"Firewalls" und Sicherheit
-
majortermi
- Userprojekt
- Posts: 916
- Joined: 2002-06-17 16:09
"Firewalls" und Sicherheit
Die aktuelle Sicherheitslücke im 2.6er Kernel (http://www.heise.de/newsticker/meldung/48771) zeigt einmal wieder, dass eine zusätzliche Firewall (Paketfilter), die man ja eigentlich nicht braucht, die einen aber ja bei einer evtl. Fehlkonfiguration schützen kann, ganz schnell selbst zum Sicherheitsrisiko wird...
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...
Warum man sich an diese Reihenfolge halten sollte...
Re: "Firewalls" und Sicherheit
Das man eine Firewall 'eigentlich nicht braucht' halte ich fuer definitiv
falsch. Weil:
Eine Sicherheitsluecke ist, logischerweise, bekannt, bevor ein Patch da ist.
Diese Zeit zw. gefunden und gepatcht reicht oft aus um genug Mist zu bauen.
In der Vergangenheit waren z.B. Apache/PHP-Luecken ein sehr beliebtes Ziel.
Die Vorgehensweise: Luecke nutzen, auf Port X ne Shell mit wwwrun oder
als was auch immer der Apache laeuft starten und local rooten.
Das funktioniert NICHT wenn man seinen Server entsprechend firewalled.
Desweiteren find ichs immernoch fragwuerdig, Kernel 2.6.x in produktiven
Umgebungen einzusetzen. Das Development in dem Bereich ist viel zu
schnell und zu komplex. Genau das selbe Spiel gabs damals mit 2.4.x, und erst
als es ein 'donotuse' Kernel gab, wurd das geschrei richtig gross.
Jedwede Software KANN zu einem Sicherheitsrisiko werden, egal was.
Wenn man aber mal ein Gang zurueck schaltet und nicht immer 'das Neuste
vom Neuen' nimmt, faehrt man glaub immernoch besser als ohne Firewall ;)
So long,
Darkman
falsch. Weil:
Eine Sicherheitsluecke ist, logischerweise, bekannt, bevor ein Patch da ist.
Diese Zeit zw. gefunden und gepatcht reicht oft aus um genug Mist zu bauen.
In der Vergangenheit waren z.B. Apache/PHP-Luecken ein sehr beliebtes Ziel.
Die Vorgehensweise: Luecke nutzen, auf Port X ne Shell mit wwwrun oder
als was auch immer der Apache laeuft starten und local rooten.
Das funktioniert NICHT wenn man seinen Server entsprechend firewalled.
Desweiteren find ichs immernoch fragwuerdig, Kernel 2.6.x in produktiven
Umgebungen einzusetzen. Das Development in dem Bereich ist viel zu
schnell und zu komplex. Genau das selbe Spiel gabs damals mit 2.4.x, und erst
als es ein 'donotuse' Kernel gab, wurd das geschrei richtig gross.
Jedwede Software KANN zu einem Sicherheitsrisiko werden, egal was.
Wenn man aber mal ein Gang zurueck schaltet und nicht immer 'das Neuste
vom Neuen' nimmt, faehrt man glaub immernoch besser als ohne Firewall ;)
So long,
Darkman
-
ravensmetaller
- Posts: 68
- Joined: 2003-08-05 20:27
Re: "Firewalls" und Sicherheit
das war jetzt die versteckte Lubhuldigung für Debian, nee woar ???Darkman wrote:Wenn man aber mal ein Gang zurueck schaltet und nicht immer 'das Neuste
vom Neuen' nimmt, faehrt man glaub immernoch besser als ohne Firewall ;)
Darkman
btw: http://www.heise.de/newsticker/meldung/48860
greets
RM
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: "Firewalls" und Sicherheit
Nicht von jemandem, der den lieben langen Tag lang auf klecker.debilian.org rumhängt. ;)das war jetzt die versteckte Lubhuldigung für Debian, nee woar ???
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: "Firewalls" und Sicherheit
*g*
Captain hat schon recht, es war kein Wink richtung Debian, jedenfalls
kein beabsichtigter. Ich sprach in dem Fall auch mehr vom Kernel
als von einem komplett veralteten System ;-)
Mal ernsthaft, viele reine Paketfilter rennen heute noch auf 2.2.x Systemen
und das mit gutem Grund. Momentan seh ich keinen wirklichen nutzen
von 2.6er Kernel ausser evtl. auf einer Workstation daheim wenn man
nicht grade das aktuellste an Hardware hat. Ansonsten ist der Speedgewinn
durch den 2.6.er Kernel nicht so riesig als das ein Umstieg jetzt schon
Sinn macht (ausser man braucht irgend ein Feature ganz dringend das
es im 2.4er Kernel nicht gibt, da faellt mir spontan auch nur so Zeux wie
ACPI usw. ein fuer Notebooks und nix fuer Server ;)
Aber gut, letzten Endes muss jeder selbst wissen was er/sie tut. Wichtig
ist in jedemfall das man sich vorher ueberlegt was man vorhat und
sich ein entsprechendes Konzept zurechtlegt. Dazu sollten auch Firewall
Regeln gehoeren, auch wenn man meinen mag "ich weiss doch was fuer
Dienste auf meinem Server laufen, wozu Firewall?"
(Wenn mans eh weiss, um so besser, weiss man gleich was man fuer
Regeln braucht ;)
Gutnacht,
Darkman
Captain hat schon recht, es war kein Wink richtung Debian, jedenfalls
kein beabsichtigter. Ich sprach in dem Fall auch mehr vom Kernel
als von einem komplett veralteten System ;-)
Mal ernsthaft, viele reine Paketfilter rennen heute noch auf 2.2.x Systemen
und das mit gutem Grund. Momentan seh ich keinen wirklichen nutzen
von 2.6er Kernel ausser evtl. auf einer Workstation daheim wenn man
nicht grade das aktuellste an Hardware hat. Ansonsten ist der Speedgewinn
durch den 2.6.er Kernel nicht so riesig als das ein Umstieg jetzt schon
Sinn macht (ausser man braucht irgend ein Feature ganz dringend das
es im 2.4er Kernel nicht gibt, da faellt mir spontan auch nur so Zeux wie
ACPI usw. ein fuer Notebooks und nix fuer Server ;)
Aber gut, letzten Endes muss jeder selbst wissen was er/sie tut. Wichtig
ist in jedemfall das man sich vorher ueberlegt was man vorhat und
sich ein entsprechendes Konzept zurechtlegt. Dazu sollten auch Firewall
Regeln gehoeren, auch wenn man meinen mag "ich weiss doch was fuer
Dienste auf meinem Server laufen, wozu Firewall?"
(Wenn mans eh weiss, um so besser, weiss man gleich was man fuer
Regeln braucht ;)
Gutnacht,
Darkman