.. und doch diskutieren sie controvers..
Jeder mal 5 € spenden und den beiden ein verlängertes Wochenende organisieren (im Doppelbett)?
http://www.nickles.de/static_cache/537421117.html
MfG
Gurus
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Teletom Gurus „beide haben Recht..“
Die Vermutung liegt nahe, dass einige bei Hacker-, Viren- und Datenschutz sehr aktive Leute ohne fremdverschuldetem Grund sehr empfindlich reagieren.
Ich hoffe, dass der selbstverursachte Grund nicht darin liegt, dass diese Leute ständig bei Windows Dienste deaktivieren und das instabil gewordene System dadurch leicht abstürzt, wie sie es selbst empfehlen.
Meine Systeme laufen jedenfalls einwandfrei und meine Hinweise kann ich mit bestem Gewissen für den Laien und den Fortgeschrittenen vertreten, denn diese Einstellungen sind leicht zu verwirklichen, von Jedermann nachvollziehbar und an vielen Systemen erfolgreich getestet.
Darüber hinaus hoffe ich, dass diese Nachricht gelesen werden kann, nicht dass jemand einen Dienst zum Lesen dieser Nachricht deaktiviert hat.
Gruß
Teletom
Gurus Nachtrag zu: „beide haben Recht..“
NöNööNeiiiin,
ich hatte nicht vor das Wissen eines Einzelnen in Frage zu stellen, im Gegenteil!!!!!
Wenn ihr beide Euch einigen könntet, d.h. "ein gemeinsames Posting" zu entwickeln das alle Aspekte des für und wider abhandelt so das jeder fragende User nur auf diesem einen Link verwiesen wird und sich seine eigene Meinung bilden kann..
sollte sich Jemand von Euch beleidigt fühlen dann bitte ich ehrlich um Endschuldigung!
Mit super herzlichen und freundlichen Grüßen
GURUS
P.S. was ist mit dem Wochenende??
Tyrfing Gurus „beide haben Recht..“
Es gab doch sogar mal einen Thread in dem die Vor- und Nachteile gesittet aufgezählt wurden...
Olaf19 Tyrfing „Es gab doch sogar mal einen Thread in dem die Vor- und Nachteile gesittet...“
http://www.nickles.de/thread_cache/537393673.html
Auch ich muss sagen, das war eine der besseren Diskussionen zu diesem Thema. Nur, folgendes Problem löst auch dieser Thread nicht: Sowohl die Befürworter als auch die Gegner von Desktop-Firewalls unter Windows (und nur darum geht es => nicht um Linux => nicht um andere Firewall Konzepte) verstehen es, ihren Standpunkt glaubwürdig darzulegen und mit allerlei Fakten, Features, Fachbegriffen zu unterfüttern.
Woher soll ich wissen, wer denn nun recht hat?
GarfTermy hat einmal alle Nicht-IT-ler aufgefordert, das Fachwissen der IT-ler zu akzeptieren - würde ich ja gerne tun, aber wem soll ich glauben, wenn sich die IT-ler untereinander(!) nicht mal einig sind?
Sowohl Teletom hat sich hier als IT-Mitarbeiter geoutet als auch Basil - beide vertreten aber gegensätzliche Standpunkte.
Was tun sprach Zeus?
CU
Olaf
Auch ich muss sagen, das war eine der besseren Diskussionen zu diesem Thema. Nur, folgendes Problem löst auch dieser Thread nicht: Sowohl die Befürworter als auch die Gegner von Desktop-Firewalls unter Windows (und nur darum geht es => nicht um Linux => nicht um andere Firewall Konzepte) verstehen es, ihren Standpunkt glaubwürdig darzulegen und mit allerlei Fakten, Features, Fachbegriffen zu unterfüttern.
Woher soll ich wissen, wer denn nun recht hat?
GarfTermy hat einmal alle Nicht-IT-ler aufgefordert, das Fachwissen der IT-ler zu akzeptieren - würde ich ja gerne tun, aber wem soll ich glauben, wenn sich die IT-ler untereinander(!) nicht mal einig sind?
Sowohl Teletom hat sich hier als IT-Mitarbeiter geoutet als auch Basil - beide vertreten aber gegensätzliche Standpunkte.
Was tun sprach Zeus?
CU
Olaf
GarfTermy Olaf19 „Du meinst den hier von Kabelsalat:“
@olaf19
...den fakten baby - den fakten. an fakten läßt sich nichts deuten!
Olaf19 GarfTermy „Du meinst den hier von Kabelsalat:“
An den Fakten mag es nichts zu deuten geben, wohl aber an den Schlußfolgerungen, die ein jeder daraus zieht. Und oft ist auch nicht klar, welche Fakten überhaupt für die Beurteilung eines Sachverhalts relevant sind, und welche man getrost unter den Tisch fallen lassen kann.
Das ist übrigens nicht nur in Diskussionen zum Thema IT-Sicherheit so, sondern überall. Das beste Beispiel ist die Politik: Da wird bekannt gegeben, dass es in Deutschland X Millionen Arbeitslose gibt (wobei man sich erst einmal darauf einigen muss, welcher Nicht-Erwerbstätige mitgezählt wird und welcher aus der Statistik rausfällt...).
Der eine folgert daraus ein totales Versagen der amtierenden Bundesregierung und fordert ihren Rücktritt. Der andere sieht das Problem in der miserablen Weltwirtschaftslage und weist darauf hin, dass die Ideen und Konzepte von Stoiber und / oder Merkel alles noch schlimmer gemacht hätten, und ist froh, dass er mit Schröder das vermeintlich kleinere Übel gewählt hat...
Wer hat nun recht?
Im Grunde genommen wäre es gar nicht so überraschend, wenn auch unter professionellen Netzwerk-Administratoren Uneinigkeit bestünde. Wer bei Microsoft den Lehrgang zum MCSE erfolgreich absolviert hat, der würde wohl für die TeleGarf-Partei kandidieren. Die IronTyrf-Partei würde dagegen eine IT-Profi nominieren, der sich auf Linux-Netzwerke spezialisiert hat.
Beide Kandidaten würden die Fakten kennen und wären in der Lage, damit glaubwürdig und überzeugend argumentieren. Keiner könnte den anderen überzeugend widerlegen. Und falls es doch einmal diesen Anschein hat, dann würde die Widerlegung der Widerlegung auf dem Fuße folgen. Und deswegen gibt es Leute wie Gurus19, die in der Wahlkabine stehen und nicht wissen, wen oder was sie ankreuzen sollen...
CU
Olaf
GarfTermy Olaf19 „Alles wie in der großen Politik!“
...naja - zum teil hst du ja sogar recht - aber... das netzwerk hat seine "festen" gesetze und grundlagen und ohne diese detailkenntnisse kann man unmöglich diskutieren.
vielleicht wirst du bemerken, dass hier die ständige ablehnung von sicherheitsmechanismen (in form von softwarelösungen...) und die aufforderung möglichst ohne programme zu arbeiten auf den standpunkt trifft, der von mehr kontrolle und kennenlernen der zusammenhänge ausgeht.
da nunmal nicht linux das in der breite anzutreffende betriebsystem ist - sondern windows, und da nicht jeder eine dmz oder eine extra hardwarefirewall betreibt, geht es hier um übliche, kostengünstige lösungen.
die IronTyrf-Partei schafft hier für normale user keine klarheit sondern verunsicherung. das hat nichts mit wissen zu tun - letztlich ist´s nur arroganz. ätsch ich habe linux... oder in dieser art.
hast du dir meine kleine einführung zum thema mal durchgelesen? fakten baby - fakten.
darauf kam keine sachliche und (netzwerk)wissenschaftliche erwiderung.
statt dessen glänzt die IronTyrf-Partei nur mit aussagen wie
* dfw sind müll
* stoppe diesen dienst
* alles ist malware
* etc etc.
dabei wollen die meisten user hier eine lösung um ihre daten zu schützen, zugriffe zu reglementieren und mehr sicherheit zu schaffen.
;-)
Plazebo GarfTermy „Alles wie in der großen Politik!“
Ich bezweifle, dass jemand, der nach dem Nachrichtendienst fragt diese Aspekte im Hinterkopf hatte.
Und diese Frage kommt häufig vor und eben so häufig wird die Desktop-Firewall als das bessere und einfachere Mittelchen genannt.
Tyrfing GarfTermy „Alles wie in der großen Politik!“
*narf*
Ich gehe nach zwei ganz logischen Prinzipien:
1.)mehr aktive Software -> mehr Bugs -> weniger Sicherheit
Wir immer so sein, solange Software von Menschen gemacht wird.
2.)Wenn ich schlafen gehe, mauere ich die Lampen im Raum nicht ein, sondern schalte sie aus
Anders gesagt: Sicherheitslücken schließt man und verdeckt sie nicht.
Prinzipien sind Systemübergreifen, dafür braucht man kein Linux und auch keine Fachkenntnisse und Extremmaßnahmen wie Linux-Router, DMZ etc. sind gemessen an dem, was ein Privatanwender zu befürchten hat, unbestreitbar übertrieben.
Die TeleGarf-Partei geht eben nach dem Prinzip "blos nicht anfassen, es könnte was kaputtgehen", was ich für falsch halte.
Olaf19 Tyrfing „Alles wie in der großen Politik!“
Von der Philosophie und vom logischen Ansatz her ist mir diese Herangehensweise wesentlich sympathischer. Für mich ist ein schlankes, entschlacktes, mit den Ressourcen sparsam haushaltendes System, auf dem nur das läuft, was ich kenne, brauche und wirklich haben will, viel Vertrauen erweckender, als ein überladener "Alleskönner".
Es ist klar, dass der Ansatz von Microsoft genau der Gegenteilige ist: Die Windows-Systeme sollen nun einmal eine möglichst große Bandbreite von Andwendungsmöglichkeiten abdecken, ohne dass der User ständig Sachen updaten oder nachinstallieren muss. Das macht die Popularität von Windows aus - Ärmel hoch und los...
Es geht mir gar nicht nur um die Ressourcen, es geht mir auch darum, die Übersicht zu behalten, was mein System überhaupt tut. Je mehr im Hintergrund tausend fleißige kleine Helferlein am Werkeln sind, desto weniger habe ich selbst die Kontrolle über das, was sich in meinem Rechner abspielt. Das stört mich einfach, schon aus dem Bauch heraus.
Nur: Fachlich kann ich all das nicht so begründen, dass die Gegenseite damit widerlegt wäre. Das ist eben das Problem...
CU
Olaf
GarfTermy Olaf19 „Alles wie in der großen Politik!“
...die denke von microsoft widerspricht eben deiner philosophie - um genau diese designschwäche zu verbessern sind verschiedene maßnahmen zu treffen - der einsatz von dpfw/fw gehört da eindeutig dazu. nicht eine maßnahme allein - sondern nur die kombination vieler schafft mehr sicherheit!
;-)
Tyrfing GarfTermy „Alles wie in der großen Politik!“
>>um genau diese designschwäche zu verbessern sind verschiedene maßnahmen zu treffen [...]. nicht eine maßnahme allein - sondern nur die kombination vieler schafft mehr sicherheit! Bis dahin würde ich dir ohne Probleme zustimmen, nur was die PFs angeht nicht.
Ich kann einfach keinen logischen Grund sehen, ein neues Programm (mit mehr Bugs, mehr Exploitmöglichkeiten, mehr Resourcenverbrauch etc.) zu installieren, um die Probleme anderer Programme zu lösen, erst recht, wenn man diese Probleme auch durch deaktivieren oder -installieren lösen könnte...
GarfTermy Tyrfing „Alles wie in der großen Politik!“
logik basiert auf reproduzierarkeit und schlußfolgerungen, sowie auf kausalen zusammenhängen - du stellst jedoch nur behauptungen auf.
deine schlußfolgerung ist schlicht falsch.
...übrigens sind dpfw/fw prinzipiell auch geeignet sicherheitslöcher zu stopfen.
basil Olaf19 „Alles wie in der großen Politik!“
Meiner Meinung nach bist Du mit deiner Analyse sehr nahe an die eigentliche Lösung gekommen, nämlich der, daß es keine ultimative Lösung gibt und auch nie geben wird. Diesem Umstand verdanken zahllose Consulter im IT-Sektor ihr Brot. Für eine Lösung sind immer viele Faktoren wichtig, gehen wir einmal auf das Thema IT-Sicherheit (sprich Firewalls) ein.
So unterschiedliche wie der Kunde, ist im Allgemeinen auch die Gefährdung. Ein kleiner Handwerksbetrieb wird wohl nie den Atacken eines Hackers ausgesetzt sein. Deren Gefährdung wird wohl bei Malware durch Emails, als auch durch harmlose Scriptkiddies und eventuell noch Exploits auf Webseiten zu suchen sein, dementsprechend sollte auch die Löung aussehen. Weiterhin hat so eine Firma meist weder einen eigenen Administrator, noch einen Outsourcingpartner in dieser Branche. Die richtige Lösung hängt hier aber auch von der Anzahl der Arbeitsplätze (Computer) ab. Bei einer Privatperson sieht es ähnlich aus. Nicht vergessen sollte man auch die Kosten-Nutzen Rechnung. Als Folge dessen wird man einer keinen Firma keinen ISA-Serverm eine Firewall 1 oder einen Zeuss verkaufen können. Simpler Schutz auf dem Desktop, richtige Auswahl des Betriebssystems und eine sichere Erstkonfiguration, bei der Minimalismus und sinnvolle Beschränkungen die Regel sein sollten, eventuell gepaart mit einem kleinen NAT-Router und natürlich unproblematischem Virenscanner mit automatisierten Updates.
Bei großen Firmen und sicheren Webservern sieht es anders aus. Erstens sind diese wirklich Ziele von Profis, die ihr Handwerk verstehen und ihre Trojaner lieber selbst programmieren und zweitens gehen hier Schäden gleich in die Millionen. Dementsprechend sollte auch der Schutz ein Budget haben. Eigene Administratoren sind meist vorhanden und können ggf. geschult werden, oder es gibt eine IT Abteilung bei einem Outsourcer. In diesen Fällen gilt zwar prinzipiell das gleich was z.B. die Auswahl des Betriebssystems angeht, es kommen aber wesentlich mehr Komponenten hinzu, da in Großfirmen auch viel mehr Angriffspunkt vorhanden sind in Form von angebotenen Diensten, öffentlichen IPs, Standleitungen, VPNs, RAS-Servern.
Wenn es was zu holen gibt, dann beschränkt nur der zu erwartende Gewinn für den Hacker dessen Aufwand, und der Gewinn ist in der Industrie teilweise immens. Ich will mal ein kleines Anekdötchen einer Begebenheit loswerden.
In einer Firma, deren Namen ich hier mal nicht nenne, gab es Unregelmäßigkeiten in den Serverlogs. Einem Administrator war aufgefallen, daß User zu unmöglichen Zeiten auf sensible Daten zugriffen. Nach langer Recherche kam heraus, daß sich in dem Netzwerk ein Wurm breit gemacht hatte, der allerdings äußerst trickreich plaziert wurde. Das ganze lief folgendermaßen:
Diese Firma bekommt jeden Monat von einem Partner eine CD mit einer aktualisierten Datenbank. Im Monat davor hatte der Mitarbeiter seltsamerweise 2 CDs erhalten, dachte sich aber nichts dabei. Die erste CD war allerdings nicht von dem Partner, sondern von einem Hacker. Irgendwie kam er wohl an eine der alten CDs heran und machte sich am Programm zu schaffen. Er hat hinter den Programmcode der Anwendung seinen Code angehängt und mittels Sprung seinen Code vor dem eigentlichen Datenbankcode gestartet und startete danach das Datenbankprogramm. Jetzt wird sich jeder denken, daß wohl die interne Sicherheit im System sehr schwach war, es gab allerdings aktuelle Virenscanner, deren Heurestik aber nichts anfangen konnten mit dem schädlichen Programmblock und eine Signatur gab es selbstverständlich auch nicht.
Als einmal klar war woher der Schädling kam ging die CD an einen der Programmierer der Firma, der ziemlich erstaunt war, denn der Schädling war äußerst komplex. Als erstes verschaffte er sich auf dem System die nötigen Rechte durch einen Verwandten des ptrace()-Bugs, den es nicht nur für Linux gibt, er hatte somit lokale Administratorenrechte, obwohl er unter einem Nutzerkonto gestartet worden war. Als nächstes injizierte er im System eine dll-Datei, die eine des Systems ersetzte, dies war natürlich der Protokollstack, in dem er einige Bibliotheksaufrufe umleitete in einen eigenen Stack, wodurch es ihm möglich wurde den Traffic des kompletten Subnets zu Sniffen, auch über die Switches hinweg. Auf diesem Wege erhielt er wohl die notwendigen Daten um weiteren Schaden anzurichten. Um das ganze jetzt abzukürzen, die Firmendaten wurden als XML-Pakete über die Proxies hinweg an einen Server in Schweden geschickt, an dem sich dann leider auch die Spur verlor.
Kurzum, einen sicheren Schutz kann es nie geben und eine Privatperson könnte sich nie vor so einem Angriff schützen, sie würde es nicht einmal bemerken, aber es würde auch nie jemand einen solchen Aufwand betreiben.
xafford basil „Alles wie in der großen Politik!“
diese geschichte ist nicht zufällig in mannheim passiert?
-IRON- Gurus „beide haben Recht..“
...letztlich ist´s nur arroganz. ätsch ich habe linux... oder in dieser art.
Ätsch, ich habe Win98SE :D Apropos Arroganz: Was hat die mit den angesprochenen Problemen zu tun? Insbesondere mit den Fakten?
hast du dir meine kleine einführung zum thema mal durchgelesen?
Huch! Wo denn? Gibts da nen Link?
darauf kam keine sachliche und (netzwerk)wissenschaftliche erwiderung.
Entweder, mir ist deine Einführung entgangen oder sie enthielt nichts, was einer Erwiderung wert gewesen wäre (da kommt wieder die Arroganz durch).
statt dessen glänzt die IronTyrf-Partei nur mit aussagen wie
* dfw sind müll
* stoppe diesen dienst
* alles ist malware
* etc etc.
Zu Punkt 1: So ist das nun mal. Widerlege es.
Zu Punkt 2: Was ist daran falsch?
Zu Punkt 3: Hat nie jemand behauptet. Bring mal Links zu diesen angeblichen Aussagen.
Zu Punkt 4: bissel ungenau, oder?
Übrigens war auch ein IT-ler wie Teletom nicht in der Lage, Fakten zu widerlegen. Da beschwerst du dich auch nicht. Ich ebenfalls nicht, allerdings aus anderen Gründen.
Ätsch, ich habe Win98SE :D Apropos Arroganz: Was hat die mit den angesprochenen Problemen zu tun? Insbesondere mit den Fakten?
hast du dir meine kleine einführung zum thema mal durchgelesen?
Huch! Wo denn? Gibts da nen Link?
darauf kam keine sachliche und (netzwerk)wissenschaftliche erwiderung.
Entweder, mir ist deine Einführung entgangen oder sie enthielt nichts, was einer Erwiderung wert gewesen wäre (da kommt wieder die Arroganz durch).
statt dessen glänzt die IronTyrf-Partei nur mit aussagen wie
* dfw sind müll
* stoppe diesen dienst
* alles ist malware
* etc etc.
Zu Punkt 1: So ist das nun mal. Widerlege es.
Zu Punkt 2: Was ist daran falsch?
Zu Punkt 3: Hat nie jemand behauptet. Bring mal Links zu diesen angeblichen Aussagen.
Zu Punkt 4: bissel ungenau, oder?
Übrigens war auch ein IT-ler wie Teletom nicht in der Lage, Fakten zu widerlegen. Da beschwerst du dich auch nicht. Ich ebenfalls nicht, allerdings aus anderen Gründen.
Teletom -IRON- „...letztlich ist s nur arroganz. ätsch ich habe linux... oder in dieser art....“
*dfw sind müll
So ist das nun. Widerlege es.
Wie? Du stellst eine Behauptung auf und sagst anschließend: "Beweist doch das Gegenteil!"
Einfache Sache für Dich, -IRON-, nicht wahr?
Übrigens war auch ein IT-ler wie Teletom nicht in der Lage, Fakten zu widerlegen.
Das stimmt auf keinen Fall. Ich habe die Fakten von anderen Personen weder widerlegt noch bewiesen, deshalb kannst Du gar nicht wissen, ob ich dazu in der Lage bin.
Was, lieber -IRON- hast Du denn bewiesen oder widerlegt und welche Fakten hast Du denn vorgestellt?
-NICHTS-
Wahr ist, dass ich Fakten von Onboard-Firewalls, die ich bekannt gegeben habe, bewiesen habe.
Die Onboard-Firewalls von Linux würde ich ungern als Desktop-Firewalls bezeichnen. Dass Firewalldienste als Desktopfirewalls bezeichnet werden, ist eigentlich nicht ganz richtig, aber was soll's, Namen sind Schall und Rauch. Dienste werden vor dem Erscheinen des Desktops geladen und funktionieren auch ohne Desktop.
Insgesamt ein nicht gerade vertrauenserweckender Auftritt -IRON-.
Etwas weniger -IRON-ie könnte bei Deiner Darstellungsweise nicht schaden.
Gruß
Teletom
So ist das nun. Widerlege es.
Wie? Du stellst eine Behauptung auf und sagst anschließend: "Beweist doch das Gegenteil!"
Einfache Sache für Dich, -IRON-, nicht wahr?
Übrigens war auch ein IT-ler wie Teletom nicht in der Lage, Fakten zu widerlegen.
Das stimmt auf keinen Fall. Ich habe die Fakten von anderen Personen weder widerlegt noch bewiesen, deshalb kannst Du gar nicht wissen, ob ich dazu in der Lage bin.
Was, lieber -IRON- hast Du denn bewiesen oder widerlegt und welche Fakten hast Du denn vorgestellt?
-NICHTS-
Wahr ist, dass ich Fakten von Onboard-Firewalls, die ich bekannt gegeben habe, bewiesen habe.
Die Onboard-Firewalls von Linux würde ich ungern als Desktop-Firewalls bezeichnen. Dass Firewalldienste als Desktopfirewalls bezeichnet werden, ist eigentlich nicht ganz richtig, aber was soll's, Namen sind Schall und Rauch. Dienste werden vor dem Erscheinen des Desktops geladen und funktionieren auch ohne Desktop.
Insgesamt ein nicht gerade vertrauenserweckender Auftritt -IRON-.
Etwas weniger -IRON-ie könnte bei Deiner Darstellungsweise nicht schaden.
Gruß
Teletom
GarfTermy Teletom „ dfw sind müll So ist das nun. Widerlege es. Wie? Du stellst eine Behauptung...“
...zustimmung.
;-)
-IRON- Teletom „ dfw sind müll So ist das nun. Widerlege es. Wie? Du stellst eine Behauptung...“
Wie? Du stellst eine Behauptung auf und sagst anschließend: "Beweist doch das Gegenteil!" Einfache Sache für Dich, -IRON-, nicht wahr?
Gut oder? Hast du nicht gemerkt, dass ich deine Argumentation einfach mal ironisch kopiert habe? Weia.
Das stimmt auf keinen Fall. Ich habe die Fakten von anderen Personen weder widerlegt noch bewiesen, deshalb kannst Du gar nicht wissen, ob ich dazu in der Lage bin.
PARSE ERROR...LOL
Was, lieber -IRON- hast Du denn bewiesen oder widerlegt und welche Fakten hast Du denn vorgestellt?
Dass ein Privat-PC nicht durch Blockieren von ICMP unsichtbar zu machen ist, da ICMP nur eine von mehreren Möglichkeiten ist, ihn zu identifizieren. Das willst du nicht hören, das willst du nicht glauben, das darf nicht sein, weil dein Kartenhaus von IT-Profitipps dann in sich zusammenbräche. Ist aber trotzdem so. Dass zusätzliche Software nicht zusätzliche Sicherheit bringt. Wäre es so, müssten ja zwangsläufig sämtliche PCs mit einer DTFW ausgerüstet werden. Besonders natürlich Webserver, Firmen-PCs und Terminals in Banken und Sparkassen. Ist aber nicht so, wird auch nie so sein, weils zum Glück auch IT-ler gibt, die ihr Handwerk verstehen und nicht mit ihrem vermeintlichen Beruf oder ihrer Qualifizierung in Webforen hausieren gehen.
Insgesamt ein nicht gerade Vertrauen erweckender Auftritt von dir.
Etwas mehr Objektivität könnte bei deiner Darstellungsweise nicht schaden.
Gut oder? Hast du nicht gemerkt, dass ich deine Argumentation einfach mal ironisch kopiert habe? Weia.
Das stimmt auf keinen Fall. Ich habe die Fakten von anderen Personen weder widerlegt noch bewiesen, deshalb kannst Du gar nicht wissen, ob ich dazu in der Lage bin.
PARSE ERROR...LOL
Was, lieber -IRON- hast Du denn bewiesen oder widerlegt und welche Fakten hast Du denn vorgestellt?
Dass ein Privat-PC nicht durch Blockieren von ICMP unsichtbar zu machen ist, da ICMP nur eine von mehreren Möglichkeiten ist, ihn zu identifizieren. Das willst du nicht hören, das willst du nicht glauben, das darf nicht sein, weil dein Kartenhaus von IT-Profitipps dann in sich zusammenbräche. Ist aber trotzdem so. Dass zusätzliche Software nicht zusätzliche Sicherheit bringt. Wäre es so, müssten ja zwangsläufig sämtliche PCs mit einer DTFW ausgerüstet werden. Besonders natürlich Webserver, Firmen-PCs und Terminals in Banken und Sparkassen. Ist aber nicht so, wird auch nie so sein, weils zum Glück auch IT-ler gibt, die ihr Handwerk verstehen und nicht mit ihrem vermeintlichen Beruf oder ihrer Qualifizierung in Webforen hausieren gehen.
Insgesamt ein nicht gerade Vertrauen erweckender Auftritt von dir.
Etwas mehr Objektivität könnte bei deiner Darstellungsweise nicht schaden.
Teletom -IRON- „Wie? Du stellst eine Behauptung auf und sagst anschließend: Beweist doch das...“
Morgen,
soll ich mich geehrt fühlen, dass meine Ausführungen Anstoß Deiner
-IRON-ie sind?
Ganz schön großzügig. Ich bedanke mich für die Ehre.
Dass ein Privat-PC nicht durch Blockieren von ICMP unsichtbar zu machen ist, da ICMP nur eine von mehreren Möglichkeiten ist, ihn zu identifizieren.
Isses aba doch, die fakten beweisen es: Firewalldienst mit ICMP-Einstellungen ergibt keine Spam-ND-Nachrichten (obwohl der angeblich nutzlose Nachrichtendienst aktiv ist).
Das willst du nicht hören, das willst du nicht glauben, das darf
nicht sein, weil dein Kartenhaus von IT-Profitipps dann in sich zusammenbräche. Ist aber trotzdem so.
Das Kartenhaus hast Du mit Deiner Formulierung aufgebaut. Bei mir existieren nur Fakten und kein theoretisches Gerüst und aus diesem Grunde kann bei mir auch nichts einfallen.
Dass zusätzliche Software nicht zusätzliche Sicherheit bringt. Wäre es so, müssten ja zwangsläufig sämtliche PCs mit einer DTFW ausgerüstet werden. Besonders natürlich Webserver, Firmen-PCs und Terminals in Banken und Sparkassen.
Zusätzliche Software brauchst Du beim XP-Firewalldienst nicht zu installieren. Einige Mausklicks und Du hast den XP-Firewalldienst aktiviert. Ach ja, wo wir gerade beim XP-Firewalldienst sind:
Ich habe persönlich noch nicht erfahren, dass jemand den XP-Firewalldienst abgeschossen hat. Du googelst doch gerne, zeig uns doch mal, wie man den XP-Firewalldienst abschießen könnte. Oder besser mail es mir. Wir geben doch keine Anleitung zum Abschießen bekannt.
Ist aber nicht so, wird auch nie so sein, weils zum Glück auch IT-ler gibt, die ihr Handwerk verstehen und nicht mit ihrem vermeintlichen Beruf oder ihrer Qualifizierung in Webforen hausieren gehen.
Also ich für meinen Teil versteh mein Handwerk, das beweisen die Fakten. Heterogene Netzwerke mit Internetanbindung in verschiedenen Größen - Novell, früher UNIX, Linux, Windows NT Server, W2000 Server und Professional, XP und nicht zu vergessen W95, W98 (ME) und früher Win3.1 bzw. Win3.11. Das Merkwürdige dabei ist, dass alle serverfähigen Systeme einen Nachrichtendienst haben. U.a. würde ich deshalb nie auf die Idee kommen, den ND zu deaktivieren.
Aber das ist ja bekanntlich Geschmacksache.
In großeren Netzwerken laufen externe Firewallsysteme auf Linux und auf Hardwareroutern. Bei kleinen Insellösungen laufen Onboard-Firewalldienste basierend auf XP-Firewall oder Look 'n' Stop Lite (oder andere Firewallsoftware, habe schon einiges ausprobiert) bei NT, W2000 und W98 Internetzugängen. Das Ergebnis ist, dass kein Direkt-Spam erscheint. E-Mail-Spam ist ein anderes Thema (sogar GMX ist gezwungen, hier endlich was zu unternehmen). Nicht zu vergessen, dass ich IT-mäßig auch entsprechende Abschlüsse habe: MCSE für NT4.0 und W2000 Spezialisierung auf SQL - insgesamt 12 erfolgreiche Examen, MCT und andere Abschlüsse.
Habe mir schon gedacht, dass ich mit der Bekanntgabe meiner Erfahrungen bzw. meiner Fakten teilweise auf massiven Widerstand stoßen werde. Aber ohne Risiko kein Erfolg. -No risk, no fun-
Gruß und viel Spaß
Teletom
GarfTermy -IRON- „Wie? Du stellst eine Behauptung auf und sagst anschließend: Beweist doch das...“
...iron redet von objektivität!
guter witz, wenn trocken und auf eis serviert....
;-)schlapplach
GarfTermy Gurus „beide haben Recht..“
@iron ...man sollte dich einfach ignorieren. du bist halt ein besonders einfältiger tolli.
;-)
-IRON- GarfTermy „@iron ...man sollte dich einfach ignorieren. du bist halt ein besonders...“
Warum tust du es dann nicht? Wäre ne echte Abwechslung.
Olaf19 GarfTermy „@iron ...man sollte dich einfach ignorieren. du bist halt ein besonders...“
Garf, lass doch mal solche Bemerkungen beiseite.
Im einen Thread weiter unten hast Du einige Deiner IT-Zertifikate - MCSE & Co. aufgezählt, in einem anderen hast Du darum gebeten, dass die Nicht-IT-Fachleute das Wissen ausgebildeter Experten akzeptieren und nicht immer in Frage stellen sollten.
Alles schön und gut, aber dann solltest Du nicht Deine Autorität auf diesem Gebiet durch unnötige "Wadenbeißereien" untergraben. Damit verwässerst Du letztendlich den Eindruck von hoher Kompetenz, den Du durch sachliche Einlassungen zum Thema zu vermitteln versuchst.
Bemerkungen wie diese gerade sind einfach nur provozierend bis beleidigend und bringen die Diskussion kein Stück voran. Genau so drei Posts tiefer, Deine Antwort auf Teletom: "...Zustimmung.". Das wissen wir, dass Du seiner Auffassung bist, insbesondere wenn es gegen -IRON- geht; es ist unproduktiv, darauf so zu beharren, ohne eigene Inhalte beizusteuern.
Wenn Du auf -IRON- in der Sache(!) einmal nicht antworten magst, weil es Dir lästig ist, 100x dasselbe zu wiederholen oder weil Du seine Art zu diskutieren nicht schätzt, dann lass es doch einfach weg. Aber versuch nicht, ihn und andere unnötig aus der Reserve zu locken; die Stimmung in solchen Diskussionen ist schon gereizt genug.
Bei der Gelegenheit: Sag doch noch mal an, wo Deine ausführlichen Erläuterungen zum Thema stehen, auf die bisher noch keiner geantwortet hat. Ist keine Bösartigkeit von mir, aber bei diesen lindwurm-artigen Endlos-Diskussionen mit X Teil-, Unter- und Neben-Threads mit diversen Antworten von jedem Teilnehmer an allen möglichen Stellen findet man mit dem besten Willen nichts wieder...
CU
Olaf
GarfTermy Olaf19 „@garf“
...also die kleine einführung in´s thema nochmals:
Firewall-Software
Zur Software-Konfiguration eines Firewall existieren zwei Grundstrategien:
· 'Es ist alles erlaubt, was nicht verboten ist'
Dieser Ansatz schließt die Nutzung bestimmter Dienste (z. B. tftp, nfs) generell aus. Er ist benutzerfreundlich, da neue Dienste automatisch erlaubt sind, aber auch gefährlich, da der Administrator das Verhalten der Nutzer ständig beobachten und rechtzeitig Gegenmaßnahmen treffen muß.
· 'Es ist alles verboten, was nicht erlaubt ist'
Diese Strategie könnte von den Nutzern als hinderlich angesehen werden, da diese neue Dienste erst umständlich beantragen müssen. Sie schützt aber auch vor Sicherheitslücken im Betriebssystem und in Anwendungsprogrammen, da sie den Zugriff auf unbekannte Ports unterbindet.
Es gibt drei Arten von Firewall-Softwareebenen:
· Paketfilter überprüfen die Quell- und Zieladresse (IP-Adresse und TCP/UDP-Port) eines Pakets und entscheiden, ob es passieren darf oder nicht. Der Vorteil besteht in der Transparenz für den Anwender. Diese Transparenz ist aber zugleich von Nachteil: Paketfilter können nicht zwischen Nutzern und deren Rechten unterscheiden. Paketfilter sind im allgemeinen auf Routern angesiedelt und werden heute von den meisten Herstellern mitgeliefert. Intelligente Paketfilter analysieren zusätzlich den Inhalt der Pakete und erkennen auch die Zulässigkeit von Verbindungen, die einfache Paketfilter nicht erlauben würden (z. B. Datenverbindung bei ftp).
· Circuit Level Gateways sind mit Paketfiltern vergleichbar, arbeiten jedoch auf einer anderen Ebene des Protokollstacks. Verbindungen durch solch ein Gateway erscheinen einer entfernten Maschine, als bestünden sie mit dem Firewall-Host. Somit lassen sich Infomationen über geschützte Netzwerke verbergen.
· Application Gateways, auch 'Proxy' (Stellvertreter) genannt, stellen ein anderes Firewall-Konzept dar. Hierbei wird auf dem Firewall-Host für jede zulässige Anwendung ein eigenes Gateway-Programm installiert. Der Client muß sich dabei oftmals gegenüber dem Proxy-Programm authentifizieren. Dieser Proxy führt dann alle Aktionen im LAN stellvertretend für den Client aus. Damit lassen sich zum einen benutzerspezifische Zugangsprofile (welche Zeiten, welche Dienste, welche Rechner) erstellen, zum anderen kann man die Festlegung der zulässigen Verbindungen anwendungsbezogen vornehmen. Die daraus resultierenden separaten kleinen Regelsätze bleiben besser überschaubar als der komplexe Regelsatz eines Paketfilters. Application Gateways sind typische Vertreter der 'Verboten-was-nicht-erlaubt'-Strategie und als die sicherste, aber auch aufwendigste Lösung einzuschätzen.
Da beim Proxy alle Zugriffe nach außen über eine Instanz laufen, kann man den Proxy gleichzeitig als Cache (Pufferspeicher) benutzen. Der Proxy speichert alle erhaltenen WWW-Seiten zwischen, so daß er bei einem erneuten Zugriff darauf - egal, ob vom selben oder einem anderen Anwender - keine Verbindung nach außen aufbauen muß.
Der Einsatz von Firewalls bietet sich auch innerhalb einer Organisation an, um Bereiche unterschiedlicher Sensitivität von einander abzugrenzen. Firewalls bieten jedoch niemals hundertprozentige Sicherheit! Sie schützen nicht vor dem Fehlverhalten eines authorisierten Anwenders und können, etwa durch eine zusätzliche Modem-Verbindung, umgangen werden.
Ein Firewall nach dem heutigen Stand der Technik kann nur gegen bereits bekannte Angriffs-Methoden schützen. Er kann möglichst viele Ereignisse protokollieren, um im Fall des Falles den Vorgang möglichst lückenlos rekonstruieren zu können. Nur, was soll man protokollieren? Die Datenmengen können pro Tag auf hunderte von Megabytes anwachsen. Wer wertet dies aus, und sucht darin die Nadel im Heuhaufen?
Neueste Ansätze beruhen darauf, daß man ein Firewallsystem durch ein zusätzliches System ergänzt, welches den Verkehr auf dem Netzwerk überwacht. Dieses System ist vom Firewall völlig unabhängig, und es greift nicht aktiv in den Datenverkehr des Netzes ein. Dieses System hat die Aufgabe eines unparteiischen 'Flugschreibers' (der Name 'Network Flight Recorder' wurde von Marcus Ranum, dem Entwickler des TIS Firewall Toolkit, geprägt). Dieses System kann den Bedürfnissen entsprechend programmiert werden. Mit Hilfe dieses Systems kann man zwar einen Einbruch in das Netz nicht aktiv unterbinden, man kann ihn aber leichter erkennen und verfolgen. Das System kann, genauso wie ein Firewall, Alarme bei suspekten Ereignissen auslösen, z. B. wenn plötzlich DNS-Anfragen von einem System beantwortet werden, welches kein DNS-Server ist (DNS-Spoofing).
to be continued...
Plazebo Gurus „beide haben Recht..“
Irgendwie geht mir diese ganze Diskussion eh auf den Keks. Aber ich meine, dass man bei Xafford zwischen den Zeilen lesen konnte, dass Desktop-Firewalls durchaus Mängel bezüglich ihrer Sicherheit haben. Und dem glaube ich dass (okay, vermutlich würd ich dem sogar glauben, wenn der sagt die Erde sei eine Scheibe). Also halte ich eine Desktop-Firewall für Firmen ungeeignet und für Privatpersonen übertrieben und didaktisch und im Umgang mit dem Internet auch für wenig sinnvoll.
Teletom Plazebo „Irgendwie geht mir diese ganze Diskussion eh auf den Keks. Aber ich meine, dass...“
Ist eben ein schwieriges Thema, nicht wahr?
Angreifer werden auch nicht "aus der hohlen Hand heraus" eine Strategie gegen vorhandene Sicherheits-Konzepte entwickeln.
Und
"umgekehrt, umgekehrt!"
Gruß
Teletom
Plazebo Teletom „Ist eben ein schwieriges Thema, nicht wahr? Angreifer werden auch nicht aus der...“
Welche Angreifer?
Teletom Plazebo „Welche Angreifer?“
Die die es auf Dein wertvollstes, was Du besitzt, absehen - Dein Geld.
Olaf19 Teletom „Die die es auf Dein wertvollstes, was Du besitzt, absehen - Dein Geld.“
Dann kann ich ja beruhigt schlafen gehen.
Ich habe kein Geld auf meinem Computer.
*SCNR*
Olaf
Plazebo Teletom „Die die es auf Dein wertvollstes, was Du besitzt, absehen - Dein Geld.“
Aha. Ich rede aber selbstverständlich von seriösen Angriffen und nicht von welchen aus der Abteilung Killefitt. Dazu zähle ich auch so Sachen wie: Angepingt werden können (sprich Stealth-Modus), Nachrichtendienst wird mir immer noch zugesendet, wird aber nur nicht mehr angezeigt, das blockieren des Nachrichtendienstes, Portscans usw.
Teletom Plazebo „Aha. Ich rede aber selbstverständlich von seriösen Angriffen und nicht von...“
Seriöse Angriffe? ( Ist irgendwie ein Widerspruch in sich )
Meinst Du vielleicht Du guten alten Angriffe, Trojaner usw., die einfach "nur" Dein System killen wollen. Die sind aber nicht seriös.
Teletom Gurus „beide haben Recht..“
?
[Diese Nachricht wurde nachträglich bearbeitet.]
