[Firewall] Ich hab mal ne Frage zum PFW
- Ersteller Hinterwäldler
- Erstellt am
SevenSpirits
R.I.P.
@Hinterwaeldler :
Wenn Du es nicht verstehst ....
dann kannste auch würfeln ....
Wenn Du es nicht verstehst ....
dann kannste auch würfeln ....
Hallo
Da ihr eine Diskussion führt wie man ein optimal sicheres System hat führt, möchte ich auch was beitragen. Ein Coputer der ans Internet angeschlossen wird wahrscheinlich immer (oder nach einer gewießen Zeit) irgendwie angreifbar sein. Egal was man macht. Folglich ist die sicherste Lösung kein Internetanschlus (eigentlich kein Strom wie schon gesagt). Das ist aber nicht dienlich.
Mit z.B. VMWare kann man sich ein zweites virtuelles Betiebssytem installieren. Der Host hat keinen Internet anschluss, und man surft mit dem virtuellen Computer. Nach jedem surfen kann man das virtuelle Sytem überschreiben, so daß man wieder einen " frisch" aufgesetzten Vituellen Pc hat (alle Software und einstellungen inbegriffen, dauert ein paar sek). Natürlich sollte das virtelle Sytem einieger maßen geschützt sein (updates, Hardwarerouter nur um die Ports zu verstecken etc.) so das die Befallwahrscheinlichkeit während der online Zeit minimiert wird.
Dann brauch man sich auch nicht so genau überlegen welche einstellungen bei einer PFW macht oder welche Dienste man schließt.
Gruss
Da ihr eine Diskussion führt wie man ein optimal sicheres System hat führt, möchte ich auch was beitragen. Ein Coputer der ans Internet angeschlossen wird wahrscheinlich immer (oder nach einer gewießen Zeit) irgendwie angreifbar sein. Egal was man macht. Folglich ist die sicherste Lösung kein Internetanschlus (eigentlich kein Strom wie schon gesagt). Das ist aber nicht dienlich.
Mit z.B. VMWare kann man sich ein zweites virtuelles Betiebssytem installieren. Der Host hat keinen Internet anschluss, und man surft mit dem virtuellen Computer. Nach jedem surfen kann man das virtuelle Sytem überschreiben, so daß man wieder einen " frisch" aufgesetzten Vituellen Pc hat (alle Software und einstellungen inbegriffen, dauert ein paar sek). Natürlich sollte das virtelle Sytem einieger maßen geschützt sein (updates, Hardwarerouter nur um die Ports zu verstecken etc.) so das die Befallwahrscheinlichkeit während der online Zeit minimiert wird.
Dann brauch man sich auch nicht so genau überlegen welche einstellungen bei einer PFW macht oder welche Dienste man schließt.
Gruss
koloth
Chef-Hypochonder
Damit bin wohl eindeutig ich gemeint.
1. Moderator bin ich erst seit wenigen Tagen. Beim Posting der Links war ich es noch nicht.
2. Ich fand den Inhalt auf diesen Seiten einfach interessant und lesenswert. Was dann der Leser jeweils für sich mitnimmt, ist jedem selbst überlassen.
3. Die Entschuldigung, die ich mir "aus den Tasten gequetscht habe", betraf einzig und allein mein Doppelposting. Diese Links, eben weil ich sie so interessant zum Lesen fand, hatte ich wohl innerhalb relativ kurzer Zeit doppelt gepostet.
4. Damit ich aber dem "Aufschrei" von Brummelchen (dick rot "Davon ist dringenst abzuraten:") etwas hätte entgegensetzen können, müsste ich mich mit den Diensten etc. besser auskennen. Das ist aber leider nicht der Fall. Und so habe ich hier lieber meinen Mund gehalten, statt im Nebel rumzustochern.
Ist doch aber schön, wenn sich hier jetzt was entwickelt. Vielleicht wird der eine oder andere jetzt ja doch dazu animiert, etwas über den Tellerrand rauszuschauen bzw. sich etwas mit dem Thema zu beschäftigen.
Wer Dinge immer nur von einer Seite aus betrachtet, bei dem könnte es nämlich sein, dass ein Brett die andere Richtung versperrt.
derPENGUIN
fühlt sich hier wohl
Moin.
@SevenSprits:
@Hinterwaeldler:
Das mit dem Fingerprinting meine ich anders, auch wenn es genauso heisst. Was Du aus der Readme gelesen hast, bezeichnet die Moeglichkeit, dass das Script den aktuellen Status des Systems als Momentaufnahme speichert und wird von den Autoren aus mir unerklaerlichen Gruenden Fingerprint genannt. Ich meine eher, dass das Script selbst eine Digitale Signatur und eine Checksumme erhalten muss, um seine Unversehrtheit zu beweisen.
LG, peng
@SevenSprits:
Nein, leider falsch. Sie regeln gar nichts, sie erkennen nur. Daher detection. Ich habe unlaengst einfuehrende Texte zu diesem Thema verfasst, fuer ein anderes, leider ploetzlich geschlossenes Board. Werde sie ASAP wo anders online stellen und den Link nachreichen.
@Hinterwaeldler:
Das mit dem Fingerprinting meine ich anders, auch wenn es genauso heisst. Was Du aus der Readme gelesen hast, bezeichnet die Moeglichkeit, dass das Script den aktuellen Status des Systems als Momentaufnahme speichert und wird von den Autoren aus mir unerklaerlichen Gruenden Fingerprint genannt. Ich meine eher, dass das Script selbst eine Digitale Signatur und eine Checksumme erhalten muss, um seine Unversehrtheit zu beweisen.
LG, peng
SevenSpirits
R.I.P.
@ derPenguin :
Streng genommen hast Du Recht .
Im Kern sind IDS-FW Portblocker für Daten von Aussen - also eingehende(r) Daten(verkehr) .
Reine Portblocker blockieren Ports für Ein- und Ausgehenden Datenverkehr und
für systeminterne Belegung durch Windows oder installierte Programme .
Korrigiere mich , wenn ich Falsch liege --
bin auch sehr an exakten Begriffsdefinitionen interessiert .
Die Formulierung "regeln" habe ich deshalb gewählt ,
weil etliche IDS-Firewalls inzwischen ein funktionserweitertes Regelwerk (Konfiguration) haben .
Zugegebenermaßen ist mir auch kein exakterer Begriff als "regeln" eingefallen ...
Als Beispiel sei der Black Ice Defender ( inzwischen funktionserweitert als Black Ice Protection ) genannt :
Hier gibt es die Möglichkeit (unter Anderem) Regeln abhängig nach IP , Ports und TCP/UDP einzustellen .
Was ich damit sagen will :
Aus meiner Sicht kann man Firewalls aufgrund ihrer Multifunktionalität
nur noch grob nach "echter FW" und "IDS-FW" unterscheiden .
Ob das hinsichtlich exakter Begriffsdefinitionen so wünschenswert ist , ist eine andere Frage .
Mein Lapsus Terminus sei mir also Verziehen
Auf Deine Links zur Sache bin ich schon gespannt
Gruesse
SevenSpirits
Streng genommen hast Du Recht .
Im Kern sind IDS-FW Portblocker für Daten von Aussen - also eingehende(r) Daten(verkehr) .
Reine Portblocker blockieren Ports für Ein- und Ausgehenden Datenverkehr und
für systeminterne Belegung durch Windows oder installierte Programme .
Korrigiere mich , wenn ich Falsch liege --
bin auch sehr an exakten Begriffsdefinitionen interessiert .
Die Formulierung "regeln" habe ich deshalb gewählt ,
weil etliche IDS-Firewalls inzwischen ein funktionserweitertes Regelwerk (Konfiguration) haben .
Zugegebenermaßen ist mir auch kein exakterer Begriff als "regeln" eingefallen ...
Als Beispiel sei der Black Ice Defender ( inzwischen funktionserweitert als Black Ice Protection ) genannt :
Hier gibt es die Möglichkeit (unter Anderem) Regeln abhängig nach IP , Ports und TCP/UDP einzustellen .
Was ich damit sagen will :
Aus meiner Sicht kann man Firewalls aufgrund ihrer Multifunktionalität
nur noch grob nach "echter FW" und "IDS-FW" unterscheiden .
Ob das hinsichtlich exakter Begriffsdefinitionen so wünschenswert ist , ist eine andere Frage .
Mein Lapsus Terminus sei mir also Verziehen
Auf Deine Links zur Sache bin ich schon gespannt
Gruesse
SevenSpirits
derPENGUIN
fühlt sich hier wohl
Hinterwäldler
kennt sich schon aus
Hallo Leute,
da ist mir heute etwas Sonderbares passiert. Ich habe doch DSL und wollte, um Euch nichts falsches zu sagen, auch nochmal den Test für mich selbst wiederholen. Die Security-Check-Page hat doch tatsächlich für den kompletten Test von 11.12 Uhr bis 12.15 Uhr benötigt. Das Ergebnis könnt ihr im beigefügten Screenshot erkennen.
Ich frage mich jetzt, wie es einigen von euch gelang, diesen Test in weniger als einer halben Stunde zu realisieren. MaXg hats sogar sogar zweimal geschafft. Verflucht, ist mein DSL eine lahme Ente.
MaXg schreibt dann in seinem Resüme: "Ich persönlich finde Steahlt besser. "
Also verstecken wäre besser? Sag mal, was willst du verstecken, deine Ports? Ich möchte dir ein kleines Geheimnis verraten (ich sage es aber nicht weiter): "Dein, mit dem Internet, verbundener PC hat 65535 Ports." Unbesehen. Hat so ein Scriptkitty herausgefunden, das du Online bist, dann weiss er das natürlich auch wie viele es sind. Ruft er deine IP und erhält wie in deinem Fall zur Antwort: "Hier ist keiner!?", na was dann? Solltest du wirklich nicht Online sein, dann sagt es dein Provider. So einfach sind die Regeln des Internet. Der Kitty braucht jetzt nur noch herausfinden, welche Ports offen sind und welchen PFW du benutzt! Das kannste hier nachlesen: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Portscan Schon aus dieser Sicht ist ein Firewall absoluter Quatsch. Bei mir erhält er zur Antwort: "Der Port ist geschlossen." Siehe Screenshot
SevenSpirits schreibt: die zB bestimmte Daten nicht ins Netz übertragen oder aber auch zB fragmentierte ICMP Pakete ablehnen
Das ist doch ein Feature, welches den Homeuser überhaupt nicht interessiert und nur bei der Kommunikation mit Netzwerken sinnvoll ist. Es sei denn, irgend ein Cracker hat auf meinem PC schon einen Server eingerichtet. Wenn mein Downloadmanager feststellt, das ein Datenpacket nicht die richtige CRC (vereinfacht gesagt) hat, dann löscht er dies und fordert es neu an. Ähnlich funktioniert es beim Upload durch meinen FTP-Client nach meiner Homepage.
Ach dann noch:
Java regelt mein Browser und ist zur Navigation in einigen Pagen, so auch bei supernature notwendig.
ActiveX ist zum Ärgernis von Mr.B.G. komplett abgeschaltet. Das macht der Script. Monatlich einmal darf es nach dem PatchDay für ein paar Minuten agieren. Ein Hand-Updaten macht mir dann doch zu viel Arbeit.
Für Cookys und PopUp habe ich die Regeln meinem Browser eingebleut und der macht es zuverlässig.
Spyware benutzt im allgemeinen eigene Ports, die aber für diese Zwecke vom System nicht geöffnet werden. Hier würden dann Adminrechte erforderlich werden. Mit einer Firewall kann aber Spyware schon bei der Installation der Hauptsoftware die Erlaubnis bekommen, mit dem Internet zu kommunizieren.
Zu dieser Thematik: Welche Risiken sind bekannt und zu beachten ?
wurde im von mir genannten NewsGroup schon ausführlich diskutiert und alles kann in deren FAQ nachgelesen werden. Solltest du mal tun.
@Omat: Mit deinem zweiten Absatz hast du etwas Recht, es kommt aber erst dann zur Bedeutung, wenn jeder Aldi-HomePC-Besitzer (keine Diffamierung sondern Feststellung) diese Problematik beherrscht. Das heist das die technische Voraussetzung auch vorhanden und erschwinglich sowie das notwendige Wissen da sein muß.
@koloth: Woher sollte ich, was du da schreibst auch wissen, ein anderer Thread wurde mir nicht gezeigt und darum auch meine Reaktion. Übrigens, das mit dem Tellerrand und was danach kommt, ist schon richtig formuliert. Brauchst dich nicht verstecken.
@derPENGUIN: Ich dachte du meinst das, denn in der V2.1 fehlte dies aus genannten Gründen. Letztlich ist der Script und die Quelle für die EXE OpenSource und jeder kann, falls er einen Fehler, Bug etc. entdeckt, sofort seinen Protest loswerden. So wie Du es auch getan hast. Wenn ich dich richtig verstehe, meinst du es etwa ähnlich, wie es sich mit den Signaturen in den MS-Update-Archiven verhält. Die werden ja auch erst verglichen und dann wird installiert. Das wäre eine gute Sache.
Vieleicht noch mal was Grundsätzliches:
Ich werde hier unterschwellig verdächtigt einer der Erfinder dieses Scriptes zu sein und wolle ihn nur noch an den Mann bringen. Weit gefehlt. Als er mir im Frühjahr 04 bekannt wurde gab es ihn schon lange und dachte so wie ihr: "Die Chaoten vom CCC spinnen wohl!". Ich habe in Erfahrung bringen können, das mittlerweile Tausende mit Erfolg diesen Script benutzen und hört ihr auch nur eine einzige Klage von den Anwendern?
Die meisten Links zu den deutschen Dokumenten findet ihr hier http://ntsvcfg.de/linkblock.html und von hier aus könnte ihr auch nachvollziehen, welche internationale Bedeutung er inzwischen hat. Wenn man allerdings die Argumente einfach ignoriert...
da ist mir heute etwas Sonderbares passiert. Ich habe doch DSL und wollte, um Euch nichts falsches zu sagen, auch nochmal den Test für mich selbst wiederholen. Die Security-Check-Page hat doch tatsächlich für den kompletten Test von 11.12 Uhr bis 12.15 Uhr benötigt. Das Ergebnis könnt ihr im beigefügten Screenshot erkennen.
Ich frage mich jetzt, wie es einigen von euch gelang, diesen Test in weniger als einer halben Stunde zu realisieren. MaXg hats sogar sogar zweimal geschafft. Verflucht, ist mein DSL eine lahme Ente.
MaXg schreibt dann in seinem Resüme: "Ich persönlich finde Steahlt besser. "
Also verstecken wäre besser? Sag mal, was willst du verstecken, deine Ports? Ich möchte dir ein kleines Geheimnis verraten (ich sage es aber nicht weiter): "Dein, mit dem Internet, verbundener PC hat 65535 Ports." Unbesehen. Hat so ein Scriptkitty herausgefunden, das du Online bist, dann weiss er das natürlich auch wie viele es sind. Ruft er deine IP und erhält wie in deinem Fall zur Antwort: "Hier ist keiner!?", na was dann? Solltest du wirklich nicht Online sein, dann sagt es dein Provider. So einfach sind die Regeln des Internet. Der Kitty braucht jetzt nur noch herausfinden, welche Ports offen sind und welchen PFW du benutzt! Das kannste hier nachlesen: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Portscan Schon aus dieser Sicht ist ein Firewall absoluter Quatsch. Bei mir erhält er zur Antwort: "Der Port ist geschlossen." Siehe Screenshot
SevenSpirits schreibt: die zB bestimmte Daten nicht ins Netz übertragen oder aber auch zB fragmentierte ICMP Pakete ablehnen
Das ist doch ein Feature, welches den Homeuser überhaupt nicht interessiert und nur bei der Kommunikation mit Netzwerken sinnvoll ist. Es sei denn, irgend ein Cracker hat auf meinem PC schon einen Server eingerichtet. Wenn mein Downloadmanager feststellt, das ein Datenpacket nicht die richtige CRC (vereinfacht gesagt) hat, dann löscht er dies und fordert es neu an. Ähnlich funktioniert es beim Upload durch meinen FTP-Client nach meiner Homepage.
Ach dann noch:
Java regelt mein Browser und ist zur Navigation in einigen Pagen, so auch bei supernature notwendig.
ActiveX ist zum Ärgernis von Mr.B.G. komplett abgeschaltet. Das macht der Script. Monatlich einmal darf es nach dem PatchDay für ein paar Minuten agieren. Ein Hand-Updaten macht mir dann doch zu viel Arbeit.
Für Cookys und PopUp habe ich die Regeln meinem Browser eingebleut und der macht es zuverlässig.
Spyware benutzt im allgemeinen eigene Ports, die aber für diese Zwecke vom System nicht geöffnet werden. Hier würden dann Adminrechte erforderlich werden. Mit einer Firewall kann aber Spyware schon bei der Installation der Hauptsoftware die Erlaubnis bekommen, mit dem Internet zu kommunizieren.
Zu dieser Thematik: Welche Risiken sind bekannt und zu beachten ?
wurde im von mir genannten NewsGroup schon ausführlich diskutiert und alles kann in deren FAQ nachgelesen werden. Solltest du mal tun.
@Omat: Mit deinem zweiten Absatz hast du etwas Recht, es kommt aber erst dann zur Bedeutung, wenn jeder Aldi-HomePC-Besitzer (keine Diffamierung sondern Feststellung) diese Problematik beherrscht. Das heist das die technische Voraussetzung auch vorhanden und erschwinglich sowie das notwendige Wissen da sein muß.
@koloth: Woher sollte ich, was du da schreibst auch wissen, ein anderer Thread wurde mir nicht gezeigt und darum auch meine Reaktion. Übrigens, das mit dem Tellerrand und was danach kommt, ist schon richtig formuliert. Brauchst dich nicht verstecken.
@derPENGUIN: Ich dachte du meinst das, denn in der V2.1 fehlte dies aus genannten Gründen. Letztlich ist der Script und die Quelle für die EXE OpenSource und jeder kann, falls er einen Fehler, Bug etc. entdeckt, sofort seinen Protest loswerden. So wie Du es auch getan hast. Wenn ich dich richtig verstehe, meinst du es etwa ähnlich, wie es sich mit den Signaturen in den MS-Update-Archiven verhält. Die werden ja auch erst verglichen und dann wird installiert. Das wäre eine gute Sache.
Vieleicht noch mal was Grundsätzliches:
Ich werde hier unterschwellig verdächtigt einer der Erfinder dieses Scriptes zu sein und wolle ihn nur noch an den Mann bringen. Weit gefehlt. Als er mir im Frühjahr 04 bekannt wurde gab es ihn schon lange und dachte so wie ihr: "Die Chaoten vom CCC spinnen wohl!". Ich habe in Erfahrung bringen können, das mittlerweile Tausende mit Erfolg diesen Script benutzen und hört ihr auch nur eine einzige Klage von den Anwendern?
Die meisten Links zu den deutschen Dokumenten findet ihr hier http://ntsvcfg.de/linkblock.html und von hier aus könnte ihr auch nachvollziehen, welche internationale Bedeutung er inzwischen hat. Wenn man allerdings die Argumente einfach ignoriert...
Zuletzt bearbeitet:
Hinterwäldler
kennt sich schon aus
Wieso ist mein Screenshot nicht sichtbar?
Zuletzt bearbeitet:
JensusUT
Senior Member
Hallo Hinterwäldler,
Ich schreibe hier mal aus dem Kopf nieder, was mir so alles einfällt zu diesem Thema und deinen Bemerkungen im Speziellen.
Nach dem erneuten durcharbeiten deiner Beiträge und Linkempfehlungen möchte ich mal folgende These aufstellen (die wirklich nicht böse gemeint ist), vielleicht kannst du mir sagen, ob ich sehr daneben liege.
Ich denke, du bist ein User wie du und ich, der vor nicht allzu langer Zeit (4-5 Jahre?) das Netz ergründet hat. Dann kam letztes Jahr dein Erlebnis mit dem "Hackerangriff", der dir anscheinend auf ziemlich drastische Weise vor Augen geführt hat, wie leicht es sein kann, auf fremden PCs (die mit dem I-Net verbunden sind) spazieren zu gehen. Da du WinXP und ZA beschrieben hast, bin ich auch auf die eingangs erwähnte Aussage gekommen, sozusagen aus dem Bauch heraus.
Anschließend hast du dir Gedanken gemacht, wie man einen PC besser als nur mit einer FW absichern kann und bist vielleicht auch ins Grübeln gekommen, da ZA dir ja nur eingeschränkt helfen konnte. Schließlich bist du bei NTsvcfg gelandet und hast dieses Prinzip (mit Erfolg?) angewandt sowie die Aussagen auf der Homepage verinnerlicht. Liege ich sehr daneben?
Einiges an diesem Thread stösst mir im Nachhinein aber doch sauer auf. Zum Beispiel gehst du mit keinem Wort auf die begriffe Spy-/Maleware oder Phonehome ein. Bei diesen Punkten ist ein geschlossener Port völlig irrelevant, so sicher die Konfiguration auch sein mag; und spätestens hier ist auch der Tenor der verschiedenen Links " (...) was ist eine PFW wert? Nichts!" völlig aus dem Zusammenhang gerissen und falsch.
Unbestritten ist es, dass eine FW die richtige Konfiguration braucht, um überhaupt einen Sinn zu machen. Ohne diese wird sie dem unbedarften User tatsächlich eher eine Sicherheit vorgaukeln, die sie nicht bieten kann. Allerdings lässt du ja auch einige interessante Zitate aus deinen Links (Lichtenberger) unerwähnt: "(...) Jedoch kann man soviel Software in die Mülltonne werfen wie es einem gerade recht ist, wenn das Betriebssystem selbst nicht Open-Source ist." Ok, alle Windows-User brauchen sich also eh' nicht um Systemsicherheit zu bemühen, Redmont macht das sowieso durchs Hintertürchen... *Ironie off*...
Um Dich noch einmal zu zitieren: Ist doch toll! ZA hat den Hackerangriff vereitelt. Wer weiss, was er sonst auf deinem PC angerichtet hätte?
Hm... er hat dich trotz der inzwischen sicher durchgeführten Trennung noch einmal angegriffen? Sehr unwahrscheinlich, dass dies ohne ein Tool, was bereits auf deinem PC lief, möglich ist, da du ja bei der Einwahl eines jeden Providers eine neue IP zugeteilt bekommst. Ein denkbares Szenario ist eher ein Bot oder Trojaner, der deine IP nach erfolgter Einwahl regelmäßig an eine andere Stelle gemeldet hat. "Das Omen" hat es ja in dem andren Board auch vermutet. Auch hier wage ich die Aussage: Deine ganzen geschlossenen Ports helfen bei so einem Angriff überhaupt nichts. Ebenso schienen die Virensignaturen nicht aktuell zu sein oder ein schlechter Scanner zu arbeiten.
Zudem gehst du bisher nicht auf die Frage ein, ob du als Benutzer mit eingeschränkten Rechten oder als Admin unterwegs bist und deine Platten mit NTFS formatiert hast. Dies würde nämlich zusätzlich zu NTsvcfg zwingend notwendig sein.
Jetzt zu Bemerkungen aus dem Thread...
Ich blase in das gleiche Horn wie auch meine Vorredner, nur ausführlicher: Nur, weil einige Experten aus einer NG FAQs ins Leben gerufen haben, die sich über PFWs auslässt, sind sämtliche Programme dieser Richtung völlig überflüssig oder gar schädlich? Johannes Lichtenberger beweist, welche Wirkung eine PFW hat? Wo denn? Ich wiederhole mich, aber das ist leider wirklich engstirnig und einseitig. So soll die Wahrheit aussehen? Es ist eine Meinung einzelner Personen, die sicherlich eine Menge von der Materie verstehen und ein Konzept beschreiben, welches vielleicht zu Firmen passt, die wirkliche Geheimnisse schützen müssen.
Abgesehen davon ist der Text inzwischen schon etwas älter und wurde nicht auf die Optionen der aktuellen Produkte adaptiert. Sygate z.B. lässt eine Passwortvergabe zu und ist ohne nicht zu beenden, als Non-Admin sowieso nicht.
Aber ich merke, dass ich mich schon wieder in Einzelheiten verliere, dabei ist von SevenSpirits schon alles zum ausgewogenen Konzept und zum Thema Sicherheit gesagt worden.
Verstehe ich nicht. Wer sagt wo was falsches? Was verschweigt die Presse? Das Board wird unglaubwürdig? Sorry, aber ich muss zugeben, dass mir diese Sätze erst nach nochmaligem Durchlesen aufgefallen sind und ich sie beim besten Willen nicht so richtig einordnen oder verstehen kann.
Weiterhin vermisse ich ein Dialog mit den Aussagen von SevenSpirits bezüglich wirksames Sicherheitskonzept sowie derPINGUS Aussagen, die ich hier eigentlich nur anders formuliert niederschreibe (Mist, nächstes Mal fange ich hinten an). Ohne Stellungnahmen dazu ist bis hier eigentlich alles (sinnvolle) gesagt. Und
Mal sehen, ob nun doch noch eine Diskussion zustande kommt.
Einen schönen Tag wünscht
Jensus
Ich schreibe hier mal aus dem Kopf nieder, was mir so alles einfällt zu diesem Thema und deinen Bemerkungen im Speziellen.
Nach dem erneuten durcharbeiten deiner Beiträge und Linkempfehlungen möchte ich mal folgende These aufstellen (die wirklich nicht böse gemeint ist), vielleicht kannst du mir sagen, ob ich sehr daneben liege.
Ich denke, du bist ein User wie du und ich, der vor nicht allzu langer Zeit (4-5 Jahre?) das Netz ergründet hat. Dann kam letztes Jahr dein Erlebnis mit dem "Hackerangriff", der dir anscheinend auf ziemlich drastische Weise vor Augen geführt hat, wie leicht es sein kann, auf fremden PCs (die mit dem I-Net verbunden sind) spazieren zu gehen. Da du WinXP und ZA beschrieben hast, bin ich auch auf die eingangs erwähnte Aussage gekommen, sozusagen aus dem Bauch heraus
.Anschließend hast du dir Gedanken gemacht, wie man einen PC besser als nur mit einer FW absichern kann und bist vielleicht auch ins Grübeln gekommen, da ZA dir ja nur eingeschränkt helfen konnte. Schließlich bist du bei NTsvcfg gelandet und hast dieses Prinzip (mit Erfolg?) angewandt sowie die Aussagen auf der Homepage verinnerlicht. Liege ich sehr daneben
?Einiges an diesem Thread stösst mir im Nachhinein aber doch sauer auf. Zum Beispiel gehst du mit keinem Wort auf die begriffe Spy-/Maleware oder Phonehome ein. Bei diesen Punkten ist ein geschlossener Port völlig irrelevant, so sicher die Konfiguration auch sein mag; und spätestens hier ist auch der Tenor der verschiedenen Links " (...) was ist eine PFW wert? Nichts!" völlig aus dem Zusammenhang gerissen und falsch.
Unbestritten ist es, dass eine FW die richtige Konfiguration braucht, um überhaupt einen Sinn zu machen. Ohne diese wird sie dem unbedarften User tatsächlich eher eine Sicherheit vorgaukeln, die sie nicht bieten kann. Allerdings lässt du ja auch einige interessante Zitate aus deinen Links (Lichtenberger) unerwähnt: "(...) Jedoch kann man soviel Software in die Mülltonne werfen wie es einem gerade recht ist, wenn das Betriebssystem selbst nicht Open-Source ist." Ok, alle Windows-User brauchen sich also eh' nicht um Systemsicherheit zu bemühen, Redmont macht das sowieso durchs Hintertürchen... *Ironie off*...
Um Dich noch einmal zu zitieren:
Offensichtlich ein Scriptkiddie, ein "echter" Hacker würde sich kaum die Mühe machen, in einem Programmverzeichnis eines Windowstools herumzuschnüffeln, außer er wollte dort seine EXE ablegen. Aber auch die weitere Vorgehensweise ist rätselhaft:
Ist doch toll! ZA hat den Hackerangriff vereitelt. Wer weiss, was er sonst auf deinem PC angerichtet hätte?Hm... er hat dich trotz der inzwischen sicher durchgeführten Trennung noch einmal angegriffen? Sehr unwahrscheinlich, dass dies ohne ein Tool, was bereits auf deinem PC lief, möglich ist, da du ja bei der Einwahl eines jeden Providers eine neue IP zugeteilt bekommst. Ein denkbares Szenario ist eher ein Bot oder Trojaner, der deine IP nach erfolgter Einwahl regelmäßig an eine andere Stelle gemeldet hat. "Das Omen" hat es ja in dem andren Board auch vermutet. Auch hier wage ich die Aussage: Deine ganzen geschlossenen Ports helfen bei so einem Angriff überhaupt nichts. Ebenso schienen die Virensignaturen nicht aktuell zu sein oder ein schlechter Scanner zu arbeiten.
Zudem gehst du bisher nicht auf die Frage ein, ob du als Benutzer mit eingeschränkten Rechten oder als Admin unterwegs bist und deine Platten mit NTFS formatiert hast. Dies würde nämlich zusätzlich zu NTsvcfg zwingend notwendig sein.
Ist doch klasse!
Erlaube mir die Frage: Warum nicht den Stecker zum Modem/Router gezogen und offline auf die Suche gegangen?
Jetzt zu Bemerkungen aus dem Thread...
Ich blase in das gleiche Horn wie auch meine Vorredner, nur ausführlicher: Nur, weil einige Experten aus einer NG FAQs ins Leben gerufen haben, die sich über PFWs auslässt, sind sämtliche Programme dieser Richtung völlig überflüssig oder gar schädlich? Johannes Lichtenberger beweist, welche Wirkung eine PFW hat? Wo denn? Ich wiederhole mich, aber das ist leider wirklich engstirnig und einseitig. So soll die Wahrheit aussehen? Es ist eine Meinung einzelner Personen, die sicherlich eine Menge von der Materie verstehen und ein Konzept beschreiben, welches vielleicht zu Firmen passt, die wirkliche Geheimnisse schützen müssen.
Abgesehen davon ist der Text inzwischen schon etwas älter und wurde nicht auf die Optionen der aktuellen Produkte adaptiert. Sygate z.B. lässt eine Passwortvergabe zu und ist ohne nicht zu beenden, als Non-Admin sowieso nicht.
Aber ich merke, dass ich mich schon wieder in Einzelheiten verliere, dabei ist von SevenSpirits schon alles zum ausgewogenen Konzept und zum Thema Sicherheit gesagt worden.
Verstehe ich nicht. Wer sagt wo was falsches? Was verschweigt die Presse? Das Board wird unglaubwürdig? Sorry, aber ich muss zugeben, dass mir diese Sätze erst nach nochmaligem Durchlesen aufgefallen sind und ich sie beim besten Willen nicht so richtig einordnen oder verstehen kann.
Weiterhin vermisse ich ein Dialog mit den Aussagen von SevenSpirits bezüglich wirksames Sicherheitskonzept sowie derPINGUS Aussagen, die ich hier eigentlich nur anders formuliert niederschreibe (Mist, nächstes Mal fange ich hinten an
). Ohne Stellungnahmen dazu ist bis hier eigentlich alles (sinnvolle) gesagt. Und
ist leider aus genau diesen Gründen sehr schade und der Diskussion nicht zuträglich.
Mal sehen, ob nun doch noch eine Diskussion zustande kommt.
Einen schönen Tag wünscht
Jensus
<°)))))o<
Don't feed the Trolls (Menno, die ASCI - Art funktioniert hier nicht)
Don't feed the Trolls (Menno, die ASCI - Art funktioniert hier nicht
)
Wo sollte er denn sein?
derPENGUIN
fühlt sich hier wohl
@Hinterwaeldler
Du meinst also (ich kann es immer noch nicht glauben), jegliche Firewall ist sinnfrei. Besser, man hat keine Ports offen...
Nun ja, wie schon eingangs erwaehnt, kann das blosse Betrachten einer Website einen trojaner installieren und Ports oeffnen. Fuer alle, die sich trauen, hab ich ein funktionierendes Beispiel hier . Wenn ihr das mit dem IE oeffnet, seht ihr nix ausser der Sanduhr. Aber, so lange dieses IE-fenster offen ist, lauscht euer Rechner auf dem Port 28876 und ist fuer Angriffe von aussen offen!!! . Keine Angst, das Schliessen des IE beendet auch die Backdoor, jedenfalls in der vorliegenden Version. (getesstet mit XP und SP1. Kann sein, dass es bei SP 2 nicht mehr geht. Aber, nicht jeder hat das...)
Also? Wer will noch alles ohne Firewall surfen?
LG, peng
Du meinst also (ich kann es immer noch nicht glauben), jegliche Firewall ist sinnfrei. Besser, man hat keine Ports offen...
Nun ja, wie schon eingangs erwaehnt, kann das blosse Betrachten einer Website einen trojaner installieren und Ports oeffnen. Fuer alle, die sich trauen, hab ich ein funktionierendes Beispiel hier . Wenn ihr das mit dem IE oeffnet, seht ihr nix ausser der Sanduhr. Aber, so lange dieses IE-fenster offen ist, lauscht euer Rechner auf dem Port 28876 und ist fuer Angriffe von aussen offen!!! . Keine Angst, das Schliessen des IE beendet auch die Backdoor, jedenfalls in der vorliegenden Version. (getesstet mit XP und SP1. Kann sein, dass es bei SP 2 nicht mehr geht. Aber, nicht jeder hat das...)
Also? Wer will noch alles ohne Firewall surfen?
LG, peng
Hinterwäldler
kennt sich schon aus
@Supernature: Ich habe es paar mal versucht, es geht nicht.
Ich kann dies lesen: Es ist Dir erlaubt, Anhänge anzufügen.
sowie Erlaubte Dateiendungen: gif jpg png txt zip bmp jpeg rar ace
Jetzt finde ich auf meiner Festplatte nach der Betätigung des Button [Durchsuchen] die bewusste C:\Temp\Bild1.gif. In der Editorzeile kann ich dies auch lesen. Drücke ich nun auf Antworten, müsste mein Posting mit angehängter Bild1.gif im Thread erscheinen.
Das tut es aber nicht. Warum, in anderen Foren geht es doch auch.
Ich kann dies lesen: Es ist Dir erlaubt, Anhänge anzufügen.
sowie Erlaubte Dateiendungen: gif jpg png txt zip bmp jpeg rar ace
Jetzt finde ich auf meiner Festplatte nach der Betätigung des Button [Durchsuchen] die bewusste C:\Temp\Bild1.gif. In der Editorzeile kann ich dies auch lesen. Drücke ich nun auf Antworten, müsste mein Posting mit angehängter Bild1.gif im Thread erscheinen.
Das tut es aber nicht. Warum, in anderen Foren geht es doch auch.
Anhänge
Hinterwäldler
kennt sich schon aus
Hurra Jetzt gings, warum?
Wir haben hier ein kleines Prob. Es war kein Vorwurf als ich schrieb: Hier geht es fast noch schneller wie in den NG. Dadurch kommt es zu Überschneidungen.
JensusUT schrieb: Liege ich sehr daneben ?
Kurz und knapp: Nein!!!
Auf Spy- und Malware bin ich schon eingegangen. Um es mal anders zu beschreiben: Spyware installiert man sich selbst, oft sogar bei vollem Bewusstsein . Wer sie drauf lässt und unter Umständen ihr sogar Adminrechte verschafft, ist selber dran Schuld. Hier hilft nur stetige Aufklährungsarbeit :motz
Anders bei Malware. Es ist so der Sammelbegriff für alles was so mit Viren, Trojaner und Würmer zu tun hat. Wobei die Vieren, wie wir sie in den 90er kennengelernt haben kaum noch Bedeutung besitzen. Die werden von jedem Scanner gefunden und gekillt. Gegen Trojaner und Viren hilft wirklich nur ein komplexes Sicherheitskonzept, welches sich grundsätzlich von der blosen Anwesenheit des Scanners auf der Festplatte unterscheidet. Dies habe ich versucht hier zu beschreiben: https://www.supernature-forum.de/showthread.php?s=&threadid=41658&perpage=15&pagenumber=1
gegen 16.14 Uhr
Jetzt zu diesem Thread bei EXELBONSAI bei welchem übrigens dasOmen noch Moderator war:
Es war praktisch so, das ich zu diesem Zeitpunkt schon in der Lage war, innerhalb weniger Stunden mein System komplett herzustellen. Heute dauerts nur noch 10 min. Das es sich dabei um einen Scriptkittie handelt war mir schon nach seiner ersten großen Aktion klar. Ich war jedoch darüber erstaunt und zugleich neugierig geworden, was er so alles veranstaltet. Irgend welche sicherheitsrelevante Dateien hatte ich nicht auf der HD, also mal sehen was der alles macht.
Das war erstaunlich, sogar Verzeichnisse hatte er angelegt und wieder gelöscht. Die Spuren konnte ich mit Registry First Aid komplett mit Uhrzeit nachvollziehen. Ich hatte damals noch ein Modem 56k und sobald ich ins Internet ging dauerte es keine 5 min und es ging wieder los. Auch hatte zu diesem Zeitpunkt keine Vorstellung wie, vermutlich durch einen Trojaner, welcher ihm dann ein Mail sendete, aus welcher er meine aktuelle IP entnehmen konnte. Ich beobachtete das solange bis ich genug hatte und die C: gelöscht habe. Seit dem habe ich Ruhe.
Das alles aber mit aktiven? ZA. Unverständlich zu diesem Zeitpunkt danach stieg ich mal kurz auf BlackIce um und fand das Ding noch nervender. Insbesonders weil dieser mir auch die IP und die Namen der PC's ansagte, welche meinen PC "angriffen". Dort begann ich nachzudenken und gelangte auf die Seiten von ntsvcfg.de. Jetzt ging mir ein Licht auf und verstand, was vorgefallen ist. So ist das leben, durch Schaden wird man klug.
Also, wir haben hier einen FamilienPC mit FreenetiPhone und meine Tochter möchte gerne jetzt mit ihren Freunden in Übersee sprechen und spielen, soll sie. Nur ich muss Schluß machen und melde mich morgen wieder.
Wir haben hier ein kleines Prob. Es war kein Vorwurf als ich schrieb: Hier geht es fast noch schneller wie in den NG. Dadurch kommt es zu Überschneidungen.
JensusUT schrieb: Liege ich sehr daneben ?
Kurz und knapp: Nein!!!
Auf Spy- und Malware bin ich schon eingegangen. Um es mal anders zu beschreiben: Spyware installiert man sich selbst, oft sogar bei vollem Bewusstsein
. Wer sie drauf lässt und unter Umständen ihr sogar Adminrechte verschafft, ist selber dran Schuld. Hier hilft nur stetige Aufklährungsarbeit :motz Anders bei Malware. Es ist so der Sammelbegriff für alles was so mit Viren, Trojaner und Würmer zu tun hat. Wobei die Vieren, wie wir sie in den 90er kennengelernt haben kaum noch Bedeutung besitzen. Die werden von jedem Scanner gefunden und gekillt. Gegen Trojaner und Viren hilft wirklich nur ein komplexes Sicherheitskonzept, welches sich grundsätzlich von der blosen Anwesenheit des Scanners auf der Festplatte unterscheidet. Dies habe ich versucht hier zu beschreiben: https://www.supernature-forum.de/showthread.php?s=&threadid=41658&perpage=15&pagenumber=1
gegen 16.14 Uhr
Jetzt zu diesem Thread bei EXELBONSAI bei welchem übrigens dasOmen noch Moderator war:
Es war praktisch so, das ich zu diesem Zeitpunkt schon in der Lage war, innerhalb weniger Stunden mein System komplett herzustellen. Heute dauerts nur noch 10 min. Das es sich dabei um einen Scriptkittie handelt war mir schon nach seiner ersten großen Aktion klar. Ich war jedoch darüber erstaunt und zugleich neugierig geworden, was er so alles veranstaltet. Irgend welche sicherheitsrelevante Dateien hatte ich nicht auf der HD, also mal sehen was der alles macht.
Das war erstaunlich, sogar Verzeichnisse hatte er angelegt und wieder gelöscht. Die Spuren konnte ich mit Registry First Aid komplett mit Uhrzeit nachvollziehen. Ich hatte damals noch ein Modem 56k und sobald ich ins Internet ging dauerte es keine 5 min und es ging wieder los. Auch hatte zu diesem Zeitpunkt keine Vorstellung wie, vermutlich durch einen Trojaner, welcher ihm dann ein Mail sendete, aus welcher er meine aktuelle IP entnehmen konnte. Ich beobachtete das solange bis ich genug hatte und die C: gelöscht habe. Seit dem habe ich Ruhe.
Das alles aber mit aktiven? ZA. Unverständlich zu diesem Zeitpunkt danach stieg ich mal kurz auf BlackIce um und fand das Ding noch nervender. Insbesonders weil dieser mir auch die IP und die Namen der PC's ansagte, welche meinen PC "angriffen". Dort begann ich nachzudenken und gelangte auf die Seiten von ntsvcfg.de. Jetzt ging mir ein Licht auf und verstand, was vorgefallen ist. So ist das leben, durch Schaden wird man klug.
Also, wir haben hier einen FamilienPC mit FreenetiPhone und meine Tochter möchte gerne jetzt mit ihren Freunden in Übersee sprechen und spielen, soll sie. Nur ich muss Schluß machen und melde mich morgen wieder.
Zuletzt bearbeitet:
MaXg
assimiliert
Nun hats mich doch gerafft.
Hab ich irgendwo gesagt das man sicher ist ? Wenn ja nehm ichs zurück.
Win2k SP4 neuinstallation + FTP Server + Webserver+Firewall
Lokaltest:
Win2k SP4 neuinstallation + FTP Server + Webserver ohne Wall, System wie beschrieben gepatcht.
Lokaltest:
Dieses Ergebnis + Beitrag von Penguin + Malware + Phonehome...
Hab ich irgendwo gesagt das man sicher ist ? Wenn ja nehm ichs zurück.
Win2k SP4 neuinstallation + FTP Server + Webserver+Firewall
Lokaltest:
Win2k SP4 neuinstallation + FTP Server + Webserver ohne Wall, System wie beschrieben gepatcht.
Lokaltest:
Dieses Ergebnis + Beitrag von Penguin + Malware + Phonehome...
SevenSpirits
R.I.P.
@derPenguin :
Danke für den Link
IDS ( Intrusion Detection System )
Öffnet und inspiziert Datenpakete anhand von Signaturen nach Angriffs-Merkmalen .
Das Ergebniss wird protokolliert .
Es erfolgt jedoch kein Eingriff in den Datenverkehr .
==>> Korrekt - da stimme ich zu .
Ein IDS kann keine Angriffe abwehren - es fehlt ein System , welches auch reagiert
==>> Korrekt - da stimme ich zu .
Das Script Guardian wird als reagierendes System genannt -
kann im Moment nichts zu Guardian sagen (muss ich erst in Ruhe anschauen ) :
------
Arbeitsweise Guardian :
Permanentes Auslesen der Logs (von Snort / IDS ) und
sofortige Anpassung der Firewall
Allgemeine Massnahme (Reaktion) des Reagierenden Systems :
Vor allem Sperrung der Angreifer IP
Für Guardian gibt es - sofern ich es richtig sehe -
zusätzliche Scripte .
------
Ich habe heute morgen wohl etwas unglücklich bzw. nicht exakt formuliert :
Mit IDS-FW ( Intrusion Detection Firewall ) meinte ich eine Kombination aus
IDS (s.o.) und Reagierendem System (s.o) .
Inwieweit sich das angeführte Beispiel BlackIceDefender (BID) mit Guardian vergleichen lässt ,
läßt sich sicher noch herausfinden .
Wozu ?
Nicht um wertend zu vergleichen ( im Sinne von besser oder schlechter ) -
sondern um evtl. weitere Definitionen / Begriffe bezüglich Funktionen / Arbeitsweisen herauszuarbeiten .
(Eine sinnvolle Analyse bzw. Diskussion von Sachverhalten beruht imo auf klaren Definitionen -
ich denke , wir sind gerade dabei diese zu erarbeiten )
Frage :
Kannst Du der Deutung des Begriffes IDS-FW ( als Kombination) zustimmen ?
Ich hatte "reine Portblocker" erwähnt :
Programme , welche Ports anhand einer Vorgabe (manuell oder listenbasierend) sperren oder öffnen .
Siehst Du das auch so ?
Gruesse
SevenSpirits
Danke für den Link
IDS ( Intrusion Detection System )
Öffnet und inspiziert Datenpakete anhand von Signaturen nach Angriffs-Merkmalen .
Das Ergebniss wird protokolliert .
Es erfolgt jedoch kein Eingriff in den Datenverkehr .
==>> Korrekt - da stimme ich zu .
Ein IDS kann keine Angriffe abwehren - es fehlt ein System , welches auch reagiert
==>> Korrekt - da stimme ich zu .
Das Script Guardian wird als reagierendes System genannt -
kann im Moment nichts zu Guardian sagen (muss ich erst in Ruhe anschauen ) :
------
Arbeitsweise Guardian :
Permanentes Auslesen der Logs (von Snort / IDS ) und
sofortige Anpassung der Firewall
Allgemeine Massnahme (Reaktion) des Reagierenden Systems :
Vor allem Sperrung der Angreifer IP
Für Guardian gibt es - sofern ich es richtig sehe -
zusätzliche Scripte .
------
Ich habe heute morgen wohl etwas unglücklich bzw. nicht exakt formuliert :
Mit IDS-FW ( Intrusion Detection Firewall ) meinte ich eine Kombination aus
IDS (s.o.) und Reagierendem System (s.o) .
Inwieweit sich das angeführte Beispiel BlackIceDefender (BID) mit Guardian vergleichen lässt ,
läßt sich sicher noch herausfinden .
Wozu ?
Nicht um wertend zu vergleichen ( im Sinne von besser oder schlechter ) -
sondern um evtl. weitere Definitionen / Begriffe bezüglich Funktionen / Arbeitsweisen herauszuarbeiten .
(Eine sinnvolle Analyse bzw. Diskussion von Sachverhalten beruht imo auf klaren Definitionen -
ich denke , wir sind gerade dabei diese zu erarbeiten
)Frage
:Kannst Du der Deutung des Begriffes IDS-FW ( als Kombination) zustimmen ?
Ich hatte "reine Portblocker" erwähnt :
Programme , welche Ports anhand einer Vorgabe (manuell oder listenbasierend) sperren oder öffnen .
Siehst Du das auch so ?
Gruesse
SevenSpirits
Zuletzt bearbeitet:
derPENGUIN
fühlt sich hier wohl
Moin,
um eines vorweg zu nehmen, ich kenne BlackIceDefender nicht und hab kA, was das macht. Fest steht, ein IDS ist dazu da, Angriffe zu erkennen , daher das D im Namen. guardian setzt darauf auf und ist in der Lage, die Firewall nach den Auswertungen des IDS anzupassen. (Ein weitverbreitetes Konzept unter Unix ist, dass viele kleine Helferlein sich gegenseitig die Ergebnisse zuschieben, um damit weiter zu arbeiten)
Ein weiterer Schritt in Richtung Sicherheit ist, sich von dshield.org die Liste der populaeren Angreifer-IPs zu holen und diese ebenfalls in die FW-regeln einzubauen. (In Fortsetzung davon uebertraegt man die eigenen IDS-logs an dshield, es lebe die Gemeinschaft! Aber, das ist schon wieder eine philosophische Frage...)
Ich moechte jedoch, die Diskussion unterbrechend, mal grundsaetzlich differenzieren, um auch unserem Hinterwaeldler nicht unrecht zu tun: Wir muessen unterscheiden zwischen der privaten Sicherheit eines Otto-N-surfers und der professionellen Paranoia. Ich bin von Beruf SysAdmin und verantwortlich fuer eine Handvoll Server mit einem in Zahlen nicht ausdrueckbaren Datenwert. (Es versteht sich von selbst, dass ein Schliessen aller Ports nicht zur Debatte steht.) Es ist sicher richtig, dass auf einem privaten System eine PFW wertfrei ist, und, selbst wenn man eine hat, taeuscht sie falsche Sicherheit dar und stellt dadurch erst recht eine Gefahr dar. Aehnlich ist das im professionellen Umfeld: Das Hauptrisiko sind die Anwender! Wenn wir die nicht haetten, lebten wir (die Administratoren) viel ruhiger! Und in diesem Punkt ist die Aufklaerungsarbeit von Hinterwaeldler durchaus nuetzlich, auch wenns mit der Didaktik nicht ganz so klappt.
Ok, zurueck zum technischen: Ein IDS-FW ist mir noch nicht untergekommen. Das sind zwei getrennte Systeme, die unterschiedliche Ansaetze verfolgen. Sicher gibt es Firewalls, die (Stichwort: statefull inspection) den Datentransferr direkt beleuchten. (astaro ist ein entsprechender Kandidat). Es gibt gar Systeme, die die "Gewohnheiten" des Traffics kennen und Anormalien als Angriff werten. (Damit hab ich leider noch keine Erfahrung.) Das alles hat aber nix mit IDS zu tun.
Grundsaetzlich, und ich bin der Meinung, wir sollten uns zunaechst auf eine gemeinsame Def.-Basis einigen, ist eine FW erstens sinnvoill (falls korrekt konfiguriert) und zweitens nicht ausreichend, da die Cracker auch nicht pennen...
So, genug Grundlagenforschung betrieben, offen gestanden, mich ermuedet das Herbeten von allgemeinen Weisheiten... Ich bin, sry, wenn ich das so sage, zu lange im Geschaeft, als dass ich die Notwendigkeit einer Firewall beweisen muesste...
LG, peng
um eines vorweg zu nehmen, ich kenne BlackIceDefender nicht und hab kA, was das macht. Fest steht, ein IDS ist dazu da, Angriffe zu erkennen , daher das D im Namen. guardian setzt darauf auf und ist in der Lage, die Firewall nach den Auswertungen des IDS anzupassen. (Ein weitverbreitetes Konzept unter Unix ist, dass viele kleine Helferlein sich gegenseitig die Ergebnisse zuschieben, um damit weiter zu arbeiten)
Ein weiterer Schritt in Richtung Sicherheit ist, sich von dshield.org die Liste der populaeren Angreifer-IPs zu holen und diese ebenfalls in die FW-regeln einzubauen. (In Fortsetzung davon uebertraegt man die eigenen IDS-logs an dshield, es lebe die Gemeinschaft! Aber, das ist schon wieder eine philosophische Frage...)
Ich moechte jedoch, die Diskussion unterbrechend, mal grundsaetzlich differenzieren, um auch unserem Hinterwaeldler nicht unrecht zu tun: Wir muessen unterscheiden zwischen der privaten Sicherheit eines Otto-N-surfers und der professionellen Paranoia. Ich bin von Beruf SysAdmin und verantwortlich fuer eine Handvoll Server mit einem in Zahlen nicht ausdrueckbaren Datenwert. (Es versteht sich von selbst, dass ein Schliessen aller Ports nicht zur Debatte steht.) Es ist sicher richtig, dass auf einem privaten System eine PFW wertfrei ist, und, selbst wenn man eine hat, taeuscht sie falsche Sicherheit dar und stellt dadurch erst recht eine Gefahr dar. Aehnlich ist das im professionellen Umfeld: Das Hauptrisiko sind die Anwender! Wenn wir die nicht haetten, lebten wir (die Administratoren) viel ruhiger! Und in diesem Punkt ist die Aufklaerungsarbeit von Hinterwaeldler durchaus nuetzlich, auch wenns mit der Didaktik nicht ganz so klappt.
Ok, zurueck zum technischen: Ein IDS-FW ist mir noch nicht untergekommen. Das sind zwei getrennte Systeme, die unterschiedliche Ansaetze verfolgen. Sicher gibt es Firewalls, die (Stichwort: statefull inspection) den Datentransferr direkt beleuchten. (astaro ist ein entsprechender Kandidat). Es gibt gar Systeme, die die "Gewohnheiten" des Traffics kennen und Anormalien als Angriff werten. (Damit hab ich leider noch keine Erfahrung.) Das alles hat aber nix mit IDS zu tun.
Grundsaetzlich, und ich bin der Meinung, wir sollten uns zunaechst auf eine gemeinsame Def.-Basis einigen, ist eine FW erstens sinnvoill (falls korrekt konfiguriert) und zweitens nicht ausreichend, da die Cracker auch nicht pennen...
So, genug Grundlagenforschung betrieben, offen gestanden, mich ermuedet das Herbeten von allgemeinen Weisheiten... Ich bin, sry, wenn ich das so sage, zu lange im Geschaeft, als dass ich die Notwendigkeit einer Firewall beweisen muesste...
LG, peng