Am Donnerstag, 14. November 2002 12:01 schrieb Michael Meyer:
Matthias Houdek wrote:
Es ist leider eine trügerische Sicherheit, die dort erzeugt wird. Allein schon der Name. Das ist keine Firewall, sondern ein Konfigurationstool für einen Paketfilter. Eine Firewall ist etwas ganz anderes. Aber es verkauft sich so sehr gut.
/sbin/SuSEfirewall: | For all those fellow experts out there: yes I know that this is NOT a | firewall setup but a simple (no, not simple, it tries actually to be | clever) packet filter. But if we would call this "SuSEpacketfilter", | only a few user would install it, hence general security would be | bad. Marc Heuse
ich finde du begründest etwas wenig 'technisch' warum die SuSEfirewall2 ein nicht mal halbwegs guter packetfilter ist. würde mich interessieren.
Sag ich doch - Marketingaspekte. Unter dem Vorwand, die Sicherheit zu erhöhen.
wie auch immer Marc Heuse es gemeint hat. dieser hinweis findet sich schon in der SuSEfirewall der SuSE 7.1. da war sicherheit und firewall noch nicht _sooo_ das thema. zumindest aus sicht des marketings nicht.
Ach, bei der 7.1 gab es noch kein Marketing? ;) Gut, der momentane Personal-Firewall-Wahn schürt ja richtige Wahn-Vorstellungen bei einem leicht beeinflussbaren User. Falls Psychologen Aktien rausgeben - darauf sollte man sein Geld anlegen, die Branche wird boomen *g*.
Es ist: Erstens eine vorgegaukelte Sicherheit anzunehmen, ein Paketfilter, von dem ich nicht genau weiß, was er eigentlich wie filtert, sei eine Firewall und
ACK
Zweitens auch noch ein Paketfilter, der so undifferenziert arbeitet, dass ich ihn mir gleich sparen kann.
wie undifferenziert?
Siehe unten.
Übrigens brauchen IMHO die meisten der oben angesprochenen Nurmaluser keinen Paketfilter, denn sie bieten keine eigenen Dienste an. Also lauscht auch kein Daemon an irgend einem Port. Zumindest sollte es so sein, wenn die Standardinstallation von Suse sauber wäre. Wer dann einen Dienst installiert, sollte wissen was er tut. Und die meisten Dienste kann man auch an ein bestimmtes Netzdevice bzw. an eine Netzadresse binden, so dass primär auf jeden fall eine höhere Sicherheit darstellt. Ein Paketfilter wäre hier eher ein zusätzliches Sicherheitsseil, falls man bei der Konfiguration der Dienste etwas falsch gemacht hat.
ACK
Ich habe übrigens nichts gegen Paketfilter, auch nicht gegen vorkonfigurierte. Aber er sollte zumindest etwas mehr differenzieren können.
ich benutze, heute noch, auf meinem router eine SuSEfirewall mit ipchains. ok, mittlerweile ist das script an einigen stellen von mir angepasst worden. trotzdem würde ich behaupten das die SuSEfirewall nicht so schlecht und auch nicht so kompliziert ist wie ihr ruf.
die SuSEfirewall2 habe ich mir bisher eher am rande mal angeschaut. genau deshalb interessiert mich warum du sie so schlecht findest.
Das größte Problem der Suse-Firewall2 (die meine ich jetzt speziell, über die SuSE-Firewall mit ipchains hab ich auch mal meinen Zugang zu der Problematik gefunden) ist die sehr starre, vorgefasste Konfiguration über Yast. Und mal ehrlich, welcher User bessert da noch nach, wenn er das alles per Mausklick erledigen kann? Und was kann er dort? - 2 Schnittstellen angeben (intern und extern), OK, das ist meist ausreichend - ein paar Dienste ankreuzen die er erlauben will (anbieten) - weitere Dienste angeben durch eintragen der Portnummern - Masquerading ein/ausschalten (für welche Dienste eigentlich?) - "Alle laufenden Dienste schützen" ein/ausschalten In der Erklärung heißt es dazu: "..., dass jeder Netzwerkzugriff auf TCP- und UDP-Dienste auf diesem Rechner verhindert wird, mit Ausnahme der Dienste, die Sie im vorherigen Dialog explizit erlaubt haben." Und wenn ich das ausschalte, was passiert dann? - "vor internem Netzwerk schützen" ein/ausschalten (interne Rechner haben die gleichen Rechte wie externe oder es wird vom LAN alles erlaubt) - diverse Protokollierungseinstellungen (naja ...) Und was ist mit ausgehenden Verbindungen? Zu welchen Verbindungen dürfen RELATED-Verbindungen aufgebaut werden? Warum kann ich nicht nach Innen und Außen unterschiedliche Regeln festlegen? Selektionen nach verschiedenen Quell/Zieladressen? ... Den Namen "Firewall" hat sich das Teil nun wirklich nicht im geringsten verdient. -- Gruß MaxX