Hallo! On 07 May 2004 at 21:49 +0200, Matthias Taube wrote:
> Optimal w�re ein Programm, bei dem bei jedem Connectversuch der nicht
> explizit erlaubt ist ein Fenster hochpoppt. Dies w�rde die Erstellung von
> Regeln erheblich vereinfachen.
Das w�re grob fahrl�ssig. Selbst wenn wirklich nur ein Meldungsfenster
(ohne direkte Modifikationsm�glichkeit des Regelsatzes aus
unprivilegiertem Nutzerkontext heraus) implementiert w�re, f�nde ich die
Tatsache, dass das /im Kernel/ implementierte Paketfiltern
GUI-Abh�ngigkeiten bekommt mindestens genauso haarstr�ubend wie die
Vorstellung, auf diese Weise ganz leicht einen DoS gegen entsprechend
konfigurierte Maschinen fahren zu k�nnen.
Hostbasierte Paketfilter haben, sollen sie �berhaupt zu etwas n�tze
sein, nichtinteraktiv und ausschlie�lich nach vom Administrator[1]
festgelegten Regels�tzen zu arbeiten.
Interessiert man sich daf�r, welche "fremden" Pakete so alles aus dem
WAN bei einem aufschlagen, kann man diese von Netfilter fein s�uberlich
loggen lassen oder gleich mit Sniffern/einem NIDS arbeiten.
Gru�,
Elmar
[1] Der (als Person) nat�rlich durchaus mit dem Benutzer identisch sein
darf...
--
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
�����������������������������������������������������������������������
Die eigene Erfahrung hat den Vorteil v�lliger Gewi�heit.
-- Schopenhauer
pgp00000.pgp
Description: PGP signature
