Hallo gerhard, habe deine mail mit sehr viel interesse gelesen und gebe dir in einigen punkten auch recht, aber einiges sehe ich etwas anders.
> > ein firewall ben�tigt. du glaubst gar nicht was der 'einbrecher' > > bei mir f�r einen schaden angerichtet hat. ich kann nur empfehlen, > > rechner IMMER mit firewall. es gibt einfach zu viele b�se buben. > > Wie ist der Eindringling in deinen Rechner gekommen? Er ist warscheinlich �ber den port 137 gekommen. der Samba Server war da das schlupfloch. > Was hattest du alles an Diensten am laufen? Wieso hattest du diese am > laufen, hast gewu�t das sie laufen? Es laufen so einige dienste. Samba, nfs, apache, dhcp, dns... Ich kann die diesnste aber auch nicht abschalten. ist halt ein server. > Versuche diese Fragen zu beantworten, und du wirst der Ursache f�r > dein Problem nahe kommen. Es l��t sich vermutlich auf mangelnde > Sorgfalt bei der Konfiguration der Dienste zur�ckf�hren. Sorgf�ltig konfiguriert sind alle dienste. Jedoch hatte/habe ich schlupfl�cher in meiner konfiguration. Nicht aus 'b�swilliger absicht', ehr aus unwissenheit. Bspl. Samba l�uft nur auf meinem internen Netz (interface = 192.168.1.1/255.255.255.0), hatte es jedoch nicht aktiviert (bind interface only = yes). ich wusste es einfach nicht. > Jetzt verwendest du eine Firewall (eigentlich ist es ein Paketfilter) > um dieses Problem zu l�sen. Du �bersiehst aber das ein Paketfilter > nicht dazu da ist, schlecht konfigurierte Systeme zu kaschieren. das ist wohl richtig. > Um diesem Problem beizukommen sollte man zuerst nachdenken, welche > Dienste man im anbieten will. Dann denkt man dar�ber nach, ob diese > Dienste nur im lokalen Netz angeboten werden sollen, oder auch im > Internet. meine dienste werden alle nur lokal angeboten. deshalb kann ich die firewall ja auch sehr dicht machen. > Wenn man diese Fragen beantwortet hat, schaltet man alle nicht > ben�tigten Dienste ab (indem man zB die dazugeh�rigen Programme > deinstalliert). Die anderen werden gem�� der Vorgaben konfiguriert, > also man sorgt zB daf�r das Dienste die nicht im Internet angeboten > werden sollen, nicht am entsprechenden Interface lauschen. Zus�tzlich > konfiguriert man die Zugangsberechtigung zu diesem Dienst m�glichst > restriktiv. Letzteres gilt selbstverst�ndlich f�r Dienste die im > Internet angeboten werden sollen. da gebe ich dir auch recht. ist bei mir auch so geschehen. alles (fast alles) was nicht ben�tigt wird ist �berhaupt nicht auf meinem server vorhanden. Das gleiche gilt auch f�r die workstation. > Wenn eine Software die Beschr�nkung auf einzelne Interfaces nicht > anbietet, sollte man sich zuerst nach Alternativen umsehen, die > dieses Feature anbieten. Sollte man keine finden k�nnte ein > Paketfilter zum Einsatz kommen. Allerdings sollte man den Dienst so > konfigurieren, da� er auch ohne Paketfilter kein Scheunentor > darstellt. auch richtig. ein scheunentor habe und hatte ich auch nicht. den 'einbrechter' hat auch ein schlupfloch gen�gt. > Wenn man Dienste im Internet anbietet empfiehlt es sich > *dringendstens* eine der einschl�gigen Security Mailinglisten zu > abonnieren. Im Fall von Debian sollte es mindestens debian-security > sein. ok. aber ich biete nix im internet an. > Wie du siehst, wenn jemand keinerlei Dienste anbieten will, und dies > auch nicht tut, braucht er eine Firewall genau so n�tig wie ein > H�hnerauge am Fu� (der X-Server kann auch mit dem Parameter -nolisten > tcp aufgerufen werden, damit er nicht am Netz lauscht). da mu� ich dir auf das sch�rfst widersprechen. wenn dienste laufen, und ich rede hier nicht von stand allone workstations sonder von servern, sind immer l�cher m�glich. wenn meine firewall/paketfilter alle unn�tigen ports sperrt und das system noch vern�nfig konfiguriert ist ist die sicherheit einfach gr��er. es schadet ja nicht. warum wird sonst soviel entwicklungsenergie in iptables gesetzt? > Wenn jemand Dienste im Internet anbieten will, hat er bestimmt kein > Interesse diese via Firewall zu sperren. das ist schon klar. > Im wesentlichen kann man sagen, da� auf einer Workstation keine > Firewall (oder Paketfilter) ben�tigt werden. solange diese nicht im internet ist - ja. > Denn merke: Eine Firewall ist ein Konzept zur Trennung von Netzwerken > und eine Workstation ist kein Netz. jaja. s.o. > bye Gerhard cu -- Roland Kruggel mailto: [EMAIL PROTECTED] System: AMD 1200Mhz, Debian 3.0 testing, 2.4.19, KDE 3.0.4 -- H�ufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
