Firewall auf Desktopsystem
- Ersteller ypswes
- Erstellt am
rudy
aint no stoppin us now
Hallo ypswes,
hierzu gab es schon sehr viele Threads und die Meinungen gehen hier Doch sehr stark auseinander..
Ich für meinen Teil bin Befürworter von Firewall - bzw Firewallservern
Vielleicht hilft Dir aber dieses Dokument bei deiner Entscheidungsfindung, so da Desktop BSD auf FreeBSD basiert findest Du auch eine Übersicht über rc.firewall
http://de.wikipedia.org/wiki/Personal_Firewall
hoffe ich konnte Dir ein wenig helfen
LG rudy
Ergänzung das FreeBSD Handbook Kapitel 28 Firewalls
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls.html
Anmerkung das solltest Du lesen
Zuletzt bearbeitet:
Alles was du mit einer Firewall machen könntest wäre eingehende Verbindungen blockieren. Wenn du also keine Dienste am Laufen hast, die so eine Verbindung überhaupt erst annehmen, bringt dir eine Firewall in dem Szenario keinen Sicherheitsgewinn.
Wenn sie das tun würde, ist an anderer Stelle etwas falsch konfiguriert.
Wenn sie das tun würde, ist an anderer Stelle etwas falsch konfiguriert.
Fusselbär
Makefile Voyeur
BSD!
Und immer schön aktuell halten!
Wenn Du es nicht brauchst, keinen remote login erlauben.
Und viel Lesen:
FreeBSD Handbuch
- Kapitel 13 Benutzer und grundlegende Account-Verwaltung:
http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/users.html
- Kapitel 14 Sicherheit
http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/security.html
- Kapitel 28 Firewalls
PF & Co., darauf ist ja schon ein Link gesetzt worden
Im BSDForen Wiki steht auch noch einiges:
http://wiki.bsdforen.de/Kategorie:FreeBSD
Gruß, Fusselbär
R
rosa
Guest
Bitte aufhören
Desktop_BSD, rc.firewall ein ander mal war es OPen_BSD. Sag mal hast Du je mals ein BSD im Betrieb gesehen? Und Wiki-Links kann ich langsam auch nicht mehr von dir sehen? Bezahlt man dich dafür? Und was genau ist gleich eine Firewall und was ist ein Firewallserver
(Nein bitte nicht beantworten).--
Ein Paketschupser auf einem DesktopBSD ist nicht nötig, wenn man der Software die man einsetzt so weit traut das sie nicht nach sonst wo telefoniert. Gerade wenn man noch hinter einem Router hängt und man halbwegs weiss was man tut, nicht mal nen MS-System hat sollte das wirklich genügen.
rudy
aint no stoppin us now
Bitte aufhören
Desktop_BSD, rc.firewall ein ander mal war es OPen_BSD. Sag mal hast Du je mals ein BSD im Betrieb gesehen? Und Wiki-Links kann ich langsam auch nicht mehr von dir sehen? Bezahlt man dich dafür? Und was genau ist gleich eine Firewall und was ist ein Firewallserver
--
Ein Paketschupser auf einem DesktopBSD ist nicht nötig, wenn man der Software die man einsetzt so weit traut das sie nicht nach sonst wo telefoniert. Gerade wenn man noch hinter einem Router hängt und man halbwegs weiss was man tut, nicht mal nen MS-System hat sollte das wirklich genügen.
Begib Dich in DEIN FORUM und lasst uns hier in Ruhe zuerst yamagi anmachen hab Ihr sonst noch irgendwelche Probleme....
Achso das ist wieder typisch Dinge aus dem Zusammenhang reissen und dann Totschlagargumente bringen...
Dann was zum Lernen was sind Firewallserver:
http://www.network-secure.de/index....task=category§ionid=14&id=775&Itemid=1819
Dann damit Du nicht soviel mit der Maus rumschubsen musst :
http://www.network-secure.de/index.php?option=com_content&task=view&id=4535&Itemid=1819
und soviel zu BSD mein lieber Mit-Begründer von Bsdgroup.de
<OT>
Hätte mir mal gewünscht euch in Frankfurt zu sehen um mal etwas zu bewirken aber da war niemand von euch....
ABSOLUT NIEMAND
</OT>
mit vorzüglicher Hochachtung
ein Bsdforen.de Nutzer
Zuletzt bearbeitet:
R
rosa
Guest
Zu letzt war ich auf dem Linuxtag Chemnitz, als nächstes findest mich auf dem Berliner Linuxtag 2007. Man kann ja nun nicht überall sein, aber in Berlin kannst natürlich gerne vorbei kommen (FreeBSD-Stand).
Zum Rest geb ich mal liebr kein Kommentar ab.
Aron
Hallo ypswes,
eine Firewall auf einem Desktopsystem nützt dir rein gar nichts, eine Firewall vor deinem Desktopsystem dagegen kann dir schon helfen.
Wie sieht eine typische technische Umsetzung einer Firewall aus?
eine Firewall auf einem Desktopsystem nützt dir rein gar nichts, eine Firewall vor deinem Desktopsystem dagegen kann dir schon helfen.
Wie sieht eine typische technische Umsetzung einer Firewall aus?
rudy
aint no stoppin us now
So noch einen interesanten Bericht zu Firewalllösungen gefunden, werden auch gute Lösungen vorgestellt wie die Mono Wall oder den Firewallbuilder für Unix auch recht aktuell vom 27.04.2007 der Dir die Vor und Nachteile benennt...
Also alles zusammengefasst eine gute Übersicht...
Der besagte Link
http://www.network-secure.de/index....tion=89&cat=813&task=view&id=4725&Itemid=1775
Dann falls Du mal in Zukunft in die Materie der Firewall-Server einsteigen willst eine Anleitung wie man das mit VMare und RedWall umsetzen kann...
Titel: Mit Redwall und VMWare Server kostenlos Firewallserver aufbauen klingt doch spannend ist es auch...
Der besagte Link:
http://www.network-secure.de/index.php?option=com_content&task=view&id=4295&Itemid=1819
Das Wissen das Du Dir dann hierbei aneignest kannst Du auch auf BSD übertragen
So dann viel Spass beim Lesen
LG der rudy
Also alles zusammengefasst eine gute Übersicht...
Der besagte Link
http://www.network-secure.de/index....tion=89&cat=813&task=view&id=4725&Itemid=1775
Dann falls Du mal in Zukunft in die Materie der Firewall-Server einsteigen willst eine Anleitung wie man das mit VMare und RedWall umsetzen kann...
Titel: Mit Redwall und VMWare Server kostenlos Firewallserver aufbauen klingt doch spannend ist es auch...
Der besagte Link:
http://www.network-secure.de/index.php?option=com_content&task=view&id=4295&Itemid=1819
Das Wissen das Du Dir dann hierbei aneignest kannst Du auch auf BSD übertragen
So dann viel Spass beim Lesen
LG der rudy
marmorkuchen
Well-Known Member
Die Frage ist doch: Was versprichts Du Dir von einer "Firewall"?
In der Regel wird Dein Rechner doch keine Dienste nach Aussen anbieten oder?
Das einzig Sinnvolle, was mir jetzt einfällt, wäre SMTP nur zu bestimmten Rechner zuzulassen.
marmorkuchen
ypswes
Keine Ahnung von Nix
Hi,
erstmal vielen Dank für die Antworten und die Links !
Hintergrund meiner Frage war ein böses Erlebnis mit einen Trojaner auf einem MS System, TROTZ Firewall, Webwasher etc. und einen Virenscanner. Da ist mir dann aufgefallen, das ich bei DBSD immer auf mein System vertraue, ...
Ok, ich biete keine Dienste an, trotzdem möchte ich gerne die Kontrolle haben über die Verbindungsversuche, Scans usw.
Ist vielleicht mehr ein psychologischer Aspekt.
Kann ich nicht einfach eine Regel bauen die SYN Pakete dropt ? Dann habe ich doch eigentlich alles erreicht ?
erstmal vielen Dank für die Antworten und die Links !
Hintergrund meiner Frage war ein böses Erlebnis mit einen Trojaner auf einem MS System, TROTZ Firewall, Webwasher etc. und einen Virenscanner. Da ist mir dann aufgefallen, das ich bei DBSD immer auf mein System vertraue, ...
Ok, ich biete keine Dienste an, trotzdem möchte ich gerne die Kontrolle haben über die Verbindungsversuche, Scans usw.
Ist vielleicht mehr ein psychologischer Aspekt.
Kann ich nicht einfach eine Regel bauen die SYN Pakete dropt ? Dann habe ich doch eigentlich alles erreicht ?
rudy
aint no stoppin us now
Hallo ypswes,
also unter Firewalling versteht man mittlerweile ein ganzheitliches Konzept also nicht nur die reine Firewall... sondern auch IDS etc..
Wie Du siehst gehen hier die Meinungen extrem auseinander, deshalb lese Dich ein in die Materie und versuche auch TCP/IP UDP und SCTP zu verstehen...
Setze Dich auseinander mit RFC und wie Die Protokolle funktionieren wie es mit den Portnummern aussieht gibt ja nur so ein paar ( von 0 bis 65535 ) gelle
Warum Firewalls auf Applikationsebene Desktopfirewalls überlegen sind, oder Hardwarelösungen gössere Vorteile bieten oder wie spannend Firwall-Server Lösungen sind.
So aber das wichtigste ist sich mit seinem System seinem eignen OS auseinanderzusetzen und dann die passgenaue Lösung zu finden....
[OT]
Zum Beispiel ich, derzeit beschäftige ich mich sehr intensiv mit OpenBSD um es einzusetzen weil ich die Idee und auch die Umsetzung als rundherum gelungen ansehe..
Aber ich würde nie behaupten es jetzt zu verstehen
[/OT]
Deshalb falls Du einen Rat annehmen möchtest viel lesen und immer lernbereit sein, schliesse da mich selbst ausdrücklich mit ein..
Dann noch eine Bemerkung zu Desktop BSD finde die Installationsroutine einfach nur geil ein sehr schönes OS und tolle Entwickler..
Viele Grüsse der rudy
max93
Well-Known Member
Hallo!
Ciao.
Markus Mann
];-)
Tja. Muss man das noch kommentieren? Das größte Problem ist der Nutzer.
Wozu? Die laufen alle in leere, wenn du keine Dienste anbietest. So kaputt ist der BSD Netzwerkstack dann auch wieder nicht.
Ach so, das wohlige Bauchgefühl. Was hat dir das nochmal auf dem Windows-Rechner gebracht?
Natürlich.
Es unterscheidet sich von der Alternative "keine Dienste anbieten" dadurch, dass die Fehlersuche erschwert wird (vor allem bei DROP).
Ciao.
Markus Mann
];-)
ypswes
Keine Ahnung von Nix
Hi max93,
jetzt mal eine Frage: Was willst Du mir mit diesem Posting sagen ?
Das hat doch null Mehrwert !
Wenn ich ein System mit einer Zonealarm absicher und einen Virenscanner laufen habe, dann sollte das reichen. Hat es nicht, denn nur Bitdefender hat den Trojaner entdeckt, und ich hatte nicht Bitdefender installiert. Vielleicht ist MS doch nicht so toll ? Ok, da sind wir einer Meinung, dies ist aber nichts Neues.
Natürlich ! Hmmm, da hast Du wohl selber den TCP Handshake nicht so ganz verstanden was ? Da ich ja ein syn packet zum Verbindungsaufbau benötige würde ich doch damit alle Versuche abblocken, kann allerdings selber Verbindungen aufbauen, da hier ein syn-ack benötigt wird. Meine Frage ist leider nicht durch ein "natürlich" geklärt!
Und zum Thema DROP ! Was willst Du den sonst nehmen ? REJECT ?
Es wird ja wohl die Möglichkeit geben die gedroppten Packete in ein LOG zu schreiben.
Also, ich lese nun lieber mal in den links weiter...
jetzt mal eine Frage: Was willst Du mir mit diesem Posting sagen ?
Das hat doch null Mehrwert !
Das ist doch nur eine abgedroschene Phrase!
Wenn ich ein System mit einer Zonealarm absicher und einen Virenscanner laufen habe, dann sollte das reichen. Hat es nicht, denn nur Bitdefender hat den Trojaner entdeckt, und ich hatte nicht Bitdefender installiert. Vielleicht ist MS doch nicht so toll ? Ok, da sind wir einer Meinung, dies ist aber nichts Neues.
Natürlich !
Hmmm, da hast Du wohl selber den TCP Handshake nicht so ganz verstanden was ? Da ich ja ein syn packet zum Verbindungsaufbau benötige würde ich doch damit alle Versuche abblocken, kann allerdings selber Verbindungen aufbauen, da hier ein syn-ack benötigt wird. Meine Frage ist leider nicht durch ein "natürlich" geklärt!Und zum Thema DROP ! Was willst Du den sonst nehmen ? REJECT ?
Es wird ja wohl die Möglichkeit geben die gedroppten Packete in ein LOG zu schreiben.
Also, ich lese nun lieber mal in den links weiter...
marmorkuchen
Well-Known Member
Hallo,
wie ist denn der Trojaner bei Dir eingedrungen?
Bist Du etwa als Admin im Netz unterwegs gewesen?
Sieh Dir einfach mal das Chaosseminar zum Thema PersonalFirewalls an, sehr interessant.
marmorkuchen
max93
Well-Known Member
Hallo!
Ciao.
Markus Mann
];-)
So?
Das alleine zeigt schon, dass es eben KEINE Phrase ist. Denn genau das wollte ich im wesentlichen mit meinem Posting sagen. Es bringt nichts, zusätzliche Software zu installieren und dann zu glauben, das wäre jetzt sicher.
Doch. Du hast ja nur gefragt, ob man alle SYN Pakete wegwerfen kann und das kann man. Gut, man könnte auch gleich das Netzwerkkabel ziehen. Ich habe das Gefühl, dass dein Ironie-Detektor defekt ist.Natürlich !
Ähm, eigentlich schon... *SCNR* ];-) </ironie>
Ja. Es erleichtert dir die Fehlersuche und beugt der Warterei auf Timeouts vor.
Bleiben die lästigen Timeouts. DROP/REJECT ist aber sowieso eine Streitfrage, die nicht zu klären ist. Jeder nimmt das, womit er glücklicher ist.
Ciao.
Markus Mann
];-)
rudy
aint no stoppin us now
Hallo ypswes,
entschuldige bitte meine Neugierde aber was für einen Trojaner hast Du Dir unter Windows eingefangen, das wäre mal interesant denn ich möchte ein Tutorial zu Trojanern und deren Funktionsweise erstellen...
Also eine Firewall schützt nicht vor Trojanerbefall, da gibt es zum Beispiel den Trick mit den Leerzeichen unter Windows mit der Du sogar txt.Dateien ausführbar machen kanst...
Möchte jetzt aber nicht zuviel schreiben.........
gruss rudy
xGhost
OpenBSD Freack
Ich Sage mal auch etwas zum Thema.
Eine HW Firewall AUF einem Desktop System ist für Nix.
Klar, du kannst ausgehende verbindungen Dropen. Denn
Wenn ich das so lese, hast du nicht Angst vor Angriffe von
aussen sondern von Innen heraus.
Darum bin ich mal so Frei und Sage dir:
Eine Maus ist schön, aber nur unter M$ kannst du
sie wirklich brauchen
Was du wirklich brauchst, ist keine Firewall sondern
Hilfe mit deinem System.
Mein Tipp:
Wirf deine Maus in eine Ecke und gebe mal auf der Konsole ein:
man netstat
man ps
man top
kann das noch jemand ergänzen?
Eine HW Firewall AUF einem Desktop System ist für Nix.
Klar, du kannst ausgehende verbindungen Dropen. Denn
Wenn ich das so lese, hast du nicht Angst vor Angriffe von
aussen sondern von Innen heraus.
Darum bin ich mal so Frei und Sage dir:
Eine Maus ist schön, aber nur unter M$ kannst du
sie wirklich brauchen
Was du wirklich brauchst, ist keine Firewall sondern
Hilfe mit deinem System.
Mein Tipp:
Wirf deine Maus in eine Ecke und gebe mal auf der Konsole ein:
man netstat
man ps
man top
kann das noch jemand ergänzen?
cryptosteve
Ex-Steve`
Oder behalte die Maus und starte xman.