nntp.arcor.de nicht erreichbar?

[Joerg]

Lutz Schulze wrote:

Am Wed, 24 Sep 2008 17:03:31 +0200 schrieb Falk Willberg:

Mein Root-Server läuft ohne Firewall. Wozu sollte die auch gut sein?

- nur die Protokolle ranlassen die du gezielt freigibst, ihn also bei einem
Konfigurationsfehler schützen?

- 'Verdächtige Pakete' in erwünschten Protokollen eliminieren, die
möglicherweise Sicherheitsprobleme der Protokolle ausnutzen wollen?

- DoS Attacken abwehren?

http://de.wikipedia.org/wiki/Stateful_Packet_Inspection

Mir wollte mal ein waschechter IT Profi zeigen, dass so kleine HW
Firewalls nicht so sicher sind wie die dicken. Es gelang ihm nicht ...

--
Gruesse, Joerg

http://www.analogconsultants.com/

"gmail" domain blocked because of excessive spam.
Use another domain or send PM.

 

[Joerg]

Gerrit Heitsch wrote:

Joerg wrote:
Falk Willberg wrote:
Joerg schrieb:
[ISDN]
Immer noch 128kbit/sec. <gaehn

Ja, so ist der (Standard-)ISDN-Anschluß spezifiziert.


Genau das hatte ich nie verstanden. Wenn die ihn wenigstens gleich auf
500k oder 1M spezifiziert haetten, da waere ISDN der aufkommenden
Konkurrenz davongeprescht.

Das beisst sich mit der zulaessigen Kabellaenge. War ISDN nicht so
geplant, dass es auf allen analogen Telefonleitungen funktioniert?

Ein gut entwickeltes System passt sich der Leitungsqualitaet an. Es
waere nichts dagegen zu sagen, wenn es weit draussen bei Bauer Lehmann
nur 128kbit/sec macht, aber unten im Ort dann so richtig aufdreht. Ist
ja bei DSL auch so. Meine Schwester in der Pampa bekommt nur
384kbit/sec, ich kann bis einige MBit/sec erreichen und in der Stadt
geht es m.W. zweistellig. Selbst Hughes Net ueber Satellit schafft hier

700kbit/sec und das kann selbst Leuten weit abseits der singenden
Draehte Internet anbieten.

--
Gruesse, Joerg

http://www.analogconsultants.com/

"gmail" domain blocked because of excessive spam.
Use another domain or send PM.

 

[Joerg]

horst-d.winzler wrote:

Gerrit Heitsch schrieb:
Joerg wrote:
Falk Willberg wrote:
Joerg schrieb:
[ISDN]
Immer noch 128kbit/sec. <gaehn
Ja, so ist der (Standard-)ISDN-Anschluß spezifiziert.

Genau das hatte ich nie verstanden. Wenn die ihn wenigstens gleich auf
500k oder 1M spezifiziert haetten, da waere ISDN der aufkommenden
Konkurrenz davongeprescht.
Das beisst sich mit der zulaessigen Kabellaenge. War ISDN nicht so
geplant, dass es auf allen analogen Telefonleitungen funktioniert?


So ist es. ISDN sollte auf allen TALs flächendeckend Analog ersetzen
können. Dafür bietet es eine ausgezeichnete Übertragungsqualität.
Von eienr, für VoIP ausreichenden Übertragungsgeschwindigkeit die ISDN
ersetzen kann, können Viele nur träumen.
Ich denke, auch im Trommelcaunty ;-)

Ich habe gerade mit Germania telefoniert, beidseitig POTS. Die Qualitaet
war wie ueblich so astrein, dass man dachte, der andere saesse im
Nachbarhaus oder hier in der Kueche. Fuer 2c/min.

--
Gruesse, Joerg

http://www.analogconsultants.com/

"gmail" domain blocked because of excessive spam.
Use another domain or send PM.

 

[Henry Kiefer]

Henning Paul schrieb:

Henry Kiefer wrote:

Lutz Schulze schrieb:
Wer es sicherer will lässt den VPN-Endpunkt auf dem heimischen
Router enden.

Und wie geht das nun wieder?
Manche Router unterstützen, dass man sie als VPN-Endpunkt nutzt. Der
Effekt ist derselbe, es bekommt aber nicht noch ein VPN-Provider die
Daten zu Gesicht.
Und welche billigen Modelle können das?

Zwar nicht billig, aber häufiger subventioniert: Fritz!Boxen mit
Firmware jünger als ca. 2 Monate.

Hatte ich ja schon erwähnt: Sie schreiben nur was von Fernwartung!


- Henry



--
www.ehydra.dyndns.info

 

[horst-d.winzler]

Joerg schrieb:

horst-d.winzler wrote:
Gerrit Heitsch schrieb:
Joerg wrote:
Falk Willberg wrote:
Joerg schrieb:

Ich habe gerade mit Germania telefoniert, beidseitig POTS. Die Qualitaet
war wie ueblich so astrein, dass man dachte, der andere saesse im
Nachbarhaus oder hier in der Kueche. Fuer 2c/min.

Dann waren das sicher keine Kohle-Kontakt-Mikrofonkapseln.

Wie die Qualitätsanprüche schon fast unterirdisches Niveau erreichen
können, erlebt man, wenn VoIP durch TALs "geprügelt" wird. Hauptsache
ist billig...

--
mfg hdw

 

[Lutz Schulze]

Am Wed, 24 Sep 2008 08:42:34 -0700 schrieb Joerg:

Mein Root-Server läuft ohne Firewall. Wozu sollte die auch gut sein?

- nur die Protokolle ranlassen die du gezielt freigibst, ihn also bei einem
Konfigurationsfehler schützen?

- 'Verdächtige Pakete' in erwünschten Protokollen eliminieren, die
möglicherweise Sicherheitsprobleme der Protokolle ausnutzen wollen?

- DoS Attacken abwehren?

http://de.wikipedia.org/wiki/Stateful_Packet_Inspection


Mir wollte mal ein waschechter IT Profi zeigen, dass so kleine HW
Firewalls nicht so sicher sind wie die dicken. Es gelang ihm nicht ...

Selbst bei vergleichbarer Hardware, Betriebssystem ('gehärtetes' Mini-System
versus komplettes BS) und Firewall-Prinzip steht und fällt da doch recht
viel mit der Konfiguration und dem Anwendungsfall.

Lutz

--
Mit unseren Sensoren ist der Administrator informiert, bevor es Probleme im
Serverraum gibt: preiswerte Monitoring Hard- und Software-kostenloses Plugin
auch für Nagios - Nachricht per e-mail,SMS und SNMP: http://www.messpc.de
Neu: Ethernetbox jetzt auch im 19 Zoll Gehäuse mit 12 Ports für Sensoren

 

[Joerg]

horst-d.winzler wrote:

Joerg schrieb:
horst-d.winzler wrote:
Gerrit Heitsch schrieb:
Joerg wrote:
Falk Willberg wrote:
Joerg schrieb:

Ich habe gerade mit Germania telefoniert, beidseitig POTS. Die Qualitaet
war wie ueblich so astrein, dass man dachte, der andere saesse im
Nachbarhaus oder hier in der Kueche. Fuer 2c/min.


Dann waren das sicher keine Kohle-Kontakt-Mikrofonkapseln.

Nun ja, ein ganz klein wenig ist die Zeit auch bei POTS vorangeschritten

Wenn's aber unbedingt der alte Sound sein soll, in der Kueche haengt ein
Western Electric von 1927, mit Kurbel.

Wie die Qualitätsanprüche schon fast unterirdisches Niveau erreichen
können, erlebt man, wenn VoIP durch TALs "geprügelt" wird. Hauptsache
ist billig...

VoIP mag ich (bisher) nicht besonders.

--
Gruesse, Joerg

http://www.analogconsultants.com/

"gmail" domain blocked because of excessive spam.
Use another domain or send PM.

 

[Henning Paul]

Henry Kiefer schrieb:

Henning Paul schrieb:
Henry Kiefer wrote:

Lutz Schulze schrieb:
Wer es sicherer will lässt den VPN-Endpunkt auf dem heimischen
Router enden.

Und wie geht das nun wieder?
Manche Router unterstützen, dass man sie als VPN-Endpunkt nutzt.
Der Effekt ist derselbe, es bekommt aber nicht noch ein
VPN-Provider die Daten zu Gesicht.
Und welche billigen Modelle können das?

Zwar nicht billig, aber häufiger subventioniert: Fritz!Boxen mit
Firmware jünger als ca. 2 Monate.


Hatte ich ja schon erwähnt: Sie schreiben nur was von Fernwartung!

Nein.
http://download.avm.de/fritz.box/fritzbox.wlan_3170/firmware/deutsch/info.txt
| Änderungen in 49.04.53
| - VPN-Funktionalität integriert. Mit dieser Firmware bekommen Sie von
| unterwegs per Internet sicheren Zugang auf Ihr FRITZ!Box-Netzwerk zu
| Hause oder im Büro.

Gruß
Henning
--
henning paul home: http://home.arcor.de/henning.paul
PM: henningpaul@gmx.de , ICQ: 111044613

 

[Joerg]

Lutz Schulze wrote:

Am Wed, 24 Sep 2008 08:42:34 -0700 schrieb Joerg:

Mein Root-Server läuft ohne Firewall. Wozu sollte die auch gut sein?
- nur die Protokolle ranlassen die du gezielt freigibst, ihn also bei einem
Konfigurationsfehler schützen?

- 'Verdächtige Pakete' in erwünschten Protokollen eliminieren, die
möglicherweise Sicherheitsprobleme der Protokolle ausnutzen wollen?

- DoS Attacken abwehren?

http://de.wikipedia.org/wiki/Stateful_Packet_Inspection

Mir wollte mal ein waschechter IT Profi zeigen, dass so kleine HW
Firewalls nicht so sicher sind wie die dicken. Es gelang ihm nicht ...

Selbst bei vergleichbarer Hardware, Betriebssystem ('gehärtetes' Mini-System
versus komplettes BS) und Firewall-Prinzip steht und fällt da doch recht
viel mit der Konfiguration und dem Anwendungsfall.

Richtig. Die Konfiguration ist wichtig und wird so im Detail von vielen
Kunden einfach "vergessen". Einstoepseln und loslegen ist bei HW
Firewalls nicht. Meine benutzt auch kein richtiges OS.

--
Gruesse, Joerg

http://www.analogconsultants.com/

"gmail" domain blocked because of excessive spam.
Use another domain or send PM.

 

[Falk Willberg]

Lutz Schulze schrieb:

Am Wed, 24 Sep 2008 17:03:31 +0200 schrieb Falk Willberg:

Mein Root-Server läuft ohne Firewall. Wozu sollte die auch gut sein?

- nur die Protokolle ranlassen die du gezielt freigibst, ihn also bei einem
Konfigurationsfehler schützen?

Ich finde es einfacher, nicht benötigte Dienste nicht zu starten. Ein
Paketfilter einzurichten, finde ich nicht einfacher, als den Server
vernünftig zu konfigurieren.

- 'Verdächtige Pakete' in erwünschten Protokollen eliminieren, die
möglicherweise Sicherheitsprobleme der Protokolle ausnutzen wollen?

Das ist mir viel zu aufwendig. Dazu bräuchte ich ja noch einen Server...
Außerdem habe ich schon lange keine Warnungen vor remote-exploits mehr
gehört.

- DoS Attacken abwehren?

Lohnt sich bei dem kleinen Ding nicht. Da ist ein derzeit fast
unbenutzer Webserver drauf sowie Mailserver mit SPAM-Filter.

Die "Sicherheitsmaßnahme", die ich mal ergreifen mußte, war, den sshd
von port 22 nach 22nnn zu verlegen, weil die ständigen
Wörterbuchattacken die Logfiles zumüllten.

http://de.wikipedia.org/wiki/Stateful_Packet_Inspection

Das reicht nicht, um sich vor Sicherheitslücken in Diensten/Protokollen
zu schützen, da der Inhalt der Pakete nicht analysiert wird.

Falk

 

[Lutz Schulze]

Am Wed, 24 Sep 2008 18:48:10 +0200 schrieb Falk Willberg:

Mein Root-Server läuft ohne Firewall. Wozu sollte die auch gut sein?

- nur die Protokolle ranlassen die du gezielt freigibst, ihn also bei einem
Konfigurationsfehler schützen?

Ich finde es einfacher, nicht benötigte Dienste nicht zu starten. Ein
Paketfilter einzurichten, finde ich nicht einfacher, als den Server
vernünftig zu konfigurieren.

Es ging um Konfigurationsfehler, die macht man ja wohl eher versehentlich.
Schön, wenn dann nicht gleich jemand durch die Tür kommt.

- 'Verdächtige Pakete' in erwünschten Protokollen eliminieren, die
möglicherweise Sicherheitsprobleme der Protokolle ausnutzen wollen?

Das ist mir viel zu aufwendig. Dazu bräuchte ich ja noch einen Server...
Außerdem habe ich schon lange keine Warnungen vor remote-exploits mehr
gehört.

- DoS Attacken abwehren?

Lohnt sich bei dem kleinen Ding nicht. Da ist ein derzeit fast
unbenutzer Webserver drauf sowie Mailserver mit SPAM-Filter.

Die "Sicherheitsmaßnahme", die ich mal ergreifen mußte, war, den sshd
von port 22 nach 22nnn zu verlegen, weil die ständigen
Wörterbuchattacken die Logfiles zumüllten.

http://de.wikipedia.org/wiki/Stateful_Packet_Inspection

Das reicht nicht, um sich vor Sicherheitslücken in Diensten/Protokollen
zu schützen, da der Inhalt der Pakete nicht analysiert wird.

Sorry, ich wollte nur mal an die Aufgaben einer externen Firewall erinnern.
Die Frage war, wozu die gut sein soll. Natürlich sollte sie dem Problem
angemessen sein, aber dass 'ohne' sicherer ist kann ich mir nur schwer
vorstellen.

Dass heute viele Root-Server ohne betrieben werden ist eine andere Sache.

Lutz

--
Mit unseren Sensoren ist der Administrator informiert, bevor es Probleme im
Serverraum gibt: preiswerte Monitoring Hard- und Software-kostenloses Plugin
auch für Nagios - Nachricht per e-mail,SMS und SNMP: http://www.messpc.de
Neu: Ethernetbox jetzt auch im 19 Zoll Gehäuse mit 12 Ports für Sensoren

 

[Axel Schwenke]

Lutz Schulze <lschulze@netzwerkseite.de> wrote:

Am Wed, 24 Sep 2008 17:03:31 +0200 schrieb Falk Willberg:

Mein Root-Server läuft ohne Firewall. Wozu sollte die auch gut sein?

- nur die Protokolle ranlassen die du gezielt freigibst, ihn also bei einem
Konfigurationsfehler schützen?

Und warum sollte ich einen "Konfigurationsfehler" machen, wenn ich
ungewollt Dienste aktiviere, aber keinen "Konfigurationsfehler" beim
Konfigurieren der Firewall?

- 'Verdächtige Pakete' in erwünschten Protokollen eliminieren, die
möglicherweise Sicherheitsprobleme der Protokolle ausnutzen wollen?

Stateful Inspection. Können einige wenige Topprodukte, aber das ist
eher nicht das, was Rainer Anwender auf seiner Windoze-Kischte hat.
Und auch die machen oft genug noch Fehler. Zusätzliche Fehler.

- DoS Attacken abwehren?

Kann keine Firewall. Gegen die simplen Sachen wie SYN-Floods sollte
der IP-Stack deines Servers schon gehärtet sein. DOS-Attacken die
"normale" Zugriffe - nur eben in großer Menge - produzieren, kann
keine Firewall der Welt abfangen.


XL

 

[Falk Willberg]

Lutz Schulze schrieb:
....

Sorry, ich wollte nur mal an die Aufgaben einer externen Firewall erinnern.
Die Frage war, wozu die gut sein soll. Natürlich sollte sie dem Problem
angemessen sein, aber dass 'ohne' sicherer ist kann ich mir nur schwer
vorstellen.

Das wird in der Regel auch nicht der Fall sein. Leider wiegen sich
manche Anwender in falscher Sicherheit, weil man ja eine "Firewall" hat.

Natürlich sind viele Sicherheitsmaßnahme sinnvoll, aber solange
praktisch niemand die Risiken von eMail berücksichtigt, ist es auch fast
egal ;-)

Falk

 

[Thomas 'Tom' Malkus]

Joerg wrote:

Das wird hier bei neuen Rechnern als erstes durchkaemmt und
abgeschaltet. Inklusive der Calls nach Redmond.

Du hast kein lokales Netzwerk?

Da ist was dran. Wer nur legale Software von einschlaegigen Herstellern
benutzt, muss wenig fuerchten.

Irrtum. Es sind schon DVD und CD sowie ganze Rechner verseucht ab Werk
geliefert worden.

73 de Tom
--
Thomas 'Tom' Malkus, DL7BJ
Locator JO43GC * DL-QRP-AG #1186 * AGCW-DL #2737 * DARC OV I19

 

[Joerg]

Thomas 'Tom' Malkus wrote:

Joerg wrote:

Das wird hier bei neuen Rechnern als erstes durchkaemmt und
abgeschaltet. Inklusive der Calls nach Redmond.

Du hast kein lokales Netzwerk?

Klar. Aber das ist das Procedere mit allen Rechnern, die hier
angeschafft werden. Die leben alle nach der Maxime "Django spricht heute
nicht".

Da ist was dran. Wer nur legale Software von einschlaegigen
Herstellern benutzt, muss wenig fuerchten.

Irrtum. Es sind schon DVD und CD sowie ganze Rechner verseucht ab Werk
geliefert worden.

Ok, genauso kann es natuerlich sein, dass ich morgen eine Dose Anchovies
aufmache und danach an Fischvergiftung eingehe.

--
Gruesse, Joerg

http://www.analogconsultants.com/

"gmail" domain blocked because of excessive spam.
Use another domain or send PM.

 

[Thomas 'Tom' Malkus]

Axel Schwenke wrote:

Stateful Inspection. Können einige wenige Topprodukte, aber das ist
eher nicht das, was Rainer Anwender auf seiner Windoze-Kischte hat.

Jepp, der Linux Kernel ist so ein Topprodukt ;-)

73 de Tom
--
Thomas 'Tom' Malkus, DL7BJ
Locator JO43GC * DL-QRP-AG #1186 * AGCW-DL #2737 * DARC OV I19

 

[Henry Kiefer]

Joerg schrieb:

Und du bist dir sicher, 128kbit ist für deine Quaselgeschwindigkeit zu
wenig??


Dafuer reicht es

Aber damals wurde es als "das" Datenuebertragungsmedium gepriesen. War
als Einzelkanal auch marginal schneller als die ueblichen 40kbit/sec aus
einem 56k Modem, doch bei den Kosten blieb mir die Spucke weg.

Ich empfand den Umstieg von Analog auf ISDN als echten Fortschritt, so
wie den von ISDN auf DSL.


- Henry


--
www.ehydra.dyndns.info

 

[Henry Kiefer]

Joerg schrieb:

Falk Willberg wrote:
Joerg schrieb:
[ISDN]
Immer noch 128kbit/sec. <gaehn

Ja, so ist der (Standard-)ISDN-Anschluß spezifiziert.


Genau das hatte ich nie verstanden. Wenn die ihn wenigstens gleich auf
500k oder 1M spezifiziert haetten, da waere ISDN der aufkommenden
Konkurrenz davongeprescht.

Jörg! Schau doch mal auf den Kalender. Wieso wurde DSL nicht in den
Sechzigern auf den Markt gebracht? Hätte viele gefreut!

Der Rest der Welt ist inzwischen von 9600bd auf etliche Mbit/sec
vorgedrungen.

Sag mal, habt Ihr immer noch 60Hz? Heute sollte doch die Technik
verfügbar sein, den Netzanschluß auf etliche kHz zu bringen ;-)


Dann tut's aber die Fernleitung von hier rauf in Richtung Ponderosa
nicht mehr so richtig ...

Fernleitungen laufen gerne mit NullHz.


- Henry



--
www.ehydra.dyndns.info

 

[Henry Kiefer]

Gerrit Heitsch schrieb:

Joerg wrote:
Falk Willberg wrote:
Joerg schrieb:
[ISDN]
Immer noch 128kbit/sec. <gaehn

Ja, so ist der (Standard-)ISDN-Anschluß spezifiziert.


Genau das hatte ich nie verstanden. Wenn die ihn wenigstens gleich auf
500k oder 1M spezifiziert haetten, da waere ISDN der aufkommenden
Konkurrenz davongeprescht.

Das beisst sich mit der zulaessigen Kabellaenge. War ISDN nicht so
geplant, dass es auf allen analogen Telefonleitungen funktioniert?

Ja, war es. Es bot _garantierte_ Geschwindigkeit und -Timing.



- Henry



--
www.ehydra.dyndns.info

 

[Axel Schwenke]

Thomas 'Tom' Malkus <tom.dl7bj@gmail.com> wrote:

Axel Schwenke wrote:

Stateful Inspection. Können einige wenige Topprodukte, aber das ist
eher nicht das, was Rainer Anwender auf seiner Windoze-Kischte hat.

Jepp, der Linux Kernel ist so ein Topprodukt ;-)

Nö. Da hat bloß irgendein Hirni bei Wikipedia Blödsinn geschrieben.
Nur weil ein Paketfilter connection tracking macht, ist das noch keine
stateful inspection. Letzteres beinhaltet eine Analyse und Filterung
der Pakete oberhalb Layer 4. Lies mal den englischen Artikel. Da wird
das unter "Application Level Filter" beschrieben.

Wenn man will, kann man eine derartige Firewall auch als transparenten
Proxy betrachten. Allerdings wird dabei auch wieder das Ursprungsprob-
lem deutlich: auch der Proxy implementiert das Protokoll des Dienstes.
Und wenn der Proxy eine sichere Implementierung hin bekommt, kann das
der eigentliche Server genauso. Die Arbeit ist also besser in die
Server-Implementierung investiert als in einen Firewall-Proxy.


XL