Angst die FW einzuschalten ;-)

[sven210770]

Hi Leutz,
ich habe einen Rootserver (wer hät's gedacht). Den würde ich gern per Firewall absichern (auch klar oder?). Jetzt ist es aber so das ich der Sache nicht so ganz traue weil ich mich da auf einem anderen Server schon mal ausgesperrt habe **hihi-kann ja mal vorkommen**
Kann ich meine Konfiguration irgendwie testen?

gruss Sven

[sascha]

Was genau erhoffst du dir von der "Firewall"?

[sven210770]

Die Bösen von den Guten zu trennen. Ich habe gehört eine FW hilft dabei einen Server abzusichern. Das wäre dann auch mein Anliegen.

[captaincrunch]

Die Bösen von den Guten zu trennen. Ich habe gehört eine FW hilft dabei einen Server abzusichern. Das wäre dann auch mein Anliegen.

Wenn du zu viel Zeit hast, lernst du dabei wenigstens ein bisschen was über iptables. Einen größeren Nutzen hat das ganze allerdings nicht ... ein Paketfilter schützt (mindestens) ein Netz hinter der Firewall, auf einem Standalone-Rechner macht das ganze (vor allem ohne gutes Konzept (tm)] herzlich wenig Sinn ... auch wenn ich jetzt wieder Ã?rger von dea bekomme ... ;)

[sven210770]

Heisst das, das mein Server mit FW etwa genauso sicher ist wie ohne? Das wirft ja mein ganzes Weltbild über den Haufen! Zu wem soll ich denn dann heute Abend beten?

Ist das echt war? Ich dachte immer auch euf einem Standalone Server wäre eine FW eine lohnende Investition um die Sicherheit zu erhöhen (auch wenn ich jetzt vonn allen anderen Rootadmins Ã?rger bekomme weil ich mich als NUllblicker oute).

[captaincrunch]

Ist das echt war? Ich dachte immer auch euf einem Standalone Server wäre eine FW eine lohnende Investition um die Sicherheit zu erhöhen (auch wenn ich jetzt vonn allen anderen Rootadmins Ã?rger bekomme weil ich mich als NUllblicker oute).

Nicht wirklich, aber so dachte ich auch mal. olfi haut mir den Thread bestimmt gleich wieder um die Ohren ... ;)

Wo kein Dienst läuft, kann auch niemand ran, und wenn du dich darauf konzentrierst, die Dienste sicher zu halten ist das sicherer, als dich auf Paketfilter-Regeln zu konzentrieren ...

[sven210770]

OK, dann lass ich die FW in Zukunft mit besserem Gewissen ausgeschaltet. Ich hatte ja schon so eine Ahnung, aber man hört ja immer so schlimme Sachen .... but, who the fuck is olfi?

Danke für alles.
Gruss Sven

[captaincrunch]

but, who the *piep* is olfi?

Denn wirst du hier noch früh genug kennenlernen ... ;) Nein, ist ein lieber netter Site-Admin wie ich ... zuvorkommend un immer freundlich ... aber das wird glaube ich ziemlich OT ... ;)

[floschi]

Hi! *g*

Such mal nach dem Thread "überzeugungsarbeit für olfi", da findest du viele Antworten ;)

[sven210770]

Jetzt wird's dann aber voll OT. Aber ich glaub ihr seid ganz nett....da muss ich mir ja grade überlegen ob ich zum Admintreffen komme!! :lol:

[[tom]]

Such mal nach dem Thread "überzeugungsarbeit für olfi", da findest du viele Antworten ;)

Wir können das ja auf dem Admintreff nochmal diskutieren. :) Ich steh da eher auf CC's Seite. ;-)

[TOM]

[dea]

Such mal nach dem Thread "überzeugungsarbeit für olfi", da findest du viele Antworten ;)

Wir können das ja auf dem Admintreff nochmal diskutieren. :) Ich steh da eher auf CC's Seite. ;-)

[TOM]

Und ich auf Olfi's :-D

Naja - um dem ganzen mal den Dogmatismus zu nehmen: Wir haben alle unrecht. Es gibt sicherlich wie im restlichen RL auch nie die absolute Wahrheit und insofern macht ein Paketfilter (ich spreche jetzt bewusst nicht von einer Firewall) sicherlich genauso viel Sinn wie eine gewissenhafte Erfüllung der Aufgabe, die eingesetzte Software aktuell und somit (hoffentlich) fehlerfrei zu halten.

Ein Tip nur: Halte den Paktefilter zunächst so einfach wie möglich - also besipielsweise zunächst nur alle nicht benötigten (*hrhr*) privilegierten Ports ( < 1024) sperren - nachdem Du die nicht benötigten Dienste deinstalliert hast und dann vll. mit portsentry o.ä. Ã?berwachungstools schauen, welche unprivilegierten Ports gesperrt werden könnten. Letzteres ist vor allem dann sinnvoll wenn Du einen Gameserver auf Deinem rootie installieren willst - die sprechen ja i.A. über unprivilegierte Ports und sind somit auch übder diese angreifbar.

Und wg. rootie-Treff: Komm auf alle Fälle, kurze Anmeldung (Nick, Klarname und Anzahl) an rsac@atencio.de genügen :)

So. Aus Prinzip werde ich CaptainCrunch noch ein wenig schlagen ;)

[outofbound]

Hi,

noch ein bisserl Ã?l ins Feuer giessen ;)

http://www.team-cauchy.de/personal/

http://www.manfred-klim.de/linux/Firewa ... ewall.html

http://www.ifi.unizh.ch/ikm/Vorlesungen ... ewalls.pdf

und und und.

Interessant wird die ganze Sache, wenn man sich die neue geplante Regelung zur Verwertbarkeit von Logfiles vor Gerichten anschaut, aber
das wird noch auf sich warten lassen.

Und ich Frage mich, wie eine Behörde im Fall eines Angriffs reagiert, wenn
man auf die Frage "Was für eine Firewall betreiben Sie?" mit "Nö, bringt doch nix antwortet... Achja, darüber liesse sich sooo wunderbar philosophieren ;)


Gruss,

Out

[rootmaster]

meine philodoofie:

eine firewall ist ein packet-filter, aber ein packet-filter ist keine firewall 8)

"back to the roots"

[captaincrunch]

Um auch noch mal meinen Senf dazuzugeben :
Selbst wenn ein Paketfilter läuft, hindert das trotzdem niemanden, Lücken in den Diesten, die ohnehin laufen auszunutzen.
Auf Ports, auf denen gar kein Dienst läuft droht auch keine Gefahr, ergo : sofern man sich erstmal eingehend damit befasst hat, seine angebotenen Dienste abzusichern, kann ein Paketfilter durchaus seine Berechtigung haben. Dafür ist aber wieder ein grundlegendes Konzept (sowie ein profundes Wissen über TCP/IP) unumgänglich ... ansonsten wird man sich mit dem Paketfilter eher ein Eigentor schießen ...

[dodolin]

http://www.team-cauchy.de/personal/
http://www.manfred-klim.de/linux/Firewa ... ewall.html
http://www.ifi.unizh.ch/ikm/Vorlesungen ... ewalls.pdf

Der 1. Link ist IMHO super, wird gleich in meine Sammlung mit aufgenommen!

Meine Sammlung zum Thema Personal Firewall (unter diesen Begriff fallen sämtliche hostbasierten Paketfilter):

bash-2.05b$ cat docs/pf-links.txt
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm
http://home.arcor.de/nhb/pf-umgehen.txt
http://www.fefe.de/pffaq/
http://www.fefe.de/pffaq/halbesicherheit.txt
http://sites.inka.de/sites/lina/freefir ... etter.html
http://www.visualgrafyx.com/faq/pffaq.html
http://mpdshfaq.de.vu/
http://www.team-cauchy.de/personal/

Den 2. Link würde ich allerdings selbst nicht weiterempfehlen. Gefällt mir inhaltlich nicht wirklich.

Der 3. Link gibt einen guten Ã?berblick und Einstieg in das Thema "Firewalls", hat aber nichts speziell mit "Personal Firewalls" zu tun.

Und ich Frage mich, wie eine Behörde im Fall eines Angriffs reagiert, wenn
man auf die Frage "Was für eine Firewall betreiben Sie?" mit "Nö, bringt doch nix antwortet...

Kein Problem: Wenn "die Behörde" selbst null Ahnung hat, würde ich eben vorschlagen, einen Sachverständigen zu diesem Gebiet zu konsultieren und hinzuzuziehen. Lutz wäre da z.B. in meiner ersten Wahl, sofern er es für mich machen würde.

eine firewall ist ein packet-filter, aber ein packet-filter ist keine firewall

*Die Umsetzung* einer Firewall "kann" ein Paketfilter sein, aber ein Paketfilter noch lange keine Firewall.

*Sooo* könnte ich das jetzt unterschreiben. :)