Hallo Jens,
* Jens Benecke <[EMAIL PROTECTED]> [25-07-01 22:11]:
> > Wenn Du keine Dienste anbieten willst und keine TCP Syn Pakete von aussen
> > rein laesst, brauchst Du dich fuer TCP Dienste nicht weiter darum
> > kuemmern. Das schreib ich auch. Nur sollte eben die erste Massnahme sein,
> > Dienste, die man nicht anbieten will, erst garnicht anzubieten.
>
> ACK. Weitere Sicherheismassnahmen werden dadurch allerdings nicht
> �berfl�ssig.
ACK.
[...]
> Das f�llt mir so spontan ein. Das kann in vielen Situationen sehr, sehr
> n�tzlich sein. Wie verhinderst du z.B. einen DoS?
Gar nicht. Beim Opfer ist es dazu (meistens) zu spaet. Von DDos ganz zu
schweigen...
> Ich w�rde z.B. ab einem
> bestimmten Limit von einer b�se ausschauenden IP einfach f�r die n�chsten
> YY min nur noch XX kb/sec oder ZZ Pakete/sec akzeptieren.
Wie sehen denn 'b�se IPs' aus? ;)
> Mit ipchains ist das m.W. nicht so ohne weiteres (i.e. wrapper-skripte,
> externe programme) m�glich.
Das stimmt...
> Ach ja: ipfilter wird aktiv entwickelt. ipchains wird nur noch gepflegt.
Aber AFAIK noch recht intensiv.
> Sie ist halt nich zu 100% richtig, sondern vielleicht nur zu 98%. Mir f�llt
> zwar keiner ein, aber es gibt sicher noch Gr�nde, ipfilter nicht zu
> benutzen. Vielleicht nennst du mal ein paar konkrete.
Bugtraq 2602. Die Sache mit dem FTP - Stateful Inspection bzw.
Connection Tracking. Es ist anzunehmen, dass noch mehr solcher Sachen
endeckt werden. BTW: Ist das eigentlich schon gefixt?
Janto
--
Ich habe die Tastenknoepfe ca. jaehrlich einzeln abmontiert und in einen
Kopfkissenbezug geworfen, etwas Waschmittel dazu, zugeknotet und 30 Grad
Feinwaesche (Spuelmaschine ist heisser). Den "Gehaeuserest" habe ich mit
Lappen und Brennspiritus behandelt. - Wau Holland in de.org.ccc
PGP signature
