch 
nicht bei mir. Aber zumindest eine SPI (Stateful Paket Inspection) 
haben die auch gemacht.

-- 
Gruß
MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Re: [OT] Firewall (was: Re : Sicherheit vorm bösen Internet)

[Felix M. Palmen]

Hallo Gebhard,

* Gebhard Dettmar <[EMAIL PROTECTED]> [20060404 11:33]:
> Das trifft Gerhards Punkt jetzt aber überhaupt nicht. Der fordert nicht 
> die Vermeidung von Anglizismen sondern die Einhaltung deutscher 
> Genusregeln für englische Begriffe. Ich hab das auch mal probiert und in 
> einem Artikel über Logfile-Analyse ständig von "dem URL" gesprochen, weil 
> Locator ja wohl maskulin ist - ich habs dann irgendwann aufgegeben, aber 
> im Prinzip hat er recht, da beißt die Maus keinen Faden ab.

Wall heißt immer noch Wand. Und wenn eine Wand irgendwann nicht mehr
weiblich sein sollte, dann hat Gerhard recht, vorher sicher nicht.

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Gebhard,

* Gebhard Dettmar <[EMAIL PROTECTED]> [20060404 11:33]:
> On Monday 03 April 2006 23:37, Felix M. Palmen wrote:
> > So groß wie bei jedem anderen Sicherheitsloch in Software mit
> > Admin-Rechten auch. Konkrete Bugs findest du mit Tante Gurgel.
> >
> Na gut, das hat man immer.

Es sei denn, man lässt völlig sinnfreie Software, die Admin-Rechte
braucht, einfach weg.

> Generell fahren Leute, die noch nie den String 
> TCP/IP gehört haben, mit PFW (wenn's nicht grade die aus SP2 ist, also 
> z.B. Kerio) besser als ohne
  ^^
Bitte was?

Verstandan hast du leider noch nicht viel. -> www.linkblock.de

> > PS: Ja, ich habe jetzt wirklich NOCH einmal den unterschied zwischen
> > (r)eply und (f)ollowup gelernt. Nochmal sorry an alle, die unsinnige
> > off-list Mails von mir bekommen haben.
> 
> Na ich aber nicht. Überschreibt f'up jetzt reply oder nicht? Wenn nicht, 
> versteh ich nicht wozu es gut sein soll

Followup (im Mail-Kontext auch list-reply genannt) geht an die Liste.
Reply nur an den Autor.

Mit Mailern, die kein List-reply/Followup kennen, erreicht man das
gewünschte Ergebnis durch Group-Reply und händisches Entfernen des
Autors aus der Adressatenliste.

Grüße, Felix

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bösen Internet

[Frank Lanitz]

Am Dienstag 04 April 2006 11:53 schrieb Jochen Schulz:
> Matthias Houdek:
> > Zusätzliche Software, die mit Adminrechten läuft, birgt die Möglichkeit
> > zusätzlicher Lücken. Und wenn diese Software obendrein nix anderes
> > macht als das, was das OS schon selbst kann, ist sie überflüssig.
> > Auch Windows hat einen integrierten Paketfilter. Und man kann auch unter
> > Windows alle nicht gewollten Dienste abschalten. Damit ist Windows von
> > Außen genau so zu wie jedes andere OS. Und man hat Geld gespart.
>
> ACK. Man kann wohl auch davon ausgehen, dass der TCP/IP-Stack von
> Windows von deutlich mehr Leuten nach Schwachstellen durchsucht wurde
> (ob nun authorisiert oder nicht), als das bei den vielen Personal
> Firewalls der Fall ist. Insofern ist wohl anzunehmen, dass die in
> Windows integrierte Software sogar sicherer ist, als die von
> Drittanbietern. Aber da sich keiner der Beteiligten in die Karten
> schauen lässt, bleibt das Spekulation.

Ich würde weder den einen noch den anderen vertrauen :) 

Frank
-- 
Benutzerfreundlichkeit, einfache Installation und lesbare
Fehlermeldungen mit Erklärungen und Vorgehensvorschlägen sind in der
Informatik immer noch wie der Yeti im Himalaja: Gerüchten zu folge
soll es sie geben."

Re: Sicherheit vorm böse n Internet

[Jochen Schulz]

Matthias Houdek:
> Montag, 3. April 2006 12:10 - Thorsten Haude wrote:
> > * Matthias Houdek wrote (2006-04-03 09:06):
> >
> > >Das, was unter Windows als sog. "Personal Firewall" angeboten wird
> > >(egal, von welchem Hersteller), macht wenig Sinn.
> >
> > Das liest man öfter, ist aber für mich nicht verständlich. 
> 
> Zusätzliche Software, die mit Adminrechten läuft, birgt die Möglichkeit 
> zusätzlicher Lücken. Und wenn diese Software obendrein nix anderes 
> macht als das, was das OS schon selbst kann, ist sie überflüssig. 
> Auch Windows hat einen integrierten Paketfilter. Und man kann auch unter 
> Windows alle nicht gewollten Dienste abschalten. Damit ist Windows von 
> Außen genau so zu wie jedes andere OS. Und man hat Geld gespart.

ACK. Man kann wohl auch davon ausgehen, dass der TCP/IP-Stack von
Windows von deutlich mehr Leuten nach Schwachstellen durchsucht wurde
(ob nun authorisiert oder nicht), als das bei den vielen Personal
Firewalls der Fall ist. Insofern ist wohl anzunehmen, dass die in
Windows integrierte Software sogar sicherer ist, als die von
Drittanbietern. Aber da sich keiner der Beteiligten in die Karten
schauen lässt, bleibt das Spekulation.

J.
-- 
People talking a foreign language are romantic and mysterious.
[Agree]   [Disagree]
 


signature.asc
Description: Digital signature

Re: Sicherheit vorm böse n Internet

[Jochen Schulz]

Gerhard Wolfstieg:
>  Jochen Schulz  am Mon, 3 Apr 2006 16:37:41 +0200:
>
> > Wenn Du nicht-vertrauenswürdige Software einsetzt, kann Dich keine
> > Software der Welt davor schützen. [Anm. d. Verfassers: ausgenommen mal
> > Virtualisierungssoftware]
> 
> wir könnten uns darauf einigen:  wenn es nur noch Linux gibt, hat sich
> das Thema von selbst erledigt. 

:->

Da steckt die Zunge aber feste in der Backe.

>   Das Attribut 'vertrauenswürdig' ist m. E. auf Software und Zertifikate
> für Software nicht anwendbar oder schlimmer eine böse Vernebelung.

Jein. Eine ernstzunehmende Vertrauenskette auszubauen, ist in der Tat
schwierig. Aktuell hat man da entweder die Möglichkeit, einer CA wie
Verisign zu vertrauen (die auch schon gezeigt hat, dass das nicht immer
gut klappt), oder ein Web of Trust zu benutzen, wie Debian es seit
einiger Zeit auch tut (und dabei ebenfalls Schwierigkeiten hat, siehe
Schlüsselwechsel und Userschulung). Das Web of Trust ist mir im Prinzip
lieber, weil ich mir da meine "Freunde" besser selbst aussuchen kann.

Da aber überhaupt hineinzukommen, um nicht erst über zwölf Ecken einen
Key bestätigt zu bekommen, ist aber auch nicht für jeden einfach. Ich
selbst stecke zB schon recht gut im WoT, aber die meisten Debian
Developer sind für mich auch "zu weit weg", als dass ich deren
Signaturen ausreichend zuverlässig prüfen könnte.

> Unter Windows benutze ich eine Freeware namens Tiny Personal Firewall,
> die genau ihren Zweck erfüllt: sie zeigt mir zuverlässig, wenn bekannte
   ^^^
> Normaloprogramme irgendwelche Daten übermitteln wollen.

Auch wenn ich Dir glaube, dass Dir das Programm schon konkret geholfen
hat, stimmt das mit dem "zuverlässig" leider eben nicht. (Ich weiß, dass
ich mich wiederhole:-))

> [...] Aber wie geschrieben, ganz normale Anwendungsprogramme verhalten
> sich immer "ungezogener" bis unverschämter bezüglich des Umgangs mit
> meinen Daten und der Einschränkung meiner Souveränität über mein
> Eigentum.

Da gebe ich Dir vollkommen Recht. Der Fall Sony hat deutlich gezeigt,
das Softwareanbieter sich unter Umständen einen Dreck um die Rechte der
Nutzer scheren. IMHO wurde da schon die Grenze zur kriminellen Energie
überschritten.

Diese Aufkündigung der Waffenruhe (jaaa, Polemik) zeigt aber gerade,
dass man sich eben nicht auf gutmütige Harmlosigkeit von Schadfunktionen
verlassen kann. Um es auf die Spitze zu treiben: der Kampf um die
Herrschaft auf (insbesondere: Windows-)PCs hat gerade erst begonnen. Da
sollte man sich nicht mit stumpfen Waffen rüsten. :->

J.
-- 
I cannot comprehend the idea of chemical and biological weapons.
[Agree]   [Disagree]
 


signature.asc
Description: Digital signature

Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)

[Gebhard Dettmar]

On Tuesday 04 April 2006 02:12, Andre Berger wrote:
> * Gerhard Wolfstieg (2006-04-03):
> > [...]
>
> Zwar sprechen das Flugzeug und der Computer Englisch. Ich bin aber
> gern zu Kompromissen bereit, wenn der Feuerwall ein gutes Schild vom
> Computer bleibt. Weil wenn er nicht die richtigen Haefen blockiert,
> werden die Viren gedownloadet und dann hat man geloost.
>
> SCNR,
>
Das trifft Gerhards Punkt jetzt aber überhaupt nicht. Der fordert nicht 
die Vermeidung von Anglizismen sondern die Einhaltung deutscher 
Genusregeln für englische Begriffe. Ich hab das auch mal probiert und in 
einem Artikel über Logfile-Analyse ständig von "dem URL" gesprochen, weil 
Locator ja wohl maskulin ist - ich habs dann irgendwann aufgegeben, aber 
im Prinzip hat er recht, da beißt die Maus keinen Faden ab.
> -Andre

-- 
Beware of a dark-haired man with a loud tie.

Re: Sicherheit vorm bösen Internet

[Gebhard Dettmar]

On Monday 03 April 2006 23:37, Felix M. Palmen wrote:
> Hallo Thorsten,
>
> * Thorsten Haude <[EMAIL PROTECTED]> [20060403 20:30]:
> > * Felix M. Palmen wrote (2006-04-03 15:27):
> > >Und davor, dass der nicht allzu üppig ausgestattete Rechner eventuell
> > >zu schnell arbeiten könnte.
> >
> > Das Argument paßt auf praktisch jede Sicherheitsmaßnahme.
>
> Nunja, 10 Sekunden zum öffnen des Startmenüs, erlebt mit "Norton
> Security Center", würde ich da schon gerne als ganz besondere
> Glanzleistung würdigen.
>
Ach Norton. Dieses Monstrum schmeiße ich immer als erstes raus, wenn ich 
auf Arbeit einem Kollegen sein XP anwendbar machen soll.
Hab auch schon erlebt, dass es sich über Systemsteuerung, Software nicht 
deinstallieren ließ - Meldung: fehlende Rechte (ich war als Admin 
angemeldet) Man musste erst die diesbezüglichen Dienste abstellen. Dann 
diese Verkaufspolitik: Rechner mit "Norton Security Center". Updates der 
Virensignaturen gibts drei Monate umsonst, danach muss man ein sog. 
"Abonnement" eingehen. Das raffen die Leute natürlich nicht, die in ihrem 
Aldi-Prospekt gelesen haben: "professionelle Antivirensoftware" --> 
spätestens nach dem 4. Monat braucht man Knoppicilin, um deren Rechner 
wieder sauber zu kriegen (das macht sich immer gut, wenn der ein Laptop 
mit Winmodem ist)
Also, diese Wichser tun mehr für die Verbreitung von Viren als alle 
Script-Kiddies auf der Welt.

> > Aha, da haben wir doch einen möglichen Nachteil. Gibt es Studien (oder
> > auch nur schlaue Texte) darüber, wie groß der mögliche Schaden an
> > dieser Stelle ist?
>
> So groß wie bei jedem anderen Sicherheitsloch in Software mit
> Admin-Rechten auch. Konkrete Bugs findest du mit Tante Gurgel.
>
Na gut, das hat man immer. Generell fahren Leute, die noch nie den String 
TCP/IP gehört haben, mit PFW (wenn's nicht grade die aus SP2 ist, also 
z.B. Kerio) besser als ohne
Grüße gebhard
>
> PS: Ja, ich habe jetzt wirklich NOCH einmal den unterschied zwischen
> (r)eply und (f)ollowup gelernt. Nochmal sorry an alle, die unsinnige
> off-list Mails von mir bekommen haben.

Na ich aber nicht. Überschreibt f'up jetzt reply oder nicht? Wenn nicht, 
versteh ich nicht wozu es gut sein soll
-- 
You are the only person to ever get this message.

Re: Sicherheit vorm böse n Internet

[Felix M. Palmen]

Hallo Matthias,

* Matthias Houdek <[EMAIL PROTECTED]> [20060404 09:11]:
[SSH]
> Beim Passwort-Dialog wird ein Passwort übertragen, bevor die eigentlich 
> gesicherte Verbindung steht.

Das ist so nicht richtig oder zumindest irreführend formuliert: Das
Passwort wird bei SSH selbstverständlich "sicher" (verschlüsselt)
übertragen.

> Zusätzlich sind Passwörter gemein hin 
> nicht so komplex wie ein RSA oder DSA-Schlüssel (man will sie ja auch 
> halbwegs bequem tippen können ;-).

Das hingegen ist richtig, trifft aber nicht den Kern der Sache. Beim
Public-Key Verfahren wird der private Schlüssel nämlich NIE übertragen,
so dass selbst wenn es jemand schaffen sollte, die Verbindung
mitzuhören, er immer noch nichts davon hat.

Das einzig realistische Angriffsszenario gegen SSH mit Passwörtern ist
allerdings stupides Brute-Force. Mit gut gewählten Passwörtern, Verbot
von Passwort-Authentifikation für privilegierte Accounts sowie
eventuell einer geeigneten Paketfilterkonfiguration, die die Anzahl der
neuen Verbindungen pro Zeit zum SSHD beschränkt hat man mehr als genug
möglichkeiten, sich wirksam vor Brute-Force zu schützen. Die
erstgenannte ist natürlich die wichtigste und normalerweise schon
völlig ausreichend.

Grüße, Felix

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: Sicherheit vorm bösen Internet

[Christian Frommeyer]

Am Dienstag 04 April 2006 09:11 schrieb Matthias Houdek:
> Beim Passwort-Dialog wird ein Passwort übertragen, bevor die
> eigentlich gesicherte Verbindung steht.

Ja, aber nur von der Tastatur zum SSH-Client. Ob das schlimmer ist, als 
beim privaten Schlüssel, der von der Platte zum SSH-Client geht wage 
ich zu bezweifeln. (Außer bei Funktastaturen...)

> Zusätzlich sind Passwörter 
> gemein hin nicht so komplex wie ein RSA oder DSA-Schlüssel (man will
> sie ja auch halbwegs bequem tippen können ;-).

Richtig. Auf der anderen Seite ist ein Passwort, das nur im Gedächtnis 
gespeichert ist auch sicherer vor unbefugtem Zugriff geschützt als ein 
Schlüssel auf Platte.

Gruß Chris

-- 
A: because it distrupts the normal process of thought
Q: why is top posting frowned upon