Danke, das hat mir grade den Abend gerettet. 
Paddie
Was ist Windows?
- Ersteller kater
- Erstellt am
Danke, das hat mir grade den Abend gerettet. Paddie
Anzeige
Was ist Windows? .
J
Joerky
Guest
Original geschrieben von Paddie
...Er meinte (unter anderem), dass die einzige Möglichkeit, einen Rechner sicher zu machen, das Installieren einer FW wäre, womit man dann alle Ports auf "stealth" stellt (DAS war dann der Punkt an dem ich erst mal laut lachen mußte
Ich bin zwar kein MCSE, hab aber auch schon mal als Admin in nem NT4 Netz Arbeiten "müssen" - und muss nach dem ich obiges gelesen habe zu meiner Schande gestehen, das ich momentan noch der gleichen Meinung bin wie der Verkäufer - Firewall und Ports dicht.
Nun klär mich mal bitte auf, warum Du darüber so lachen musstest! (keine Ironie - ich mein's tatsächlich ernst!)
Jörky
Firewall schon, aber bitte auf einem extra Rechner und nicht so ein Müll wie Kerio, Zonealarm und dergleichen, die Teile sind einfach Broken by Design und nicht mit einem iptables-basierte Paketfilter oder von mir auch noch IIS zu vergleichen.
Und das man die Ports, die nicht gebraucht werden dicht macht (wobei, wenn man keine Dienste anbietet ist auch kein Port offen) ist auch richtig ABER er redete davon diesen tollen Stealth-Funktionen die diese "Firewalls" anbieten zu nutzen.
Unter Stealth verstehen diese "Firewalls" dass der Rechner nach außen hin (angeblich) gar nicht existiert, halt "stealth" ist, daß das Schwachsinn ist, kann ja wohl jeder, der auch nur etwas Plan von TCP/IP hat bestätigen.
Für nähere Details zu diesen Personal Firewalls einfach mal bei groups.google.de in de.comp.security.misc oder de.comp.security.firewall nach deren FAQ suchen. Spätestens dann wird dir auffallen wieso dieser Verkäufer nicht wirklich ernst zu nehmen ist.
Gruß
Paddie
Und das man die Ports, die nicht gebraucht werden dicht macht (wobei, wenn man keine Dienste anbietet ist auch kein Port offen) ist auch richtig ABER er redete davon diesen tollen Stealth-Funktionen die diese "Firewalls" anbieten zu nutzen.
Unter Stealth verstehen diese "Firewalls" dass der Rechner nach außen hin (angeblich) gar nicht existiert, halt "stealth" ist, daß das Schwachsinn ist, kann ja wohl jeder, der auch nur etwas Plan von TCP/IP hat bestätigen.
Für nähere Details zu diesen Personal Firewalls einfach mal bei groups.google.de in de.comp.security.misc oder de.comp.security.firewall nach deren FAQ suchen. Spätestens dann wird dir auffallen wieso dieser Verkäufer nicht wirklich ernst zu nehmen ist.
Gruß
Paddie
Original geschrieben von jobed77
Hey, benutzt einer von euch 'ne Alternative? Alle lachen und regen sich auf über Microsoft und Windows, aber die wenigsten ziehen daraus Konsequenzen und wechseln das Betriebsystem.
Jo, ich benutze auffem Haupt-PC" Slackware 9.0 und auf dem Laptop RedHat 7.3
@Paddie
da geb ich Dir vollkommen recht, dass der Typ wohl wenig schimmer von LAN-Technik hat..... zeig mir bitte ein einziges anständiges Netz, wo die FW auf nem produktiven Server nebenher läuft....
Nochma was zu Microsoft:
ich für meinen Teil bin ganz froh, dass die so nen Schrott fabrizieren, sichert weiterhin meinen Job
Denn, solange deren Betriebssysteme nicht stabil laufen, brauchen die immer Admins, die die Kacke am Laufen halten.
Privat nutze ich es übrigens auch.... neben Linux und FreeBSD...
Und JA - ich bin auch Besitzer einer Win2003 - Version als ehemaliger Betatester
Grüße
Frazer
da geb ich Dir vollkommen recht, dass der Typ wohl wenig schimmer von LAN-Technik hat..... zeig mir bitte ein einziges anständiges Netz, wo die FW auf nem produktiven Server nebenher läuft....
Nochma was zu Microsoft:
ich für meinen Teil bin ganz froh, dass die so nen Schrott fabrizieren, sichert weiterhin meinen Job
Denn, solange deren Betriebssysteme nicht stabil laufen, brauchen die immer Admins, die die Kacke am Laufen halten.
Privat nutze ich es übrigens auch.... neben Linux und FreeBSD...
Und JA - ich bin auch Besitzer einer Win2003 - Version als ehemaliger Betatester
Grüße
Frazer
Ich kann Dir aber ein paar anstaendige Netze zeigen, wo auf fast jedem produktiven Server eine Firewall "nebenher laeuft"
Aber der Mangel an richtig positionierten und konfigurierten Paketfiltern ist nach meiner Erfahrung inzwischen eins der kleinsten Sicherheitsrisiken. Weisst nicht ob und wie oft SANS seine Top 20 noch updatet, aber einen offenen lpd oder portmapper hab ich schon seit 2 Jahren nicht mehr gesehen.
Viel groesser ist der Schaden durch nicht aktuelle Software (SSH, Apache, etc.) wo der Zugang durch die Firewall nicht verboten wird. Danach kommen Mitarbeiter, die gewollt oder ungewollt irgendwelchen Mist bauen, gefolgt von lieblos programmierter Online-Software.
Dann erklär mich doch mal bitte, was es für einen Sinn macht, in einem LAN auf jedem Produktiv-Server ne Firewall zu installieren... ich hab mal gelernt, dass es mehr Sinn macht, zwischen die Schnittstelle zum WAN eine separate FW dazwischenzuhängen, die einfach das LAN vom WAN abschirmt
Sollte man mir mal was falsches beigebracht haben, werd ich wohl meine Zerifikate wieder zurückgeben müssen
Sollte man mir mal was falsches beigebracht haben, werd ich wohl meine Zerifikate wieder zurückgeben müssen
Gerne!
Ein paar Zertifikate habe ich im Uebrigen auch, aber die sind nicht mal das Papier wert auf das sie gedruckt wurden, verglichen mit dem Studium von realen Attacken. Abgesehen davon gibt's zu diesem Thema kein vernuenftiges Zertifikat, mal abgesehen von den NGSEC-Dingern, aber die sind ziemlich neu ...
Im Normalfall sollte man nicht nur WAN/LAN durch Packetfiltering trennen, sondern jedes Segment, das einen unterschiedlichen Zweck erfuellt. In der einfachsten Konfiguration filtert man meist zwischen mindestens drei Netzen, einmal BBI (boeses, boeses Internet), einmal DMZ (demilitarisierte Zone, wo man Systeme aufstellt, die von aussen erreicht werden muessen) und ein Workstation-Netz.
Mit so einer Firewall kann ich sicherstellen, dass niemand Verbindungen zu den Workstations initiieren kann, und die Server in der DMZ nur auf den konfigurierten Ports erreicht werden kann. Soweit schon mal nicht schlecht.
Einem Angreifer bieten sich nun vor allem zwei Angriffspunkte:
1. Clientsoftware (Email, Browser)
2. Sicherheitsluecken in Serverdiensten in der DMZ
Zu 1. will ich mich jetzt nicht auslassen, habe an anderer Stelle beschrieben, wie man Einzelrechner effektiv absichert.
Gehen wir also davon aus, dass der Angreifer in der DMZ einen Dienst identifiziert, durch den er sich aufgrund eines Sicherheitslochs Zugang zum System verschaffen kann (privilegiert oder unprivilegiert ist erstmal egal).
In dem Moment hat er quasi unbeschraenkten Zugang zum DMZ-Netz, und die Firewall wird das nicht verhindern koennen. SSH-, VNC- und saemtliche anderen Dienste auf Systemen in der DMZ sind dem Angreifer somit schutzlos ausgeliefert, ebenso wie evtl. darin enthaltene weitere Sicherheitsluecken.
Die meisten dieser Dienste haben zwar die Moeglichkeit, den Zugang auf bestimmte Adressen zu beschraenken, oder koennen mit den TCPWrappers gelinkt werden. Das zu implementieren, testen und zu pflegen ist jedoch am Ende mehr Aufwand, als einen Packetfilter zu konfigurieren.
Weitere Vorteile einer Packetfilter-Konfiguration auf einem Server:
Man verhindert, dass jemand gedankenlos einfach irgendeinen Dienst installiert.
Wenn man Stateful Filtering einsetzt und Outbound alles blocked, kann man die Maschine fuer den Nicht-Server-Gebrauch ganz wunderbar unbenutzbar machen (kein "ich zieh mir mal dies und jenes auf die Kiste" oder "da laeuft meine IRC-Shell weil's so praktisch ist"), und man unterbindet gleichzeitig das Funktionieren von Backdoors mit ausgehender Verbindung.
Nachdem der Bordergateway so gut wie alles wegfiltern *sollte*, sieht man in den Packetfilter-Logs auf den Servern auch sehr gut Anomalien, die auf Attacken hindeuten koennen. Fuer forensische Analysen nach Zwischenfaellen ist das jedenfalls ein Traum.
"Firewall" klingt grossartig, boese und maechtig. Wenn eine richtig positionierte Firewall alles waere, was man braucht um ein Netz sicher zu machen, wuerden Adam und Eva heute noch tanzend und lachend im Paradies rumrennen. Fakt ist, man braucht mehrere Levels von Sicherheitsmechanismen, schon aus dem Grund, weil einer ausfallen koennte oder nicht richtig arbeitet.
Ein paar Zertifikate habe ich im Uebrigen auch, aber die sind nicht mal das Papier wert auf das sie gedruckt wurden, verglichen mit dem Studium von realen Attacken. Abgesehen davon gibt's zu diesem Thema kein vernuenftiges Zertifikat, mal abgesehen von den NGSEC-Dingern, aber die sind ziemlich neu ...
Im Normalfall sollte man nicht nur WAN/LAN durch Packetfiltering trennen, sondern jedes Segment, das einen unterschiedlichen Zweck erfuellt. In der einfachsten Konfiguration filtert man meist zwischen mindestens drei Netzen, einmal BBI (boeses, boeses Internet), einmal DMZ (demilitarisierte Zone, wo man Systeme aufstellt, die von aussen erreicht werden muessen) und ein Workstation-Netz.
Mit so einer Firewall kann ich sicherstellen, dass niemand Verbindungen zu den Workstations initiieren kann, und die Server in der DMZ nur auf den konfigurierten Ports erreicht werden kann. Soweit schon mal nicht schlecht.
Einem Angreifer bieten sich nun vor allem zwei Angriffspunkte:
1. Clientsoftware (Email, Browser)
2. Sicherheitsluecken in Serverdiensten in der DMZ
Zu 1. will ich mich jetzt nicht auslassen, habe an anderer Stelle beschrieben, wie man Einzelrechner effektiv absichert.
Gehen wir also davon aus, dass der Angreifer in der DMZ einen Dienst identifiziert, durch den er sich aufgrund eines Sicherheitslochs Zugang zum System verschaffen kann (privilegiert oder unprivilegiert ist erstmal egal).
In dem Moment hat er quasi unbeschraenkten Zugang zum DMZ-Netz, und die Firewall wird das nicht verhindern koennen. SSH-, VNC- und saemtliche anderen Dienste auf Systemen in der DMZ sind dem Angreifer somit schutzlos ausgeliefert, ebenso wie evtl. darin enthaltene weitere Sicherheitsluecken.
Die meisten dieser Dienste haben zwar die Moeglichkeit, den Zugang auf bestimmte Adressen zu beschraenken, oder koennen mit den TCPWrappers gelinkt werden. Das zu implementieren, testen und zu pflegen ist jedoch am Ende mehr Aufwand, als einen Packetfilter zu konfigurieren.
Weitere Vorteile einer Packetfilter-Konfiguration auf einem Server:
Man verhindert, dass jemand gedankenlos einfach irgendeinen Dienst installiert.
Wenn man Stateful Filtering einsetzt und Outbound alles blocked, kann man die Maschine fuer den Nicht-Server-Gebrauch ganz wunderbar unbenutzbar machen (kein "ich zieh mir mal dies und jenes auf die Kiste" oder "da laeuft meine IRC-Shell weil's so praktisch ist"), und man unterbindet gleichzeitig das Funktionieren von Backdoors mit ausgehender Verbindung.
Nachdem der Bordergateway so gut wie alles wegfiltern *sollte*, sieht man in den Packetfilter-Logs auf den Servern auch sehr gut Anomalien, die auf Attacken hindeuten koennen. Fuer forensische Analysen nach Zwischenfaellen ist das jedenfalls ein Traum.
"Firewall" klingt grossartig, boese und maechtig. Wenn eine richtig positionierte Firewall alles waere, was man braucht um ein Netz sicher zu machen, wuerden Adam und Eva heute noch tanzend und lachend im Paradies rumrennen. Fakt ist, man braucht mehrere Levels von Sicherheitsmechanismen, schon aus dem Grund, weil einer ausfallen koennte oder nicht richtig arbeitet.
Mahlzeit,
bin zwar erst seit 10 min registriert aber es hat mich in die Computerabteilung gezogen. *g* Liegt wohl am Job.
Also ich benutze FreeBSD und Windows.
Ein Minesweeper und Solitär Experte war ich auch mal. Nun habe ich es mir zur Aufgabe gemacht ein besserer Mensch zu werden. ;o) Mit einem FreeBSD Gateway ist es so schön. Man klinkt sich ein und alles läuft immer noch... und das bei uptimes von 380 Tagen und mehr... Kann das ein Windowssystem?
Natürlich testen wir das gerade... mit der neuen 2003er Server Version. Sieht ganz toll aus und macht schon Mist. Aber man muss es können für den Kunden.
Für Endkunden ist Windoof toll und sichert den Job.
Was gage_ über firewalls loslässt ist gut erklärt und genau meine Meinung.
Schönen Abend
CAT
bin zwar erst seit 10 min registriert aber es hat mich in die Computerabteilung gezogen. *g* Liegt wohl am Job.
Also ich benutze FreeBSD und Windows.
Ein Minesweeper und Solitär Experte war ich auch mal. Nun habe ich es mir zur Aufgabe gemacht ein besserer Mensch zu werden. ;o) Mit einem FreeBSD Gateway ist es so schön. Man klinkt sich ein und alles läuft immer noch... und das bei uptimes von 380 Tagen und mehr... Kann das ein Windowssystem?
Natürlich testen wir das gerade... mit der neuen 2003er Server Version. Sieht ganz toll aus und macht schon Mist. Aber man muss es können für den Kunden.
Für Endkunden ist Windoof toll und sichert den Job.
Was gage_ über firewalls loslässt ist gut erklärt und genau meine Meinung.
Schönen Abend
CAT
In einem muss ich Dir auf jeden Fall recht geben: es gibt viele Zertifikate, die wirklich net mal ihr Papier wert sind, auf das sie gedruckt werden.
Zum anderen muss ich zu meiner Schande gestehen, dass ich mich mit Systemsicherheit eher wenig beschäftigen muss, bei dem Unternehmen, für das ich tätig bin, gibts da wenigstens eine eigene Abteilung mit vielen hochbezahlten Spezialisten.
Meine Stärken liegen da eher im Projektmanagement, aber das ist eine andere Sache....
Die Ausführung oben ist sehr exakt getroffen und ich finde, damit hast Du einfach recht.
Zum anderen muss ich aber trotzdem nochmal betonen, dass Microsoft mit seiner Strategie und Arbeitsweise uns unsere Jobs wohl auch noch weiterhin dauerhaft sichern wird. Solang's nämlich solche Probleme gibt, brauchts a immer a paar Deppen, die den Laden am Laufen halten...
Bis denn
Frazer
Zum anderen muss ich zu meiner Schande gestehen, dass ich mich mit Systemsicherheit eher wenig beschäftigen muss, bei dem Unternehmen, für das ich tätig bin, gibts da wenigstens eine eigene Abteilung mit vielen hochbezahlten Spezialisten.
Meine Stärken liegen da eher im Projektmanagement, aber das ist eine andere Sache....
Die Ausführung oben ist sehr exakt getroffen und ich finde, damit hast Du einfach recht.
Zum anderen muss ich aber trotzdem nochmal betonen, dass Microsoft mit seiner Strategie und Arbeitsweise uns unsere Jobs wohl auch noch weiterhin dauerhaft sichern wird. Solang's nämlich solche Probleme gibt, brauchts a immer a paar Deppen, die den Laden am Laufen halten...
Bis denn
Frazer
Ich will gar keine Windows-Umsteiger die zu Linux oder *BSD wechseln. Das wird mmer schlimmer mit diesen Umsteigern, die von der ComputerBild eine SuSE 8.1 Eval installieren und sich dann cool finden, weil sie "Linux" benutzen.
*nerv*
Ja, ich bin dafür das Linux und BSD nur für Techies/Geeks/Nerds sind.
*nerv*
Ja, ich bin dafür das Linux und BSD nur für Techies/Geeks/Nerds sind.
- Registriert
- 16. April 2001
- Reaktionspunkte
- 3.898
Dann fehlt aber ein ganzen Stueck Weiterentwicklung der ganzen Geschichte. Wenn es keine SuSE und Konsorten gaebe, glaubst du, der Kernel wuerde heute mit USB- oder Firewire-Modulen geliefert? Oder wuerde es Unterstuetzung fuer alle moeglichen 3D-Karten geben? Koennte man Quake- oder UT-Server laufen lassen?
Ich denke nicht. Und deshalb ist es gut, dass grosse Firmen weiterentwickeln und auch verkaufen. Dass eine Distri wie SuSE alles andere als 'standardkonform' ist, mag sein, aber man muss es ja nicht benutzen. Da hat man dann halt Debian, Slackware usw.
Gruesse, Marcus
Ich denke nicht. Und deshalb ist es gut, dass grosse Firmen weiterentwickeln und auch verkaufen. Dass eine Distri wie SuSE alles andere als 'standardkonform' ist, mag sein, aber man muss es ja nicht benutzen. Da hat man dann halt Debian, Slackware usw.
Gruesse, Marcus
evil_rider
Vinyl-Schubser
stimmt.... wr schlechte grafik und augenkrebs will spielt auf konsolen
ich liebe 1600*1200*32.... konsolen mit kümmerlichen 800*600
- Registriert
- 16. April 2001
- Reaktionspunkte
- 3.898
Habe ich nicht in Verbindung gebracht. Fakt ist nur, dass der Kernel immer noch bei Version 1.0.xx waere, wenn die grossen Distributoren nicht immer mehr das Linux fuer den Desktop gepredigt haetten und dadurch immer mehr Anwendungen notwendig wurden (die ihrerseits kernelseitig immer mehr Features benoetigen). Also wurde der Kernel weiterentwickelt und immer mehr Gedoens eingebaut.
Naja, ein Quake- oder UT-Server ist ja auch nicht zum Spielen da.
Gruesse, Marcus
Ohne ein gewisses kommerzielles Interesse wuerde auch jedes zweite halbwegs ernstzunehmende Stueck Hardware nicht funktionieren, dicke RAID-Controller, etc.
Das gleiche gilt fuer Ports von kommerzieller Software. Ich aerger mich hier grade mit SuSE Enterprise Server rum, weil der Kunde eine Oracle *braucht*. Ich wuerde auch lieber OpenBSD mit PostgreSQL nehmen, aber "Anforderungen" sind halt was anderes als "Idealismus", und "Geschaeft" ist was anderes, als Home-Computing/Hacking.
Das gleiche gilt fuer Ports von kommerzieller Software. Ich aerger mich hier grade mit SuSE Enterprise Server rum, weil der Kunde eine Oracle *braucht*. Ich wuerde auch lieber OpenBSD mit PostgreSQL nehmen, aber "Anforderungen" sind halt was anderes als "Idealismus", und "Geschaeft" ist was anderes, als Home-Computing/Hacking.
Original geschrieben von evil_rider
stimmt.... wr schlechte grafik und augenkrebs will spielt auf konsolen
ich liebe 1600*1200*32.... konsolen mit kümmerlichen 800*600
Zum Glück bist du zu jung um Amiga/Atari Zeiten erlebt zu haben. Damals waren die Spiele noch genial und machten noch nach ein paar Monaten Spass.
Egal, wenn man keine Ahnung hat, einfach mal Fresse halten. Graphik im Spiel ist der kleinste Teil.
Siehe Nethack. ASCII aber zieht unheimlich in seinen Bann.
Die großen Distributoren (nicht zu vergessen IBM) haben schon einiges zur Weiterentwicklung von Linux beigetragen. Suse und RedHat, haben viel Geld in die Kernelentwicklung gesteckt und teilweise arbeiten auch einiger von deren Mitarbeitern am Kernel mit.
Ich denke mal, ohne die ganzen Distributoren wären wir immernoch irgendwo bei 1.x.
Allerdings geht mir der ganze Linux-Hype zur Zeit wirklich auf die Nerven. Wenn dann auch noch die "supertollen" Berichte in der PC-Welt oder Computerblöd kommen, kann man schon drauf gehen, dass wieder min 100 Fragen in den ganzen Newsgroups kommen nur weil die zu blöd und/oder zu faul sind die beiligende Doku zu lesen oder auch nur einmal bei Google zu suchen.
@kater
Damals(tm) auf dem Amiga500, was hab ich da Turrican gezockt *inerinnerungenschwelg* oder der 64er: Intern. Karate, Decathlon, Giana Sisters..... Ich glaub ich muß nochmal einen von den 64ern auspacken. 
Gruß
Paddie
Ich denke mal, ohne die ganzen Distributoren wären wir immernoch irgendwo bei 1.x.
Allerdings geht mir der ganze Linux-Hype zur Zeit wirklich auf die Nerven. Wenn dann auch noch die "supertollen" Berichte in der PC-Welt oder Computerblöd kommen, kann man schon drauf gehen, dass wieder min 100 Fragen in den ganzen Newsgroups kommen nur weil die zu blöd und/oder zu faul sind die beiligende Doku zu lesen oder auch nur einmal bei Google zu suchen.
@kater
Damals(tm) auf dem Amiga500, was hab ich da Turrican gezockt *inerinnerungenschwelg* oder der 64er: Intern. Karate, Decathlon, Giana Sisters..... Ich glaub ich muß nochmal einen von den 64ern auspacken.
Gruß
Paddie
Bitte beachte unsere Verhaltensregeln beim Antworten. Danke 🙂
Ähnliche Themen
