Die Firewall - was sie ist, oder besser: was ist sie nicht

  • Moin@all


    In diesem älteren *Thread* hatte ich das schon mal erwähnt... und nun, nach langem Zaudern und ziemlicher Unentschlossenheit, habe ich mich entschieden, jetzt doch einen Hinweis auf diesen neuen Artikel von mir zu veröffentlichen. Hier, und zwar nur hier ... weils hier ja ein technisches, pragmatisches und eher lösungsorientiertes Forum ist. Und es wird meinerseits definitiv auch keine weiteren Hinweis geben, an keiner anderen Stelle.


    Ich weiss, der Artikel ist mal wieder viel zu lang und viel zu schwierig. Dann kann's zudem sein, dass ich mich an einigen wenigen Stellen vielleicht wiederhole, vielleicht ist der rote Faden manchmal auch verknotet... ist egal, ich habs ja auch nur für die 3-5 Leute geschrieben, denen es nicht zu lang und nicht zu schwierig ist und die damit klarkommen. Alle anderen werden gebeten, es nicht zu lesen. Und diejenigen, die nicht zur Party eingeladen waren, mögen sich bitte die Bemerkung verkneifen, dass ihnen die Musik eh nicht gefallen hätte... denn genau diese Musik war der Grund dafür, dass sie gar nicht erst eingeladen worden sind... *lol*.


    Nachdem ich mich so lange mit diesem Thema befasst habe, ist es für mich heute fast eine Tatsache, dass die Risiko-Quellen und -Faktoren bei diesem Thema so zahlreich und so umfangreich sind, das einem fast schwindelig wird, das man kaum den Überblick behalten kann und das man dann manchmal denkt, es ist sowieso fast unmöglich, sich wirksam zu schützen :conf:


    Auf meiner Eingangsseite habe ich wie folgt auf den Artikel verwiesen:

    Das Recht auf Unantastbarkeit der digitalen Privatsphäre, Computer-Sicherheit, der Schutz unserer eigenen Daten – das ist das Thema in meinem Artikel, ein Thema was uns letztlich alle betrifft. Der Artikel ist lang, es ist keine Installationsdokumentation, es ist kein HowTo für ein Programm.

    Ich betrachte es als persönlichen Bericht über Erlebtes, Erfahrenes und Erlerntes, vielleicht als Essay, in dem ich mich schwerpunktmäßig mit den Möglichkeiten einer Personal Firewall befasse und jene Rahmenbedingungen in den Mittelpunkt meiner Betrachtungen stelle, die über Erfolg oder Misserfolg der Firewall entscheiden. Es ist als Unterstützung gedacht, wenn man die Sicherheit seiner IT ändern will, um vorher die notwendigen Änderungen bei sich selber zu erkennen und genau dort anzufangen.


    Also, wer Lust und Zeit hat...

    http://www.thlu.de/security.html

  • Nein, ich habe es bisher lediglich überflogen.

    Allerdings so weit, dass ich einen Grobüberblick habe und sehen konnte, dass @ThomasL hier einen fundierten und trotzdem verständlichen Artikel zu diesem doch sehr komplexen Thema verfasst hat.


    Ebenso wie sein Artikel zum Thema "Eigener Mailserver" (Link: http://www.thlu.de/Public/TomsMailserver.pdf), den er damals ebenfalls hier im Forum vorgestellt hat.

  • Gut geschrieben.


    Client-Netfilter with iptables for mobile PC:

    Ich habe ein ähnliches Script im Einsatz.

    Allerdings deaktiviere ich IPv6 nicht sondern droppe via iptablesv6 alles bis auf ETH lo und ::1.

    Das plötzliche deaktivieren von IPv6 hat schon mal zu seltsamen verhalten von Diensten geführt die mit aktiven IPv6 gestartet wurden.

    So können Dienste lokal noch via IPv6 komunizieren aber von außen wird alles gedroped.


    Was auch noch rein sollte ist das Kernelrouting "on the fly" zu deaktivieren.

    sysctl -w net.ipv4.ip_forward=0

    sysctl -w net.ipv6.conf.all.forwarding=0

    Sonst könnte man evtl. via dem Notebook über das aufgebaute VPN zu Hause in das Netz.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?


    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Wobei ich immernoch dagegen bin, privilegierte Dienste auf unprivilegierten Ports laufen zu lassen.

    Den Hinweis finde ich so interessant, dass ich glaube, man sollte mal drüber reden.... sehr gerne hier in diesem neuen Thread

    Was auch noch rein sollte ist das Kernelrouting "on the fly" zu deaktivieren.

    Das ist genau das, was ich so zum Kotzen finde... und wo ich mich manchmal dann fast wie beim Kampf gegen Windmühlen fühle... du kannst machen und lernen und tun und dir den A...h aufreissen und letztendlich ist einem eine solche Lücke dann doch nicht bewusst. In 100 Jahren wäre mir eine solche vielleicht nutzbares Leck gar nicht in den Sinn gekommen. An was muss man denn noch alles denken? Jetzt sag mir doch mal, welcher normale Mensch soll heutezutage überhaupt noch imstande sein, sich wirklich gegen alle Bedrohungen zu wehren... das ist doch fast unmöglich. :cursing:


    Trotzdem Danke für diesen Hinweis.:thumbup: den ich natürlich gerne aufgreife.

  • In den Zeiten von Teamviewer, Hamachi und Co, also des HTTPS Tunneling ist eh alles für die Bratze.

    Jede Verbindung von Innen nach außen reißt ein Loch in die Firewall.


    Dagegen helfen (bedingt) nur NGFW und HTTPS Aufbrechen.


    Das Internet ist einfach kaputt und als kompromitiert zu betrachten.


    EDIT: DNS-Tunneling nicht zu vergessen

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?


    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.