pangu hat geschrieben: 05.03.2018 09:44:57
"Eine Firewall ist besser als gar keine" aber das alleine ist ein Trugschluss. Deshalb auch die bisher genannten Informationen zu einem "Sicherheitskonzept".
Ich empfinde dieses hartnäckige Festhalten an einem völlig
themenfremden Einzelparameter mittlerweile einigermaßen absurd... das Thema in diesem Thread ist nicht mein lokaler Paketfilter... wie oft muss man eigentlich darauf hinweisen? Ich frage i.ü.S. ganz allgemein, ist wohl ein Haus auf dem Land sicherer als eines in der Stadt...?... und erwähne nebenbei, dass ich so einen
TV-Simulator für 15 € gut finde und muss mir dann ständig sagen lassen, dass das Teil überhaupt nix bringt, wenn das Haus "kompromittiert" ist, also der Einbrecher bereits drinnen ist. Also mal ehrlich.. geht noch? Wieso wird hier eigentlich ständig unterstellt, dass so ein Teil irgendwas mit einem Einbrecher tun soll, vielleicht den verkloppen, oder einsperren, laut um Hife schreien oder sonst was tun soll...? Der soll gefälligst nur blinkern und blitzen und so tun als ob ich vor der Flimmerkiste sitze... ob der Einbrecher drin ist oder nicht, hat den Blinker nicht zu interessieren. Genausowenig ist es meiner Absicht nach die Aufgabe meines Paketfilters, mit schon vorhandener und aktiver Malware umzugehen.
Wie eindimensional fachlich ausgerichet und damit imho auch einigermaßen abseits der Realtität muss man eigentlich denken, um die Wirkungsweise eines solchen Blinkers überhaupt anzuweifeln, nur weil der nicht in Fort Knox eingerichtet ist oder überhaupt zu erwarten, dass der nur in Gebäuden mit einem Sicherheitskonzept einem Fort-Knox-Standard entsprechend eingerichtet wird? Dem Teil isses völlig egal, in welchem Haus er blinkt... und wenn ein Einbrecher nicht erkennen kann, dass das nur ein TV-Sim ist, wird er vermutlich kein unnötiges Risiko eingehen... Fazit: Ziel erreicht! Was soll dieses permanente Anzweifeln des fehlenden Sicherheitskonzeptes, wenn ich doch zu keiner Źeit geschrieben habe, das es das wirklich nicht gibt. Um bei dem TV-Sim zu bleiben, habe ich irgendwo gesagt, dass ich keine automatischen Metall-Rolladen habe, keine Außen-Cams, die mich anrufen, keine automatisch verriegelnde Außentür, keine zufälliges Lichtsystem, keine Pilz-Zapfen an allen Fenstern und Türen? Wo steht das? Warum ist es überhaupt notwendig das zu sagen, wenn es doch gar nicht darum geht? Wie kann man wiederholt auf völlig unbekannten Bedingungen rumreiten, die erstens so gar nicht existieren und zweites nicht das Thema dieses Threads sind?
Dieses ganze Gerede über die Wirkung eines lokalen Paketfilters auf einem kompromittierten PC ist absolut grotesk, wenn gleichzeitig immer davon ausgegangen wird, dass der PC bereits befallen ist. Wenn der PC befallen ist, isses auf einem Linux-System völlig egal, ob es einen Paketfilter gibt oder nicht... genauso wie es völlig egal ist, ob der TV-Sim blinkt oder nicht, wenn der Einbrecher bereits im Haus ist. Mein Paketfilter ist nur eine kleine Komponene für genau 14,99 € (siehe Link oberhalb) in meinem Sicherheitskonzept.... mehr nicht. Dieses Rumreiten auf Fake-Fakten und theoretischen Problemen ist wirklichkeitsfremd... allein auch schon vor dem Hintergrund, dass es sowieso kaum Schadsoftware gegen Linux gibt. Was soll das also? Die Frage war (i.ü.S.) Stadt oder Land, und nicht Blinker.
Das hier folgende ist seit heute morgen auf meinem Server passiert... einer Debian-Minimal-Installation, ohne Desktop, nur mit wirklich benötigten Diensten, auf dem sich seit seiner Installation seit Monaten keiner angemeldet hat, auf dem keine Anwender-Software drauf läuft, und dem jeglicher von ihm ausgehender Kontakt ins Internet verboten ist. Der Server ist definitiv Malware-Frei, es sei denn, das Installer-Image war schon nicht sauber. Ich weiss nicht, was das hier für Pakete sind, die seit heute morgen 9 Uhr nach der Zwangstrennung aufgelaufen sind und "wohin" die telefonieren, aber sie sind da:
IPv4 und IPv6, reset und unreachable ist INPUT, admin-prohibited ist OUTPUT.
Code: Alles auswählen
# setipt list | grep reject
26 1 40 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
27 11 3389 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
14 289 19838 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-admin-prohibited
22 0 0 REJECT tcp * * ::/0 ::/0 reject-with tcp-reset
23 0 0 REJECT all * * ::/0 ::/0 reject-with icmp6-port-unreachable
14 126 11088 REJECT all * * ::/0 ::/0 reject-with icmp6-adm-prohibited
Als zweites nach nur einer halben Stunde Laufzeit meines PC ohne heftige Aktivitäten... von dem ich mir ebenfalls ohne jeden Zweifel sicher bin, dass er malware-frei ist, weil es keinen berechtigten User gibt, der etwas verändern könnte.... auch keine Java-Scripte o.ä. Und ich weiss auch hier nicht, wer da wohin telefoniert und ich wills auch nicht wissen, ist mir echt völlig egal. Bis zum Abend und mit mehr User-Aktivitäten verzwanzigfacht sich das. Ob gleichzeitig auch noch Anwendungen davon abgehalten werden, unprivilegierte Ports ins Web zu öffnen...?... wahrscheinlich... ist mir aber auch egal... der Filter tut was er soll, und zwar filtern.
Genau das ist die Aufgabe meines Paketfilters.... und die erfüllt er perfekt... nicht mehr, nicht weniger. Punkt! Das hat absolut nix mit schon vorhandener Malware zu tun und diese Aufgabe hat der Filter auch gar nicht. Wenn zufällig -ich betone
zufällig- der Filter auch noch präventiv wirkt... dann freu ich mich... besser gehts nicht... wie oben beim Blinker schon einmal festgestellt "Ziel erreicht!".
Code: Alles auswählen
# setipt list | grep "reject"
14 1 40 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
15 20 4730 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
26 30 1440 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-admin-prohibited
14 0 0 REJECT tcp * * ::/0 ::/0 reject-with tcp-reset
15 0 0 REJECT all * * ::/0 ::/0 reject-with icmp6-port-unreachable
26 38 3344 REJECT all * * ::/0 ::/0 reject-with icmp6-adm-prohibited
Auf meinem PC ist ebenfalls nur ein Basic-Debian installiert, es laufen keine unbenötigten Dienste, das Desktop-Environment ist eine hocheffiziente Minimalst-DE-Installation, also kein Standard-Desktop und deshalb ohne jeglichen Ballast. Der Paketfilter läuft seit meiner Umstellung auf VDSL, also ein Jahr oder so... es gibt keine Beeinträchtigungen durch den Filter. Aber nochmal, der Paketfilter ist hier nicht das Thema, und noch weniger ist das Thema dessen Wirksamkeit, wenn der PC kompromittiert ist... weil das für mich hier ein rein theoretisches Szenario ist, was hier nicht zutrifft und was mich auch nicht wirklich interessiert.
@Jana
Weil Du den Begriff "Personal Firewall" eingebracht, was durchaus auch korrekt ist, möchte ich das -soweit es mich betrifft- abschließend noch mal herausstellen: Ich habe keine Personal Firewall installiert, noch beabsichtigte ich das in der Zukunft zu tun, noch betrachte ich meinen Paketfilter als Firewall. Ich habe mich während dieses Threads dazu entschlossen, der Firewall meines Consumer-Routers zu vertrauen, weiteren Handlungsbedarf sehe ich für uns nicht. Was meinen Paketfilter auf Server und Clients angeht, so ist die alleinige Absicht, Einflußnahme auf PC-Verhalten und infolgedessen auch auf User-Verhalten auszuüben. Wenn sich dadurch präventive Randeffekte ergeben, so ist das unbeabsichtigt, zufällig, aber ich begrüße das.