Christian Felsing wrote: > Markus Schönhaber schrieb: > > Christian Felsing wrote: > >> Eine externe Firewall - eine solche ist IPcop auch - ist dagegen immer > >> notwendig. > > > > Warum das denn? > > gerade auf Desktop PC ist immer mal ein Port offen, weil man ja nur mal > schnell mal die neue Software XYZ ausprobieren wollte,
Das ist genau das Problem, das ich mit Deiner Aussage habe: Sich "mal schnell mal" grob fahrlässig verhalten und eine neue Software installieren, von der man offenbar nicht genau weiß, was sie tut, und dann hoffen, daß irgendwelche technischen Schutzmaßnahmen es schon richten werden, sollte man IMO nicht anderen Leuten empfehlen. > oder einfach auf > die Freigabe eines 2. PCs etwas kopieren wollte - da ist es dann > passiert. Passieren kann es dann, wen die LAN-Freigeben auf dem Internet-Interface zugänglich sind. Das ist das Problem, das beseitigt werden sollte. Stattdessen nur etwas zu tun, damit die Folgen des Problems nicht so schmerzen, ist das Vorgehen, das Microsoft gerne an den Tag legt - und einer der Hauptgründe, warum ich irgendwann komplett auf auf Linux umgestiegen bin. > Eine externe Firewall sorgt zumindest dafür, dass keine > unerwünschten Pakete aus dem Internet in in das LAN kommen. Sasser und > SQL-Slammer hätten nie eine Chance gehabt, wenn die Leute alle eine > zumindest privitive Firewall gehabt hätten. Die Ursache, warum SQL-Slammer etc. erfolgreich waren, ist nicht das Fehlen einer "Firewall" sondern die Tatsache, daß hirnrissigerweise Dienste auf dem Internet-Interface angeboten wurden, die der Benutzer gar nicht anbieten wollte, von denen er wahrscheinlich noch nicht mal wußte, daß er sie anbietet. Eine "Firewall" taugt auch hier nur zur Symptomkosmetik. > Die Firewall kann - bei > richtiger Konfiguration - auch kontrollieren, was aus dem LAN rausgeht. Nein, das kann sie nicht zuverlässig. > Dann gibt es nach noch Logfiles, da kann man dann auch sehen, was da > rein oder raus geht. Das IPcop IDS macht gleich noch eine kleine > Analyse, so dass viele Angriffe so erst sichtbar werden. Stimmt. Logfiles zur Befriedigung meiner Neugier sind der einzige Grund, warum auf meinem Gateway die iptables aktiv sind. Allerdings bringt mich keines Deiner Argument zu dem Schluß, daß "eine externe Firewall" "immer notwendig" wäre. Gruß mks -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
