On Sun, Mar 17, 2002 at 08:55:36PM +0100, Thomas Guettler wrote: Hi Thomas!
Ich möchte nicht einfach alle Ports (bis auf ein paar erlaubte) sperren sondern nur die, auf denen auch wirklich was schützenswertes läuft.
Warum nicht?
Ich probiere oft irgendwelche Netzwerksachen aus. Würde ich per default alles sperren, müßte ich pausenlos an der FW-Konfig schrauben um arbeiten zu können. Wenn man kein RPC nutzt kommt man auf dem typischen heimischen Router mit 2 Interfaces sehr gut völlig ohne FW aus. Abseits der RPC-Altlasten kann man alle Programe (bind, squid, ...) so konfigurieren, daß sie nur am internen Interface lauschen. Das ist mMn die beste Lösung. Gegen den "Feind von innen" mache ich hier zu Hause sowieso nichts. Wenn ich mir selbst ins Knie schieße ist das OK.
Ich denke es ist sicherer alles zu verbieten und nur das zuzulassen, was gebraucht wird.
Nein, das ist so pauschal falsch. Solange ich nicht vergesse, irgendwas zu sprerren, ist dein Ansatz nicht besser. Es bringt z.B. null Sicherheitsgewinn, Ports per Paketfilter zu sperren, auf denen nichts läuft. Und: Wo ich vergessen könntem, was zu sperren, könnstest du mit deinem Ansatz aus Versehen zu viel Erlauben. Vor allem muß die FW-Konfig zum Einsatzfall passen und da passt bei mir mein Ansatz besser. Dein Ansatz ist sicherlich dort besser, wo FW-Admin und Anwender nicht die gleiche Person sind und wo keine "Netzwerkspielereien" veranstaltet werden.
Davon abgesehen halte ich das ist das Festnageln von RPC-Servern auf bestimmte Ports gernerell für eine gute Idee. Schön, daß das mit Linux gemacht werden kann. Bei Solaris scheint das z.B. nicht zu gehen. Ein Argument mehr für Linux :-)
Reinhard