[Rika]

Nur daß du dir damit mindestens 500/UDP, 50/IP und 51/IP aufreißt - auf Nicht-WindowsServer2003-Maschinen auch noch zusätzlich Broadcast, Multicast und RDP, bei Win2K3 kann man diese Whitelist wenigstens abschalten.

[puppet]

Naja da muss er eben einen Kompromiss eingehen. Lieber 2 Ports offen zu haben wo ihm die Kommunikation egal ist (da er sicher kein IKE und RDP/FWZ verwenden wird, und ich die Sicherheitslücken im MS-ISAKMP unter XP SP2 glaube an einer Hand abzählen kann) oder auf denen er in der Gateway-Firewall die Kommunikation unterbinden kann sowie 2 Protokolle offen zu haben die hinter einem NAT sowieso nonsense sind und dafür aber die Kommunikation auf anderen Ports und IP-Adressen zu beschränken.
Letzzendlich ist es ja noch nichtmal raus ob er dafür überhaupt IPsec mißbraucht oder lieber über einen vernünftigen Router nachdenkt oder einen anderen Paketfilter oder whatever einsetzt.

[Rika]

Ein ordentlicher hostbasierender Paketfilter reißt keine Ports auf. Wozu also unsichere Kompromisse?

[xploit]

vielleicht ist es die sicherere Alternative?

[jerrison]

Zitat

@jerrison: Und iSafer ist da besser ja? Sieht man ja hier :wink:
<{POST_SNAPBACK}>

Muss ich das jetzt verstehen? Du meinst, dass iSafer auch sehr kompliziert zu bedienen ist aufgrund von einem User der die unterschiedlichen Sicherheitslevel nicht verstanden hat? eh...ja, danke. Zur Kenntnis genommen :).

[puppet]

Nein es ging nicht um die Security Levels (und auch nicht um das "Application Control"), wenn du richtig gelesen hättest wüsstest du das sein Problem bei der Konfiguration von IP Regeln bestand (wie auch schon von Rika erwähnt - das Hauptproblem bei hostbasierenden Paketfiltern).

[jerrison]

was kann ich denn unter dem angegeben Link finden? hast du den schon mal gecheckt? kann ja sein dass Rika was grosses geschrieben hat, aber unter dem angegeben Link steht gar nichts.
oder bezogst du dich jetzt auf diesen thread? wie auch immer, "erst richtig lesen" ist immer ein klasse tip, vielen dank.