Virenscanner-Info

> > Wenn sie das nicht müssen, dann schaltet man diese Dienste ab. Ganz
> > einfach. Dazu braucht man keine Firewall, schon gar keine, die aus
> > Prinzip nicht funktionieren kann.
a) Personalfirewalls funktionieren.
b) Abschalten ist problematisch: schalte mal den Dienst ab über
den der Blaster reingekommen ist.
> > Richtig. Also schaltet man auf Rechnern für diese Leute selbige ganz
> > einfach ab.
Nun, da kommt ein Problem auf: entweder geht das nicht,
oder (ich bin kein Windows-Profi) ich *kenne* die Dienste
und ihre Optionen schlichtweg nicht.
Ich habe auch auf meinen Linux-Kisten die PFWs an; dort sind
“interne” Server zwar, wenn möglich, so konfiguriert daß sie
nicht auf ppp und ipsec lauschen — aber sicher ist sicher.
> > > — und das sogar
> > > ohne Wartungsaufwand (d.h. man richtet das Ding bei
> > > der Inbetriebnahme ein und fertig).
> >
> > Erzähl noch mehr von Deinen Märchen.
Wo ist denn Wartungsaufwand nötig? Vergiß nicht — ich
rede von Lieschen Müller, andererorts auch “Otto Normal”
genannt. Lieschen und Otto brauchen heute keine Server,
und morgen auch nicht.
> > > Problematisch wird’s allenfalls für Leute die im Internet
> > > auch zocken wollen — da stört so eine PFW etwas. Da
> > > muß man die Sache dann halt umdrehen: alles eingehende
> > > freigeben, und die von den Serverdiensten verwendeten
> > > Ports sperren.
>
> Also ich habe da wirklich gar keine Probleme.
Das liegt aber daran daß Du Deine PFW umkonfigurieren kannst.
Ich gehe dagegen nicht von mir selber aus sondern von meinen
Eltern: dort kann ich halt gelegentlich mal Hand an die Kiste
legen wenn ich sie besuche, und sonst hat die Kiste zu laufen:
ohne Popups, ohne Probleme, ohne Sicherheitslöcher, ohne
Administration. Ohne Personalfirewall wäre das Chaos und
ständige Rumtelefoniererei (”jetzt dorthin klicken, dann
dahin, …) um irgendwelche Updates rechtzeitig auf die
Kiste zu bringen — so ist das Update gegen den Blaster
halt an Weihnachten auf der Büchse gelandet (das Problem mit
dem automatischen Update ist daß ich noch nicht weiß ob
das funktioniert wenn die Kiste nie mit Admin-Rechten
gebootet wird… und ob man es komplett silent stellen
kann (keine Progressanzeigen, keine Aufforderung zum
reboot, kein reboot).
Bei Gelegenheit werde ich mich zwar mal damit beschäftigen
müssen einen “unsichtbaren” VPN-Tunnel zu mir einzurichten
so daß ich ggfs. über einen VNC-Server oder RDP (letzteres
kenne ich noch nicht… insbesondere weiß ich nicht ob man
dafür noch zusätzliche Software braucht, oder was es kann)
Zugriff auf die Kiste habe, aber auch da kann ich nicht
ständig aktiv sein — das wäre ein Notfallzugang. Und VNC
über eine Leitung wo ein 56K Modem auf der einen und TDSL
auf der anderen Seite sitzt ist garantiert auch kein Spaß Alles was ich da aber bisher “weiß” ist daß XP bereits
IPSec kann und Linux kein PPTP, so daß zumindest die
Protokollfrage schon geklärt ist Und für mich selber
brauche ich das eigentlich auch — derzeit gilt mein
gesamter LAN-Traffic als “gut” und darf z.B. durch den
VPN in die Firma, weshalb ich bei LAN-Parties einfach
den Tunnel abstelle. Besser ist es aber natürlich einfach
auf den Desktops einen Tunnel zum Gateway einzurichten
und nur Traffic aus dem LAN-Tunnel in den Firmen-Tunnel
zu lassen In diesselbe Richtung gehen auch andere Ãœberlegungen —
beispielsweise könnte man versuchen über den VPN-Tunnel
eine Art inkrementelles Backup anzufertigen das halt
unsichtbar läuft solange die Kiste online ist; das dürfte
aber, selbst wenn ich geeignete Software finde, schon
daran scheitern daß kurze Modemverbindungen die Datenmengen
wie sich durch Word-Dateien entstehen wahrscheinlich
nicht transportieren können und das Backlog für’s Backup
daher ständig wachsen wird…
Oder ich beschränke mich nicht darauf meinen Eltern zu
erklären daß man keine Attachments startet, sondern route
die Mails durch meine Kiste (VPN-Tunnel = Authentifizierung,
und ich öffne keine zusätzlichen Angriffspunkte) und
installiere dort einen Spamfilter der sich automatisch
updated — das umgeht dann auch die Probleme mit dem
Zeitlimit bei web.de. Das sind derzeit aber nur
Ãœberlegungen was ich verbessern könnte, wenn ich mal
die Zeit dafür finde (haha… ich komme ja nichtmal
dazu die Brennsoftware auf meinem Server zusammenzubasteln,
oder dort einen IMAP-Server für mich einzurichten…).
Das ist auch aus Usersicht unproblematisch, da ich ja
nur die OE-Einstellungen anpassen muß und sich für meine
Eltern nichts ändert.
Hm… ich glaube ich bin etwas abgeschweift Aber egal;
Sicherheits- und Wartungspolicies für den elterlichen
Rechner und Sicherheitspolicies für Firmennetze unterscheiden
sich halt nunmal ziemlich stark.
Christian

Geschrieben am Sonntag, 21. September 2008 um 23:02 und ist zu finden in Allgemein. Du kannst die Antworten zu diesem Thema verfolgen unter RSS 2.0 feed. Du kannst Antwort, oder trackback von deiner Seite.