pf/firewall unter unix auch so sinnfrei wie unter Windows?

[Deamon]

Mh, ich guck mir grad diverse Medien über PFW an. Hauptproblem unter Win ist ja, das die PFW meist auf dem Rechner läuft der geschützt werden soll (typischer Winuser) und damit die Pakete erstmal immer bis zum Rechner kommen.

Jetzt meine Frage ist pf unter BSD genauso sinnfrei, mal davon abgesehen, daß unter *Bsd weniger sicherheitskritische Löcher sind, die ausgenutzt werden können.

 

[CW]

Mh, ich guck mir grad diverse Medien über PFW an. Hauptproblem unter Win ist ja, das die PFW meist auf dem Rechner läuft der geschützt werden soll (typischer Winuser) und damit die Pakete erstmal immer bis zum Rechner kommen.

Jetzt meine Frage ist pf unter BSD genauso sinnfrei, mal davon abgesehen, daß unter *Bsd weniger sicherheitskritische Löcher sind, die ausgenutzt werden können.

Ist dies ein Troll-Posting, oder möchtest du erst einmal von mir diesen Link angeboten bekommen: http://www.openbsd.org/de

 

[Maledictus]

Ja, die PF (Personal Firewall) unter OpenBSD ist total sinnfrei, da sie einen noch nichtmal vor den eigenen Programmen schützen kann. Das kann sogar ZoneAlarm unter Windows. Ich glaub ich wechsel wieder, wird mir zu bunt hier.

 

[fader]

Mh, ich guck mir grad diverse Medien über PFW an. Hauptproblem unter Win ist ja, das die PFW meist auf dem Rechner läuft der geschützt werden soll (typischer Winuser) und damit die Pakete erstmal immer bis zum Rechner kommen.

Jetzt meine Frage ist pf unter BSD genauso sinnfrei, mal davon abgesehen, daß unter *Bsd weniger sicherheitskritische Löcher sind, die ausgenutzt werden können.

Wenn ich Dir jetzt sage, dass pf(4) 'paket filter' und nicht 'personal firewall' heisst, weisst Du, warum hier so gekichert wird, oder ;-)

Passiert ;-)

 

[s-tlk]

leider schütz sie auch nicht vor sinnfreien fragen

 

[Deamon]

Nur weil dich daemon absichtlich falsch geschrieben habe, müßt ihr mich nicht für dumm halten.

Also erstmal weiß ich, daß pf paket filter bedeutet und PFW für Personal Firewall steht.

pf arbeitet aber in der Hinsicht gleich einer Firewall (Firewall ist ja sogesehen auch nur ein Sicherheitskonzept). Die Frage war also ernst gemeint.

Bringt pf unter Unices auf dem es Sicherheitsprobleme gibt, es gibt ja genug security advisorys und wer sagt das jeder Unixer sein System auch clean hält, man denke an die standard Installation bei Suse etc.

Die Frage bezieht sich auf die Rechner auf denen eine Firewal / pf läuft, diese Rechner checken ja erst die Pakete, dadurch kommen die Pakete aber dennoch an genau diesen Rechnern erstmal an und darin liegt halt das Problem bei den Standard-Windows-Firewalls für Einzelbenutzer. Es geht nicht um die Rechner die hinter der Maschine sind die mit FW / pf läuft.

 

[CW]

Nur weil dich daemon absichtlich falsch geschrieben habe, müßt ihr mich nicht für dumm halten.

Wo haben wir das denn getan/geschrieben/gesagt???

Also erstmal weiß ich, daß pf paket filter bedeutet und PFW für Personal Firewall steht.

O.K.

pf arbeitet aber in der Hinsicht gleich einer Firewall (Firewall ist ja sogesehen auch nur ein Sicherheitskonzept). Die Frage war also ernst gemeint.

"in der Hinsicht gleich einer Firewall" .. ach, ich glaube, du sollst erst einmal die Basics lernen. Ich weiß, es hört sich besserwisserisch an, aber hier weiß ich es einfach besser (und nicht nur ich) und daher empfehle ich dir die freiwillige Lektüre einschlägiger Dokumente oder aber die unfreiwillige Annahme des Huthes, welchen ich aber noch nicht vergeben will.

Diesen müsstest du dir ja auch verdienen.

Jetzt fordere ich dich auf, die Docs/FAQs/Manpages/Sonstwas-mit-Buchstaben zu lesen.

Bringt pf unter Unices auf dem es Sicherheitsprobleme gibt, es gibt ja genug security advisorys und wer sagt das jeder Unixer sein System auch clean hält, man denke an die standard Installation bei Suse etc.

Ähem, entweder kann ich kein Deutsch, oder du bist an den verschiedensten Fachbegriffen ausgerutscht?

Die Frage bezieht sich auf die Rechner auf denen eine Firewal / pf läuft, diese Rechner checken ja erst die Pakete, dadurch kommen die Pakete aber dennoch an genau diesen Rechnern erstmal an und darin liegt halt das Problem bei den Standard-Windows-Firewalls für Einzelbenutzer. Es geht nicht um die Rechner die hinter der Maschine sind die mit FW / pf läuft.

Lese die Docs, damit du erfährst, was ein Paket ist, welches "angekommen" ist und welches es eben nicht sei.

Schon mal was von Three-Way-Handshake gehört?

Oder von Sockets?

Daemons vielleicht?

Protokollen?

TCP/IP-Stack?

pf liegt nicht auf der Anwendungsschicht im TCP/IP stack, sondern viel tiefer. Dort, wo es keine Rolle spielt, was für ein Payload ein bestimmtes Paket hat ... Abstraktion im Denken solltest du dir ebenfalls aneignen ... unbedingt bei diesem recht schwierigen Thema ...

*kicher*

 

[*Sheep]

Um mit solchen Fragen nicht die Hosen runter zu lassen, sollte man doch schon sich die Dokumentation der pf anschauen. Auch ein nicht geübtes Auge wird dann feststellen, daß die pf nicht der Windowsfirewall das Wasser reichen kann. Ich würde aber auch lieber Zonealarm auf meiner OpenBSD-Kiste benutzen, leider gibt es die nicht für OpenBSD das ist nämlich nur den Windowsbenutzern vorbehalten. Naja, die pf ist auf einem korrekt konfigurierten System überflüssig wie eine "dritte Titte".

 

[nickers]

Bringt pf unter Unices auf dem es Sicherheitsprobleme gibt

Wenn auf dem pf-Rechner eine Möglichkeit besteht root zu werden, ist pf genauso sinnfrei wie 'ne Personal Firewall auf Windows-Systemen.

Die Frage bezieht sich auf die Rechner auf denen eine Firewal / pf läuft, diese Rechner checken ja erst die Pakete, dadurch kommen die Pakete aber dennoch an genau diesen Rechnern erstmal an und darin liegt halt das Problem bei den Standard-Windows-Firewalls für Einzelbenutzer.

Das Problem bei Windows ist nicht, dass die Pakete erstmal an dem Rechner ankommen, das tun sie in jedem Fall, auch in einer Unix-Welt müssen sie erstmal ankommen, um gefiltert zu werden. Ein Problem entsteht, wenn Personal Firewall und das "böse" Programm mit den selben Rechten laufen.

Ja, die PF (Personal Firewall) unter OpenBSD ist total sinnfrei, da sie einen noch nichtmal vor den eigenen Programmen schützen kann.

Ja schade eigentlich, ich möchte ja auch viel lieber mit riesigen roten Warnfenstern belästigt werden, wenn meine OpenBSD-Personal-Firewall ein echo request aussortiert. Leider wurde dieses äusserst nützliche Feature noch nicht in pf integriert. Noch besser wäre natürlich, wenn der Rechner sofort explodiert, wenn irgendwas ankommt das entfernt an ein ping erinnert.

 

[I.MC]

Dennoch wäre ein Feature zur Überwachung der laufenden Programme, wie es eine Personal Firewall tut manchmal hilferich. Ich bin fest davon überzeugt, dass auch in Open Source z.B. Spyware drinne ist. Z.B. verbindet sich der Firefox fleissig irgenwohin (ist mir letztens durch ein Personal Firewall unter Windows mal aufgefallen). Mir gehen diese ganzen Geschnüffelaktionen mächtig auf den Senkel :-/


Gruß, I.MC

 

[Maledictus]

Ich bin fest davon überzeugt, dass auch in Open Source z.B. Spyware drinne ist. Z.B. verbindet sich der Firefox fleissig irgenwohin (ist mir letztens durch ein Personal Firewall unter Windows mal aufgefallen).

DAS glaube ich nicht wirklich. Was meinst du wie lange "Spyware" in einem OpenSource Programm überlebt? Und wie sich eine solche Nachricht verbreiten würde? Und das der Urheber eines solchen "Verbrechens" sich nirgendwo mehr sehen lassen kann? Spyware in OpenSource? fork!

 

[Daniel Seuffert]

Die Frage bezieht sich auf die Rechner auf denen eine Firewal / pf läuft, diese Rechner checken ja erst die Pakete, dadurch kommen die Pakete aber dennoch an genau diesen Rechnern erstmal an und darin liegt halt das Problem bei den Standard-Windows-Firewalls für Einzelbenutzer. Es geht nicht um die Rechner die hinter der Maschine sind die mit FW / pf läuft.

Ok, nehmen wir dich wörtlich: Es geht nur um den Rechner, auf dem pf oder ein anderer Paketfilter läuft (ipfw oder whatever).

1. Ist der Rechner an sich angreifbar durch ein Kernelexploit oder durch Dienste, die kompromittiert werden können: pf bringt gar nichts, der Rechner kann gehackt werden, Paketfilter hin oder her, der Angreifer macht im Zweifel auf der Kiste was er will.

2. Auf dem Rechner laufen auch noch andere Sachen, es gibt ausnutzbare Schwächen im userland: Rechner wird gehackt, siehe oben.

3. In pf oder einem anderen Paketfilter selbst sind Schwachstellen, die ausgenutzt werden können: Kiste könnte im Zweifel gehackt werden.

Soweit die Theorie, jetzt wird es wirklich wichtig:

4. Woher rühren die Schwächen: a) Weil Admin zu blöd ist die Kiste zu patchen oder weil er sie falsch konfiguriert: Rechner wird gehackt, es ist völlig Banane was da drauf läuft, gegen Dummheit gibt es noch keine Pillen. b) Es gibt Angriffspunkte , die keiner kannte: Alles kann gehackt werden, es ist nur eine Frage des Aufwandes. Der ist bei einem unoxiden System aber deutlich höher als unter Windows...

5. Es werden vulns festgestellt: Unix: Binnen 24 Stunden ist fast immer ein patch da, die user werden informiert, jeder Admin mit dem IQ eines Schäferhundes kann das Ding in 10 Minuten patchen. Windows: Es kommt vielleicht ein patch, vielleicht auch nicht; der patch kommt irgendwann, vielleicht in 3 Jahren, vielleicht nie. Dieser patch mag funktionieren, vielleicht reisst er aber 3 neue Löcher auf oder funktioniert überhaupt nicht. Kommt auf den Einzelfall an, darf jeder selber probieren. Richtige Männer nehmen halt ein Windows-System mit PFW als firewall oder surfen mit dem IE, damit können sie ganz locker beweisen, wie gut sie sind, das bezeichne ich als eine Herausforderung...

Conclusio des Ganzen: Unter Unix habe ich genügend Möglichkeiten mich zu Schützen, wenn ich genügend Ressourcen mitbringe. Das ist ein Kann, nicht eine gottgegebene Konstante. Stellt sich jemand zu blöd an bringt das schönste pf nichts. Unter Windows darf ich Hoffen, daß ich mich sicher fühlen darf. Und wir alle wissen ja: Die Hoffnung stirbt zuletzt.

 

[strcat]

Naja, die pf ist auf einem korrekt konfigurierten System überflüssig wie eine "dritte Titte".

Auf einer Workstation ja, aber auf einem Router hat sie durchaus ihre Daseinsberechtigung. Der OP verschweigt ja vehement zu welchem Zweck er seine Kiste einsetzen will.

 

[strcat]

5. Es werden vulns festgestellt: Unix: Binnen 24 Stunden ist fast immer ein patch da, die user werden informiert, jeder Admin mit dem IQ eines Schäferhundes kann das Ding in 10 Minuten patchen.

Wenn ich mir meine root-Shell-Sammlung so angucke, dann kann man das als Beleidigung aller Schaeferhunde sehen

 

[[moR-pH-euS]]

das ist ja mal wieder ein lustiger start in die woche ;-)

 

[juedan]

Moin, moin Deamon,

Mh, ich guck mir grad diverse Medien über PFW an. Hauptproblem unter Win ist ja, das die PFW meist auf dem Rechner läuft der geschützt werden soll (typischer Winuser) und damit die Pakete erstmal immer bis zum Rechner kommen.

Jetzt meine Frage ist pf unter BSD genauso sinnfrei, mal davon abgesehen, daß unter *Bsd weniger sicherheitskritische Löcher sind, die ausgenutzt werden können.

Grundsätzlich gilt: besser als nix. Sinnfrei wäre es ohne Schutz durchs Internet zu surfen. Sinnfrei wäre es auch Clients in einem Intranet mit einer PF/PFW auszustatten. Da ist es wichtiger den Server zu schützen.

Die Frage bezieht sich auf die Rechner auf denen eine Firewal / pf läuft, diese Rechner checken ja erst die Pakete, dadurch kommen die Pakete aber dennoch an genau diesen Rechnern erstmal an und darin liegt halt das Problem bei den Standard-Windows-Firewalls für Einzelbenutzer. Es geht nicht um die Rechner die hinter der Maschine sind die mit FW / pf läuft.

Das Problem bestimmt immer: Die "bösen" Pakete durchlaufen immer erst ein paar Zentimeter (pf) bzw. ein paar Meter (PFW) Software, bevor sie verwurstet werden. Theoretsch (PFW: sehr wahrscheinlich) können sie auch dort schon Schaden anrichten - keine Frage. Es kommt halt u.a. darauf an, wo sie gefiltert werden.

Bringt pf unter Unices auf dem es Sicherheitsprobleme gibt, es gibt ja genug security advisorys und wer sagt das jeder Unixer sein System auch clean hält, man denke an die standard Installation bei Suse etc.

Hmmm, hmm, hmm. Naja. Wenn ich pf auf Durchgang für alles schalte, dann bringt es natürlich nichts. Aber, wenn pf richtig gut konfiguriert ist, dann schon.
Aber auch hier gilt: ein guter Admin hält sein System aktuell, um die Löcher klein zu halten.

Viele Grüße

Jürgen

 

[I.MC]

DAS glaube ich nicht wirklich. Was meinst du wie lange "Spyware" in einem OpenSource Programm überlebt? Und wie sich eine solche Nachricht verbreiten würde? Und das der Urheber eines solchen "Verbrechens" sich nirgendwo mehr sehen lassen kann? Spyware in OpenSource? fork!

Sicher, im Prinzip stimme ich dir zu, aber bis das bekannt ist und so weiter wird erst einmal fleissig gesendet. Und keiner merkt es :-/... Ich kann nur sagen, Firefox telefoniert fleissig nach Hause. Was weiss ich nicht, aber er tut es :-).

@[moR-pH-euS]

Das habe ich mir auch gedacht, lol

Gruß, I.MC

 

[Elessar]

Und wir alle wissen ja: Die Hoffnung stirbt zuletzt.

Nanana, Hoffnung ist der erste Schritt auf dem Weg zu Enttäuschung.

Bringt pf unter Unices auf dem es Sicherheitsprobleme gibt

Wenn auf dem pf-Rechner eine Möglichkeit besteht root zu werden, ist pf genauso sinnfrei wie 'ne Personal Firewall auf Windows-Systemen.

Vielleicht läuft - was bei einer Firewall eher wahrscheinlich ist - der Rechner ja aber auch auf Securelevel 3. Da bringt dir dein ganzes root nix, am Paketfilter kannst nix ändern.
Vielleicht sind auch PortACLs definiert, und du hast zwar root, darfst aber keinen Socket aufmachen.
Sicher kann man - als root - die passenden Konfigurationsänderungen machen und neu booten. Aber das fällt auf. Andererseits, vielleicht ist root per sysctl auch einfach abgeschalten, und das System hat keinen priviligierten User mehr....

Der Weg ist zwar breit, aber es gibt mehr als genug Steine die man auf ihn legen kann.

 

[mama]

@I.M.C. Du hast leider recht mit deinen Vermutungen: http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/53508&words=mozilla Mozilla

Das Problem bei solchen großen Software-Projekten ist, daß kaum ein Mensch noch den Code analysieren kann oder will, schon allein wegen der schieren Masse an Code, traurig aber wahr, siehe auch hier
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/52317&words=HTML mozilla Mozilla
Hier bekam Michael Zalewski Sicherheitslücken in Mozilla heraus, nicht durch Analysieren von Code, sondern durch ein CGI-Script, das zufällig ungültige HTML-Tags an den Browser schickt. Fehler im Code hat er nicht gefunden, aber Mozilla ist trotzdem wegen einem Buffer-Overflow abgestürzt