Hallo Michael, hier kommen wir zu dem eigentlichen Problem beim Betrieb einer Firewall. Die Logfiles sagen zunächst nur folgendes aus:
IP-Adresse A / Port X will auf IP-Adresse B / Port Y zugreifen und ob dieses Paket von der Firewall angenommen oder verworfen wurde. Eine sehr gute Firewall ordnet das dann noch einer evtl. aktiven Verbindung zu. Ein IDS kann darüber hinaus noch feststellen, ob es sich evtl. um einen Angriffsversuch gehandelt haben könnte. Die Auswertung und Beurteilung dieser Logfiles erfordert eine ganze Menge Erfahrung. Ein IDS wird bei einem Laien eher Panik auslösen, als einen wirklichen Nutzen haben. Im Workshop sollte man daher evtl. nur ansprechen, dass es sowas gibt, aber nicht weiter darauf eingehen. Ziel des Workshops kann hier nur sein, den Leuten zu vermitteln, was man bei einer Firewall machen kann, und was lieber nicht gemacht werden sollte. Meistens wird es erst kritisch, wenn Ports von außen nach innen aufgemacht werden, damit z.B. CounterStrike gezockt werden kann. Da kann nur insoweit Hilfestellung gegeben werden, was man da einstellen sollte. Oft wird die IP des Client PCs komplett aufgemacht, da kann man sich die Firewall dann schenken. Es wäre schon viel damit gewonnen, wenn die Leute nach dem Workshop wissen, wie man IPcop installiert und was man gefahrlos einschalten kann und was nicht. Grüße Christian Michael Bischof schrieb: > Am Sonntag, 18. Februar 2007 14:06 schrieb Christian Felsing: > > > Christian, > hier sehe ich einen wichtigen Anknüpfungspunkt! Ist es möglich, einigermaßen > leicht in einem Logfile zu sehen, was auf welchen Ports in die Maschine rein > kam? Und für die Anfänger eine kleine Anleitung zu schreiben, wie genau man > das macht? (Ohne viel Technikerchinesisch?) > > Gruß, > > Michael Bischof > > -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
