moin Liste... ich möchte bei mir zuhause die suse Firewall von der 5.3 einrichten. Über die Notwendigkeit lässt sich zwar streiten aber ich will das hal haben :) Als world device hab ich ppp0 angegeben, und als internes device eth0. Jetzt mal als verständnisfrage weil mir das nicht so klar ist. Ich benutze das C Netz 192.168.0.0 intern, das ich ja auch in die "Localnets" Section eintragen muss. Aber da das ppp0 Device ja eine IP aus einem anderen Class C Netz bekommt, nämlich aus dem 194.117.255.0, treffen ja die rules nicht auf das ppp0 zu oder sehe ich das falsch? ciao -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
On Thu, Nov 26, 1998 at 10:29:15AM +0100, Matthias Strack wrote:
Jetzt mal als verständnisfrage weil mir das nicht so klar ist. Ich benutze das C Netz 192.168.0.0 intern, das ich ja auch in die "Localnets" Section eintragen muss. Aber da das ppp0 Device ja eine IP aus einem anderen Class C Netz bekommt, nämlich aus dem 194.117.255.0, treffen ja die rules nicht auf das ppp0 zu oder sehe ich das falsch?
Du hast in deinem Netz lediglich 192er Adressen. Firewall dient dazu, einen Zugriff auf den/die Rechner von ausserhalb zu verbieten. Durch Konfiguration mit 192.168.0.0/24 wird verhindert, dass IP-Pakete an eine dieser Adressen weitergeleitet werden. Je nach Settings erhaelt der Sender noch eine Rueckmeldung nach dem Schema "mag dich nicht" oder die Pakete wandern ungeprueft ins Nulldevice. Das Device und somit auch seine IP spielen dabei keine Rolle, weil dort lediglich Pakete an den Kernel weitergeleitet werden, der dann die Verarbeitung uebernimmt. Firewalling ohne feste IP ist vergleichbar mit Kanonan auf Spatzen zu schiessen. Der Hacker muss wissen, dass du genau zu DEM Zeitpunkt online bist. Er muss deine IP zu genau diesem Zeitpunkt kennen und er muss Zeit genug haben, dir ein Ei ins Nest zu legen. Also zusammengenommen Wahrscheinlichkeit etwas groesser als Null ;-)) Mario -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
On Thu, 26 Nov 1998 mmaureraks@st-wendel.de wrote:
Firewalling ohne feste IP ist vergleichbar mit Kanonan auf Spatzen zu schiessen. Der Hacker muss wissen, dass du genau zu DEM Zeitpunkt online bist. Er muss deine IP zu genau diesem Zeitpunkt kennen und er muss Zeit genug haben, dir ein Ei ins Nest zu legen. Also zusammengenommen Wahrscheinlichkeit etwas groesser als Null ;-))
Das ist mir jetzt ein wenig zu einfach: "Ein Angreifer hat es immer auf mich persoenlich abgesehen." Das waere sowas wie zu behaupten, dass Spammer in genau die Gruppen hineinmuellen, in denen DU Dich aufhaelst. Ein wenig vermessen zu glauben, dass sich irgendjemand diese Muehe macht :> Wie gross ist der dynamisch vergebene Adressraum eines Providers ? Darf man maximal zwei oder drei Class-C-Abschnitte ansetzen ? Und sind die meist noch auf die Einwahlknoten aufgeteilt ? Ich glaube, hier kann man immer bedenkenlos JA sagen. Und wenn man dann noch frech ansetzt, dass der ueberwiegende Teil der Kundschaft einfach ein Windows mit einem Modem oder einer ISDN-Karte einsetzt, und der Rechner damit offen wie ein Scheunentor dasteht, halte ich es fuer SEHR WAHRSCHEINLICH, dass ich auch mit dynamischer Adresse vom ISP innerhalb kuerzester Zeit diesem Idioten (Cracker) ueber den Weg laufe, wenn er denn unterwegs ist. Ich waere in keinster Weise ueberrascht, wenn ein Scan in einem z.B. T-Online-Adressraum zu jeder beliebigen Zeit etliche SMB-Shares ausweist und die meisten davon sogar anonym (ohne Anmeldung und Passwort) nutzbar sind. Die Wahrscheinlichkeit, dass eine firewall auch bei dynamischen IP-Adressen Sinn macht, steht fuer mich bei 1. Das ist zugegeben nicht sehr viel mehr als Deine berechnete (geschaetzte ?) 0, aber doch beachtlich :) G.Sittig@abo.FreiePresse.DE -- If you don't understand or are scared by any of the above ask your parents or an adult to help you. -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
On Sat, Nov 28, 1998 at 04:58:39PM +0100, Gerhard Sittig wrote:
Das ist mir jetzt ein wenig zu einfach: "Ein Angreifer hat es immer auf mich persoenlich abgesehen."
Gut, nennen wir ihn den potentiellen Attentaeter. ;-) Der Moechtegernhacker wird sicher keine Ambitionen haben, ein definiertes Objekt zu "begutachten". Ihm reicht es aus, die Befriedigung zu erlangen, anderer Leute Daten ausgespaeht oder evtl. auch noch vernichtet/manipuliert zu haben. Diesen Attacken wuerde ich persoenlich die gleiche Wertigkeit zuordnen wie dem Verlust von Daten auf einem ungeschuetzten (Win)System. Sind wir doch einfach mal ehrlich und fragen uns, welcher Prozentsatz der Netzteilnehmer, die hier mitlesen, hat denn schutzwuerdige Daten auf seinem System vorliegen. Die meisten Anwender sind doch sowieso damit beschaeftigt, alle Monate ihr System neu zu installieren, weil sie sich eine Konfiguration verschossen haben und einfach das Interesse - manchmal auch Zeit - fehlt, sich mit solchen Dingen beschaeftigen zu WOLLEN.
Die Wahrscheinlichkeit, dass eine firewall auch bei dynamischen IP-Adressen Sinn macht, steht fuer mich bei 1. Das ist zugegeben nicht sehr viel mehr als Deine berechnete (geschaetzte ?) 0, aber doch beachtlich :)
Den Ausfuehrungen kann ich in jeder Weise nur zustimmen. Wer jedoch begruendete Ansprueche von Sicherheit an sein System stellt, der wird sich zunaechst einmal in der Literatur umsehen und begutachten, welche Schutzmechanismen geeignet sind, sicherheitsrelevante Daten vor aeusserem Zugriff zu schuetzen. Er wird sich eingehend informieren und bei Unklarheiten versuchen Detailfragen ueber ein Medium wie diese Mailingliste zu klaeren. Derjenige Anwender, der einfach mal eben aus Lust am Spiel auf seinem System einen Firewall installiert und andere Schutzmechanismen fuer seine Daten mit Missachtung straft, weil es ihm einfach zuviel Arbeit macht, der kann sich solches Tun auch schenken und seine kostbare Zeit in anderweitiger Beschaeftigung investieren. Aber dennoch... Ja, auch bei mir laeuft ein Firewall ;-))) Mario -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
On Sun, 29 Nov 1998 mmaureraks@st-wendel.de wrote:
(Win)System. Sind wir doch einfach mal ehrlich und fragen uns, welcher Prozentsatz der Netzteilnehmer, die hier mitlesen, hat denn schutzwuerdige Daten auf seinem System vorliegen. Die meisten
Jeder.
Wer jedoch begruendete Ansprueche von Sicherheit an sein System stellt, der wird sich zunaechst einmal in der Literatur umsehen und begutachten, welche Schutzmechanismen geeignet sind, sicherheitsrelevante Daten vor aeusserem Zugriff zu schuetzen. Er wird sich eingehend informieren und bei Unklarheiten versuchen Detailfragen ueber ein Medium wie diese Mailingliste zu klaeren.
Ernsthaft ? Seitdem freie UNIXe kostenlos zur Verfuegung stehen, glauben auch manche Firmen ein UNIX ohne ausgebildeten Admin an wichtigen Stellen betreiben zu koennen. Das ist offenbar ein aehnlicher Effekt wie beim NT: Geht mit der Maus, kann also jeder Trottel installieren (einfach immer auf OK klicken). Dass man dann nach der Installation zum Betrieb doch ein wenig was vom Rechner wissen muss, spricht sich nur sehr langsam herum. Aus genau diesem Grunde reagiere ich auch heftig auf solche Fragen wie "Bin ein armes Studentenschwein und weiss nix, soll aber fuer die Firma einen Server hinstellen. Erzaehlt mir doch fix mal alles."
Aber dennoch... Ja, auch bei mir laeuft ein Firewall ;-)))
Ich schliesse das Haus beim Weggehen ja auch zu, egal wie viele (wenige :) auf die Idee kommen, das bisschen wegzutragen das da ist. G.Sittig@abo.FreiePresse.DE -- If you don't understand or are scared by any of the above ask your parents or an adult to help you. -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
mmaureraks@st-wendel.de wrote:
Firewalling ohne feste IP ist vergleichbar mit Kanonan auf Spatzen zu schiessen. Der Hacker muss wissen, dass du genau zu DEM Zeitpunkt online bist. Er muss deine IP zu genau diesem Zeitpunkt kennen und er muss Zeit genug haben, dir ein Ei ins Nest zu legen. Also zusammengenommen Wahrscheinlichkeit etwas groesser als Null ;-))
Wenn man wirklich Feinde hat, dann solte man keine Programme wie ICQ benutzen, weil da wirde bei jeder Anmeldung die IP für jeden anderen sichtbar, der auch ICQ verwendet. Es gibt sicherlich noch andere Programme, die entsprechendes machen. Allerdings: Wer ein Firewall "braucht" sollte kein ICQ laufen lassen :-) Grüße Raphael Becker -- ___________ Powered by SuSE __________________ ___ /___(_)__________ _____ __ ___ ____/__|__ / Raphael __ / __ /__ __ \ / / /_ |/_/ ______ \ ___/_ < Becker _ /___ / _ / / / /_/ /__> < ____/ /______/ / /_____/_/ /_/ /_/\__,_/ /_/|_| /_____/_(_)____/ -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
hi... das seh ich nicht so, aldiweil können im IRC ca. 10.000 Leute meine IP sehen....und jetzt? :) ciao Am/Um 20:49 26.11.1998 +0100 schrieben Sie:
Firewalling ohne feste IP ist vergleichbar mit Kanonan auf Spatzen zu schiessen. Der Hacker muss wissen, dass du genau zu DEM Zeitpunkt online bist. Er muss deine IP zu genau diesem Zeitpunkt kennen und er muss Zeit genug haben, dir ein Ei ins Nest zu legen. Also zusammengenommen Wahrscheinlichkeit etwas groesser als Null ;-))
Mario
-- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
God,root,what is difference? (c) <A HREF="http://www.userfriendly.org"><A HREF="http://www.userfriendly.org</A">http://www.userfriendly.org</A</A>> 11.11.98 <A HREF="http://www.paritaet.org/user/matthias"><A HREF="http://www.paritaet.org/user/matthias</A">http://www.paritaet.org/user/matthias</A</A>> -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
participants (4)
-
beckerra@rumms.uni-mannheim.de -
G.Sittig@abo.FreiePresse.DE -
matthias.strack@paritaet.org -
mmaureraks@st-wendel.de