Christoph Wegscheider <[EMAIL PROTECTED]> wrote: > On Saturday 15 November 2003 21:12, Dirk Pr�sdorf wrote: >> Christoph Wegscheider <[EMAIL PROTECTED]> wrote: >> > Ich bin generell der Meinung das auf einem Computer der ans Internet >> > angeschlossen ist eine Firewall (packet filtering) geh�rt, denn auch wenn >> > nicht 1000 interne Dienste installiert sind so kann sich dennoch die eine >> > oder ander Angriffsstelle zeigen. >> >> Kannst du mir das mal genauer erleutern? >> Bis jetzt war ich n�mlich immer der Auffassung, dass es ausreicht die >> Dienste _nicht_ an das externe Interface zu binden um keine Angriffstelle >> zu bieten und das IP-Spoofing zu verhindern.
> Nicht umsonst sind wichtige Systeme immer (mindestens doppelt) > ausgelegt: > 2 Bremskreise im Auto Hilfe, die beliebten Autovergleiche. > Reservefallschirm beim Fallschirmspringen > redundante Netzanbindung kritischer Server > 13 DNS-Root Server > das Internet als solches > ... W�ren dann nicht doppelte Paketfilter oder gar 13 Paketfilter auf dem Rechner wesentlich sicherer? Ich w�rde mal sagen nein, da durch dieses mehr Software und damit auch mehr an Konfiguration die Gefahr eines Fehlers ja eher h�her w�rde. > Redundanz bringt Sicherheit Die Aussage in ihrer Absolutheit w�rde ich nicht teilen. Redundanz bringt genau dann weniger Sicherheit, wenn sie durch ihr mehr an Systemen die Angriffsm�glichkeiten erh�ht . > Eine Firewall kann nat�rlich auch Bugs haben oder schlecht > Konfiguriert sein Eine Firewall ist f�r mich erst einmal ein Konzept und klar, kann dieses Fehler haben oder schlecht umgesetzt sein. Es kann aber auch Bestandteil eines solchen Konzeptes sein, die ben�tigten Dienste nur dort anzubieten, wo sie auch ben�tigt werden und sie nicht in die freie Welt zu posaunen (ich finde dies �briegens einen durchaus sinnvollen Bestandteil des Konzeptes ;-). Dies kann man oft �ber eine sinnvolle Konfiguration erreichen und manchmal halt nur �ber einen Paketfilter (gerade dann, wenn Netze getrennt werden m�ssen). > Genauso falsch ist es > freilich sich auf seine Firewall zu verlassen und die Konfiguration zu > vernachl�ssigen. Ich gehe mal davon aus, dass hier ein Paketfilter gemeint ist. Schade nur, dass du in deinem ersten Beitrag nicht darauf verwiesen hast, die verwendeten Serverdienste richtig zu konfiguieren. Unter diesem Aspekt kann ein Paketfilter ein weiter Schutz sein, wenn man sich dadurch nicht gerade neue L�cken rein holt. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
