> Das fängt damit an, daß Du nur nach außen anbietest, was Du in diese > Richtung auch nur benötigst. > Wenn Du also von außen nur ssh machen willst, dann bindest Du nur ssh > auf das Interface und den Rest schaltest Du ab oder erlaubst es nur > intern. > Nicht belegte Ports kann man halt nicht angreifen.
Das stimmt. > > D.h ja mindestens auch das ich immer alle Security-Updates eingespielt > > haben sollte - und der Admin damit nahezu perfekt arbeitet. > > Daß Du die Software aktuell halten mußt, die Du nach außen anbietest, ist > wohl selbstverständlich. Ob Du nun ein ssh oder sonstwas mit Schwachstellen > mit oder ohne Firewall nach außen freigibst oder nicht, macht absolut keinen > Unterschied. In dem Moment, in dem ein Dienst, den Du nach außen offen > hast, Sicherheitslücken hat, hilft Dir auch keine Firewall mehr. Richtig, ich meinte ja auch nur wenn ich - doch mal einen Dienst vergesse... oder ein Programm (ungewollt) auf einem Port anfängt zu arbeiten, dann hätte ich mit einer restriktiven Firewall möglicherweise keine bzw. weniger Probleme. > > Ich denke die Behauptung trifft wenn überhaupt nur auf den > > Privat-Anwender zu. Im "Server-Bereich" von Firmen ist das einfach > > falsch. > > Nein. Aber Firmennetze laufen meist unter anderen Prämissen und > Anforderungen und Firewalls können da dann durchaus sinnvoll sein. > Zum Beispiel taucht da ja auch die Frage auf, wie man die eigenen > Mitarbeiter "drin behält" und auf's Gleis des Gesamtkonzeptes zwingt. > Verstehe ich jetzt nicht? Stimmst Du mir nun zu odr nicht? > > Ein Webserver der einige tausend Anfragen die Minute hat, > > sollte schon hinter einer Firewall in einer DMZ stehen denke > > ich. Alles andere wäre unprofessional und würde über kurz oder lang > > schief gehen. > > Das ist zu oberflächlich. Zunächst einmal ist eine Firewall ein > Sicherheitskonzept und ob und wie man dann konkret Packetfilter, > usw. einsetzt, das steht wiederum auf einem ganz anderen Blatt. > Richtig. War nur ein (an den Haaren herbeigezogenes) Beispiel. > > Ich kann einfach nicht, ein wenn auch "sauber konfiguriertes" > > Firmennetzwerk, OHNE Firewall nach aussen "offen" lassen... Oder? > > Kommt u.a. auf die Topologie des Netzes und die dort verwendeten > Installationen an. Pauschal kann man sowas einfach nicht beantworten, > genauso wie eine Firewallsoftware nicht pauschal irgendeinen > Sicherheitsgewinn bringt oder auch nur pauschal Sinn macht. Genau. Sicherlich hängts von der Topologie ab - dementsprechend entwickelt man dann ein Konzept. > Die typische Windowsdenke "Ich habe eine personal Firewall und mein > Rechner ist jetzt vor dem bösen Internet geschützt" ist jedenfalls > bestenfalls unbedarft und nicht selten ein gefährlicher Trugschluß. leider ja... > http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html kenn ich schon :o) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)