warum pers firewalls nicht sicher sind leuchtet mir ein

[VoodooDog]

wenn man dienste angreift die eh zugelassen sind, ist es vollkommen egal ob die firewall an ist oder nicht.
das ausschalten der restlichen dienste vorrausgesetzt.

das eine PFT auch zusätzliche angriffsmöglichkeiten bietet leuchtet mir auch ein.


aber warum ist das alles bei ner hardware firewall nicht mehr so ?


wenn die dienste zugelassen sind, dann sind sie das auch bei hardware firewalls, oder nicht ?
und wenn ich der hardware firewall vorgaukele das mein zuständiger dns server über port 666 ein trojaner einschleusen will.
dann wird der zugang zu diesem dns server auch gesperrt und ich kann nicht mehr so nett serven.

ergo sind die nachteile einer pers firewall für mich (der eh keine ahnung hat) eben die selben wie die einer hardware firewall.

wo ist mein denkfehler ?
kann mir bitte jemand helfen ?



edit: ps: cart, bitte schließ diesen thread nicht auch nur weil ich dir vielleicht unsympatisch bin. ich möchte dies von mir angesprochenes thema einfach nur verstehen und eure eigene meinung dazu hören um evt eine weiterführende und weiter erklärende diskussion zu fördern.

 

[Myxomat]

Ich hatte zum letzten Thread einen längeren Beitrag geschrieben, der allerdings nicht mehr gepostet wurde, da ein Moderator es für notwendig hielt, die Diskussion durch Schliessen des Threads zu beenden. Ich werde mich hüten, das ganze hier noch einmal zu schreiben. Darfst dich bei cart bedanken.

 

[HERR 2FICKENDEHUNDE]

vielleich solltest du einfach aufhören, verstehn zu wollen oder aber du du musst dich entsprechend selbst informieren, google ist dein freund und helfer.

für dein notebook macht eine hardwarefirewall keinen sinn, insofern, nutz die windows interne oder spiel dir halt zonealarm oder irgendeine andere personal fw drauf. 100 % geschützt ist man eh nie ob nun mit hardware fw oder personal fw.

 

[cart]

Original geschrieben von dOg[fisch]
edit: ps: cart, bitte schließ diesen thread nicht auch nur weil ich dir vielleicht unsympatisch bin. ich möchte dies von mir angesprochenes thema einfach nur verstehen und eure eigene meinung dazu hören um evt eine weiterführende und weiter erklärende diskussion zu fördern.

Der Thread wurde geschlossen, weil es diese Diskussion hier schon mehrfach gab. Alles andere spielt keine Rolle.

Ich hatte zum letzten Thread einen längeren Beitrag geschrieben, der allerdings nicht mehr gepostet wurde, da ein Moderator es für notwendig hielt, die Diskussion durch Schliessen des Threads zu beenden. Ich werde mich hüten, das ganze hier noch einmal zu schreiben. Darfst dich bei cart bedanken.

Nutz einen gescheiten Browser in dem, wenn man auf Zurück klickt, den Text wieder hat.

 

[Myxomat]

Ich soll also deine Unfähigkeit, ein Forum gescheit zu moderieren, durch das benutzen eines "gescheiten" Browsers ausgleichen? Das ist natürlich eine Möglichkeit. Eine andere Möglichkeit wäre allerdings, wenn du Threads, in denen offensichtlich eine aktive Diskussion von unterschiedlichen Seiten geführt wird, ganz einfach offen lässt.
Es spielt keine Rolle, wie oft es diese Diskussion schon gab. Solange die Diskussion nämlich geführt wird, besteht auch ein Bedürfnis danach. Ausserdem ergeben sich im Laufe der Zeit vielleicht neue Erkenntnisse oder es kommen neue Forenuser dazu, welche andere Meinungen vertreten wollen. Hast du an diese Möglichkeiten schon einmal gedacht? Vermutlich nicht. Haupsache du konntest mal wieder Moderator spielen.

 

[VoodooDog]

seh ich auch so


und nette argumente wie "der thread wird geschlossen weil du keine ahnung hast" zeugen auch von grenzenloser kompetenz.

myx, würdest du dich erbarmen deinen post, auf ein minimum reduziert, zu wiederholen ?

 

[Sodom&Gomorrha]

Den Link habe ich vor langem aus einem Beitrag von Smarty aufgegabelt:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
Selber empfehle ich auch die Informationen vom CCC hierzu, insbesondere dieser Link ist relativ gut auch ohne allzuviel technisches Wissen verständlich:
http://www.ulm.ccc.de/PersonalFirewalls

Ein Problem ist dabei, daß die Hersteller von Personal Firewalls zwar den gemeinen Kunden im Auge haben, doch der will idR nur, daß sein Computer funktioniert oder im Internet zocken. Wenn nun auf der Rückseite der Verpackung steht "Blockiert ganz gefährliche Portscans" und das Programm dann kurz nach dem Start ein gelbes Fenster mit Ausrufezeichen und der Meldung "Angriff erfolgreich abgewehrt!", fühlt sich der Benutzer in trügerischer Sicherheit, da ja das Programm das bieten soll. Zudem wird die erkaufte angebliche Sicherheit auch bald nerven, wenn der Nutzer nervig jedes Fenster was Internetzugriff haben will, wegklickt (etwa wenn man nur einen Port freigegeben hat, aber z. B. das Programm einen IP-Bereich braucht, was der Benutzer nicht weiß, wie man Ranges freigibt), schaltet er das lieber gleich automatisch ein -> Womit auch wirkliche Angriffe sowieso durchgehen oder von vorneherein die PFW abschießen. Auf wackeligem Grund (Windows) kann man einen dicken Kanonenturm aufbauen, der unbezwingbar scheint (Firewall), aber untertunnelt man ihn und reißt den Boden darunter auf, bricht auch der Turm zusammen, ohne überhaupt zu merken wo der Feind steckt.

Erfahrene Benutzer verwenden entweder gleich die Firewall vom Router mit, nutzen wie schon geschrieben eine der Lösungen im PF-Bereich als Paketfilter oder als Monitor, was so nach draußen telefonieren will (ich selber verwende Kerio und hänge ansonsten mit einem aktuellen Windows XP Home samt allen Updates und abgeschalteten überflüssigen Diensten direkt am Modem; überlege es aber runterzuwerfen und gleich die windowsinterne FW oder gar keine zu nehmen) oder halten ihr System ohne diese auf dem neuesten Stand und (relativ!) sicher.
Also Sind Desktop Firewalls eigentlich nur für erfahrene Nutzer gedacht, die aber wiederum die Mißstände genau kennen und das nicht tun. Verkehrte Welt in Sachen Sicherheit.

 

[Myxomat]

Gomorrha hat das eigentlich ganz schön zusammengefasst.

Grundsätzlich baut eine PFW immer auf dem ihr zugrundeliegenden Betriebssystem auf. Das heisst, die Firewall ist in diesem Fall eine Software, welche die Funktionalitäten des Betriebssystems dazu nutzt, den Netzwerkverkehr zu kontrollieren. Diese Funktionalitäten stehen aber auch allen anderen Programmen zur Verfügung, welche auf diesem System laufen (solange sie mit den gleichen Benutzerrechten laufen, was aber unter Windows der Regelfall ist). Somit spielen PFW und mögliche "bösartige" Programme wie Trojaner oder Spyware mit den selben Mitteln und Waffen, womit auch klar wird, wieso eine PFW in dieser Hinsicht zum Scheitern verurteilt ist.

Also nochmal zusammengefasst: Eine Software-Firewall ist sinnvoll als Paket-Filter, um Ports zu "schliessen" etc. Dies aber auch nur wirklich bei eingehenden Verbindungen, da bei ausgehenden Verbindungen die lokale Software die Firewall umgehen kann. Nicht sinnvoll ist eine Software-Firewall als applikationsbasierter Filter, welcher für verschiedene Programme unterschiedliche Rechte vergibt, da wie erwähnt diese Programme den selben Zugriff auf das System haben wie die Firewall. Dies gilt ebenfalls für die XP SP2 Firewall von Windows, deren applikationsbasierte Kontrolle ist genauso für die Katz.

Eine externe oder Hardware-Firewall (z.B. Router) hingegen ist vom restlichen System unabhängig, und kann deshalb sowohl die eingehenden als auch die ausgehenden Verbindungen zuverlässig filtern. Da dabei aber kein Zugriff auf die Applikationsschicht des Systems besteht, können natürlich keine applikationsbasierten Rechte vergeben werden. Da dies aber auch bei einer Software-Firewall nur beschränkt sinnvoll ist, ist das kein grosser Verlust.

Applikationsbasiertes Filtern durch eine PFW hat also nichts mit Sicherheit zu tun, sondern ist allerhöchstens eine Spielerei um zu sehen, welche Programme sich wann wohin verbinden wollen. Diese Programme sind allerdings in der Regel harmlos, während nicht-harmlose Programme die Firewall umgehen können wenn sie entsprechnd programmiert sind.

 

[Muthombo]

Was der CCC dazu schreibt, überzeugt mich auch nicht so ganz:
http://www.ulm.ccc.de/PersonalFirewalls/Versagen

Dass man mit Personal Firewalls sein Windows nicht perfekt vor allen möglichen Angriffen schützen kann ist klar, es gibt meistens irgendwelche Möglichkeiten, die Sicherheitsmaßnahmen zu umgehen. Das heißt ja aber nicht, dass Firewalls vollkommen sinnlos sind. Da könnte man ja gleich Tetanus-Impfungen sein lassen weil sie eh nicht vor HIV schützen.
Außerdem sind Firewalls für Raubkopierer praktisch, da sie verhindern, dass raubkopierte Software nach hause telefoniert, ihre Echtheit überprüft und sich deaktiviert oder die IP-Adresse übermittelt.

 

[VoodooDog]

Original geschrieben von Wuselmops
Außerdem sind Firewalls für Raubkopierer praktisch, da sie verhindern, dass raubkopierte Software nach hause telefoniert, ihre Echtheit überprüft und sich deaktiviert oder die IP-Adresse übermittelt.

wenn man myx' aussage glauben schenkt (das tu ich mittlerweile) ist dem nicht so.
da eben auch die raupkopierte software auf dem system mit systemrechten dienste laufen hat.
wenn dieser dienst (mit systemrechten) nun versucht nach hause zu telefonieren und ein anderer dienst (ebenfalls mit systemrechten) versucht das zu verhindern, tja was passiert dann ?
aufgrund der viele möglichkeiten packete abzuschicken wird das böse progrämmchen wohl gewinnen.

ich werd mich mal weiter belsen bzgl der abschaltungen von überflüssigen windows dienstensten. meine firewall werd ich wohl dennoch drauf lassen, einfach um zu erkennen welche prog (oder dienst) raus will und ich ggf diesm zuleibe rücken kann.
danke erstmal ich werd morgen sicher mit neuen wissen (und doppelt soviel neuen fragen ^^) aufwarten.
gut nacht

 

[Baaldur]

Original geschrieben von dOg[fisch]
wenn man myx' aussage glauben schenkt (das tu ich mittlerweile) ist dem nicht so.
da eben auch die raupkopierte software auf dem system mit systemrechten dienste laufen hat.
wenn dieser dienst (mit systemrechten) nun versucht nach hause zu telefonieren und ein anderer dienst (ebenfalls mit systemrechten) versucht das zu verhindern, tja was passiert dann ?

Die Sache ist, dass "normale" Software ohne böswilligen Code (Die Raubkopierer bauen der Software sicherlich nicht den "Nach-Hause-telefonier-Echtheit-überprüf-deaktivier"-Code ein) nur ganz normal versucht die Pakete zu senden. Das wird von der FireWall geblockt, wenn man es denn blocken will. Genauso kann anderer Software diese Blockade aufheben, das geht aber nicht automatisch, sondern die Software muss sich halt desselben Mechanismus wie eine FireWall bedienen, nur umgekehrt. Wie gesagt, "normale" Software wird das kaum machen, es ist aber ohne weiteres möglich.

 

[haschischtasche]

Original geschrieben von dOg[fisch]
da eben auch die raupkopierte software auf dem system mit systemrechten dienste laufen hat.
wenn dieser dienst (mit systemrechten) nun versucht nach hause zu telefonieren und ein anderer dienst (ebenfalls mit systemrechten) versucht das zu verhindern, tja was passiert dann ?
aufgrund der viele möglichkeiten packete abzuschicken wird das böse progrämmchen wohl gewinnen.

wenn du irgendwelche programme (oder gar irgendwelche raubkopierten programme mit fixed exe) einfach so mit systemrechten laufen laesst, solltest du dich wohl erstmal dadrueber informieren, wie du ein system sicher bedienst.

 

[RRA^StArFiRe]

n router ist in der hinsicht toll, da eingehende anfragen ohne die manuelle einstellung, auf welche lokale ip die pakete über den speziellen port weitergeleitet werden sollen, verworfen werden.
bei ner direkten verbindung kommen immer noch alle anfragen direkt an deinen pc. der router stellt also remote nichts zur verfügung und die ports müssen erst eingestellt werden, dein pc stellt alle eingehenden ports zur verfügung und müssen gesperrt werden.

führt sich (oder führst du) n programm auf deinem pc aus (trojaner), dann hilft dir aber alles nix. denn n simpler socket kann auf jedem offenen port eingerichtet und darüber daten verschickt werden. auf die manipulation von daten auf dem rechner durch lokal ausgeführte programme brauch ich ja wohl nicht weiter einzugehn.

naja, durch die vielen scripts und plugins (active-x, javaapplets) heutzutage lässt sich immer irgendwie ne sicherheitslücke finden und somit n prozess auf deinem rechner starten.

am sichersten wäre also eine dauerhafte überwachung der prozesse in deinem taskmanager und lässt deinen benutzer ohne administratorrechte oder als gastaccount laufen.

denn hat ein prozess erstmal genügend rechte, kann dieser die firewalls ganz einfach ohne viel code umgehen oder auch gänzlich deaktivieren.

 

[Myxomat]

Unter Windows ist es aber leider nicht ganz so einfach, mit einem nicht-admin Account zu arbeiten. Viele Programme funktionieren ganz einfach nicht oder lassen sich nichteinmal installieren ohne Admin-Rechte. Natürlich kann man die dann einfach mit "runas" mit entsprechenden Rechten laufen lassen, aber ist das ganze dann nicht recht sinnlos? Wenn ich einfach alles was Admin-Rechte braucht trotzdem als Admin laufen lassen, wozu dann der ganze Aufwand. Vielleicht wird das ja mit Vista anders.

 

[cart]

Das bitte solltest du nochmal detaillierter erläutern. Wir haben von der DVZ etwa 150 PCs, an denen alle mit nicht Adminrechten arbeiten und es gibt bisher keine Probleme mit irgendwelchen halbwegs gängigen Programmen. An was für Programme denkst du also?

 

[VoodooDog]

er meint sicher das es nicht möglich ist diverse programme zu installieren.


denn von euch muss sicher jedes mal ein admin los (oder jemand der ein konto mit admin rechten hat) um verschiedene programme zu installieren.

oder ihr habt n leistungsfähiges managementtool -wovon ich aber nicht ausgeh.

 

[HERR 2FICKENDEHUNDE]

Original geschrieben von cart
Das bitte solltest du nochmal detaillierter erläutern. Wir haben von der DVZ etwa 150 PCs, an denen alle mit nicht Adminrechten arbeiten und es gibt bisher keine Probleme mit irgendwelchen halbwegs gängigen Programmen. An was für Programme denkst du also?

#2 alle gängigen programme laufen, auch lotus notes, sap usw usw.
installieren kann man natürlich nix aber das ist ja auch sinn des ganzen. ich glaube was myx meint ist, das man nicht von normalen user mal eben auf admin user switchen kann, um vorrübergehend adminrechte zu erhalten, wie es bei linux gang und gebe ist.

 

[XFreeX]

Allgemein ist zu der Admin/non Admin Problematik immer zu sagen:

-Wenn die Software Adminrechte braucht, war der Coder idR faul oder schlecht.

-Wenn Software die keine Adminrechte braucht als Admin betrieben wird, war der Systembetreuer idR faul oder schlecht.

Ich weiß selbst, dass die Konfiguration von Software extremst unschön sein kann. Regkeys zu befummeln, Berechtigungen granular zu vergeben, das geht meistens weit über den Horizont eines normalen Users hinaus...manchmal auch über den von Administratoren.
Alleine herauszufinden, warum ein Programm nicht ohne lokal Admin will, kann eine unbefriedigende, tagesfüllende Tätigkeit sein.

Nun zum Thema PFs...

-Warum sind PFs unter Windows schieße?
-Weil man mit der Windows API viele schöne Dinge anstellen kann. Security Tokens wurden in fast allen Bereichen von Windows implementiert...im Messagingsystem hat man es wohl vergessen.

-Was sagt mir das?
-Ich kann, wenn ich hinreichend willig bin, Datenverkehr durch eine Personalfirewall hindurch nach außen bringen.
Und ein Sicherheitskonzept sollte "hinreichend motivierte Angreifer" voraussetzen.

-Konklusion
-Ich kann outbound nicht effektiv filtern, inbound brauche ich bei hinreichender Härtung auch nicht.
Ausnahme: Blaster. Dieser hätte bei der weitverbreiteten Verwendung von einer PF keinen Schaden angerichtet.
Hier sei wieder erwähnt: Der Patch war Wochen früher da, den hat nur keiner eingespielt, weil die meisten
-entweder nie Updates einspielten
-keine mehr einspielen konnten, da der FCKGW-Key geblacklistet war.
Ergo brauche ich keine Personalfirewall aus Sicherheitsgründen.
Wenn mich hingegen Netzwerkverker interessiert, dann kann ich natürlich zu einer solchen greifen und mitschneiden...aber eben nur unter der Prämisse, zu wissen, was geht und was nicht geht.

Gruß,
Stefan

 

[VoodooDog]

und du hast keine pf ?

welche alternativen nutzt du ?

 

[cart]

Original geschrieben von dOg[fisch]
er meint sicher das es nicht möglich ist diverse programme zu installieren.

Das ist wohl der Sinn der Sache. Wenn ich jedem das Installieren und Deinstallieren beliebiger Software erlauben will, dann kann ich ihm auch Adminrechte geben.

Original geschrieben von dOg[fisch]
denn von euch muss sicher jedes mal ein admin los (oder jemand der ein konto mit admin rechten hat) um verschiedene programme zu installieren.

Nein. Alles was die Leute nutzen sollen und dürfen, wir haben uns da als FH natürlich an geltende Gesetze und Regelungen zu halten, ist installiert. Wenn doch mal etwas sein sollte, dann installieren wir das auf dem Server und der spielt das beim nächsten Boot des Clients auf selbigen.

Original geschrieben von dOg[fisch]
oder ihr habt n leistungsfähiges managementtool -wovon ich aber nicht ausgeh.

Wenn leistungsfähig bei dir gleich teuer ist, dann haben wir keins. Denn das was bei uns in erster Linie genutzt wird ist Wissen der Mitarbeiter und viiiieeeel Erfahung. Da hält auch kein tolles Tool mit.

 

[VoodooDog]

aber ein solch tolles tool kann die arbeit sehr vereinfachen.

funktioniert denn die softwareverteilung mit jedem programm ?
hab auf diesem gebiet fast keine erfahrung.
wir nutzen maximal nen terminelserver.

 

[HERR 2FICKENDEHUNDE]

je nach grösse des wan´s ist software verteilung ganz sinnvoll. für treiber updates und kleine installationen kein problem. ab einer bestimmten grösse jedoch macht es keinen sinn mehr, da das netzt einfach zu überlastet wird, wenn punkt 8 uhr sich ein grosser teil von mitarbeitern anmeldet und alle erstmal ein dickes software packet bekommen....


und benutzerverwaltungstools gibts auch, bei mir in der firma zB Trusted Enterprise Manager, macht aber nix anderes und ist irgendwie genauso unübersichtlich wie der active directory kram auch...

 

[HowHigh]

hmm also ich wär auch an so 'nem Tool interessiert was Software an Windows-Clients so bequem verteilen kann wie Apple Remote Desktop

und Windows ohne Adminrechte suckt. Vor allem bei Games (z.B. Diablo II, Raven Shield).
Oder wenn man als Admin was installiert (z.B. Office, iTunes), und dann beim Anmelden als Nutzer so Installatations-Nachwehen kommen, die aufgrund fehlender Rechte fehlschlagen.
Oder bei Firefox (und vielen anderen Programmen), wo gleich nach dem Setup das Programm als Admin gestartet wird.
Oder wenn nur Startmenüeinträge beim Admin, nicht aber bei All Users gemacht werden.
Oder wenn Desktop-Verknüpfungen angelegt werden die der User nicht löschen darf.
etc. etc.
bin mal gespannt ob die das mit Vista hingebogen bekommen.

 

[HERR 2FICKENDEHUNDE]

Original geschrieben von HowHigh
hmm also ich wär auch an so 'nem Tool interessiert was Software an Windows-Clients so bequem verteilen kann wie

das was du suchst ist active directory unter win2003 server. dort gibts eine softwareverteilung.

 

[Myxomat]

Original geschrieben von cart
Das bitte solltest du nochmal detaillierter erläutern. Wir haben von der DVZ etwa 150 PCs, an denen alle mit nicht Adminrechten arbeiten und es gibt bisher keine Probleme mit irgendwelchen halbwegs gängigen Programmen. An was für Programme denkst du also?

Hier gibts jede Menge Beispiele. Und ja, viele Software-Hersteller haben es unterdessen geschafft, ihre Produkte in non-admin Umgebungen laufen zu lassen. Das ist aber noch nicht lange so (Nero lief ewig nicht als non-admin), und auch jetzt ist es immer noch recht mühsam.

 

[cart]

Dafür gibt es dann ja Leute, die sich auf sowas spezialisieren, damit es läuft. Wie gesagt, wir haben einige Programme, auch Programme die grade in der freien Wirtschaft in großen Unternehmen genutzt werden, wo sicherlich nicht jeder Hinz mit Adminrechten rumrennt, und es gab bisher keins, dass nicht ohne Adminrechte lief. Natürlich sollte man die 120345 Tweaktools und selbstgeschriebenen Dinger von irgendwelchen C0d3Rn aussenvor lassen. Es geht nur um kommerzielle, viel benutzte Software. Ansonsten lässt sich immer was finden, dass nicht läuft. Ab und an muss man halt auch auf Alternativen zurückgreifen und nicht auf bestimmten Programmen beharren, wie z.B. Nero. Es gibt auch durchaus Möglichkeiten CDs zu brennen ohne Nero zu benutzen. Wenn man natürlich von Anfang an andere Lösungen ausschliesst, stößt man gewaltig schnell an die Grenzen des Machbaren.

BTT: In der c't war letztens auch noch ein Test von PFs. Das Urteil war vernichtend.

 

[HERR 2FICKENDEHUNDE]

Original geschrieben von cart
Dafür gibt es dann ja Leute, die sich auf sowas spezialisieren, damit es läuft. Wie gesagt, wir haben einige Programme, auch Programme die grade in der freien Wirtschaft in großen Unternehmen genutzt werden, wo sicherlich nicht jeder Hinz mit Adminrechten rumrennt, und es gab bisher keins, dass nicht ohne Adminrechte lief. Natürlich sollte man die 120345 Tweaktools und selbstgeschriebenen Dinger von irgendwelchen C0d3Rn aussenvor lassen. Es geht nur um kommerzielle, viel benutzte Software. Ansonsten lässt sich immer was finden, dass nicht läuft. Ab und an muss man halt auch auf Alternativen zurückgreifen und nicht auf bestimmten Programmen beharren, wie z.B. Nero. Es gibt auch durchaus Möglichkeiten CDs zu brennen ohne Nero zu benutzen. Wenn man natürlich von Anfang an andere Lösungen ausschliesst, stößt man gewaltig schnell an die Grenzen des Machbaren.

BTT: In der c't war letztens auch noch ein Test von PFs. Das Urteil war vernichtend.

aber jetzt mal hand aufs herz, wer brauch irgend welche 1337 toolz auf einem arbeitsrechner? oder brenner? bei uns haben sogar usb sticks keine chance. und alles was sonst benutzt wird, SAP, Lotus Notes und was nicht alles läuft ohne adminrechte. ausnahmen gibt es nur bei _wichtigen_ leuten, die das im rahmen ihrer tätigkeit auch wirklich brauchen. da kommt man sicher nicht drumherum aber das sind ausnahmen und nicht die regel.

und was PF´s angeht und ich wiederhol mich da gerne wieder: ich nutze seit jahren AtGuard. uralte firewall noch aus win95 zeiten, ich bin hochzufrieden damit und besser als gar nix allemal

http://www.kfa-juelich.de/zam/docs/tki/tki_html/t0349/t0349.html

 

[cart]

Original geschrieben von 2FICKENDEHUNDE
aber jetzt mal hand aufs herz, wer brauch irgend welche 1337 toolz auf einem arbeitsrechner? oder brenner? bei uns haben sogar usb sticks keine chance. und alles was sonst benutzt wird, SAP, Lotus Notes und was nicht alles läuft ohne adminrechte.

Das ist doch das, was ich sage. Die 14546 Tweak- und Tuningtools sollen bei dieser Diskussion aussenvor bleiben.

 

[The_Company]

Um nochmal bissl Holz ins Feuer zu werfen:
1) local root Exploits sind massiv viel häufiger als remote Root, ergo is ne local Firewall leichter zu bezwingen
2) die meisten Leute klicken "OK", wenn irgendwelcher Scheiss meint, dass er Root braucht um sich zu installieren.

 

[HowHigh]

PFs sollen ja auch nicht vor Malware schützen.

Es ist doch so dass viele Leute (Anwesende ausgeschlossen) Software auf ihren Rechner haben, die mehr oder weniger vom Laster gefallen ist. Da möchte man natürlich aus Paranoia genau regeln welche Programme eine Verbindung zum Internet haben dürfen.

 

[cart]

Ein schöner Artikel dazu, wie gut man blockieren kann, dass einige Programme nach Hause telefonieren, ist in der c't 17/06 ab Seite 108 zu finden ("Spion der aus dem Innern kam").

 

[VoodooDog]

um nochmal auf den geschlossenen thread zurück zu kommen.

mein modem IST ein router..
und mir einreden wollen ich hätte keine ahnung

 

[cart]

Dein Modem ist ein Router?
Vielleicht solltest du dich mal erkundigen was ein Router und was ein Modem ist. Kurzer Auszug von Wikipedia:

Ein Router ([ˈruːtə(r)] (britisch), [ˈraʊtə(r)] (amerikanisch)) ist ein Vermittlungsrechner, der in einem Netz bei ihm eintreffende Daten eines Protokolls zum vorgesehenen Zielnetz oder Subnetz weiterleitet (so genanntes Routing).

Ein Modem (zusammengesetztes Wort aus Modulator/Demodulator) dient dazu, digitale Daten in für eine vorhandene analoge Leitung geeignete Signale umzuwandeln und auf der anderen Seite wieder in digitale Daten zurückzuwandeln. Die dafür verwendete Modulation ist auf die analoge Leitung abgestimmt. Mit einem Modem werden digitale Daten durch Modulation eines analogen Signals über analoge Kommunikationsnetze (Telefonnetz, Kabel-TV), Standleitungen und per Funk übertragen. Am anderen Endpunkt der Kommunikation werden die digitalen Daten durch Demodulation aus dem analogen Signal wieder zurückgewonnen.

Soviel zu deiner Ahnung...

Übrigens, nur weil jemand so nett war und an deinen Router mit integriertem Modem noch einen Switch zu löten, ist das trotzdem ein Extra und gehört nicht zu dem Router und/oder dem Modem.

 

[VoodooDog]

l3 switch = router

wäre nett wenn du dich über vermeintliche unwissenheit nicht lustig machen würdest. denn 1. kann es, wie du siehst, vorschnell zum eigentor führen und 2. ist es nicht zweckdienlich.
danke

 

[cart]

Wenn man allg. von eine Switch redet, meint man aber normalerweise nicht einen Layer-3-Switch, da dieser mehr als die eigentlichen Funktionen besitzt, die einen Switch ausmachen, sondern einen Layer-2-Switch.

Ein Switch (engl. Weiche) ist ein elektronisches Gerät zur Verbindung mehrerer Computer bzw. Netz-Segmente in einem lokalen Netz (LAN) ähnlich einem Hub.

Der Unterschied zwischen deinem Router und einem Layer-3-Switch ist vor allem, dass der Router per Software routet, während ein Layer-3-Switch hardwareseitig routet. Mehr Details gibt es hier.

Wir können unsere Diskussion(en) allerdings auch gern bis auf die Spitze treiben, was die Wortwahl und die Bezeichnungen angeht. Allerdings werden dann die meisten Leute hier noch weniger davon haben als bisher.

 

[VoodooDog]

Original geschrieben von cart
Wenn man allg. von eine Switch redet, meint man aber normalerweise nicht einen Layer-3-Switch, da dieser mehr als die eigentlichen Funktionen besitzt, die einen Switch ausmachen, sondern einen Layer-2-Switch.

Der Unterschied zwischen deinem Router und einem Layer-3-Switch ist vor allem, dass der Router per Software routet, während ein Layer-3-Switch hardwareseitig routet. Mehr Details gibt es hier.

Wir können unsere Diskussion(en) allerdings auch gern bis auf die Spitze treiben, was die Wortwahl und die Bezeichnungen angeht. Allerdings werden dann die meisten Leute hier noch weniger davon haben als bisher.

ich kenne den unterschied zwischen einem router und einem l3 switch.
dennoch arbeiten viele l3 swichtche statt router in einem netzwerk.

und was haben deine vielen geschrieben zeilen überhaupt mit der aussage zu tun mein modem sei kein router ?
willst du vom thema ablenken ?
mein modem ist ein router und dein roffel hättest du dir sonst wohin schieben können.

 

[cart]

Also ich kenne niemanden der zu Hause einen Layer-3-Switch und keinen Router stehen hat. Und über Unternehmen etc. reden wir wohl nicht, da die sicherlich keine PFs nutzen und darum geht es schliesslich ursprünglich (btw: c't 18/06 Thema: "Heimvernetzung").

Wenn ich vom Thema ablenken wollte, täte ich das sicherlich anders. Zumal ich nur auf deinen Post ("l3 switch = router") eingegangen bin.

Was deine Aussage ("mein modem ist ein router und dein roffel hättest du dir sonst wohin schieben können.") angeht, bleibt mein stehen. Ob du das nun möchtest oder nicht, dein Modem ist kein Router. Du hast vielleicht ein Gerät, in dem ein Modem, ein Router und Switch, von mir aus auch ein Modem und ein Layer-3-Switch, eingebaut sind, so dass du nur einen Kasten rumliegen hast, trotzdem sind ein Router und ein Modem zwei verschiedene Dinge (Lies am besten nochmal die Auszüge von Wiki oder die ganzen Artikel.).

 

[VoodooDog]

ich brauch diesen artikel nicht lesen


wenn ich ein gehäuse habe auf dem dsl-router steht.
dann ist das ein router (auch wenn ein sogenannter dsl router aus mehreren einzelkomponenten besteht, ist und bleibt es ein router) oder bei welchem modem kann man NAT und statische routen eintragen ?

selbst wenn ich nicht recht habe, was mit ziemlicher sicherheit nicht der fall ist, solltest du mich doch auf eine andere art und weise belehren/korrigieren. irgendwie frag ich mich warum jemand wie du (damit meine ich deine art und weise) ein technik forum moderiert.

 

[cart]

...und wenn ich auf meinen Passat ein BMW-Emblem nebst M3-Zeichen klebe ist es ein BMW M3 Kombi

Unser "Gespräch" ist hiermit beendet, denn wie letztens jemand sinngemäß sagte: "Gegen einen Haufen geballte Unwissenheit, Vorurteile und Überzeugung hat man selbst mit der puren Wahrheit keine Chance."