Am Dienstag, 17. Juni 2003 16:16 schrieb Andreas Winkelmann:
Michael Meyer wrote:
Eine Firewall oder von mir aus ein Paket-Filter
Es gibt wirklich erhebliche Unterschiede zwischen Firewall und Paketfilter. Nix mit "von mir aus".
ist einfach nur ein _zusätzliches_ Stück Sicherheit.
Für geeignete Setups ja. Siehe unten.
Er wird bei so gut wie allen aktuellen Linux-Versionen im Kernel schon mitgeliefert
Es wird mitgeliefert? Das ist eines der Hauptargumente für den Einsatz eines Paketfilters? Jetzt muss ich mal den Kopf schütteln.
man muss ihn (nur) konfigurieren. Und ich wüsste wirklich keinen Grund darauf zu verzichten.
Der Grund es zu lassen ist einfach: Es ist zusätzliche Software und mithin zusätzliche Angriffsfläche. Keiner weiß, welche Leichen da begraben sind. Das Risiko eines Fehlverhaltens erhöht sich also. Wenn im Gegenzug nicht die Sicherheit des Systems erkennbar verbessert wird, macht es keinen Sinn, so etwas einzusetzen. Auf einem Webserver unter meiner Kontrolle, auf dem die Ports 80, 21 und 22 offen sind, brauche ich genau _keinen_ Paketfilter. Er bringt einfach keinen zusätzlichen Nutzen. Ist doch eigentlich nicht so schwer. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0