> Das f�ngt damit an, da� Du nur nach au�en anbietest, was Du in diese > Richtung auch nur ben�tigst. > Wenn Du also von au�en nur ssh machen willst, dann bindest Du nur ssh > auf das Interface und den Rest schaltest Du ab oder erlaubst es nur > intern. > Nicht belegte Ports kann man halt nicht angreifen.
Das stimmt. > > D.h ja mindestens auch das ich immer alle Security-Updates eingespielt > > haben sollte - und der Admin damit nahezu perfekt arbeitet. > > Da� Du die Software aktuell halten mu�t, die Du nach au�en anbietest, ist > wohl selbstverst�ndlich. Ob Du nun ein ssh oder sonstwas mit Schwachstellen > mit oder ohne Firewall nach au�en freigibst oder nicht, macht absolut keinen > Unterschied. In dem Moment, in dem ein Dienst, den Du nach au�en offen > hast, Sicherheitsl�cken hat, hilft Dir auch keine Firewall mehr. Richtig, ich meinte ja auch nur wenn ich - doch mal einen Dienst vergesse... oder ein Programm (ungewollt) auf einem Port anf�ngt zu arbeiten, dann h�tte ich mit einer restriktiven Firewall m�glicherweise keine bzw. weniger Probleme. > > Ich denke die Behauptung trifft wenn �berhaupt nur auf den > > Privat-Anwender zu. Im "Server-Bereich" von Firmen ist das einfach > > falsch. > > Nein. Aber Firmennetze laufen meist unter anderen Pr�missen und > Anforderungen und Firewalls k�nnen da dann durchaus sinnvoll sein. > Zum Beispiel taucht da ja auch die Frage auf, wie man die eigenen > Mitarbeiter "drin beh�lt" und auf's Gleis des Gesamtkonzeptes zwingt. > Verstehe ich jetzt nicht? Stimmst Du mir nun zu odr nicht? > > Ein Webserver der einige tausend Anfragen die Minute hat, > > sollte schon hinter einer Firewall in einer DMZ stehen denke > > ich. Alles andere w�re unprofessional und w�rde �ber kurz oder lang > > schief gehen. > > Das ist zu oberfl�chlich. Zun�chst einmal ist eine Firewall ein > Sicherheitskonzept und ob und wie man dann konkret Packetfilter, > usw. einsetzt, das steht wiederum auf einem ganz anderen Blatt. > Richtig. War nur ein (an den Haaren herbeigezogenes) Beispiel. > > Ich kann einfach nicht, ein wenn auch "sauber konfiguriertes" > > Firmennetzwerk, OHNE Firewall nach aussen "offen" lassen... Oder? > > Kommt u.a. auf die Topologie des Netzes und die dort verwendeten > Installationen an. Pauschal kann man sowas einfach nicht beantworten, > genauso wie eine Firewallsoftware nicht pauschal irgendeinen > Sicherheitsgewinn bringt oder auch nur pauschal Sinn macht. Genau. Sicherlich h�ngts von der Topologie ab - dementsprechend entwickelt man dann ein Konzept. > Die typische Windowsdenke "Ich habe eine personal Firewall und mein > Rechner ist jetzt vor dem b�sen Internet gesch�tzt" ist jedenfalls > bestenfalls unbedarft und nicht selten ein gef�hrlicher Trugschlu�. leider ja... > http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html kenn ich schon :o) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
