Hi
*heustel*
beim Thema Firewall bin ich nicht Sattelfest ich werds trotzdem mal versuchen
ich wollt mich ja eigentlich darum drücken
aber es antwortet ja sonst niemand also werd ich mich versuchen *hehe*
maceis schrieb:
nö, stimmt auch nicht, statt Programme lieber Dienste und es gilt auch nur
im lokalen Netz(Daten lokal anfordern oder senden)
maceis schrieb:
Denn wenn eine Firewall zwar sehen kann, das es sich beim Inhalt z. B. um ein waschechtes http-Paket handelt, weiss Sie immer noch nicht, ob das Paket von Safari, Camino, Firefox oder IE abgeschickt wurde.
der Prozess bzw Dienst wird doch von xinetd verwaltet und so weit ich weiss,
kann ich damit den Zugriff auf welche Dienste an welchem port mehr oder weniger
kontrollieren, Programme bekommen dynamisch ports zugeteilt.
Wenn du im Safari und Camino heise.de hast und im Safari die Seite aktualisierst
dann ist sie ja im Camino nicht auch aktualisiert
wenn also eine Firewall Zugriff auf den Dienst hat dann weiss sie auch welches
Programm traffic macht
umgekehrt kann man nicht feststellen welche Dienste benutzt werden, bei Paketen aus dem inet
maceis schrieb:
Herkunft und Ziel sind AFAIK durch die Kombination IP-Adresse/Port beschrieben.
Noch schwieriger wird es bei Programmen die einen (vielleicht sogar selbstgeschriebenen) Server über einen der hohen Ports mit (evtl. noch verschlüsselten) Daten beliefern.
Verschlüsselter Datenverkehr ist für die meisten Firewalls ohnehin nur sehr beschränkt kontrollierbar.
Die eigenen Dienste kennst du ja und du weisst ja auch welchen traffic
sie machen und welchen port sie benutzen. Das kannst du ja der Firewall
beibringen.
maceis schrieb:
btw.: was Du mit einer "richtigen" Firewall meinst weiss ich nicht (eine HW Firewall ?, einen Application Proxy ?).
Ich vermute aber, dass die Zuordnung zwischen Daten-Paket und Software nur am Quellrechner möglich ist.
Sobald das Paket ins Netz gesendet wurde und bei einer "richtigen" HW-Firewall eintrifft, wüsste ich keinen Weg mehr das herauszufinden.
wenn die Firewall weiss welche Dienste auf welchen Rechnern an welchem Port laufen, dann kann die Firewall auch Datenpakete und Software zuordnen.
Wenn du bei der Firewall alles blockst und in die logfiles schreibst, dann
weisst du genau welches programm wann und wie Kontakt aufnimmt.
maceis schrieb:
Mal abgesehen davon halte ich die ipfw schon für eine "richtige" Firewall.
Die Definition ist aber immer wieder Stoff für Diskussionen
die Datenpakete treffen aber bei der ipfw bei deinem Rechner ein und werden
von Port zu Port durchgereicht bis es passt oder dann das Paket verworfen wird,
bei einer hw-firewall kommt erst gar nichts ins lokale Netz.
Das macht schon mal einen grossen Unterschied egal wie die hw-firewall
dann eingesetzt wird(Proxy oder nicht)