Firewall - Was verwendet Ihr? Einstellungen

[db]

... und, meinst du ein Hardwarerouter ist etwas anderes als ein Router unter Linux, der auf einem alten Rechner läuft?
Das ist Software auf Hardware, die einfach mieser zu bedienen ist! Du kannst daran als Anwender gerade vielleicht mal ein paar Optionen einstellen und das war's dann, außer du arbeitest bei der Firma und hast das nötige Know-How :wink: 

Da gibt es mehr als einen Unterschied. Den gravierendsten will ich Dir aber mal kurz aufzeigen: Kein Client, also auch nicht die Programme auf den Clients haben die Möglichkeit an der Firewall zu manipilieren. Man braucht hier eine differenzierte Betrachtungsweise und kann sich nicht nur auf freizugebende Ports beschränken. (NAT, L2TP, PPtP, IPSec, URL Blocking, MAC Address Filtering und nicht zu vergessen SPI!)

Bei Linux reicht es schon ein Script einzuschmuggeln.

Den Trojaner unter Linux gab es. Du weißt zwar nicht genau um was es ging, dafür weißt Du aber gut Bescheid. :-) Sicher gab es nach wenigen Tagen einen Patch, nachdem der Trojaner ewige Zeiten mit geliefert wurde.

Sicher, Linux-Anwender kennen sich besser mit dem OS aus, deshalb vertreiben SUSE usw. ja auch nur den Kernel.


So, zurück zum Thema, Helpy hatte ja ein konkretes anliegen.

Ich arbeite mit Routern von Elsa und SMC, die selbstverständlich Plattformunabhängig sind. (Sorry für das 'flame'; Ede, aber du hast es ja nicht anders gewollt :-) )

Ich kann jedem diese "Investition" für einen Hradware-Router nur empfehlen!

[Ede]

Da gibt es mehr als einen Unterschied. Den gravierendsten will ich Dir aber mal kurz aufzeigen: Kein Client, also auch nicht die Programme auf den Clients haben die Möglichkeit an der Firewall zu manipilieren. 
[...]Bei Linux reicht es schon ein Script einzuschmuggeln.

Hab ja geschrieben, daß kein System absolut sicher ist.
Auch bei einem Hardwarerouter werden Gefahrenquellen da sein :wink:

Den Trojaner unter Linux gab es. Du weißt zwar nicht genau um was es ging, dafür weißt Du aber gut Bescheid. :-) Sicher gab es nach wenigen Tagen einen Patch, nachdem der Trojaner ewige Zeiten mit geliefert wurde.

Meintest du:

In die kommende Version des Linux-Kernels sollte ein Trojaner eingeschmuggelt werden.
Die Tätigkeit des bisher Unbekannten fiel jedoch innerhalb eines Tages auf.

Ansonsten versteckst du dich ja auch hinter dem lapidaren Satz:
Bis vor einigen Monaten wurde ein Trojaner mit Linux ausgeliefert...

Auch Cisco mußte schon die Software Ihrer Hardwarerouter updaten, weil ein gefährliches Sicherheitsloch drin war :wink:

Sicher, Linux-Anwender kennen sich besser mit dem OS aus, deshalb vertreiben SUSE usw. ja auch nur den Kernel

.

Na ich geh einfach mal von mir aus:
Eigentlich war ich nur Anwender (Windows und gut!)
Dann hab ich mich für Linux angefangen zu interessieren und Probleme gehabt.
Also mußte ich mich damit auseinandersetzen.
Was ich dabei über TCP/IP etc. gelernt habe, hab ich unter Windows nicht mal mitgekriegt, daß es das gibt.

Außerdem braucht SuSE den Kernel nicht vertreiben, den gibts kostenlos bei kernel.org.

Na Hauptsache du fühlst dich sicher hinter deinem Hardwarerouter.
Have fun!

[db]

Tja, Ironie ist nicht Deine Stärke. Deshalb gingen meine Tipps bezüglich SUSE Kernel und Plattformunabhängigkeit der Router auch voll an Dir vorbei. :-)

Übrigens, ich arbeite mit Linux und Windows, was meine Lernbereitschaft nicht beeinflusst, die hat mir die Natur so mitgegeben. STACKS unter Windows sind mir nicht neu.

Zu dem Trojaner in Linux, bei dem es sich nicht um das von Dir beschriebene Problem handelt, will ich mit voller Absicht keine näheren Angaben machen. Für die Linux-Gemeinde ganz sicher keine Neuigkeit die ich da verbreite.

So, nun kommen wir mal wieder zurück zum Thema. Helpy fragt welche Router man hier so verwendet. Ich haben meine Antwort gegeben.

Über absolute Sicherheit diskutiere ich nicht.

[Ede]

BTW:

Den Trojaner den ich meinte war 6 Tage in einem Sendmail-Tarball.
Der wurde aber nur aktiv, wenn man als root die Software kompiliert und installiert.
Nicht wenn man das Ganze richtig macht:
Nämlich als USER kompilieren und dann die Software als root installieren.
Hintergrund: beim configure-Prozess wurde der Ablauf geforkt in den Trojaner welcher dann unter den Rechten des USERs lief, der den configure-Prozess auslöste. Der Trojaner war nur bis zu einem reboot aktiv aber anders als unter Windows, muß man ja nach einer Software-Installation nicht 'rebooten' sonder nur den Dienst neu starten, damit blieb der Trojaner eventuell aktiv.

Man muß halt wie immer wissen was man tut und wie man es tut

[Andreas]

Tatsache ist einfach, dass ein Hardware Router nunmal eine geringere Angriffsfläche bietet. Wo nichts läuft kann nichts angegriffen werden. Absolute Sicherheit gibt es richtigerweise nicht. Aber es hat schon seinen Grund, warum *richtige* Rechenzentren keine "Computer" als externe Firewall einsetzen, sondern "kleine Kistchen" ...

Grüße

Andreas

[db]

BTW:

Den Trojaner den ich meinte war 6 Tage in einem Sendmail-Tarball.
Der wurde aber nur aktiv, wenn man als root die Software kompiliert und installiert.

...

Man muß halt wie immer wissen was man tut und wie man es tut

http://www.heise.de/newsticker/meldung/32337
http://www.linux-community.de/Neues/story?storyid=5498

[Gast_garfield_*]

Hab bei mir einen alten rechner mit Linux fertig gemacht, und lasse die IPtables laufen. Für MEINE ansprüche reicht es... außerdem kann man den rechner dann auch noch gleich als Print-Server und File-Server brauchen.

Nun zu den Überlegungen:

1. ein gewartetes Linux-System ist immer sicherer als ein gewartetes Windows-System, da an Linux mehr Leute entwickeln als an Windows. Fehler werden also schneller gefunden und behoben.

2. Hat einer von euch schonmal ein Linux-Virus gefunden? Warum es davon nicht viele gibt? siehe 1.

3. Die meisten Hardware-Router laufen auch über IPtables, also die extra Ausgabe sparen...

4. Die sicherste Firewall sind sowieso 10 cm Luft zwichen Netzwerkkabel und Anschluss

MfG
garfield

[Andreas]

* dann auch noch gleich als Print-Server und File-Server brauchen.
* Fehler werden also schneller gefunden und behoben.
* Die meisten Hardware-Router laufen auch über IPtables, also die extra Ausgabe sparen...

Prima. Auf einer Firewall auch noch andere Dienste anbieten. Sehr gute Idee, so kann man die Hardware vernünftig auslasten.
Es gibt weniger Viren für Linux, weil es schlicht weniger Anwender gibt. Vor allen Dingen gibt es weniger Anwender, die Wert darauf legen, Viren zu programmieren.
Die meisten Hardwarerouter haben allerdings wesentlich weniger Angriffsfläche. Wo kein System läuft, kann auch keins angegriffen werden.

Sorry, aber Deine Ausführungen sind wenig hilfreich wenn es darum geht, ernsthaft über eine "Firewall" nachzudenken. Wie hier schon gesagt, eine "Firewall" ist eigentlich nicht ein Rechner oder eine Blackbox, sondern ein Konzept.

Grüße

Andreas

[i.b.g]

Hallo,

also, dass es so wenig Linux-Viren gibt - ich meine gelesen zu haben, dass es welche gibt - liegt sicher nicht an der besonders hohen Sicherheit von Linux, sondern eher daran, dass die Verbreitung von Window$ so enorm hoch ist und es viel attraktiver ist, eine große Masse zu provozieren/schädigen als eine immer noch eher kleine Minderheit. Die "Mühe lohnt" (im negativen Sinne) einfach nicht. Wenn es sich erst richtig "lohnt", wird es auch dort massive Angriffe auf die unzweifelhaft vorhandenen Sicherheitslücken geben. Umso komplexer eine System desto mehr Angriffsfläche wird geboten - auch bei Linux. Dann geht auch dort die Pendelei zwischen Angiff und Abwehr los.

[db]

Merkwürdig,

hier bricht wie sonst auch immer gleich ein Glaubenskrieg bei einigen Leuten aus.

Es ist für viele Leute vollkommen egal welches OS als besser angesehen wird, denn die Entscheidung welches System man einsetzt fällt häufig am Markt und nicht im eigenen Kopf.

Komsich auch, einige Linuxer glauben, Hardware-Firewalls wären nur für Windows-Rechner. :-)

Warum ich einen meiner Rechner mit den Attacken aus dem Netz beschäftigen soll, diese, wie. z.B. Portscans, starten sobald ich online gehe, vermag ich nicht einzusehen. Die Kosten für einen ordentlichen Router amortisieren sich doch schon über den Strompreis. Sicher, es gibt auch Router die 250 Watt Leistungsaufnahme haben, bei Schlund & Partner oder so. :-)

[Google Bot]