[koch]

hallo,

ich bin grade zufällig im netz auf einen, na sagen wir mal, für meine begriffe nicht so tollen artikel gestossen, der sich mit linux und sicherheit beschäftigt.

link

ich bin sicher nicht der pc-crack, aber gewisse dinge in bezug auf sicherheit hab ich doch gelernt, spätestens seitdem ich winfuture entdeckt habe.

unter anderem wurde auch auf linux-firewalls eingegangen und da hab ich mir halt die frage gestellt, wie das denn jetzt mit linux und den FWs so ist.

der 2. grund für dieses thema ist, dass vor einigen tagen jemand, nachdem er mitbekommen hatte, dass ich linux nutze, zu mir sagte: "hey, toll, dann brauchst du ja auch kein virusprogramm (ja, wörtlich...) und keine firewall, du bist ja sicher."
na klasse, noch weniger ahnung von linux als ich , aber im folgenden gespräch den experten rauskehren...aber egal.

als xp-nutzer wird man ja täglich mit viel mist zu dem thema konfrontiert.

wie ist es denn jetzt bei linux?

ich will hier keine diskussion über den allg. sinn oder unsinn von desktop firewalls anfangen, meine frage ist halt eine noob-frage.
manche wissen vielleicht, dass ich noch nicht so lange umgestiegen bin und bis jetzt hab ich dieses thema immer irgendwie aussen vor gelassen. ich weiss, ein fehler, aber man hat als umsteiger, grade wenn man vers. distributionen ausprobiert, halt doch viel am hals mit dem man sich beschäftigen muss/kann.

seit einiger zeit laufen jetzt sabayon, mandriva(das ich aber gestern wegen eigenverschulden löschen musste, kommt aber wieder) und xp mehr oder weniger friedlich nebeneinander auf meiner kiste.
hauptsystem ist eh immer mehr sabayon geworden, das nur zur info über meine momentanen stand.

-sollte man unter linux sowas wie eine firewall nutzen oder nicht?
-kann man gründe, die bei windows gegen den einsatz einer (desktop) firewall sprechen einfach auf linux übertragen?
-wenn es denn der fall sein sollte, dass die cracks hier zu einer firewall in welcher art auch immer (ausser hardware firewalls, die ein externes gerät, wie z.b. einen alten pc oder ähnliches, da dafür kein platz ist) raten, dann welche?

natürlich werde ich auch noch google und die diversen foren, etc. zu rate ziehen, aber manchmal hilft es einfach, wenn jemand einem einen kurzen, informativen abriss über das thema gibt oder auch nur den richtigen link postet.

ausserdem habe ich festgestellt, dass man den aussagen so einiger leute hier im forum doch mehr trauen kann als den oft auch für anfänger sehr fragwürdigen ratschlägen sogenannter experten im netz und im RL.
und nein, ich will nicht schleimen, ist nur meine erfahrung.

es war auch absicht, dass ich hier keinen progamm/produktnamen erwähnt habe, da es mir nicht darum geht, die "beste" FW zu finden, sondern eher darum etwas mehr über ein sicherheitskonzept, das sinnvoll ist, zu erfahren.

grüsse vom interessierten koch

Dieser Beitrag wurde von koch bearbeitet: 13. Juli 2007 - 03:12

[Stefan_der_held]

naja die FW von Linux Systemen ist nicht schlecht gut ins System Integriert.

Ich für meinen Teil hab die immer an, da es ja nicht schaden kann. Aber zum Antivirus-Tool: da hat dein Kollege recht: es macht keinen Sinn auf einen *nix-System ein solches Tool am lauten zu haben es sei denn du betreibst zb nen Mail-Server.

Wie sachte ph030 so schön: die suchen eh nur nach MS-Viren wenn du dir wieder erwarten nen virus "einfangen" solltest der mit *nix-Systemen was anfangen kann, läuft sich der Kollege bei vernünftiger Konfiguration

-> Du nix Root
-> Du haben gutes PW

regelrecht zu tode da dieser nix anstellen kann.

[Witi]

PFW haben nie was gebracht, bringen nichts und werden auch nie etwas bringen. Und es ist auch ziemlich egal von welchem System man spricht.

Wie du schon angedeutet hast ist und bleibt eine Firewall nun mal ein Konzept und kann nie und nimmer durch eine läppische Software ersetzt werden.

Du musst für dich erstmal überlegen, wie viel Schutz du eigentlich benötigst. Das heißt wie brisant deine deine Daten sind.

Das was du jedoch immer als erstes machen solltest, ist einen Benutzer mit Benutzerrechten anzulegen und root-Operationen per su/sudo auszuführen. Das war halt unter XP der größte Fehler Microsofts, daher gibt es doch mittlerweile unglaublich viele Botnetze.

Wenn du dich zusätzlich vor Angriffen von außen schützen möchtest (wobei das von den meisten Personen übertrieben wird, ala "Meine Personalfirewall blockt täglich tausende Angriffe"), wirst du um ein externes Gerät nicht herumkommen kommen. Denn wie sagt man so schön, ein Türsteher steht ja auch vor der Disco und filtert das böse Pack aus. Würde er drin stehen, wäre das böse Pack ja schon drin...

Dafür kannst du entweder einen alten Rechner (es reicht sogar schon ein Pentium 2) benutzen und den selber mit den Programmen deiner Wahl konfigurieren oder dir einen Router holen. Die übrigens auch nicht mehr die Welt kosten (wenn ich überlege, wieviele man für Lizenzen für Zonealarm und Co zahlen muss...).

[shiversc]

Werde dir mal über eine Firewall klar.

Eine Firewall ist eine Gerät zwischen deinem PC und dem Internet. Das was du meinst, was man auch Desktop Firewall nennt, ist Paketfilter. Iptables ist der bekannteste Vertreter davon.

So lange die Leute nicht kapieren dass ihr Kerio, Zone-Alarm usw keine Firewall ist und sich nur in dreister Art und Weise so nennen, so lang ist diese Diskussion unnötig, weil grundlegendes Wissen fehlt.

Ein Vernünftiger Paketfilter ist eine feine Sache, aber nciht wenn er wie z.B. Zone Alarm eine DNS-Anfrage oder ein ICMP-Paket loggt und als geblockten Erfolg verkauft. Das ist grober Unfug und Dummbauernfängerrei.

Merke: Desktop Firewall keine Firewall sondern ein Paketfilter der Angst erzeugt und sich so verkauft.
Merke: Ein Paketfilter ist eine Teilmenge einer Firewall!
Merke: Eine Firewall kann nur zwischen zwei Netzen sein (WAN & LAN) und nicht auf dem zu schützenden Host.

Dieser Beitrag wurde von shiversc bearbeitet: 13. Juli 2007 - 11:24

[mush]

Betreibe einen Linux Router mit integrierter Firewall. Es ist alles angenehm schnell und ich würde auch behaupten, dass es ziemlich sicher ist.

lg Alex

[ph030]

Zitat

Wenn du mehr Sicherheit brauchst, kannst du dein Sicherheitskonzept weiter ausbauen, ich denke da im speziellen an SELinux, allg. hardening oder anderen Möglichkeiten.

Da schmeisse ich einfach mal noch RSBAC mit rein

Im großen und ganzen haben die Jungens(sorry, falls sich da ein Mädel versteckt ) vor mir recht, allerdings bitte nicht vergessen, eine Sicherheitsmaßnahme taugt nur soviel, wie der User Ahnung davon hat. Bringt ergo nichts, alles draufzuhauen und das Zeug falsch zu konfigurieren.

Im Allgemeinen gilt das selbe, wie auch unter Windows. Gute PWDs, keine unnötigen Dienste und die nötigen möglichst sicher konfiguriert, Verschlüsselung mindestens der essentiellen Sachen(besser alles), Updates, Brain, etc.

[koch]

ok, also...der reihe nach...

@stefan: was ist wenn ich mit linux eine datei (z.b. eine .exe downloade und die auf einer windows-partition speichere und dann unter xp ausführe, da bin ich doch auch froh, wenn das ding nach MS-viren scannt.

@witi: über eingeschränkte benutzerkonten, etc. müssen wir nicht reden, ist klar. externes gerät kommt halt im moment in der neuen wohnung aus platzgründen nicht in frage.

@h0nk: so ungefähr hatte ich das auch verstanden.

@shiversc: (off topic: was für ein bike fährst du denn? fahre selber ne marzocchi-gabel (888).) das mit der angst ist gut. das mit dem paketfilter und so ist mir auch klar, hätte ich vielleicht erwähnen sollen.

@ph030: zitat:"...allerdings bitte nicht vergessen, eine Sicherheitsmaßnahme taugt nur soviel, wie der User Ahnung davon hat. Bringt ergo nichts, alles draufzuhauen und das Zeug falsch zu konfigurieren.

Im Allgemeinen gilt das selbe, wie auch unter Windows. Gute PWDs, keine unnötigen Dienste und die nötigen möglichst sicher konfiguriert, Verschlüsselung mindestens der essentiellen Sachen(besser alles), Updates, Brain, etc."

ist klar.

ihr habt jetzt eigentlich auch nur bestätigt, was ich mir ja eh schon gedacht habe.
für einen umsteiger ist es aber manchmal immer noch schwer, sich aus den gewohnten gedankengängen/windows-gepflogenheiten zu lösen.
in allen windows-foren ist sicherheit ein grosses thema, siehe auch hier.
in linux-foren ist mir gleich aufgefallen, dass das eigentlich kein thema zu sein scheint...
zumindest findet man nicht viele posts/themen/fragen.

was bedeutet mir sicherheit...viel.
kann ich sie haben...wohl kaum so, wie ich sie gerne hätte.
kann ich etwas dafür tun, mein konzept zu verbessern...ja.

ich danke erstmal für eure antworten, vielleicht will ja noch jemand was zu dem thema schreiben oder ein anderer anfänger/umsteiger kann was draus lernen.

[ph030]

Zitat

in linux-foren ist mir gleich aufgefallen, dass das eigentlich kein thema zu sein scheint...

Das ist so nicht korrekt. Es mag vielleicht den Anschein haben, dass dort weniger über solche Sachen diskutiert wird, das ist allerdings nicht der Fall(schau dich mal richtig bei Debian, Gentoo oder *BSD um). Fakt ist, *nix-User sind zu einem wesentlichen Teil besser qualifiziert als Windowsuser, womit schonmal ein sehr großer Teil "Noob"-Fragen rausfällt.

Dein Problem in diesem Thread ist, dass du kein Szenario bietest. Universelle Sicherheit ist bekanntlich nicht möglich - abgesehen vom Verzicht auf einen Computer natürlich. Du musst dir zunächst einmal klar werden, ob und v.a. welche Gefahren dir und deinen Systemen drohen, wie wichtig dir deine Daten sind und wie weit du bereit bist, Einschränkungen zu akzeptieren. Solange du keine extra Kiste haben willst/kannst, wird sich dein Sicherheitslevel immer im unteren bis mittleren Bereich bewegen, wenn das System Netzwerkzugang jedweder Art hat.
Eine Verschlüsselung des Systems macht z.B. immer Sinn, wenn sie auch in der Regel erstmal gegen lokale Angriffe gerichtet ist, doch auch dieses Risiko sollte man nicht unterschätzen, wenn man (für sich) wichtige Daten hat.

Sag uns, in welchen Punkten du dich bedroht siehst, dann kann man dir ein Konzept entwerfen oder besser, dir die nötigen Mittel an die Hand geben. Ohne dass, hat eine Diskussion eigentlich nicht wirklich Sinn.

[koch]

Zitat (ph030: 14.07.2007, 01:18)

Fakt ist, *nix-User sind zu einem wesentlichen Teil besser qualifiziert als Windowsuser, womit schonmal ein sehr großer Teil "Noob"-Fragen rausfällt.

da stimme ich dir zu, aber was ist mit den leuten, die sich nicht trauen zu fragen oder sich keine gedanken darüber machenoder zu neu sind, um es besser zu wissen?
noobs eben, wie ich...

ich muss dir ja im nachhinein ja auch recht geben, was das "szenario" betrifft, allerdings habe ich dieses thema morgens kurz vor 4 geschrieben, kurz vor kopf-auf-die-brust-fall nach einem harten arbeitstag.
würde ich es heute nochmal schreiben, wären sicher einige dinge anders formuliert.
es ging mir ja auch nicht darum, dass ich mich bedroht fühle, sondern darum, informationen zu erhalten. die kann ich mir auch sonst irgendwo im netz holen, allerdings fühle ich mich nunmal in bezug auf dieses thema ( und auch natürlich andere) hier bei WF sehr gut aufgehoben.

und man stellt fragen nunmal zuerst da, wo man auch erwartet eine gutbegründete antwort zu bekommen.
ihr habt mir geantwortet, ich lese ja auch, was sonst hier geschrieben wird und ziehe meine schlüsse draus.

ich wollte nie eine, naja, persönliche empfehlung haben. ich wollte nur eine frage stellen, die mich interessiert und ich habe sie an dem platz gestellt, an dem ich den leuten, ohne sie persönlich zu kennen, nunmal in diesem punkt vertraue.

durch euch bin ich überhaupt erst auf viele sachen aufmerksam geworden, hab weiterrecherchiert und festgestellt, dass das, was hier so gesagt wird über sicherheit wohl was hat...

ich möchte nicht drauf rumreiten, aber ich schreibe das aus der perspektive eines menschen der sich eben noch nicht so lange mit linux beschäftgt wie ihr das teilweise tut.
das soll keine entschuldigung sein.
für mich ist das jetzt auch erstmal erledigt...warum...weil sich evtl. hier gewisse dinge ändern werden, aber das ist eine eigene geschichte, die mit mir, meiner freundin und jobs zu tun hat. alles sehr kurzfristig, deshalb bisjetzt auch nicht erwähnt.
ist aber noch zu früh, um da irgendetwas zu enscheiden.

wie gesagt, andere geschichte...

ich werde mich die nächste zeit auch weiter mit dem thema beschäftigen und lernen....

Dieser Beitrag wurde von koch bearbeitet: 14. Juli 2007 - 01:13

[revRay]

Solang du keinen Server betreibst, also keine Pakete/Dienste hast die an bestimmten Ports lauschen, brauchst du auf Linux keine Firewall wenn ich es richtig verstanden hab. (korrigiert mich ruhig wenn ich blödsinn reden sollte)

Bezieht sich zwar nur auf Ubuntu, sollte aber auf anderen Linux Systemen ähnlich sein: http://wiki.ubuntuusers.de/Personal_Firewa...C%28firewall%29

Lies dir bei gelegenheit auch mal den Thread durch auf den verwiesen wurde.



Grüße

[shiversc]

@Koch: OT: Nicolai UFO DS mit einer Z150.
http://mitglied.lyco...bike/UFO_01.jpg

Ist aber schon alt das Bild.