Stefan Onken wrote:
am 20 February 2003 um 15:16 schrieb Adalbert Michelic:
a) finde ich das sehr leichtsinnig [...] Kann man das auch begründen? Mal abgesehen davon, daß ich keinem der hier schreibenden abnehme, daß er mit Firewall Firewall meint, vielmehr einen Paketfilter. naja, zu Hause und auf Arbeit (eine Niederlassung) habe ich ne Astaro Firewall. Kann man IMHO schon als Firewall bezeichnen. Und hier natuerlich noch den Smoothwall Sch**ss.
sind das nicht auch nur paketfilter? ich kenne beide nicht und kann es deshalb nicht beurteilen. wenn sie mehr als ein paketfilter sind, was machen sie noch?
Man kann natuerlich sagen, das ein Paketfilter auch nichts macht, wenn auf den Ports keine Service sind. Ich persoenlich finde es dennoch sicherer alle nicht benoetigten ports (also auf meinem webserver eben ssh, mail, dns) zu sperren um so den Fall eines Falles vorzubeugen. Und es laeuft ja meist auch mysql und andere Dienste, die auch extern gesteuert werden koennen - wenn sie dann gerade da einen exploit haben.
schau, wenn du deine dienste, die du nur intern benötigst, eben nur intern bindest, du sonst keine unnötigen dienste laufen hast, brauchst du keinen paketfilter. wozu auch? dazu ist aber eine saubere konfiguration deines systems notwendig. sicherer wird durch den paketfilter bei einem sauber konfiguriertem system nichts. der paketfilter ist dann maximal 'nice to have'. mehr aber auch nicht.
Ich muss aber zugeben: ich bin KEIN Experte in diesen Sicherheitsfragewn. Viel natuerlich angelesen, aber ich werde mich auf keiner Diskussion einlassen, da ich davon nicht genug weiss.
aber gerade dann solltest du darüber diskutieren. ich teile nicht die ansicht das man nur über themen diskutieren kann/darf, in denen man 'experte' ist. gerade durch eine diskussion kannst du doch noch dazu lernen. micha