Mageia Forum

[alf]

Geb' auch noch mal meinen Senf dazu. Um shorewall für IPv6 konfigurieren zu können braucht's wohl das Paket shorewall-ipv6.

[Bequimao]

@Bequimao: Wie weiter oben schonmal erwähnt:

Das ist eine link-lokale IPv6 Adresse, die hat jeder Adapter, der IPv6 kann. Prinzipiell das gleiche wie eine APIPA-Adresse / Zeorconf (169.254.x.x).

Die ist zwingend erforderlich, etwa für das Neighbour Discovery Protocol und DHCPv6 und ein paar der Routing-Autokonfigurationsmechanismen von IPv6.
Pakete die von so einer Adresse kommen, können etwa nicht ins Internet geroutet werden, um es mal einfach auszudrücken. Wozu also eine Firewall?

Das Argument mit dem Sicherheits-Experten ist da vollkommen fehl am Platz. Du hast anfangs doch angemerkt, warum denn "alle Ports unter IPv6 offen wären,
obwohl doch eine Firewall läuft". Dann wurde dir erklärt, dass das keinen Sinn macht. Jetzt willst du aber wieder die Firewall als Rundum-Sorglos-Paket, da man sich
dann ja beruhigt zurücklehnen kann.

Wenn man aber die grundlegende Funktion nicht verstanden hat, aber trotzdem Serverdienste betreibt, sollte man sich auch nicht aufregen, m.E.
Und normalerweise sollten die Grundkonfigurationen von Serverdiensten sowieso nur den Zugriff von localhost erlauben.

@doktor5000

Erstmal: Auch Du unterstellst mir Sachen, die ich nicht geschrieben habe. Ich lehne mich auch so beruhigt zurück, denn ich bin nicht paranoid. Ich betreibe keine Serverdienste, sondern werfe die Frage ich den Raum, ob ich nicht ungewollt und ohne mein Wissen Serverdienste betreibe oder in Zukunft betreiben kann. Wenn ich grundlegende Funktionen in 6 Monaten oder in einem Jahr verstehe, ist es auch gut.

Viele Grüße
Bequimão

[doktor5000]

Ich betreibe keine Serverdienste, sondern werfe die Frage ich den Raum, ob ich nicht ungewollt und ohne mein Wissen Serverdienste betreibe oder in Zukunft betreiben kann.

Wie soll denn ein Paketfilter wissen, was du betreiben willst und was nicht, bzw. was davon gewollt ist oder nicht? Siehst du das Problem nicht?

[man-draker]

Um mich auch mal wieder einzumischen: Ich habe eine IPv6-Adresse unter Mageia 3.

Versuche sie von außen zu erreichen. Wenn das nicht klappt, kannst du dich zurücklehnen.
Sonst stelle fest, welche Dienste lauschen. Wenn welche erreichbar sind, dann - aber auch nur dann - kannst du dir Sorgen machen.

[wanne]

Wie schon angemerkt glaube ich tatsächlich dass die meisten Leute, die einen „Server“ betreiben das auch wollen. (Auch unter denen die das nicht wissen) Voice over IP, Torrent Instant Messaging, Dateidownloads sind alles Sachen die ursprünglich eingehende Verbindungen brauchten. (Und die bis häute Vorteile aus Eingehenden Verbindungen zihen können.) Alle haben irgend welche Konzepte genutzt um die Verbindungen umzudrehen. Das hat sie aber natürlich kein bisschen sicherer gemacht. Lediglich das FW-Problem haben sie gelößt.
Deswegen verbreiten sich längst alle weitverbreiteten Schädling über Ausgehende Verbindungen.
Hier die 10 größten bedrohungen (Laut ENISA):
http://www.enisa.europa.eu/media/press- ... ency-enisa
1-3 Sind Angriffe, die hauptsächlich auf Ausgehenden Verbindungen laufen. 4 und 5 Gibts auf beiden 6 ist eher auf eingehende gerichtet. 7-10 ist wieder auf Ausgehende Verbindungen aus.
Wenn man sich dann überlegt, fast 50% der Verbindungen eingehend sind muss man sich ernsthaft überlegen ob nicht eher die ausgehenden die gefählichen sind.
Deswegen ist es hundert mal sinnvoller mal lsof -i laufen zu lassen und zu gucken welche Programme da am Internet sind (und gegebenenfalls unerwüschte zu deinstallieren) als blind alles was eingehend ist abzuschießen und sich dann zu wundern warum Torrents so lahm sind und die Dateiübertragung bei ICQ nicht tut.
Und gleichzeitig 2 mal die hälfte zu übersehen weil das eh längst nur noch über ausgehende Verbindungen kommuniziert.

[man-draker]

1-3 Sind Angriffe, die hauptsächlich auf Ausgehenden Verbindungen laufen. 4 und 5 Gibts auf beiden 6 ist eher auf eingehende gerichtet. 7-10 ist wieder auf Ausgehende Verbindungen aus.

Einen wichtigen Aspekt nennst du nicht: In fast allen Fällen holt sich der Benutzer die Pest selbst an Bord.
Sei es, dass er sich auf eine mit 1. und 3. angreifende Web-Seite begibt, sei es, dass er (natürlich nicht ahnend, was er da tut) sich die Schadsoftware installiert (2., 4., 7., 9.).

Deswegen ist es hundert mal sinnvoller mal lsof -i laufen zu lassen und zu gucken welche Programme da am Internet sind (und gegebenenfalls unerwüschte zu deinstallieren) als blind alles was eingehend ist abzuschießen und sich dann zu wundern warum Torrents so lahm sind und die Dateiübertragung bei ICQ nicht tut.

Das möchte ich so nicht unterschreiben.
Einmal muss man mit der Ausgabe von lsof etwas anfangen können. Dazu bedarf es eines gewissen Skills, den nun mal die Mehrzahl der Benutzer nicht hat.
Zum anderen richten Distributionen wie Mageia das System möglichst komfortabel ein und starten dabei diverse Dienste, die evtl. auch von außen erreichbar sind. Und genau diese werden von außen automatisiert entdeckt und angegriffen. Also nützt es sehr wohl, erst mal die Tür zu schließen.
Zumindest bei mir behindert diese geschlossene Tür weder Torrents noch ICQ.

[unklar]

@wanne,
@man-draker,

ich moechte mich fuer eure zwei letzten Beitraege bedanken!
Einfach Klasse, wie Ihr praezise das Thema auf den Punkt bringt.

Seit September 2009 benutze ich nur noch Linux und ich finde, ich kann gerade dieses Thema damit weitaus besser haendeln, als dieser staendige Stress mit M$. Das macht "zufriedener" als eigener Herr im Haus (ohne die Gefahren zu verkennen)!

[wanne]

Sei es, dass er sich auf eine mit 1. und 3. angreifende Web-Seite begibt, sei es, dass er (natürlich nicht ahnend, was er da tut) sich die Schadsoftware installiert (2., 4., 7., 9.).

Was drran einen Webserver zu installieren weniger aktiv ist als von eine Nachricht bei ICQ zu bekommen (Man muss dazu nicht mal den Kontakt geaddet haben da man die Nachricht in Anfragen stecken kann) (Pidgin smilies war so eine der großen Linux Lücke von der auch ich was mitbekommen habe.) musst du mir jetzt erstmal erklären. Aßerdem ist's wurst ob aktiv oder nicht. Fakt ist das das besuchen einer unbekannten Webseite gefährlicher ist als Eingehende Verbindungen zuzulassen.

Einmal muss man mit der Ausgabe von lsof etwas anfangen können.
Dazu bedarf es eines gewissen Skills, den nun mal die Mehrzahl der Benutzer nicht hat.

Naj, so kompliziert ist das nicht. Vorne steht der Programmname und mehr dürfte den einfachen User nicht interessieren.
Für die ganz interessierten gibt's dann in der 3. Spalte den total unverständlichen Usernamen, der den Dienst betreibt, in der 5 Ob IPv4 oder IPv6, in der 7. das Layer 4 Protokoll (TCP oder UDP) und in der letzten steht * für alle Adressen und ansonsten steht die Adresse dran. Aber wie gesagt alles interessante Zusatzinformation die Normaluser nicht braucht.
Wenn du meinst das das zu viel Info ist dann doch einfach so:

Code: Alles auswählen

lsof -i | cut -d " " -f1

Zum anderen richten Distributionen wie Mageia das System möglichst komfortabel ein und starten dabei diverse Dienste, die evtl. auch von außen erreichbar sind.

Du sagst gerade selbst dass sie das machen weil soetwas komfortabel ist. Genau das ist es. Zuerst eine Distro zu installieren, die standardmäßig Serverdienste installiert weil sie das Risiko für klein einschätzt aber den nutzen für groß und dann aber die Dienste im nachhinein nicht so beenden sondern sogar zu blockieren (Was sehr oft sehr komisches Verhalten zur Auswirkung hat, dass selbst du nicht mehr zu überschauen scheinst) scheint mir sehr inkonsequent. Wer sich so fürchtet sollte doch lieber zu einer Distro wie Debian greifen wo nichts vorkonfiguriert ist.
Und mal ganz ehrlich du erklärst mir gerade dass ein Otto-Normal User nicht weiß, welche Programme er am Internet haben will und welche nicht aber einschätzen kann ob er jetzt ausschließlich Verbindungen haben will wo vor jedem ACK ein SYN kam....

Und genau diese werden von außen automatisiert entdeckt und angegriffen. Also nützt es sehr wohl, erst mal die Tür zu schließen.

Nein, das letzte mal, dass jemand über einen Ping angegriffen wurde war irgend war in den 90ern mit einem DOS System, wo sich kein Mensch irgend was zu Sicherheit gedacht hat. Was aber täglich passiert, ist das irgendwelche Anhänge verschickt werden. Wer heute Rechner angreifen will sucht nicht nach IP-Adressen sondern nach E-Mail Adressen und Facebook-Accounts. Da gibt's was zu holen. Nicht über die Standarddienste die seit 20 Jahren gehärtet sind.
Die einzigen Serverdienste, die noch massenhaft anfällig sind irgendwelche Webserver mit dick PHP-Scripten dahinter oder irgend welche Embeded-Dienste auf Tostern (Toster ist Stellvertretend für das ganze zeug was Computer ist aber keiner sein will) sowas hat aber kein Mensch auf seinem Privat-PC.

Zumindest bei mir behindert diese geschlossene Tür weder Torrents noch ICQ.

Falsch!
Wenn du eine Mageia-ISO ziehst dann gibt's da Webseeds und dein Torrentclient zieht dann halt mit voller Geschwindigkeit über HTTP. Das funktioniert. Dazu hättest du aber kein Torrent gebraucht sondern hättest auch direkt von deer Webseite laden können.
Wenn du aber mal einen Torrent hast, der wirklich knapp an Bandbreite ist wirst du merken dass du etwa doppelt so schnell wirst wenn du die Firewalls abschaltest. (vor so ca. 5 Jahren als die Mode mit dem ich mache alle Ports dicht ihren höhepunkt hatte war auch gut mal das dreifache drin bzw. stehenbleibn vs. laden.) Liegt daran, dass du ausschließlich von Leuten laden kannst die Ihrerseits die Ports nicht dicht gemacht haben. Die sind aber extrem belastet und senden deswegen bevorzugt an Leute die das Netz schneller (und nicht wie du langsamer) machen.

[man-draker]

Fakt ist das das besuchen einer unbekannten Webseite gefährlicher ist als Eingehende Verbindungen zuzulassen.

Und deshalb schließt auch keiner Haustüren ab, weil die Einbrecher ja ohnehin meist durch Fenster kommen?

{Diversen weitere - teil recht wirre - Ausführungen entsorgt.}
Abgesehen davon, dass du behauptest, dich auf meinen Rechnern besser auszukennen als ich, hast du nicht ein überzeugendes Argument gebracht, warum man auf Arbeitsplatz-Rechnern mit einer Standard-Installation besser gar keine Firewall benutzt.

Und ganz offensichtlich stehst du mit deiner Meinung ja auch ziemlich allein.
Jedenfalls sehen das die Macher von Mageia (und damals Mandriva) anders.

[wanne]

Jedenfalls sehen das die Macher von Mageia (und damals Mandriva) anders.

Offensichtlich nicht. Mir fällt im übrigen keine Distro ein, die global alles dicht macht.

Und deshalb schließt auch keiner Haustüren ab, weil die Einbrecher ja ohnehin meist durch Fenster kommen?

Nein, Abschließen ist das was die Standardkonfiguration machtn (Nur berechtigten usern Zugriff geben. Dein Vorgehen ist die Haustüre zuzumauern und dann immer durch's Fenster zu klettern. Weil du schonmal gehört hast, dass jemand auch durch die Haustür reingekommen ist.
Und UDP-holepunching und die ganzen anderen NAT bzw. Firewall-Traversal Mechanismen sind weit komplizierter als durchs Fenseter Klettern und haben auch schon massenhaft einbrüche verursacht. (Wenn nicht alles 10 mal über irgend welche Server umgeleitet werden würde könnte man da auch nicht einbrechen...)

Edit:
Ganz im Gegenteil baust du sogar extra große Fenster ein, damit du da möglichst gut durckommst. (Siehe UPnP, Skype, Pidgin, Flash, Diverse File-Upload Portale...) Alles Sachen die sich vor allem deswegen durchgesetz haben weil sie ohne weiteres Zutun des Nutzers Löcher in Firewalls bohren können. Und nicht unbedingt weil sie als super sicher aufgefallen sind.
So ein direkter Chat währe wesentlich Sicherer (vor allem aus Datenschutzsicht) Aber jetzt erklär mal jemand wie er die 5 Firewalls, die zwischen ihm und dem Ziel stehen (PC-Router-Provider-Router-PC) abstellt und dann noch dyndns benutzt...
Dann doch lieber ICQ mit pidgin. Das macht alles automatisch platt.