debianforum.de

Hi Forum!
Mich würde mal interessieren, wie Ihr Euch auf Euren Desktop-PC's vor dem vermeindlichen Bösen schützt?
Hab Ihr Firewalls und oder Anti-Virus-Software im Einsatz?
Wie steht's Eurer Meinung nach überhaupt um die Sicherheit bei unserem Lieblings-OS?
Bin mal sehr gespannt auf Eure Meinungen...

Zur Absicherung gegen "pöse Purchen" von ausserhalb läuft auf meinem Router ein Firewall. Ausserdem werden alle Protokolle soweit möglich nur über SSL/TLS Kanäle verwendet (mein Provider nimmt zum Glück SMPT/TLS an... Somit geht das PW für ASMTP schonmal nicht mehr im Klartext über die Leitung.

Das Mailsystem geht zusätzlich noch über Amavisd-ng+ ClamAV (INFECTED = /dev/null) und Spamassassin.

Naja: "Defense in Depth" halt: Erstmal alle Tüiren dicht machen, die man nicht braucht (Firewall). Alle dann noch offenen Türen überwachen (loganalyse, allerdings sehr locker eingestellt...), Daten von ausserhalb werden wenn möglich nur verschlüsselt angenommen und per Content Analyse gefiltert (Mail: Viren und Spam)...

Für das tägliche leben sind da zwar ein paar kleinere Lücken offen, aber nichts, was ich nicht abschätzen kann... (Services auf non-standard Ports und solche Sachen...)

Die beste Sicherheit ist ein gutes Verständnis des Systems und besteht aus mehr als einer Verteidigungslinie... Wenn jemand allerdings meinen Router knackt, ist das Netz hier relativ nackt...

Patrick

Ohne Firewall geht man oder Frau ja nicht mehr ins Internet. Standartmäßig wird alle eingehende erstmal geblockt. Trotzdem hatte ich erstmal alle Ports komplett zu gemacht. Zur Zeit hören nur apt-proxy und smtp im internen Netz. (Das kann sich aber noch ändern )

Wann immer es geht benutze ich verschlüsselte Protokolle email, jabber etc. Ausserdem habe ich einen verschlüsselten Bereich auf der Festplatte mit persönlichen Daten.

Trotzdem gibt hier und da noch einiges besser zu machen.

eagle

Bei mir macht im Moment die Komplette Sicherheit noch mein DSL-Router.

Win2000 hat ne fiirewall und nen Virenschutz.

Bei Linux/Debian bin ich noch nicht so weit. Muß mich erst noch mit der thematik beschäftiken. Wenn mein Server gebaut wird, dann kommt ne firewall drauf, spam für mail und snfs für das interne netz.

Gibt es gute firewalll seiten im netz, die iptables für debian auch für nen anfänger brauchbar erklären?

@pdreker: Paranoia?


@Topic:
Also mir reicht mein DSL Router, Viren schätze ich unter Linux (zumindest noch) nicht als große Gefahr ein, zumal ich fast ausschließlich als nicht-root arbeite.
Mit Spam hatte ich bisher noch keine Problem, deshalb noch keine Maßnahmen ergriffen.

Wenn ich mal viel Zeit hab, mach ich mich an die IP Tables, das aber eigentlich mehr aus Lern- denn aus Sicherheitsgründen.

Gruß,

Vinc

Vinc hat geschrieben:@pdreker: Paranoia?

Nicht wirklich, aber als gebranntes Kind (mir wurde 'mal ein Web/File Server an der Uni gecracked), weiss ich wie enorm viel Aufwand es ist, nach einem Compromise alles wieder herzustellen...

Patrick

Ich habe "nur" einen HW-ADSL-Router, der die Ports dichtmacht, und das genügt mir. Ich denke ich bin auch nicht das attraktievste Ziel für einen cracker.


gruss
manuel

tjooo

Also:

Ich habe keinen Router, die Workstation hängt direkt am Netz. Es läuft kein Service ausser Postfix, der aber auf 127.0.0.1 gebunden ist und von aussen keine Connections aufnimmt.

Ab und an mal öffnet auch Micq bei mir einen Port (bzw. zut es immer, einen Zufälligen >3000.
(wer weis wie man das abstellen kann: bitte sagen)

Nuja, SMTP per Postfix+TLS, zu meinem Server, der ebenfall TLS kann. Imaps zum holen, mit Fetchmail+ssl+procmail+spamassassin(der auch auf dem Server schon läuft). Alte Mails werden in Monatlichen Cyclen Rotiert (für jeden Monat neue Mailboxen und ein datum/ Folder). Die Alten Mails, die archiviert wurden, verschlüsse ich mittels gpg, ebenso wie meine Backups die ich in UNREGELMÄßIGEN Abständen von meinem /home mache

Verschiedene Partitionen sind readonly gemountet, ansonsten bevorzuge ich HTTPS. Mails werden entweder PGP Signiert, oder Verschlüsselt übertragen. Für alles andere dient ssh.

Evtl. bau ich noch mit unserem Server (den ich mir mit 2 anderen Kollegen Teile) welcher unter FreeBSD läuft ein VPN(IPSec etc..).
Mal sehen wieviel Zeit ich in Zukunft haben werde um dies in Angriff zu nehmen

Ich kann mich dem Eindruck nicht verwehren, daß Einige nicht so recht bzw. überhaupt nicht wissen, was eine Firewall ist. Eine Firewall ist kein Paketfilter (iptables ist ein Paketfilter) und ein Paketfilter ist keine Firewall. Eine Firewall ist ein Konzept, kein Stück Software, wie einige meinen mögen.

Ich persönlich habe einen DSL Router mit NAT der zumindest nicht explizit definierte eingehende Verbindungen vom LAN fernhält. Um mich im LAN (WG) vor etwaigen Angriffen[1] zu schützen läuft iptables auf meiner Kiste, das entsprechend restriktiv konfiguriert ist.

Was Viren per Email angeht, so kriege ich die zu 99% erst garnicht zu gesicht, da ich auf dem Mailserver meines Webhosters Spamassassin installiert habe,der mir wirklich fast 100% an Spam fernhält. Diese "Use this Patch immediately" Emails lassen sich auch prima mit Spamassassin erschlagen (Stichwort MICROSOFT_EXECUTABLE).

Falls dochmal was durchrutscht übernimmt halt Brain 1.2 die Aufgabe, zu entscheiden ob das Schadsoftware ist oder nicht. Von Antivirensoftware halte ich nicht viel, denn wenn ein neuartiger Virus die Runde macht und es noch keine Virensignaturen gibt bzw. man noch nicht geupdated hat, bringt einem auch die teuerste Antivirensoftware nichts. Allein deshalb ist der Einsatz von Antivirensoftware zu Sicherheitsmassnahmen schon absurd. Etwas anderes ist es natürlich, wenn man damit die Postfächer vor einer Überflutung stoppen kann, so geschehem erst kürzlich mit Sven.

[1] Das LAN ist nicht als vertrauenswürdig einzustufen, da jeder beliebig Rechner anstöpseln kann.

mfg,
thermoman

oh je, ich bin überhaupt nicht gesichert. Habe weder FireWall noch irgendeinen Virenscanner. Und hatte bisher noch nie Probleme. Das einzige was war, ich hatte diesen lovesan unter Windows.

Aber in den nächsten Tage bekomme auch ich DSL und dann werde ich mir unter Linux eine Firewall einrichten. Für win lohnt sich das nicht, wird eh nicht mehr gestartet.

Gruss penthesilea

Bei mir ist über die Firewall (shorewall) alles dicht außer SSH. Login nur über public/private key und alles andere wird getunnelt.

bitbieger

bitbieger hat geschrieben:Bei mir ist über die Firewall (shorewall) alles dicht außer SSH. Login nur über public/private key und alles andere wird getunnelt.
bitbieger

Auch Patsche heb.

Greetz,
Shorewall User zyta2k

Alles ausser mldonkey ist zu *gg*

Hab mal in einem Channel mit Script Kiddies aufgefordert meine Kiste zu hacken und ihnen meine IP gegeben.

Resultat: "Verarschst du uns ? Die Kiste ist gar nicht am Netz !"
*lol*

zyta2k hat geschrieben:Hab mal in einem Channel mit Script Kiddies aufgefordert meine Kiste zu hacken und ihnen meine IP gegeben.

Resultat: "Verarschst du uns ? Die Kiste ist gar nicht am Netz !"
*lol*

Naja, der Horizont irgendwelcher Script Kiddies reicht ja auch meistens gerademal bis zum ping Befehl, bei den Fortgeschritteneren eventuell noch nmap...

Grützi,

Vinc

Vinc hat geschrieben:

zyta2k hat geschrieben:Hab mal in einem Channel mit Script Kiddies aufgefordert meine Kiste zu hacken und ihnen meine IP gegeben.

Resultat: "Verarschst du uns ? Die Kiste ist gar nicht am Netz !"
*lol*

Naja, der Horizont irgendwelcher Script Kiddies reicht ja auch meistens gerademal bis zum ping Befehl, bei den Fortgeschritteneren eventuell noch nmap...

Trotzdem sollte man niemanden unterschätzen oder gar überheblich sein - man kann immer etwas vergessen haben

Bei zya2k´s Tests würde ich aber man nichts wichtiges auf dem Rechner liegen lassen .

eagle

eagle hat geschrieben:Trotzdem sollte man niemanden unterschätzen oder gar überheblich sein - man kann immer etwas vergessen haben

Ein Script Kiddie kann ich ja nur schwer unterschätzen, weil allein das Wort ja schon impliziert was ich von demjenigen halte.
D.h wenn eine Unterschätzung stattfindet, dann in dem Moment in dem ich "Script Kiddie" zu jemandem sage, und das wiederrum habe ich nicht (da es ein Zitat war)!

Aber im Endeffekt ist deine Aussage natürlich richtig und gilt nicht nur für den EDV Bereich!

Vinc

@Vinc ich wollte um Gottes Willen nicht als "Oberlehrer" daher kommen, sondern wirklich nur anmerken das schon einige auf die Nase gefallen sind. In Kevin Mitnick's Buch ist da ne schöne Episode zu drin .

eagle

iptables: von aussen restriktiv, von innen darf alles.

eagle hat geschrieben:@Vinc ich wollte um Gottes Willen nicht als "Oberlehrer" daher kommen, sondern wirklich nur anmerken das schon einige auf die Nase gefallen sind. In Kevin Mitnick's Buch ist da ne schöne Episode zu drin .

eagle

Schon klar, wiegesagt im Endeffekt hast du ja recht.

Sag mal, du hast das Buch gelesen? Ich hab auch schon mit dem Gedanken gespielt es mir zuzulegen. Meinst du es lohnt sich?

Vinc

Vinc hat geschrieben:Sag mal, du hast das Buch gelesen? Ich hab auch schon mit dem Gedanken gespielt es mir zuzulegen. Meinst du es lohnt sich?

Ja ich habe es im Urlaub gelesen und finde es sehr interessant und auch lesenswert. Man sollte aber nicht erwarten das er über die grossen "Hacks" plaudert. Das Buch heisst ja auch "Die Kunst der Täuschung - Risiko Faktor Mensch" und beleuchtet weniger die technische Seite.

Die vorgestellten Geschichten sind alle spannend erzählt und manchmal glaubt man kaum wie einfach es ist, an bestimmte Informationen oder Dinge ranzukommen.

eagle

eagle hat geschrieben:Ja ich habe es im Urlaub gelesen und finde es sehr interessant und auch lesenswert. Man sollte aber nicht erwarten das er über die grossen "Hacks" plaudert. Das Buch heisst ja auch "Die Kunst der Täuschung - Risiko Faktor Mensch" und beleuchtet weniger die technische Seite.

Die vorgestellten Geschichten sind alle spannend erzählt und manchmal glaubt man kaum wie einfach es ist, an bestimmte Informationen oder Dinge ranzukommen.

eagle

Ok, danke. Aber wenn ich mir das heute bestell denken die von Amazon noch ich will sie verarschen. Hab mir am Dienstag Linux in a Nutshell bestellt...

Vinc

chimaera hat geschrieben:iptables: von aussen restriktiv, von innen darf alles.

na, dann pass mal auf das du dich nicht selbst kompromittierst

try hat geschrieben:

chimaera hat geschrieben:iptables: von aussen restriktiv, von innen darf alles.

na, dann pass mal auf das du dich nicht selbst kompromittierst

tja, um eine bekannte ente zu zitieren:

drei, zwo, risiko..

Hallo,

- regelmäßiges einspielen der Woody Sicherheitsupdates
- Firewall mittels iptables nach der Grundlage eines Artikels in Linuxuser
- regelmäßige Virusscans des Systems (nicht der Mails) mittels F-prot
- debian-security-announce ML abboniert
- die Securityseite von Heise lesen
- immer ein ein bischen Paranoid sein


Das ganze reicht für mich derzeit aus.


MFG

Operations

Bei mir werden lediglich keine Dienste in's Netzwerk/Internet angeboten. IPtables und solche Sachen habe ich nicht in Benutzung.

Ansonsten kein File-Sharing, nach Möglichkeit verschlüsselte Verbindungen etc.


MFG, David

chimaera hat geschrieben:

try hat geschrieben:

chimaera hat geschrieben:iptables: von aussen restriktiv, von innen darf alles.

na, dann pass mal auf das du dich nicht selbst kompromittierst

tja, um eine bekannte ente zu zitieren:

drei, zwo, risiko..

hiess das nicht "zwo, eins risiko" ?