Menü
Avatar von wanneut
  • wanneut

mehr als 1000 Beiträge seit 15.11.2017

Re: Wie kann ich denn schonmal umstellen?

Wie sollen ausgehende Verbindungen einen Angriff auf das eigene Netz ermoeglichen?
Das geht nur, wenn bereits ein erfolgreicher Angriff stattgefunden hat und bereits uner-
wuenschte Software auf dem Rechner laeuft, die eine fuer Angriffe von aussenm ge-
eignete Verbindung geoeffnet hat, sprich wenn das Kind schon laengst in de3n Brunnen
gefallen ist.

Gegenfrage:
Wie sollen eingehende Verbindungen einen Angriff auf das eigene Netz ermoeglichen?
Das geht nur, wenn bereits ein erfolgreicher Angriff stattgefunden hat und bereits uner-
wuenschte Software auf dem Rechner laeuft, die eine fuer Angriffe von aussenm ge-
eignete Verbindung geoeffnet hat, sprich wenn das Kind schon laengst in de3n Brunnen
gefallen ist.
Und auch hier gilt:

Die Realität im 21. Jahrhundert ist: Du bist auch ohne eingehende Verbindungen weltweit erreichbar.

Nwin, nicht zwingend.

Seit 30 Jahren gibt es auf jeden System ne /etc/hosts.allow und /etc/hosts.deny ne. Für eingehende Verbindungen gilt exakt das selbe.

Nochmal: 100% der Argumentation, die du auf ausgehende Verbindungen anwendest, kannst du auch auf eingehende anwenden.
Es gibt außer ein paar performace-Eigenheiten gibt es keinen Unterschied zwischen eingehenden und ausgehenden Verbindungen.
Wie gesagt: ich baue dir jede Software die eingehende Verbindungen nutzt so um, dass sie nur ausgehende Verbindungen benutzt. Und das ist kein theoretisches Szenario. Das macht 99% der neueren Software schon heute. Die sind einfach equivalent.
Trotzdem verlangst (weiterhin vollständig ohne Begründung) dass man diese Verbindungsarten unterschiedlich behandeln soll.

Deswegen nochmal: Kannst du in deiner Argumentation ein einziges mal eine Argumentation bringen, wo ich "eingehend" nicht einfach mit "ausgehend" austauschen kann und das Argument genau so valide bleibt?
Denn all diese Argumente, mögen für sich ja interessant sein, erklären aber nicht die Unterschiedlichbehandlung von eingehenden und ausgehenden Verbindungen.
Und vor allem das wegschmeißen von Paketen mit Protokollen, die nach 1981 entstanden sind.

Und wenn der Zugriff aus verschiedenen internen Netzen der Firma moeglich sein soll?
Dann kommt "link local" nicht mehr in Frage ...

Dann brauchst du ein vernünftiges Management, wer auf was zugreifen darf. Und btw. in einer Firma mit ausreichend vielen Netzen und Mitarbeitern Zeitgemäß über Authentifizierung und nicht über irgend welche IP-Regeln, die jedem Handwerker Zugang auf Interne Dienste gibt. – Und am Ende wundern sich immer alle, wie die Konkurrenz Firmeninterne Daten in atemberaubender Regelmäßigkeit bekommt.
Aber selbst die IP-Reges verhinderst du indem du jede Software dazu zwingst erst mal über ihren eigen Firmenserver zu laufen weil jede Firewall per default alles blockt was rein geht. – Und entsprechend in kleineren Szenarien eben erst mal gar nicht funktioniert.
Entsprechend baut jede SW erst mal eine verschlüsselte Verbindung nach hause auf und kommuniziert dann da drüber. Da kannst du dann gar keine Feinabstimmung mehr machen. Nicht mal mehr im Betriebssystem. Auch der tcp-Wrapper tut halt nicht mehr. Weil ihr seit Jahre allen Usern beigebracht habt, dass sie sich immer möglichst gut verstecken müssen, weil sie sonst abgewürgt werden.

Wenn du diese Programme daran hinderst, Verbindungen von innen nach aussen aufzubauen, hast du *erwuenschte Funktionalitaet* dieser Software blockiert.

Akll diese Software ist nur entstanden weil du *erwuenschte Funktionalitaet* – nämlich eingehende Verbindungen – geblockt hast. Und jetzt hast du eine drei mal größere Angriffsfläche, weil selbst integre Software erst mal aktiv Firewallumgehungsmaßnahmen staret und du sie deswegen endgültig nicht mehr von malware unterscheiden kannst.
Machst du all die Software dicht, die dir irgend wie wieder ne verbindung rein Tunneln kann tut halt nicht mal mehr der Browser.
Hättet ihr mit den Schrott nicht angefangen, könnte man wirklich auf Ports und Verbindungen filtern und so die ein oder andere verwundbare – aber nicht bösartige – Software filtern. Aber weil ihr alles andere dicht gemacht habt, kommuniziert jetzt halt alles über Port 443 mit irgend welchen Google-Servern. Keine Chance da noch irgend was zu filtern. Ist ein bisschen wie mit antibiotika. Wenn du es die ganze zeit einsetzt hast du irgend wann nur noch resistente Keime. Und kannst sie nicht mehr nehmen, wenn du sie wirklich brauchst. Das Stadium haben wir bei SW schon lange. Wir haben defakto nur noch Firewallresistente Software nutzen tut die Firewall selber absolut nichts mehr. – Jetzt könnten wir die eigentlich wieder abschalten.

Bewerten
- +