nicht angemeldet
Sinn eines Firewalls bei einem Server ?
Hallo zusammen,
würdet ihr einen Firewall benutzen, wenn ihr einen Server habt ?
Greetings
Torwächter
-
Hallo zusammen,
Hallo Torwächter
würdet ihr einen Firewall benutzen, wenn ihr einen Server habt ?
wenn Du einen Internet-Server meinst Auf jeden Fall!!!
es sei denn Du möchtest deinen Server für jeden Hobby-Häcker zugänglich machen. ;)
Ansonsten langt es vollkommen wenn Port 80 offen ist (evtl. noch einer für ftp o.ä.) und das geht nun mal nur mit einer FirewallGreetings
TorwächterGrüße aus Oberfranken
Sven
-
Moin!
würdet ihr einen Firewall benutzen, wenn ihr einen Server habt ?
wenn Du einen Internet-Server meinst Auf jeden Fall!!!
es sei denn Du möchtest deinen Server für jeden Hobby-Häcker zugänglich machen. ;)
Ansonsten langt es vollkommen wenn Port 80 offen ist (evtl. noch einer für ftp o.ä.) und das geht nun mal nur mit einer FirewallIch möchte widersprechen. Geschlossene Ports stellen keine Sicherheitslücke dar. Man kann mit ihnen absolut nichts anfangen. Und unsichtbar wird man auch nicht, wenn man dank Firewall alle Verbindungsanfragen an Ports unbeantwortet läßt.
Klar, je weniger offene Ports, desto besser. Aber eine gewisse Menge an offenen Ports ist für einen Server unumgänglich. Umso wichtiger, dass die Server-Software keinerlei Sicherheitslücken hat. Eine Firewall hilft da nicht unbedingt.
- Sven Rautenberg
-
Hallo ihr beiden,
also ich hab Apache als Server (noch die 1.3er) und nun ZoneAlarm als Firewall (war ich schon früher sehr zufrieden).
Greetings
Torwächter-
Hallo ihr beiden,
Hallo Du einer,
also ich hab Apache als Server (noch die 1.3er) und nun ZoneAlarm als Firewall (war ich schon früher sehr zufrieden).
ähm, das klingt verdammt nach M$-Betriebssystem (oder gibt es ZA jetzt schon für andere Systeme?), ich hoffe für Dich nicht mit FAT32 weil das nämlich schon eine der Sicherheitslücken(sh. oben) im Betriebssystem wäre.
Grüße aus Oberfranken
Sven
-
-
Moin!
Mahlzeit,
Ich möchte widersprechen. Geschlossene Ports stellen keine Sicherheitslücke dar. Man kann mit ihnen absolut nichts anfangen. Und unsichtbar wird man auch nicht, wenn man dank Firewall alle Verbindungsanfragen an Ports unbeantwortet läßt.
Jetzt möchte ich Dir wiedersprechen:
auch eine Firewall (natürlich nicht jede) kann für einen Port auf Verbindungsanfragen antworten.Klar, je weniger offene Ports, desto besser. Aber eine gewisse Menge an offenen Ports ist für einen Server unumgänglich. Umso wichtiger, dass die Server-Software keinerlei Sicherheitslücken hat. Eine Firewall hilft da nicht unbedingt.
stimmt fast (sagen wir zu 99,9%) weil für jemanden mit Erfahrung sicherlich kein Problem den Server ohne Sicherheitslücken (geht das überhaupt ;)) zu konfigurieren. Nur was macht jemand der sich nicht so gut damit auskennt? (hmm..., nagut vieleicht sollte der besser keinen Server konfigurieren ;))
Grüße aus Oberfranken
Sven
-
Moin,
Jetzt möchte ich Dir wiedersprechen:
auch eine Firewall (natürlich nicht jede) kann für einen Port auf Verbindungsanfragen antworten.Du meinst eine Personal (oder Desktop) Firewall, und die sind in der Tat in der Regel auf Deny (oder auch als Drop bezeichnet) eingestellt. So eine 'Firewall' bringt durch ihr Deny gar nichts, erst recht keine Unsichtbarkeit, denn die normale Reaktion eines Rechners ist es, auf Anfragen entweder mit Annahme oder Ablehnung zu reagieren. Gar keine Antwort bedeutet: a) Da ist ein Rechner, b) der Rechner ist mit einer 'Firewall' ausgestattet und damit in der Regel schlecht konfiguriert.
-> http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verstecken (der Rest des Dokuments ist auch gut lesbar)Nur was macht jemand der sich nicht so gut damit auskennt? (hmm..., nagut vieleicht sollte der besser keinen Server konfigurieren ;))
Eben, eine 'Firewall' bringt bei einem Server genau gar nichts. Entweder ist da eine Sicherheitslücke (etwa ein zusätzlich laufender Dienst) vorhanden, dann sollte die gestopft werden, oder da ist keine, dann ist alles in Ordnung. Die 'Firewall' bringt nur zusätzliche Komplexität und damit zusätzliche Probleme (http://forum.de.selfhtml.org/archiv/2002/8/22131/#m123163).
Sie kann auch gar keine Funktion erfüllen, da sie den Betrieb des Webservers (zum Beispiel) nicht behindern darf und daher alle Pakete von und zu Port 80 (oder wo immer der Webserver läuft) durchlassen muss. Wenn der Rechner als reiner Webserver eingesetzt wird, hat per definition auf keinem der anderen Ports (naja, SSH lassen wir mal durchgehen) ein Serverdienst zu lauschen, also hat die 'Firewall' nichts zu anderes tun, als Pakete zu Port 80 (und 22) durchzulassen und Pakete zu anderen Ports nicht durchzulassen (ob reject oder drop ist dabei egal). Und oh wunder: Ganz genau dasselbe kann der in dein Betriebssystem eingebaute TCP/IP-Stack vollständig von alleine erledigen.
--
Henryk Plötz
Grüße aus Berlin
-
-
-
-
Moin!
würdet ihr einen Firewall benutzen, wenn ihr einen Server habt ?
Hängt davon ab, wie dein Sicherheitskonzept aussieht.
- Sven Rautenberg
-
hi
würdet ihr einen Firewall benutzen, wenn ihr einen Server habt ?
grundsätzlich eher nicht.
Warum?
Eine Firewall ist ansich das überflüssigste, was es an Software gibt, sie dient nur dazu, um grundlegende Funktionen von Serverdiensten nachzurüsten, falls diese Fehlen und zum Zweiten um Log-Files mit Informationen zu füllen, die Überflüssig sind, oder die Panik verbreiten _sollen_. Jeder halbwegs anständige Serverdienst ist so konfigurierbar, dass er nur von bestimmten Netzwerk-Devices und/oder IP-Addressen aus gesehen werden kann. Solch eine Einschränkung ist bei jedem Dienst, der nicht für die Öffentlichkeit gedacht ist dringend angeraten, wenn man das aus Faulheit oder blindem Vertrauen in ein Wundertool namens "Firewall" unterläßt, handelt man grob fahrlässig oder ist einfach dumm.
Eine normale Firewall tut nichts anderes, als bestimmte Zugriffe abzufangen, bevor sie von den auf diesem Port laufenden Diensten beantwortet werden können und dann idr. etwas anderes damit zu tun, als er eben dieser Dienst tun würde - entweder der Request wird einfach kommentarlos abgewiesen, als ob da nichts wäre (also _exakt_ das gleiche was massiert, wenn der Dienst selbst anständig konfiguriert wäre), oder - imho noch bescheuerter - eine Meldung im Sinne von "ätsch, du darfst hier nicht durch, da mussu erst die Firewall austricksen!" zurücksenden. Diese kann man wohl durchaus als Einladung an böse Geister verstehen.Dann gibt es da noch die allerschlimmste Sorte, das sind die "personal firewalls". Diese Programme haben nur einen einzigen Zweck, den sie aber anscheinden gut erfüllen: Den verängstigten Käufern das Geld aus der Tasche ziehen.
Was tut diese Programme..?
Zunächst wird bei jedem Zugriffsversuch ein möglichst viel nach Gefahr aussehendes Popup geöffnet, dass fragt, ob man diesen Zugriff wohl zulassen will. Dabei horchen diese Programme grundsätzlich auf jedem nur erdenklichen Port (möglicherweise gibt's da nach außen dann wenn diese IP 'rein darf' eine endlose Liste offener Ports..). Damit wird beim User eine möglichst große Panik erzeugt, damit er auch an dem Sinn des Programmes nicht zweifelt.
Abarten davon reagieren schon, wenn jemand den eigenen PC pingt - ich stelle mir gerade vor, wenn alleine ein Ping-Melder bei heise.de liefe ;)
Dabei ist dieses Programm nur so lange wirksam, bis der User (oder sogar ein eingeschlichener Trojaner) die "personal firewall" abschaltet - sie hat die gleichen rechte, wie der User und kann so von diesem oder von durch ihn ausgeführte Programme abgeschaltet oder verändert werden.
Den zweiten Zweck, wie diese Dinger vielleicht noch ansatzweise einen Sinn haben, ist zu verhindern, dass ein Programm Daten nach außen senden kann. Wer glaubt, dass damit ein Schutz vor Home-Call-Funktionen von Programmen oder gar des Betriebssystemes vorliegt, glaubt wohl auch noch an den Weihnachtsmann. Das System selbst kann mit dem Ding eh alles machen - und sei es, das Programm bei bestimmten Daten aussendungen gar nicht zu informieren. Jedes Programm wäre genauso in der Lage sich einen Eintrag in die Registry (oder wo immer die Config rumliegt) zu schreiben um so nach Herzenslust "nach Hause zu telefonieren".Fazit:
1. vergiss "personal firewalls", diese Programme verursachen mehr Sicherheits-Probleme und verbreiten Panik, als irgendwas anderes.
2. Wenn schon eine Firewall, dann NUR, um zu vermindern, dass Zugriffe von einem _anderen PC_ nicht nach außen gehen, als Schutz gegen Angriffe von außen sind diese das überflüssigste, was es gibt.
3. Die größte Gefahr ist innen - und sie lautet E-Mail-Client!Grüße aus Bleckede
Kai
-
Hi auch,
- vergiss "personal firewalls", diese Programme
verursachen mehr Sicherheits-Probleme und verbreiten
Panik, als irgendwas anderes.
http://www.schroepl.net/projekte/mod_gzip/firewalls.htm
Viele Grüße
Michael - vergiss "personal firewalls", diese Programme
-
Moin,
Eine Firewall ist ansich das überflüssigste, was es an Software gibt
Ich stimme dir größtenteils zu, aber bitte ersetze doch Firewall durch Personal bzw. Desktop Firewall oder wenigstens 'Firewall'. Eine Firewall[tm] ist ein Konzept, seine Umsetzung in Software und/oder Hardware und deren Wartung. Und das ist keinesfalls überflüssig, sondern in höchstem Maße gefordert, wenn mehrere Nutzer in einem Netz dadurch geschützt werden sollen. Häufig (== eigentlich immer) wird auch eine Sicherheitspolicy die von jedem User verstanden und unterschrieben werden muß teil dieses Konzeptes sein.
entweder der Request wird einfach kommentarlos abgewiesen, als ob da nichts wäre (also _exakt_ das gleiche was massiert, wenn der Dienst selbst anständig konfiguriert wäre), oder [..] eine Meldung im Sinne von "ätsch, du darfst hier nicht durch, da mussu erst die Firewall austricksen!" zurücksenden. Diese kann man wohl durchaus als Einladung an böse Geister verstehen.
Jupp, bloss, dass auf TCP/IP-Ebene das normale Abweisen in Form eines TCP-RST- oder ICMP-Unreachable-Pakets erfolgt und das "ätsch, bitte tricks' mich aus" in Form von gar keiner Antwort.
Abarten davon reagieren schon, wenn jemand den eigenen PC pingt - ich stelle mir gerade vor, wenn alleine ein Ping-Melder bei heise.de liefe ;)
Grade diese (aber auch etwas seriösere Programme, wenn man davon reden kann) neigen dazu überhaupt alle Pakete die von aussen kommen wegzuschmeissen. Da gab es in dcsf mal diesen schönen Fall (ist jetzt halb rekontruiert): In einem Wohnheimsnetz ging die Windows-Namensauflösung (also Netzwerkumgebung durchsuchen) nicht mehr richtig. Unter anderem war auch ein Rechner mit 'Firewall' beteiligt. Erklärung: Beim Windowsnetzwerk wird in der Regel ein Master Browser gewählt, der eine Namensliste verwaltet und dementsprechend Anfragen beantwortet. Sobald jetzt dieser "geschützte" Rechner ins Netz kam, hat er eine Neuwahl des Master Browsers ausgerufen (das kann afaik jeder) in der normalerweise alle Rechner die bereit sind neuer Master Browser zu werden ihre Fähigkeiten (besonders wichtig ist die Betriebssystemversion) mitteilen und anschließend im gemeinsamen Konsens einer gewählt wird (idR wird das der aktuelle Master Browser sein). Der betreffende Rechner wurde jetzt aber von seiner 'Firewall' vor den "bösen" Paketen der anderen Rechner und den Empöhrungsschreien des aktuellen Master Browsers "geschützt" und hat sich in der Konsequenz zum neuen Master Browser ausgerufen. Da die 'Firewall' sowohl Namensmeldungen als auch Anfragen weggeschmissen hat, war's Essig mit dem browsing.
Ähnlich extreme Nebenwirkungen gibt es in anderen Bereichen durch das Verwerfen von ICMP-Paketen allgemein (nicht nur Pings), vor allem auf einem Server wäre das tötlich. Das fängt beim bereits erwähnten Destination Unreachable an - der Rechner kriegt nicht mehr mit, wenn der Zielrechner nicht erreichbar ist, und probiert so lange zu verbinden bis irgendein Timeout zuschlägt, schlimmer noch ist die Auswirkung auf Path MTU Discovery, welches explizit Unreachables erzwingen will - und hört Explicit Congestion Notification - ein relativ neuer Internetstandard (RFC 3168 ist von September 2001), benutzt vormals unbenutzte Bits - dass ich sogar schon bei richtigen Firewalls (Webserver großer Firmen) blockiert gesehen habe, noch lange nicht auf.
--
Henryk Plötz
Grüße von der Ostsee
-