On Mon, 2 Dec 2002, Roland Kruggel outgrape: >> Das habe ich in einer fr�heren Mail auch so �hnlich gesagt. Ich >> wollte lediglich sagen, da� ein Paketfilter bei einem sicheren >> System kein Mu� ist. > > Das habe ich auch mal gedacht. ich wollte mit meiner �u�erung nur > sagen, da� jeder rechner der irgenwie mit einem zweiten, nicht > vertrauensw�rdigen, verbunden ist (z.b. internet) auf jeden fall ein > firewall ben�tigt. du glaubst gar nicht was der 'einbrecher' bei mir > f�r einen schaden angerichtet hat. ich kann nur empfehlen, rechner > IMMER mit firewall. es gibt einfach zu viele b�se buben.
Wie ist der Eindringling in deinen Rechner gekommen? Was hattest du alles an Diensten am laufen? Wieso hattest du diese am laufen, hast gewu�t das sie laufen? Versuche diese Fragen zu beantworten, und du wirst der Ursache f�r dein Problem nahe kommen. Es l��t sich vermutlich auf mangelnde Sorgfalt bei der Konfiguration der Dienste zur�ckf�hren. Jetzt verwendest du eine Firewall (eigentlich ist es ein Paketfilter) um dieses Problem zu l�sen. Du �bersiehst aber das ein Paketfilter nicht dazu da ist, schlecht konfigurierte Systeme zu kaschieren. Um diesem Problem beizukommen sollte man zuerst nachdenken, welche Dienste man im anbieten will. Dann denkt man dar�ber nach, ob diese Dienste nur im lokalen Netz angeboten werden sollen, oder auch im Internet. Wenn man diese Fragen beantwortet hat, schaltet man alle nicht ben�tigten Dienste ab (indem man zB die dazugeh�rigen Programme deinstalliert). Die anderen werden gem�� der Vorgaben konfiguriert, also man sorgt zB daf�r das Dienste die nicht im Internet angeboten werden sollen, nicht am entsprechenden Interface lauschen. Zus�tzlich konfiguriert man die Zugangsberechtigung zu diesem Dienst m�glichst restriktiv. Letzteres gilt selbstverst�ndlich f�r Dienste die im Internet angeboten werden sollen. Wenn eine Software die Beschr�nkung auf einzelne Interfaces nicht anbietet, sollte man sich zuerst nach Alternativen umsehen, die dieses Feature anbieten. Sollte man keine finden k�nnte ein Paketfilter zum Einsatz kommen. Allerdings sollte man den Dienst so konfigurieren, da� er auch ohne Paketfilter kein Scheunentor darstellt. Wenn man Dienste im Internet anbietet empfiehlt es sich *dringendstens* eine der einschl�gigen Security Mailinglisten zu abonnieren. Im Fall von Debian sollte es mindestens debian-security sein. Wie du siehst, wenn jemand keinerlei Dienste anbieten will, und dies auch nicht tut, braucht er eine Firewall genau so n�tig wie ein H�hnerauge am Fu� (der X-Server kann auch mit dem Parameter -nolisten tcp aufgerufen werden, damit er nicht am Netz lauscht). Wenn jemand Dienste im Internet anbieten will, hat er bestimmt kein Interesse diese via Firewall zu sperren. Im wesentlichen kann man sagen, da� auf einer Workstation keine Firewall (oder Paketfilter) ben�tigt werden. Denn merke: Eine Firewall ist ein Konzept zur Trennung von Netzwerken und eine Workstation ist kein Netz. bye Gerhard -- H�ufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
