Beforge
Ehemalige
Anmeldungsdatum: 29. März 2018
Beiträge: 2007
|
rolands11 schrieb:[...] Ich würde daher diese Aussage im Artikel etwas vorsichtiger formulieren, und eine Empfehlung für eine lokale Firewall oder zumindest das Abschalten der Dienste hinzufügen.[...]
Ich erhalte das gleiche Ergebnis mit einer Ubuntu 18.04 Standardinstallation. Inhaltlich möchte ich das allerdings nicht bewerten ☺ Bezüglich des Abschaltens von Diensten passt hier evtl. entfernt ein Artikel von Mike Kuketz dazu (Kap. 3.2 Punkt 6).
|
BillMaier
Supporter
Anmeldungsdatum: 4. Dezember 2008
Beiträge: 6473
|
Hallo, ich sehe gerade gewisse Redundanzen zu Offene Ports, wo auch seit Längerem diese wohl korrekt beschrieben werden. Ansonsten danke an rolands11 für die Aktualisierungen am Artikel. Gruß BillMaier
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29038
Wohnort: WW
|
Hallo, der Artikel hat jetzt eine getestet-Box - das ist aber nicht Sinn der Sache bei Übersichtsartikeln. Damit ist die Änderung: falsch. @rolands11: es ist zwar schön, dass du so aktiv bist, aber a) gelten für dich die gleichen Bedingungen wie für alle anderen, die am Wiki mitarbeiten, hier: größere Änderungen _immer_ in der Baustelle und b) wäre bei großen Änderungen zumindest ein bisschen Kommunikation, was du vorhast, hier im Thread auch nicht schlecht. Das ist ein BlackOps, wo alles "im Hintergrund" laufen muss. Gruß, noisefloor
|
rolands11
Anmeldungsdatum: 17. September 2016
Beiträge: 70
Wohnort: Berlin
|
Ich würde gerne zu firewall-config etwas mehr schreiben. Bitte deshalb in eine Baustelle kopieren. Da der Artikel längere Zeit nicht aktualisiert wurde (die letzten größeren Änderungen sind wohl schon über 6 Jahre her), und auch etwas missverständliche (und imho auch falsche) Formulierungen enthielt (z.B. in den Kapiteln "Attacken gegen Clients", "Kaputte Pakete"), habe ich viele Stellen etwas vorsichtiger formuliert. Eine Baustelle wäre da sicherlich richtiger gewesen um größere Änderungen zu machen. Was meiner Meinung nach jetzt noch fehlt oder geändert werden sollte: Kurze und leicht verständliche Beschreibung wie man eine einfache Personal Firewall einrichtet (am Beispiel von firewall-config). Das Kapitel "Offene Ports" ggf. in den Wiki-Artikel "Offene Ports" verschieben und dann dorthin verlinken (wurde bereits von BillMeier vorgeschlagen). Das Kapitel "PC / Einzelplatzrechner" enthält viele Ansätze die allerdings nicht erklärt werden (hosts.allow, hosts.deny; VPN; wenn Dienste freigegeben werden: Was ist dann der Unterschied zu einem Server?) Das Kapitel "Personal Firewalls "vereinfachen" die Rechner-Verwaltung" stellt Personal Firewalls ebenfalls sehr negativ dar. Klar dass man sich um das Freischalten der Ports bei einer Firewall kümmern muss. Der Nutzen überwiegt hier aber wahrscheinlich in vielen Fällen den einmaligen Einrichtungsaufwand. Das würde ich dann auch weniger offensiv formulieren. Der Anhang ist sehr umfangreich, bläht den Artikel auf, und auch nicht unbedingt spezifisch für Personal Firewalls. Vielleicht könnte man einiges in einen eigenen Artikel auslagern ("Netzwerkgrundlagen" oder so ähnlich).
Ich möchte mich nochmal für die unabgesprochenen Änderungen entschuldigen. Viele Grüße, Roland
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29038
Wohnort: WW
|
Hallo,
Ich würde gerne zu firewall-config etwas mehr schreiben.
Gerne - aber nicht in diesem Artikel. Der Artikel soll eine allg. Übersichtsartikel bleiben. Damit passt da eine Konfig in irgendeiner Form nicht rein, weil das definitiv versionsabhängig ist / sein kann. Was meinst du eigentlich genau mit "firewall-config"? Gruß, noisefloor
|
rolands11
Anmeldungsdatum: 17. September 2016
Beiträge: 70
Wohnort: Berlin
|
Was meinst du eigentlich genau mit "firewall-config"?
firewall-config ist eine grafische Oberfläche für firewalld. Ähnlich wie gufw in Bezug auf ufw. Also eine grafisches Tool zum Verwalten der iptables-Firewall-Regeln. Mit "Personal Firewalls" verbindet man halt meistens etwas benutzerfreundliches mit GUI. Viele Grüße, Roland
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29038
Wohnort: WW
|
Hallo,
firewall-config ist eine grafische Oberfläche für firewalld.
Ok, thx. Dann gehört das definitiv in einen eigenen Artikel und nicht in den Übersichtsartikel hier. Gruß, noisefloor
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
rolands11 schrieb:>
Hat sich an dieser Einschätzung zum "Thema Personal Firewall" sachlich was geändert? https://forum.ubuntuusers.de/post/6961877/
|
rolands11
Anmeldungsdatum: 17. September 2016
Beiträge: 70
Wohnort: Berlin
|
TomLu schrieb: rolands11 schrieb:>
Hat sich an dieser Einschätzung zum "Thema Personal Firewall" sachlich was geändert? https://forum.ubuntuusers.de/post/6961877/
Nein, imho ist es nach wie vor richtig zu unterscheiden zwischen einer Firewall auf einem zentralen Router für das gesamte Netzwerk, und einer Personal Firewall, die nur für diesen einen Rechner (Laptop, PC, Server) hauptsächlich eingehende Pakete filtert. Viele Grüße, Roland
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
rolands11 schrieb:..., und einer Personal Firewall, die nur für diesen einen Rechner (Laptop, PC, Server) hauptsächlich eingehende Pakete filtert. Meinst Du für Anwender, die ohne DSL-Router direkt mit ihrem PC am DSL-Modem angeschlosse sind? Bei solchen Bedingungen würde ich das wohl auch machen. Oder sind Pakete das Problem, deren Quelle im LAN liegt? Wenn ja, kann man da nicht besser diese "gefährlichen" Clients "bereinigen"?
|
rolands11
Anmeldungsdatum: 17. September 2016
Beiträge: 70
Wohnort: Berlin
|
TomLu schrieb: rolands11 schrieb:..., und einer Personal Firewall, die nur für diesen einen Rechner (Laptop, PC, Server) hauptsächlich eingehende Pakete filtert. Meinst Du für Anwender, die ohne DSL-Router direkt mit ihrem PC am DSL-Modem angeschlosse sind? Bei solchen Bedingungen würde ich das wohl auch machen. Oder sind Pakete das Problem, deren Quelle im LAN liegt? Wenn ja, kann man da nicht besser diese "gefährlichen" Clients "bereinigen"?
Eine lokale Firewall ist wahrscheinlich in beiden Fällen sinnvoll. Sowohl bei einem direkt angeschlossenen DSL-Modem, als auch bei einem DSL-Router, oder dem Einsatz eines anderen zentralen Routers. Wer kann schon mit Sicherheit feststellen, ob es im LAN nicht doch einen gekaperten Rechner oder eine bösartige Appliance gibt? Vielleicht ist ja sogar der DSL-Router selbst bereits manipuliert worden.
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
Du meinst jetzt nicht einen dedizierten Server, sondern wirklich Client-Systeme hinter einem Router? Und Du unterstellst oder glaubst, dass ein Paketfilter auf einem System, an dem der User das Recht hat, sich darüber hiunwegzusetzen, maßgeblichen Einfluss auf die Sicherheit hat? Nun ja... Windows hat seit Win 7 eine Desktop-Firewall.... und dort hatte sie auch keinen Einfluss auf die Sicherheit des PCs. Warum denkst Du, dass das hier anders ist? BTW, warum sollte man Ports überhaupt schließen? Wenn man sie schließen kann, scheint der Dienst ja wohl überflüssig zu sein, da kann man doch besser den Dienst selber deaktivieren.
|
rolands11
Anmeldungsdatum: 17. September 2016
Beiträge: 70
Wohnort: Berlin
|
TomLu schrieb: Du meinst jetzt nicht einen dedizierten Server, sondern wirklich Client-Systeme hinter einem Router? Und Du unterstellst oder glaubst, dass ein Paketfilter auf einem System, an dem der User das Recht hat, sich darüber hiunwegzusetzen, maßgeblichen Einfluss auf die Sicherheit hat? Nun ja... Windows hat seit Win 7 eine Desktop-Firewall.... und dort hatte sie auch keinen Einfluss auf die Sicherheit des PCs. Warum denkst Du, dass das hier anders ist?
Man sollte möglichst viele Barrieren einsetzen um es Angreifern schwer zu machen. Firewalls haben natürlich nur auf den direkten Netzwerkverkehr Einfluss. Wenn es noch irgendwelche anderen Schwachstellen im System gibt, hat das mit einer Firewall nichts zu tun. Das ist bei Linux genauso wie bei anderen Betriebssystemen.
BTW, warum sollte man Ports überhaupt schließen? Wynn man sie schließen kann, scheint der Dienst ja wohl überflüssig zu sein, da kann man doch besser den Dienst selber deaktivieren.
Mobile Laptops sind nicht nur zuhause oder im Büro im Einsatz, sondern auch in öffentlichen WLANs etc. Mit einer Personal Firewall kann man je nach verbundenem Netzwerk den Zugriff auf einen Dienst automatisch blockieren oder zulassen, ohne den Dienst selbst zu ändern (s. Zone). Bei stationären Rechnern (PCs, Servern) ist wie gesagt eine zweite Barriere zusätzlich zum vielleicht schon gekaperten DSL-Router ebenfalls sinnvoll. Man lässt dann nur (einzelne) lokale IP-Adressen für den Dienst zu, und blockiert alles andere. Am besten auch den DSL-Router selbst.
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
rolands11 schrieb:Firewalls haben natürlich nur auf den direkten Netzwerkverkehr Einfluss. Wenn es noch irgendwelche anderen Schwachstellen im System gibt, hat das mit einer Firewall nichts zu tun. Deswegen halte ich eine Desktop Firewall für wirkungsloses Schlangenöl.... vor allem, weil eine Desktop Firewall auf einem End-User-Desktop-PC nicht wirklich eine Firewall ist, sondern nur ein Paketfilter, der Firewall genannt wird. Na ja... egal... jeder wie er mag...
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29038
Wohnort: WW
|
Hallo, @TomLu:
Deswegen halte ich eine Desktop Firewall für wirkungsloses Schlangenöl....
Das stand auch bis vor kurzem quasi wörtlich in der Einleitung, siehe https://wiki.ubuntuusers.de/Personal_Firewalls/a/revision/862608/ @rolands11: warum hast du den Satz eigentlich entfernt? Gut, deine Meinung ist scheinbar anders, siehe 8998141 - aber es ist ein Wiki der Community und nicht dein Blog oder so was, der genau (und nur?) _deine_ Meinung wieder spiegelt. Wenn du eine Kernaussage eines Artikels änderst, dann bitte _vorher_ Fragen. Und nicht einfach machen. Das ist nicht Sinn der Sache und mal sicher nicht im Sinne der gemeinschaftlichen Zusammenarbeit. Gruß, noisefloor
|