Nicht existente Firewall

Juergen A. Reimann - Freitag, 11. Februar 2005 14:15:33 - 3 Antworten

Mit YaST unter Suse9.2 habe ich die Firewall soweit eingestellt. Nur: unter Windows habe ich wirklich ALLES unter Kontrolle. Da ist ALLES gesperrt und ich gebe nur das frei, was ich wirklich benutze (egal ob rein oder raus), IP-Adresse für IP-Adresse. Das geht soweit, dass meine Email-Provider eben nur aus Thunderbird erreichbar, aber von keinem anderen Programm aus erreichbar sind.
Seit dem 28.Januar 2005 versuche ich ein ähnliches Verhalten unter Linux hinzubekommen - mit wenigen Ausnahmen jeden Abend mindestens 2 Stunden, i.d.R. bis weit nach Mitternacht. Gelernt habe ich einiges, aber ein Ergebnis kann ich noch nicht vorweisen. Zumindest habe ich keine volle Kontrolle über das was den Rechner verlässt, bzw. reinkommt. Das macht mich insofern eben stutzig, weil man allgemein liest, dass Firewalls mit Linux viel besser sein sollen als mit Windows realisierte.
Solange ich nicht weiss, was passiert bin ich halt unsicher, aber vielleicht ist man da nur "Angstgeschädigt aus alten Windowszeiten". Gerade die Sicherheit von Linux war für mich das Argument bei dem neuen PC es mit Linux zu versuchen, nachdem ich mehrfach virengeschädigt war. Danach habe ich die obige extrem restriktive Firewall erstellt und hatte Frieden.

Antworten
Re: Nicht existente Firewall
Hans-Peter Hoefer, Samstag, 12. Februar 2005 07:29:49
Ein/Ausklappen

Hallo!
Das ganze ist vielleicht kein technisches, sondern ein psychologisches Problem. Wie du schon schreibst bist du "angstgeschädigt aus alten Windowszeiten". Unter Windows hast du keine Kontrolle über deinen Rechner, es kann jederzeit Malware oder Spyware auf den Rechner kommen, ohne dass du es bemerkst, und deshalb sind Personal Firewalls auf Windows-PCs durchaus sinnvoll, bei denen du einzelne Programme aufgrund ihres Verhaltens kontrollieren kannst, so dass du merkst, wenn etwas falsch läuft.
Anders unter Linux. Um Programme zu installieren, musst du meistens root sein, und als root zu arbeiten sollte man sich als erstes abgewöhnen. Deshalb kannst du sehr genau kontrollieren, welche Programme installiert sind. Es kann dir keiner so ohne weiteres Malware unterschieben (bevor jetzt der kollektive Aufschrei kommt, natürlich ist das nicht 100% richtig, aber in diesem Zusammenhang sollten 99,99% auch reichen;-). Somit setzen Linux-Firewalls auf einer anderen Vertrauensebene an. Sie gehen davon aus, dass du die Kontrolle über deinen Rechner hast. Wenn also ein Programm von INNEN den Port 110 benutzen will, dann ist das in der Regel in Ordnung, es sei denn, du benutzt keinen POP-Client. Dann kannst du den Port eben auch von Innen dicht machen. Es ist aber nicht vorgesehen, dass du einen Port für alle Programme sperrst, ausser für ein ganz bestimmtes, da davon auszugehen ist, dass wenn ein Programm den Port benutzen will, dieses Programm das auch darf, denn sonst hättest du es erst gar nicht installiert.
Es besteht unter Linux also einfach kein Bedarf danach, die Kommunikation einzelner Programme so einzuschränken, wie unter Windows, wo ein bischen mehr Paranoia sicher nicht schadet.

Wenn es einem Angreifer gelingt, auf deinem Linux-PC Malware unterzubringen, hast du ein größeres Problem als eine nicht 100% eingestellte Firewall.

In diesem Sinne, lerne einfach, dich wieder über deinen PC zu freuen und hab ein bischen Vertrauen in die Maschine. Was die Sicherheit angeht, genügt es, wenn du auf die Sicherheitsupdates des Distributors achtest oder die entsprechenden News verfolgst. Ansonsten nutzen dir dreiundzwanzig Sicherheitsschlösser und eine Kette mit Maderschloss an der Eingangstür nichts, wenn du ein Fenster offenstehen läßt.;-)

Viele Grüße
Hans-Peter


Bewertung: 205 Punkte bei 41 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Re: Nicht existente Firewall
Jörg Hoh, Freitag, 11. Februar 2005 19:59:33
Ein/Ausklappen


Hallo Juergen

Geh ich richtig in der Annahme, dass du dich davor schützen willst, dass eine
Anwendung von deinem Rechner aus auf einen anderen im Internet zugreifen kann,
und dir unbekannte Daten übertragen oder runterladen kann?

Im Prinzip ist es möglich, ausgehende POP3, IMAP- und SMTP-Verbindungen zum
Mailserver deines Providers zuzulassen, sehr einfach mit Linuxbordmitteln
(iptables) zu erledigen. (Auf eine spezifische Applikation kannst du das aber
ohne weiteres nicht festlegen; um das vernünftig und sicher durchzusetzen, wäre
sowas wie SELinux gut -- was das aber noch nicht kann).

Also wenn du Angst vor zufällig eingeschleppten Viren hast, kann ich dich
beruhigen. Eigentlich alle mir bekannten Unix-Mailer sind bezüglich
Mailvorschau und Anzeige von Attachments ziemlich gut und sicher. Weil sich das
aber schon morgen ändern kann, empfiehlt sich das regelmässige Updaten.

Und als Tip: Schau dir doch einfach mal mit ethereal an, was über dein
externes Interface an Daten fliessen. Du wirst zwar nicht unbedingt alles
verstehen, aber schon die Namen der Rechner, mit denen sich dein Rechner
verbindet, dürften interessant genug sein.


Bewertung: 190 Punkte bei 42 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Re: Nicht existente Firewall
User9280 , Freitag, 11. Februar 2005 14:38:21
Ein/Ausklappen

vom grundsatz her, vertreten hier einige leute die meinung, dass man keine firewall braucht, wenn die dienste richtig konfiguriert sind:
also mal mit netstat -an, top und ps -ax mal schauen was so läuft. im runlevel-editor alle dienste abschalten, die du nicht brauchst. inetd und xinetd sind beliebte kandidaten, die mittlerweile selten eingesetzt werden müssen. server-dienste die du nicht nach außen anbieten willst,entsprechend konfigurieren für anfragen von 'innen'.
ich empfehle immmer noch grc.com um die ersten 1000irgendwas ports zu überprüfen (auch wenn mich dafür einige schlagen werden :)
die Susefirewall habe ich irgendwann in meinen mülleimer getreten - ich bin der meinung: sie funktioniert überhaupt nicht.
deswegen empfehle ich die shorewall.net. mit der bin ich super zufrieden, die konfiguration ist einleuchtender, reagiert sofort und ist easy zu installieren. diese fw kann auch mit webmin verwaltet werden (wie grundsätzlich auch mit webmin auf grundlage der iptables eine firewall erstellt werden kann.)
in der praxis gibt es keine viren für linux (ich sehe schon die hassreden dagegen :) aber die gefahr sehe ich in falsch konfigurieten diensten: vielleicht solltest du da erstmal ansetzen....
wenns hilft.
m.


Bewertung: 216 Punkte bei 46 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Ähnliche Artikel

  • Frontends für Iptables
    Der Umgang mit iptables leicht gemacht
  • Wie Firewalls den Rechner schützen
    Eine massive Brandschutzwand soll Feuer vom Gebäude und seinen Bewohnern fernhalten. Nach einem ganz ähnlichen Prinzip blockt im Computer eine Firewall Gefahren aus dem Internet ab. Wie ein Blick auf ihre Arbeitsweise zeigt, ist sie jedoch alles andere als ein Allheilmittel.
  • Fedoras frische Firewall
    Im stillen Kämmerlein werkeln die Fedora-Entwickler seit einer ganzen Weile an Firewalld. Der Daemon soll die Konfiguration der Firewall drastisch vereinfachen und kommt ab Fedora 18 standardmäßig zum Einsatz.
  • Zugang gesperrt
    Sorgfältige Benutzer setzen Wert auf Sicherheit. Die Firewallwerkzeuge von Ubuntu helfen Ihnen, Eindringlinge von Ihrem System fernzuhalten.
  • Ferngesteuert
    Sie sitzen im Büro und stellen fest, dass Sie eine wichtige Datei auf dem heimischen PC gelassen haben, die Sie für die Arbeit brauchen? Kein Problem, wenn Sie den Fernzugriff via SSH oder VNC eingerichtet haben – dann kopieren Sie die Datei schnell vom privaten Linux-Rechner auf den Firmen-PC.

Aktuelle Fragen

Internet abschalten
Karl-Heinz Hauser, 20.02.2018 20:10, 0 Antworten
In der Symbolleiste kann man das Kabelnetzwerk ein und ausschalten. Wie sicher ist die Abschaltu...
JQuery-Script läuft nicht mit Linux-Browsern
Stefan Jahn, 16.02.2018 12:49, 2 Antworten
Hallo zusammen, ...folgender goldener Code (ein jQuery-Script als Ergebnis verschiedener Exper...
XSane-Fotokopie druckt nicht mehr
Wimpy *, 30.01.2018 13:29, 1 Antworten
openSuse 42.3 KDE 5.8.7 Seit einem Software-Update druckt XSane keine Fotokopie mehr aus. Fehler...
TOR-Browser stürzt wegen Wikipedia ab
Wimpy *, 27.01.2018 14:57, 0 Antworten
Tor-Browser 7.5 based on Mozilla Firefox 52.8.0 64-Bit. Bei Aufruf von http: oder https://de.wi...
Wifikarte verhindert Bootvorgang
Maik Kühn, 21.01.2018 22:23, 1 Antworten
iwlwifi-7265D -26 failed to load iwlwifi-7265D -25 failed to load iwlwifi-7265D -24 failed to l...

Stellenmarkt

Jetzt auf den Mailinglisten

[EasyLinux-Ubuntu] Steuerzeichen aus text-Datei entfernen
Karl-Heinz, 21.02.2018 22:20
Hallo zusammen, ich habe eine .txt-Datei an der an jedem Zeilenende eine Zeilenumbruch steht. Diesen möchte...
Re: [EasyLinux-Ubuntu] HP Pavilion g7
Willi Zelinka, 21.02.2018 18:33
Hallo Frank, Am Mittwoch, 21. Februar 2018, 16:36:55 CET schrieb Frank: > Hi Listlinge > > Ic...
Re: [EasyLinux-Ubuntu] HP Pavilion g7
Frank von Thun, 21.02.2018 18:25
Am 21.02.2018 um 16:36 schrieb Frank: > Hi Listlinge > > Ich habe einen HP Pavilion g7 geschenk...
Re: [EasyLinux-Ubuntu] HP Pavilion g7
Steffen Weyh, 21.02.2018 18:05
 Genaue Modelbezeichnung und Nummer des Typs? Wie es aussieht ist da kein Betriebssystem instaliiert...
[EasyLinux-Ubuntu] HP Pavilion g7
Frank, 21.02.2018 16:36
Hi Listlinge Ich habe einen HP Pavilion g7 geschenkt bekommen, angeblich mit Win10(was ich nicht brauche) w...