Wie is es um Eure Sicherheit bestellt?

Smalltalk
Antworten
Benutzeravatar
oleg
Beiträge: 118
Registriert: 29.01.2003 21:57:39

Wie is es um Eure Sicherheit bestellt?

Beitrag von oleg » 30.10.2003 20:16:27

Hi Forum!
Mich würde mal interessieren, wie Ihr Euch auf Euren Desktop-PC's vor dem vermeindlichen Bösen schützt?
Hab Ihr Firewalls und oder Anti-Virus-Software im Einsatz?
Wie steht's Eurer Meinung nach überhaupt um die Sicherheit bei unserem Lieblings-OS?
Bin mal sehr gespannt auf Eure Meinungen...

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 30.10.2003 20:28:10

Zur Absicherung gegen "pöse Purchen" von ausserhalb läuft auf meinem Router ein Firewall. Ausserdem werden alle Protokolle soweit möglich nur über SSL/TLS Kanäle verwendet (mein Provider nimmt zum Glück SMPT/TLS an... Somit geht das PW für ASMTP schonmal nicht mehr im Klartext über die Leitung.

Das Mailsystem geht zusätzlich noch über Amavisd-ng+ ClamAV (INFECTED = /dev/null) und Spamassassin.

Naja: "Defense in Depth" halt: Erstmal alle Tüiren dicht machen, die man nicht braucht (Firewall). Alle dann noch offenen Türen überwachen (loganalyse, allerdings sehr locker eingestellt...), Daten von ausserhalb werden wenn möglich nur verschlüsselt angenommen und per Content Analyse gefiltert (Mail: Viren und Spam)...

Für das tägliche leben sind da zwar ein paar kleinere Lücken offen, aber nichts, was ich nicht abschätzen kann... (Services auf non-standard Ports und solche Sachen...)

Die beste Sicherheit ist ein gutes Verständnis des Systems und besteht aus mehr als einer Verteidigungslinie... Wenn jemand allerdings meinen Router knackt, ist das Netz hier relativ nackt...

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

Benutzeravatar
eagle
Beiträge: 2282
Registriert: 05.11.2002 11:20:53
Wohnort: Berlin

Beitrag von eagle » 30.10.2003 20:47:22

Ohne Firewall geht man oder Frau ja nicht mehr ins Internet. Standartmäßig wird alle eingehende erstmal geblockt. Trotzdem hatte ich erstmal alle Ports komplett zu gemacht. Zur Zeit hören nur apt-proxy und smtp im internen Netz. (Das kann sich aber noch ändern :D)

Wann immer es geht benutze ich verschlüsselte Protokolle email, jabber etc. Ausserdem habe ich einen verschlüsselten Bereich auf der Festplatte mit persönlichen Daten.

Trotzdem gibt hier und da noch einiges besser zu machen.

eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams

Benutzeravatar
Night.Hawk
Beiträge: 655
Registriert: 24.05.2003 11:00:39
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Hamburg
Kontaktdaten:

Beitrag von Night.Hawk » 30.10.2003 21:35:15

Bei mir macht im Moment die Komplette Sicherheit noch mein DSL-Router.

Win2000 hat ne fiirewall und nen Virenschutz.

Bei Linux/Debian bin ich noch nicht so weit. Muß mich erst noch mit der thematik beschäftiken. Wenn mein Server gebaut wird, dann kommt ne firewall drauf, spam für mail und snfs für das interne netz.

Gibt es gute firewalll seiten im netz, die iptables für debian auch für nen anfänger brauchbar erklären?
________________________________________________
Leben und leben lassen ...

Benutzeravatar
Vinc
Beiträge: 488
Registriert: 12.03.2003 10:11:55
Wohnort: Speyer (RLP)
Kontaktdaten:

Beitrag von Vinc » 30.10.2003 21:57:20

@pdreker: Paranoia? :wink:


@Topic:
Also mir reicht mein DSL Router, Viren schätze ich unter Linux (zumindest noch) nicht als große Gefahr ein, zumal ich fast ausschließlich als nicht-root arbeite.
Mit Spam hatte ich bisher noch keine Problem, deshalb noch keine Maßnahmen ergriffen.

Wenn ich mal viel Zeit hab, mach ich mich an die IP Tables, das aber eigentlich mehr aus Lern- denn aus Sicherheitsgründen.

Gruß,

Vinc

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 30.10.2003 22:06:06

Vinc hat geschrieben:@pdreker: Paranoia? :wink:
Nicht wirklich, aber als gebranntes Kind (mir wurde 'mal ein Web/File Server an der Uni gecracked), weiss ich wie enorm viel Aufwand es ist, nach einem Compromise alles wieder herzustellen...

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

Benutzeravatar
suntsu
Beiträge: 2947
Registriert: 03.05.2002 10:45:12
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: schweiz
Kontaktdaten:

Beitrag von suntsu » 30.10.2003 22:37:56

Ich habe "nur" einen HW-ADSL-Router, der die Ports dichtmacht, und das genügt mir. Ich denke ich bin auch nicht das attraktievste Ziel für einen cracker.


gruss
manuel

Benutzeravatar
abi
Beiträge: 2215
Registriert: 20.12.2001 19:42:56
Wohnort: München
Kontaktdaten:

Beitrag von abi » 30.10.2003 23:08:56

tjooo

Also:

Ich habe keinen Router, die Workstation hängt direkt am Netz. Es läuft kein Service ausser Postfix, der aber auf 127.0.0.1 gebunden ist und von aussen keine Connections aufnimmt.

Ab und an mal öffnet auch Micq bei mir einen Port (bzw. zut es immer, einen Zufälligen >3000. 8O 8O :roll:
(wer weis wie man das abstellen kann: bitte sagen)

Nuja, SMTP per Postfix+TLS, zu meinem Server, der ebenfall TLS kann. Imaps zum holen, mit Fetchmail+ssl+procmail+spamassassin(der auch auf dem Server schon läuft). Alte Mails werden in Monatlichen Cyclen Rotiert (für jeden Monat neue Mailboxen und ein datum/ Folder). Die Alten Mails, die archiviert wurden, verschlüsse ich mittels gpg, ebenso wie meine Backups die ich in UNREGELMÄßIGEN :lol: Abständen von meinem /home mache ;-)

Verschiedene Partitionen sind readonly gemountet, ansonsten bevorzuge ich HTTPS. Mails werden entweder PGP Signiert, oder Verschlüsselt übertragen. Für alles andere dient ssh. :lol:

Evtl. bau ich noch mit unserem Server (den ich mir mit 2 anderen Kollegen Teile) welcher unter FreeBSD läuft ein VPN(IPSec etc..).
Mal sehen wieviel Zeit ich in Zukunft haben werde um dies in Angriff zu nehmen
Zuletzt geändert von abi am 30.10.2003 23:37:58, insgesamt 1-mal geändert.

thermoman
Beiträge: 189
Registriert: 22.07.2003 16:31:23

Beitrag von thermoman » 30.10.2003 23:24:52

Ich kann mich dem Eindruck nicht verwehren, daß Einige nicht so recht bzw. überhaupt nicht wissen, was eine Firewall ist. Eine Firewall ist kein Paketfilter (iptables ist ein Paketfilter) und ein Paketfilter ist keine Firewall. Eine Firewall ist ein Konzept, kein Stück Software, wie einige meinen mögen.

Ich persönlich habe einen DSL Router mit NAT der zumindest nicht explizit definierte eingehende Verbindungen vom LAN fernhält. Um mich im LAN (WG) vor etwaigen Angriffen[1] zu schützen läuft iptables auf meiner Kiste, das entsprechend restriktiv konfiguriert ist.

Was Viren per Email angeht, so kriege ich die zu 99% erst garnicht zu gesicht, da ich auf dem Mailserver meines Webhosters Spamassassin installiert habe,der mir wirklich fast 100% an Spam fernhält. Diese "Use this Patch immediately" Emails lassen sich auch prima mit Spamassassin erschlagen (Stichwort MICROSOFT_EXECUTABLE).

Falls dochmal was durchrutscht übernimmt halt Brain 1.2 die Aufgabe, zu entscheiden ob das Schadsoftware ist oder nicht. Von Antivirensoftware halte ich nicht viel, denn wenn ein neuartiger Virus die Runde macht und es noch keine Virensignaturen gibt bzw. man noch nicht geupdated hat, bringt einem auch die teuerste Antivirensoftware nichts. Allein deshalb ist der Einsatz von Antivirensoftware zu Sicherheitsmassnahmen schon absurd. Etwas anderes ist es natürlich, wenn man damit die Postfächer vor einer Überflutung stoppen kann, so geschehem erst kürzlich mit Sven.

[1] Das LAN ist nicht als vertrauenswürdig einzustufen, da jeder beliebig Rechner anstöpseln kann.

mfg,
thermoman
Erst Debian GNU/Linux, dann ab 2004 ein paar Jahre Gentoo Linux und seit vielen Jahren wieder Debian (& Ubuntu)

Benutzeravatar
penthesilea
Beiträge: 147
Registriert: 19.02.2003 23:51:24
Wohnort: Ulm

Beitrag von penthesilea » 31.10.2003 02:42:09

oh je, ich bin überhaupt nicht gesichert. Habe weder FireWall noch irgendeinen Virenscanner. Und hatte bisher noch nie Probleme. Das einzige was war, ich hatte diesen lovesan unter Windows.

Aber in den nächsten Tage bekomme auch ich DSL und dann werde ich mir unter Linux eine Firewall einrichten. Für win lohnt sich das nicht, wird eh nicht mehr gestartet.

Gruss penthesilea

Benutzeravatar
bitbieger
Beiträge: 179
Registriert: 23.10.2003 08:26:00
Kontaktdaten:

Beitrag von bitbieger » 31.10.2003 08:40:00

Bei mir ist über die Firewall (shorewall) alles dicht außer SSH. Login nur über public/private key und alles andere wird getunnelt.

bitbieger

Benutzeravatar
zyta2k
Beiträge: 2446
Registriert: 14.03.2003 09:18:00
Kontaktdaten:

Beitrag von zyta2k » 31.10.2003 10:03:44

bitbieger hat geschrieben:Bei mir ist über die Firewall (shorewall) alles dicht außer SSH. Login nur über public/private key und alles andere wird getunnelt.
bitbieger
Auch Patsche heb.

Greetz,
Shorewall User zyta2k

Alles ausser mldonkey ist zu *gg*

Hab mal in einem Channel mit Script Kiddies aufgefordert meine Kiste zu hacken und ihnen meine IP gegeben.

Resultat: "Verarschst du uns ? Die Kiste ist gar nicht am Netz !"
*lol*

Benutzeravatar
Vinc
Beiträge: 488
Registriert: 12.03.2003 10:11:55
Wohnort: Speyer (RLP)
Kontaktdaten:

Beitrag von Vinc » 31.10.2003 10:36:12

zyta2k hat geschrieben:Hab mal in einem Channel mit Script Kiddies aufgefordert meine Kiste zu hacken und ihnen meine IP gegeben.

Resultat: "Verarschst du uns ? Die Kiste ist gar nicht am Netz !"
*lol*
Naja, der Horizont irgendwelcher Script Kiddies reicht ja auch meistens gerademal bis zum ping Befehl, bei den Fortgeschritteneren eventuell noch nmap... :wink:

Grützi,

Vinc

Benutzeravatar
eagle
Beiträge: 2282
Registriert: 05.11.2002 11:20:53
Wohnort: Berlin

Beitrag von eagle » 31.10.2003 10:52:34

Vinc hat geschrieben:
zyta2k hat geschrieben:Hab mal in einem Channel mit Script Kiddies aufgefordert meine Kiste zu hacken und ihnen meine IP gegeben.

Resultat: "Verarschst du uns ? Die Kiste ist gar nicht am Netz !"
*lol*
Naja, der Horizont irgendwelcher Script Kiddies reicht ja auch meistens gerademal bis zum ping Befehl, bei den Fortgeschritteneren eventuell noch nmap... :wink:
Trotzdem sollte man niemanden unterschätzen oder gar überheblich sein - man kann immer etwas vergessen haben :!:

Bei zya2k´s Tests würde ich aber man nichts wichtiges auf dem Rechner liegen lassen 8).

eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams

Benutzeravatar
Vinc
Beiträge: 488
Registriert: 12.03.2003 10:11:55
Wohnort: Speyer (RLP)
Kontaktdaten:

Beitrag von Vinc » 31.10.2003 11:16:15

eagle hat geschrieben:Trotzdem sollte man niemanden unterschätzen oder gar überheblich sein - man kann immer etwas vergessen haben :!:
Ein Script Kiddie kann ich ja nur schwer unterschätzen, weil allein das Wort ja schon impliziert was ich von demjenigen halte.
D.h wenn eine Unterschätzung stattfindet, dann in dem Moment in dem ich "Script Kiddie" zu jemandem sage, und das wiederrum habe ich nicht (da es ein Zitat war)!

Aber im Endeffekt ist deine Aussage natürlich richtig und gilt nicht nur für den EDV Bereich!

Vinc

Benutzeravatar
eagle
Beiträge: 2282
Registriert: 05.11.2002 11:20:53
Wohnort: Berlin

Beitrag von eagle » 31.10.2003 11:26:36

@Vinc ich wollte um Gottes Willen nicht als "Oberlehrer" daher kommen, sondern wirklich nur anmerken das schon einige auf die Nase gefallen sind. In Kevin Mitnick's Buch ist da ne schöne Episode zu drin :D.

eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams

Benutzeravatar
chimaera
Beiträge: 3804
Registriert: 01.08.2002 01:31:18
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von chimaera » 31.10.2003 11:49:51

iptables: von aussen restriktiv, von innen darf alles.
[..] Linux is not a code base. Or a distro. Or a kernel. It's an attitude. And it's not about Open Source. It's about a bunch of people who still think vi is a good config UI. - Matt's reply on ESR's cups/ui rant

Benutzeravatar
Vinc
Beiträge: 488
Registriert: 12.03.2003 10:11:55
Wohnort: Speyer (RLP)
Kontaktdaten:

Beitrag von Vinc » 31.10.2003 12:54:42

eagle hat geschrieben:@Vinc ich wollte um Gottes Willen nicht als "Oberlehrer" daher kommen, sondern wirklich nur anmerken das schon einige auf die Nase gefallen sind. In Kevin Mitnick's Buch ist da ne schöne Episode zu drin :D.

eagle
Schon klar, wiegesagt im Endeffekt hast du ja recht. :)

Sag mal, du hast das Buch gelesen? Ich hab auch schon mit dem Gedanken gespielt es mir zuzulegen. Meinst du es lohnt sich?

Vinc

Benutzeravatar
eagle
Beiträge: 2282
Registriert: 05.11.2002 11:20:53
Wohnort: Berlin

Beitrag von eagle » 31.10.2003 13:36:48

Vinc hat geschrieben:Sag mal, du hast das Buch gelesen? Ich hab auch schon mit dem Gedanken gespielt es mir zuzulegen. Meinst du es lohnt sich?
Ja ich habe es im Urlaub gelesen und finde es sehr interessant und auch lesenswert. Man sollte aber nicht erwarten das er über die grossen "Hacks" plaudert. Das Buch heisst ja auch "Die Kunst der Täuschung - Risiko Faktor Mensch" und beleuchtet weniger die technische Seite.

Die vorgestellten Geschichten sind alle spannend erzählt und manchmal glaubt man kaum wie einfach es ist, an bestimmte Informationen oder Dinge ranzukommen.

eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams

Benutzeravatar
Vinc
Beiträge: 488
Registriert: 12.03.2003 10:11:55
Wohnort: Speyer (RLP)
Kontaktdaten:

Beitrag von Vinc » 31.10.2003 13:52:22

eagle hat geschrieben:Ja ich habe es im Urlaub gelesen und finde es sehr interessant und auch lesenswert. Man sollte aber nicht erwarten das er über die grossen "Hacks" plaudert. Das Buch heisst ja auch "Die Kunst der Täuschung - Risiko Faktor Mensch" und beleuchtet weniger die technische Seite.

Die vorgestellten Geschichten sind alle spannend erzählt und manchmal glaubt man kaum wie einfach es ist, an bestimmte Informationen oder Dinge ranzukommen.

eagle
Ok, danke. Aber wenn ich mir das heute bestell denken die von Amazon noch ich will sie verarschen. Hab mir am Dienstag Linux in a Nutshell bestellt... :lol:

Vinc

Benutzeravatar
abi
Beiträge: 2215
Registriert: 20.12.2001 19:42:56
Wohnort: München
Kontaktdaten:

Beitrag von abi » 31.10.2003 14:19:44

chimaera hat geschrieben:iptables: von aussen restriktiv, von innen darf alles.
na, dann pass mal auf das du dich nicht selbst kompromittierst :lol:

Benutzeravatar
chimaera
Beiträge: 3804
Registriert: 01.08.2002 01:31:18
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von chimaera » 31.10.2003 19:46:08

try hat geschrieben:
chimaera hat geschrieben:iptables: von aussen restriktiv, von innen darf alles.
na, dann pass mal auf das du dich nicht selbst kompromittierst :lol:
tja, um eine bekannte ente zu zitieren:
drei, zwo, risiko..
8)
[..] Linux is not a code base. Or a distro. Or a kernel. It's an attitude. And it's not about Open Source. It's about a bunch of people who still think vi is a good config UI. - Matt's reply on ESR's cups/ui rant

Benutzeravatar
Operations
Beiträge: 179
Registriert: 13.10.2003 17:23:19

Beitrag von Operations » 02.11.2003 21:36:26

Hallo,

- regelmäßiges einspielen der Woody Sicherheitsupdates
- Firewall mittels iptables nach der Grundlage eines Artikels in Linuxuser
- regelmäßige Virusscans des Systems (nicht der Mails) mittels F-prot
- debian-security-announce ML abboniert
- die Securityseite von Heise lesen
- immer ein ein bischen Paranoid sein


Das ganze reicht für mich derzeit aus.


MFG

Operations

DavidJ
Beiträge: 767
Registriert: 31.05.2003 12:23:58

Beitrag von DavidJ » 03.11.2003 13:37:22

Bei mir werden lediglich keine Dienste in's Netzwerk/Internet angeboten. IPtables und solche Sachen habe ich nicht in Benutzung.

Ansonsten kein File-Sharing, nach Möglichkeit verschlüsselte Verbindungen etc.


MFG, David

Benutzeravatar
abi
Beiträge: 2215
Registriert: 20.12.2001 19:42:56
Wohnort: München
Kontaktdaten:

Beitrag von abi » 03.11.2003 15:25:43

chimaera hat geschrieben:
try hat geschrieben:
chimaera hat geschrieben:iptables: von aussen restriktiv, von innen darf alles.
na, dann pass mal auf das du dich nicht selbst kompromittierst :lol:
tja, um eine bekannte ente zu zitieren:
drei, zwo, risiko..
8)
hiess das nicht "zwo, eins risiko" ?

Antworten