Martin Borchert wrote:
Sorry, aber das ist quatsch. Meine Haustür hat von aussen auch keine Klinke, trotzdem schliesse ich sie ab!
Nicht alles was hinkt ist ein Vergleich. Sei's drum: Welchen Sicherheitsgewinn erreichst du durch Abschließen der Haustür gegenüber einfachem Zuziehen?
Hmm, geh doch einfach mal zum Schlüsseldienst oder Polizeistation Deines Vertrauens und lass Dich aufklären. Ich glaube auch einige Versicherungen können Dir über diesen feinen Unterschied Auskunft geben.
Und zum Thema. Ein gut konfigurierter Paketfilter verhindert auch noch viele andere Schweinereien z.B. gefakte Ip-Adressen,
Wie konfigurierst du deinen Paketfilter, damit er erkennt, dass die IP 217.229.180.224 gefälscht ist? Oder die 217.229.180.223?
Ich weiss so gut wie hundert prozentig, dass eine Ip gefaket ist, wenn sie meine eigene ist oder aus einem privaten Bereich ist _und_ sie mir auf meinem aussendevice entgegenkommt! Sieht man gar nicht so selten.
Syn-Floods,
Wie unterscheidest du gewollten von ungewolltem Verkehr?
Wenn pro sekunde 1000 syn-pakete kommen, weisst Du es! Und wenn sie von einer Ip kommen, lässt sich diese in einem Paketfilter einfach sperren! Muss ja nur für ein paar Stunden sein.
Ping-of-Death,
Gibt es tatsächlich noch Systeme, die dafür anfällig sind? http://www.pp.asu.edu/support/ping-o-death.html listet ein paar. Naja...
Port-Scans.
Was ist schlimm an einem Portscan?
Was ist schlimm an einem fremden Typen, der alle paar Stunden an Deinem Haus vorbeistreift und kontrolliert ob alle Türen und Fenster richtig geschlossen sind... Nichts... Ist doch pure Freundlichkeit, Oder ? Ist in manchen Ländern IMHO sogar unter Strafe gestellt (portscans).
Und was, wenn es einen Fehler im Apache,FtpD oder Kernel gibt, ein Benutzer bekommt ne Shell und verschickt mal eben ein paar hunderttausend Mails, oder Ping't andere Rechner zu Tode, mit DEINER Ip!
remote exploit im daemon -> ptrace-bug-exploit -> root-Zugriff, paketfilter abschalten. Und nu? Keine Firewall mehr da. Sicherheitsgewinn durch Paketfilter? Null.
Das ist der schlimmste Fall, aber es gibt Gründe Server-Dienste unter Benutzeraccounts laufen zu lassen. Falls mal etwas passiert kann der Angreifer _nur_ im Sicherheitskontext des Benutzers unsinn machen. Ohne Firewall kommt man dann von dort aus aber auch nach draussen, mit Deiner Ip. Es gehört nur ein telnet dazu dem president@whitehouse.gov mal so richtig die Meinung zu sagen ;-) Das ist an und für sich noch harmlos, aber es ist mit einer Firewall sehr einfach zu sperren.
Wenn man seinen Rechner ins Internet stellt, sollte man JEDE Möglichkeit zur Absicherung nutzen und eine Firewall ist erstens von Hause aus dabei und zum anderen auch nicht soo schwierig zu konfigurieren.
Und in vielen Fällen imo sinnlos.
Und wenn es nur einen einzigen sinnvollen Fall gibt....... Gruß, Andreas