die Sache ist ja ganz nett. Aber vergißt Du dabei nicht, daß die meisten User unter Windows den IE benutzen!? Und wenn da ein Proxy eingestellt ist, möchte ich nicht wissen, wer diesen mitbenutzt. Gut, es wäre dann nur WWW/FTP möglich, aber da der IE so tief im System steckt, ist es meiner Meinung zu einfach möglich die FW zu umgehen. Was meint Ihr/DU dazu? Ich installiere unter Windows lieber ZoneAlarm, da ich damit bis jetzt sehr einfach einzelne Prozesse/Tools die eine Verbindung ins Netz aufbauen wollten entdeckt habe.
Grüße Michael
ps: Sagt mir vielleicht einer von Euch, wo man auf dieser Seite einen USER Account anlegen kann!?
Von Rüdiger Steinhofer am So, 7. Mai 2000 um 10:40 #
Du hast recht, aber deshalb habe ich auch bewusst Mozilla gewählt und nicht IE.
Ich traue weder Microsoft, noch den Herstellern von ZoneAlarm und das diese Software auch Nachrichten unterdrückt die von Windows selbst stammen. Aber je mehr Schutzlagen um so besser.
hmmm.....zonealarm hat letztens vor automatischer update-, system- und hardwareüberprüfung durch microsoft in laufendem windows me bei netzanbindung gewarnt und anschließend dieses durch manuellen "knopfdruck" meinerseits unterbunden....reicht für hausgebrauch - gscheiter wär natürlich komplett auf ms zu verzichten.....
Ganz nette Idee, leider wird das von Soft-/Hardware unterlaufen die ihre Absenderadresse spooft. Besser wäre es nur die IP-Adresse des Linux-Rechners zu erlauben und alles andere zu sperren.
Von SuSE git es einen (GPL) FTP Proxy und für IRC (oder auch für FTP) könntest Du Socks nehmen. Nur als Tip für den Fall, das Du "forwarding" ganz unterbinden willst und lieber auf Applikationsebene "filtern" möchtest.
Von Rüdiger Steinhofer am Mo, 8. Mai 2000 um 10:36 #
Ok Ok Nochmal zum mitschreiben:
Ich habe explizit Mozilla gewählt, weil die Proxy-Einstellung im IE wahrscheinlich auch von anderen Programme mitbenützt werden. Bei exotischen Programmen hingegen ist es eher unwahrscheinlich das jemand dessen Einstellungen ausliest. Wem das nicht ausreicht der kann ja Windows überhaupt vom Router abschneiden. Ist gleichbedeutend mit dem ziehen des Netzwerk-Steckers, aber ohne mechanische Abnutzung oder der Gefahr es zu vergessen.
Die eigentliche Idee ist ja, das man dem Linux- und dem Windows-System unterschiedliche IP's zuweisen und dadurch leicht möglich ist Serverseitig zu erkennen welches System läuft und bestimmte Vorgänge zu automatisiere.
Leute wo liegt euer Problem, ihr werdet unter Windows nie 100% ig sicher sein, dass wir das mal klar ausgedrückt haben. Da könnt ihr konfigurieren, was das Zeug hält solange eine Verbindung von Windows aufgebaut werden darf, ist es ein leichtes für ein, z.B. von mir geproggtes, Programm nach Hause zu telefonieren. Über Zonealarm kann ich dabei nur lachen, es verwendet ja nicht mal Prüfsummen, die bereits freigegebene Programme unter Windows prüft ob sie sich verändert haben, da ist es ein leichtes z.B. den IE zu einem späteren Zeitpunkt per Trojan zu patchen. Die Lösung mit eurem Linux Proxy ist nicht schlecht, aber ichkönnte euch schon wieder sagen wo die schwachstelle liegt :-). Na noch ein kleiner Tip zur absoluten Sicherheit --> niemals Windows verwenden, Linux ist auch nicht mehr zu empfehlen, da es mittlerweile zu viele gibt, die auch da wissen wie man ein System zerlegt. Also muss man wieder mal umsteigen auf ein anderes OS, das nicht so bekannt ist und einem evtl die Möglichkeit bietet den Sourcecode vorher zu checken. So und dann benützt man dieses OS für den Internetbetrieb.
@X-Sniper-X Wo soll den die schwachstellen von Squid liegen? Also,wenn ich alles durch eine Firewall biege (auch Squid) bin ich auf der sicheren Seite........und wenn doch jemand auf meiner Kiste kommt,naja........hab nix zu verbergen. Hehe,dann zieh ich halt den Stecker :-).......schwupps,und nee neue IP hab ich.
Die angegebene Seite gehört nicht mir, sondern enthält eine Liste mit Programmen die eine Nachricht zum Hersteller senden.
die Sache ist ja ganz nett. Aber vergißt Du dabei nicht, daß die meisten User unter Windows den IE benutzen!? Und wenn da ein Proxy eingestellt ist, möchte ich nicht wissen, wer diesen mitbenutzt. Gut, es wäre dann nur WWW/FTP möglich, aber da der IE so tief im System steckt, ist es meiner Meinung zu einfach möglich die FW zu umgehen. Was meint Ihr/DU dazu? Ich installiere unter Windows lieber ZoneAlarm, da ich damit bis jetzt sehr einfach einzelne Prozesse/Tools die eine Verbindung ins Netz aufbauen wollten entdeckt habe.
Grüße Michael
ps: Sagt mir vielleicht einer von Euch, wo man auf dieser Seite einen USER Account anlegen kann!?
Ich traue weder Microsoft, noch den Herstellern von ZoneAlarm und das diese Software auch Nachrichten unterdrückt die von Windows selbst stammen. Aber je mehr Schutzlagen um so besser.
TS
leider wird das von Soft-/Hardware unterlaufen die ihre Absenderadresse spooft.
Besser wäre es nur die IP-Adresse des Linux-Rechners zu erlauben und alles andere zu sperren.
Max
Am besten man erweitert jede Firewallregel so das nur noch Pakete von und nach Linux-Rechnern durchgehen.
z.B.
iptables -A FORWARD -p TCP -i ippp0 --sport www -d 192.168.0.63/26 ! --syn -j ACCEPT
iptables -A FORWARD -p TCP -o ippp0 --dport www -s 192.168.0.63/26 -j ACCEPT
Außerdem muss man
iptables -A FORWARD -s 192.168.0.128/25 -j DROP
iptables -A FORWARD -d 192.168.0.128/25 -j DROP
für den WinNT/2k Bereich hinzufügen.
Je mehr Schutzschichten um so besser.
ist ja nit so das z.b. der ie die einfach in die registry schreibt ...
das war ironie (oder sollte es zumindest sein
Ich habe explizit Mozilla gewählt, weil die Proxy-Einstellung im IE wahrscheinlich auch von anderen Programme mitbenützt werden. Bei exotischen Programmen hingegen ist es eher unwahrscheinlich das jemand dessen Einstellungen ausliest. Wem das nicht ausreicht der kann ja Windows überhaupt vom Router abschneiden. Ist gleichbedeutend mit dem ziehen des Netzwerk-Steckers, aber ohne mechanische Abnutzung oder der Gefahr es zu vergessen.
Die eigentliche Idee ist ja, das man dem Linux- und dem Windows-System unterschiedliche IP's zuweisen und dadurch leicht möglich ist Serverseitig zu erkennen welches System läuft und bestimmte Vorgänge zu automatisiere.
Über Zonealarm kann ich dabei nur lachen, es verwendet ja nicht mal Prüfsummen, die bereits freigegebene Programme unter Windows prüft ob sie sich verändert haben, da ist es ein leichtes z.B. den IE zu einem späteren Zeitpunkt per Trojan zu patchen. Die Lösung mit eurem Linux Proxy ist nicht schlecht, aber ichkönnte euch schon wieder sagen wo die schwachstelle liegt :-).
Na noch ein kleiner Tip zur absoluten Sicherheit --> niemals Windows verwenden, Linux ist auch nicht mehr zu empfehlen, da es mittlerweile zu viele gibt, die auch da wissen wie man ein System zerlegt.
Also muss man wieder mal umsteigen auf ein anderes OS, das nicht so bekannt ist und einem evtl die Möglichkeit bietet den Sourcecode vorher zu checken. So und dann benützt man dieses OS für den Internetbetrieb.
Gruß X-Sniper-X
Wo soll den die schwachstellen von Squid liegen?
Also,wenn ich alles durch eine Firewall biege (auch Squid) bin ich auf der sicheren Seite........und wenn doch jemand auf meiner Kiste kommt,naja........hab nix zu verbergen.
Hehe,dann zieh ich halt den Stecker :-).......schwupps,und nee neue IP hab ich.