Re: Brainstorming: passive firewall
Am 13. Juni 2013 19:35 schrieb Jochen Spieker <ml@well-adjusted.de>:
> Bjoern Meier:
>>
>> Wie jeder, der länger als 5 Minuten im Internet war, benutze ich
>> Zuhause einen Router. Wir nutzen sie, da sie uns durch Masquerading
>> schützen. So weit , so gut.
>
> Das ist leider schon falsch. "Router" im eigentlichen Sinne routen nur.
> NAT/Masquerading wird hierzulande hauptsächlich deswegen gemacht, weil
> es pro Hausanschluss nur eine IP-Adresse gibt.
Ja natürlich, dass ist der einzige Aspekt dahinter. Bei Site-to-Site
Netzwerken macht man das auch nur weil es pro Hausanschluss nur eine
IP-Adresse gibt.
Zum einen gibt es NICHT pro Hausanschluss, eine IP-Adresse. Sonst wäre
die dynamische Zuteilung auch hinfällig.
Zum anderen gibt es private Adressen, damit nicht jeder zur IANA
laufen muss um Zuhause sein Netzwerk betreiben zu können.
Ferner sind die Aspekte, dass man nicht einfach auf das interne Netz
gelangt auch nicht zu vernachlässigen.
>> Dennoch leben wir in einer Welt, in der ständige Internetverbindung
>> vorausgesetzt wird. Dies trägt mitunter komische und unakzeptable
>> Blüten. Es bedarf nicht viel um Programme zu formulieren, die sonst
>> was treiben.
>
> Häh? Kannst Du genauer ausführen, wo für Dich das Problem liegt und wie
> Du es zu lösen gedenkst? Für mich klingt Dein Ansatz nach "Ich habe
> nicht-vertrauenswürdige Software auf dem Rechner und möchte deswegen ein
> fernsteuerbares ZoneAlarm auf dem Router haben". Kommt das so hin?
muss das sein, so von oben herab?
Nein, ich habe nicht vertrauenswürdige Software auf meinen PC. Das
gilt für jede Software, deren Quellcode ich nicht in Gänze kenne. Ich
vertraue dieser Software nur insofern wie ich in der Lage bin es
selbst zu beurteilen. Ich nenne dies "gesunden Menschenverstand".
ZoneAlarm? Meine Güte, wohnst du im Keller, dass du außer
Spielzeug-Software nichts anderes zu nennen weißt? Allerdings haben
sogenannte Desktop firewalls schon eine gewisse usability mit der ich
in den Netzwerkverkehr nach Bedarf und ohne großartige Rumklickerei
eingreifen kann. Die Nachteile dieser Software sind allerdings
zahlreich, wovon eigener Netzwerktreiber und Systemveränderungen nur
Zwei wären.
Merkst was? Kein schöner Ton, mh? Okay, zurück zur Sachlichkeit.
Es geht nicht darum, ob ich einer Software traue oder nicht. Ich
möchte das Verhalten meiner Software kennen und ich möchte
entscheiden, was sie darf und was nicht. Dies ist für mich eine
natürliche Ordnung der Dinge. "My PC, my rules"
Nein, es hilft auch nicht, zu sagen:"Nimm halt Linux und sperr mit
iptables". Dann wäre ich ja nur noch am Ports konfigurieren.
Falls du für meine Vorstellung einer nutzbaren Netzwerkumgebung kein
Verständnis aufbringen kannst oder möchtest, kein Problem, einfach
Mails überlesen. Sollte ich mich diesem Ton wiederum konfrontiert
sehen, verabschiede ich mich hiermit schon im Voraus von dir.
>> ich möchte daher ein Zwischensystem, welche für mich als Proxy
>> fungiert. Ich meine jetzt nicht allein Squid oder httpd_proxy, sondern
>> die tatsächliche wörtliche Übersetzung: "Stellvertreter".
>
> Die übliche Verwendung des Begriffs "Proxy" im Netzwerkbereich stimmt
> mit der wörtlichen Übersetzung überein. Sie ist nur ein Spezialfall. Was
> stellst Du Dir technisch genau vor?
Okay, ich dachte, das wäre damit geklärt. ich sende meine Anfrage an
die Maschine und diese soll für mich die Antworten entgegen nehmen.
Das soll auch für Protokolle abseits von HTTP und HTTPS geschehen.
Beispiel: Ich verbinde mich mit Port 3389 und zwar nicht am Ziel,
sondern an der Maschine, welche den Port zum Ziel weiterleitet. das
hat für mich den vorteil, dass ich nur eine Verbindung lokal speichern
brauche, und die Zielport-Weiterleitung auf verschiedenste VPN
aktualisieren kann, ohne jedesmal 20 Verbindungen mit mir rumschleppen
zu müssen. Wie gesagt, ich nutze verschiedene Systeme. Wiederum hätte
es den Vorteil, dass ich den Port zentral umleiten kann, wenn das Ziel
einen anderen Port benutzt, den ich am Client nicht ändern kann.
Natürlich kann ich auch überall lokal umleiten, aber ... nö
>> Der schwierigste Punkt:
>> - jedes Programm, dass eine Verbindung mit dem state NEW aufbaut, soll
>> gemeldet und ggf, geblockt werden. Wird dies nicht geblockt, so werden
>> derartige Verbindung nicht mehr gemeldet. Ich bin hier nicht sicher,
>> ob dies mit iptables und squid machbar wäre.
>
> Iptables hat keine GUI. Wowereit. Abgesehen davon krankt Dein Konzept an
> den gleichen Stellen, wie die Idee von ZoneAlarm.
iptables mit GUI? Bitte nicht zufällige Interpretationen nutzen, das
verwirrt mich bloß.
>> Da wo mir bisher ein Ansatz aus Erfahrungsmangel fehlt: die Hardware.
>
> *Das* ist bei Deinem Vorhaben das einfachste. Alix, Soekris … Du hast ja
> nicht gesagt, dass es billig sein soll. ;-)
Richtig habe ich nicht, allerdings hätte ich zu den Wörtern gern
erfahren, warum du diese vorschlägst. Google kann ich selbst benutzen.
Ich würde gern auf Erfahrungen anderer zurückgreifen.
Danke für deine Mühe, allerdings hätte ich gern doch mehr technische
und vor allem mehr sachliche Vorschläge gehabt.
Gruß,
Björn
Reply to: