Wenn Sie auf der linken Seite keine Menüleiste vorfinden, klicken Sie bitte
hier.
Come and be a pc-doctor! Keine Plattform ohne Sicherheit von Grund auf, herzlich willkommen zu Sicherheit in der Informationstechnik auf http://www.gooken.de bzw. http://web239.serverdrome.eu!
"Früher legten sogenannte Cyberkriminelle fremde Rechner durch Computerviren lahm, heute räumen die Datendiebe ganze Bankkonten leer", schrieben die Zeitschriften selbst nach dem Jahrtausendwechsel. In der Tat, auch wenn viele Menschen bestimmt gar nichts merken: Selten sowas gesehen! Presseberichten nach erinnert die IT Sicherheitslage über ein unzureichendes System nach dem anderen heute noch an Notfälle, Katastrophen und unvorhersehbare Zahlungen.
"Der Weg ist das Ziel", mit solchen Sätzen stünde Konfuzius heutzutage nicht alleine dar. The Green LED möchte den Kampf um die Vorzüge des Computers mit seinen
mannigfachen Möglichkeiten allein im Vergleich zur herkömmlichen Schreibmaschine jedoch nicht aufgeben. The Green LED ist ein neben um inhaltliche Vollständigkeit erstmalig auch um Strukturierung und wissenschaftliche Normen bzw. Lösungen bemühter Treffpunkt für möglichst immerwährende IT Sicherheit, dem Computerfirmen nachziehen bzw. wenigstens tun sie so. Vorgestellt wird das standardisierte Konzept einer Firmendatenbank und -managements und der IT Sicherheit nach dem auf Niveau, Standards, Prototypen und Checklisten basierten Ansatz mit dem Verzicht auf betriebsfremde (nicht im Lieferumfang enthaltener) Mittel und rapiden Einsparungen an Festplattenscans, Updates und Upgrades auf je nach Dateisystem tatsächlich erzielbarer bzw. idealer Weise sage und schreibe Null! Im Vergleich zu vielen anderen Projekten weisen die Projekte von The Green LED nicht nur einen immerwährenden Charakter auf, sondern finden zu jedem Anfang im Großen und Ganzen auch ein verdientes Ende des Zustands "bearbeitet". Dabei bleiben mit dem anhaltenden Konzept für nur 10 Euro sämtliche Kosten für Anschaffung, Registrierung, Schulung, Beratung und Umstellung einschließlich Lizenzgebühren erspart. Einhaltung stärkt außerdem die rechtliche Position im Computerzeitalter und Glaubhaftigkeit gegenüber Mitmenschen. Die sicherheitstechnische Umsetzung selbst erfolgt von der Zeit unabhängig über Feinabstimmungen zu den Downloads unter anderem anhand Pdfs wie dem Computer-Handbuch mit Checkliste und flächendeckender Sicherheitssoftware wie Firewall linfw3, der Wiederaufbereitung von Daten auf Speichermedien klean, Einblick in die Arbeitsweise von Suchmaschinen, der sicheren PHP-MySQL Firmendatenbank und Download-Schutzmaßnahme download-counter. Natürlich wird auch vor ergonomischen Kriterien und Kriterien der Green IT nicht Halt gemacht. The Green LED verhilft daher im entscheidenden Maß zur Prävention, Diagnose und Reparatur von Computersystemen. Neben einem auf der SQL-Datenbank gestützten und weitgehend standardisierten Firmen-Management erinnert The Green LED in Sicherheitsfragen alles in allem an den von einer grünen LED signalisierten, ruhigen, störungsfreien Betrieb.
Doch von vorn: In diesem zweischrittigem Exkurs wird zugleich die Entwicklung von Quellcode im Rahmen des Webdesigns gelehrt. Insbesonders wird gezeigt, dass Computertechnik und Computerzeitlalter nicht für gefährlichen Nonsens stehen müssen, obwohl sie aller Vorrausicht nach geschäftlich so gemeint sind und obwohl im Rahmen eines Wettlaufes von sicherheitsgefährdenden mit schützenden Technologien und den Menschen dahinter bekanntlich nichts als wirklich sicher gilt. Deshalb besteht das Ziel dieses Exkurses darin, nur die in den Schritten näher spezifierten Schwachpunkte stehen zu lassen, gegen die sich von vornherein nichts ausrichten lässt. Was sogenannte vor Manipulation geschützte Chips angeht, ist nach Angaben aus CHIP10/2004 alles bloß eine Frage des Aufwandes, denn die Kombination aus Raster-Elektronen-, Raster-Auger- und Raster-Sonden-Mikroskop knacke jeden Chip. Nicht nur das Knacken oder Cracken, sondern auch Interna der Know-Hows lassen sich nur mit Sachverstand unter erheblichen Zeitaufwand erschließen, so dass wir uns nach wie vor gezwungen sehen, einigen wenigen gutachterlichen Stellen und Presseorganen unser Vertrauen entgegen zu bringen. Beispielsweise bringen einige Drucker infolge Kollision der Sicherheitsinteressen nicht nur das Erwünschte, sondern außerdem noch mit bloßem Auge nicht mehr erkennbare Inschriften zu Papier. Ähnliches gilt wie wir noch sehen werden immer auch für Software.
Bald schon sehen wir, dass sich mit der Befolgung des ausgerechnet hier vorgestellten Konzepts aber in etwa dieselbe Sicherheit einstellt wie die Welt ohne Computer, wozu der Mensch sicherlich im entschiedenen Maß beiträgt. Ein Problem ist und bleibt beispielsweise die Frage nach der sicheren Ablage des obersten (letzten) Paßwortes bzw. Keys.
Zur Umsetzung softwaretechnisch basierter IT-Sicherheit stehen uns heute jedenfalls Herstellerangaben nach jede Menge Produkte zur Verfügung. Daher ist die Frage zu stellen, welche dieser sogenannten Sicherheitssoftware überhaupt erforderlich ist. Für ein möglichst gelungenes Prototyping verzichtet der Exkurs auf all solche Angebote, indem er sich einer umfassenden UNIX/Linux-Distribution von CD/DVD zuwendet. Als rund um Software wichtig erweist sich hierbei zunächst die reine Funktionstüchtigkeit ausgewiesener Hauptbestandteile und somit Stabilität als Laufeigenschaft auch ungeachtet inhärenter Sicherheitsschwächen, denn Bugs verursachen Root-Rechte bzw. Art Root-Rechte verschaffende Buffer-Overflows. Mit anderen Worten soll innerhalb der eh vorherrschenden Dunkelkammer aus Code und Malcode eigentlich nur noch die reine Funktionstüchtigkeit wesentlicher Funktionen von Programmen interessieren! Um von Sicherheit zu sprechen, erscheint die konzeptionell möglichst weit reichende Intransparenz von Sicherheitstechnik auf Seite der Bedroher zur Transparenz auf Seite der sich Schützenden als Sicherheit des einen auf Kosten der Unsicherheit des anderen zunächst als ganz besonders sinnvoll. Geht es zentral um Sicherheit, herrscht somit vor allem Konzentration auf ein Anliegen: fremden, unerwünschten Zugang abzuwehren und zugleich den Kontakt nach außen aufnehmender getarnter
Instanzen (Prozesse) die Funktion als Informationslieferant, Räuber bzw. als Backdoor zu untersagen. Vier Konzepte fallen hier nach einer Reduzierung der Anzahl aktivierter Services bzw. Dienste in der Systemkonfiguration eines Betriebsystems sofort ein:
Verschlüsselung, Dateifreigabe, Zugriffskontrolle auf Benutzer und Benutzergruppen mit dem Benutzer Root bzw. Systemadministrator für alle Rechte (beides nur innerhalb lokaler Netze, LAN) und
Firewall. Mittels Zugriffskontrolle kann über chmod 755 abwärts auf Besitzer Root, auf Wunsch auch in Verbindung mit chattr +i zur Wahrung der Integrität von Dateien, neben Schreib-/Leseschutz im LAN weitgehend Virenfreiheit auf dem lokalen Rechner erzielt werden. Bei Dateisystemen ohne derart mächtiges Konzept eignen sich kleinere Umgebungen insbesonders um den Browser herum abschottende, vertrauenswürdige Sandboxen. Verschlüsselung ganzer Partitionen kann sowohl über moderne Partitionsmanager als auch sogenannte Loop-devices für virtuelle Partitionen auf herkömmlichen Dateien erfolgen.
Dennoch sollten während des Einspielens sensibler Daten keine seitens Benutzer online aufgebaute, Verbindung haltende Prozesse wie insbesonders Seiten bereits darstellende Browser aktiv sein! Zu beachten ist die in mehreren Studien erwähnte Unzulängichkeit einer Verschlüsselung mit Methoden wie XOR. Zumindest das Benutzerverzeichnis wie Home, alle temporären Verzeichnisse und auch die swap-Partition mit der Auslagerungsdatei gehören mit Methoden wie AES, SERPENT, Two- oder Blowfish, im Falle swap über mehr oder weniger einem speziellen Befehl verschlüsselt. Für einzelne Dateien bietet sich außerdem das bewährte kgpg bzw. gpg freeware an, Im Internet sollte über den Browser die Wahl auf mehrere möglichst an Bit starke Schlüssel der Größe von mindestens 128 für SSL fallen. Außerdem eignen sich hier gelegentlich noch Tunnelbauten. Generelle Techniken zur zusätzlichen Filterung, zur Verschlüsselung, Früherkennung und Rettung beschädigter Daten auf Festplatte und das nicht jedem Dateisystem inhärente Konzept der effektiven Zugriffskontrolle finden sich neben ergonomischen Aspekten und zahlreichen Einzelpunkten im zweiten Schritt bzw. in der Checkliste wieder. Sorgsam vor- bzw. nachkonfiguriert ermöglicht Zugriffskontrolle wie gesagt zumindest den Rundumschutz vor Viren. Selbst nach Regelung der Freigabe im LAN (Intranet, lokalem Netz) bleiben Verzeichnisse und Dateien im WAN (Internet) aber lesbar. Die grundlegende Spionageabwehr sowie im Insbesonderen die Protokollierung der Intensität krimineller Hackerei bleiben nach wie vor erforderlich. Nicht selten kommt es obendrein vor, dass die Menge aller Zugriffsrechte in Unordnung gerät oder sich in Wirklichkeit nicht restlos eigenen Wünschen anpassen lässt. Das trifft u.a. auf Systemverzeichnisse mit Dateien wie beispielsweise dcopserver, kdesu und xauth vieler Linux-Distributionen zu.
Insgesamt soviel IT-Sicherheit, d.h. ein so hohes Sicherheitsniveu wie möglich anstrebend, begeben wir uns gleich als Erstes weitgehend unabhängig vom System auf die Suche nach einer Backdoors und Hacker das Leben schwer machenden, zertifizierten Firewall mit referenziellem (d.h. wissenschaftlichen Vorstellungen genügendem) Inhalt (mit allgemeinem, auch für andere OS als UNIX gültigem Bezug).
Eine Firewall nennt man immer auch Paketfilter. Insbesonders über Portfreigaben dient sie der Verhindung/Einschränkung von Vandalismus, Einbruch, Diebstahl und Raub. In noch allgemeinerer Auslegung kann man von einem wichtigen Instrument zur Regulierung des gesamten Online-Verkehrs und somit der Bandbreite sprechen. Mit der Fußung auf die Ausgangslage, bekannte Teile wie Kernel und dem Filtersatz iptables kann ihre wissenschaftliche Normierung als Werk der Völker dieser Welt betrachtet werden. Wie ich bei der Entwicklung von linfw3 herausfand, eignet sich zur Veranschaulichung tatsächlich das aus 13.600 (und nicht gar 65.535) gleichartigen Objekten bzw. Einzelbestandteilen bestehende und somit im Eigentlichen unabhängige Modell "The Wall" von Christo aus dem Gasometer in Oberhausen aus dem Jahr 1999 (mit der für mich damals allein vom Thema her nicht derart einsichtigen Begegnung mit der für sich stehenden dritten Art namens ans Internet angeschlossenen Computer in nur noch über Aufzug ersteigbaren Höhe als handelte es sich ingesamt um die über das zentrale Objekt Wall schwebende Rundumsicht eines Anwenders). Ihr Aussehen gleicht in der Ebene einer Mauer als Ergebnis der Projektion der Aneinanderreihung farblich gruppierter Tonnen (Regeln zu verschiedenen Modulen, vereinfacht Ports) der übergeordneten dreidimensionierten Form eines undurchlässigen Trichterstücks bzw. Trichters mit nur schmalem Durchsatz am Endstück. Hier lassen sich weitere (mehr oder weniger darauf aufbauende) Filter aufsetzen. Einmal aufgefangene (geblockte) Störpartikel (Paketsequenzen bzw. Pakete) gleiten nicht ins Innere weiter sondern verbleiben in ein und derselben Position, von einer Art Stöquelle zu sprechen. Bereits die mit Lichtstrahlen reflektierten, sich über die Oberfläche bzw. Tonnen (Ports) vollziehenden Checks des Verbindungszustandes (State) NEW auf der sequentiellen Filterkette (Chain) INPUT sind auf einfache Art dazu imstande, viele Hackerangriffe von außen (Intrusions) abzuwehren. Derartig geschlossene Linienzüge über NEW lassen sich aber nicht immer ziehen und bedürfen nach Durchlass noch der Verstärkung. Den frei konfigurierbaren Drehreglern und Schaltern gleichkommenden Kernelparamtern entsprechen dabei in etwa die kreisförmig angeordneten und beleuchteten Einzelpunkte an der Himmelskuppel des 3D Gewöbes, der Schnittstelle des Betriebssystem-Kernels. Erst auf die Ebene projeziert gleicht eine korrekt aufgebaute Firewall also der im Mittelpunkt dargestellten, namentlich umfassten Wand, Mauer bzw. wall. Der Zusatz "fire" zu "wall" selbst rührt vermutlich von der Tatsache her, dass i.a. nur eine ganz bestimmte prozentuale Anzahl von Paketen geblockt wird, voreingestellt 50% und somit jedes zweite. Einmal geblockte Pakete werden dabei erst allmählich verbrannt bzw. eliminiert.
Daran recht glauben, dass privat oder seitens Firmen ein realer Bedarf an
Derartigem aufkommt, fällt zunächst womöglich dennoch nicht leicht. Sollte man etwa ausgerechnet selbst zu einem Opfer von Computerkriminalität, Hackern und Trojanern, werden? Spätestens aber bei dem Gedanken an eine ausgelastete mehrspurige Highway (Datenhighway) mit all den sie durchflitzenden Autos (hier Paketen), konkret bei einem Einblick in die System-Logdatei, dürfte sich aber mehr Überzeugung einstellen. Hier tummeln sich die Logeinträge binnen kurzer Zeit gleich zeilen-, wenn nicht seitenweise. Insbesonders Verbindungsaufnahmen von innen nach außen sollen an dieser Stelle kurz interessieren, denn hier geht es um Art Trojaner. Zunächst protokolliert LINFW3 dabei unter PID- (process identifying number) bzw. CMD- (command identifying name) und/oder (am besten beides) GID- (group identifying number or -name) Owner unter Linux wie verrückt. Die Möglichkeit zur gezielten Abstellung des Protokollierens ohne Einbußen der Intensität beim Blocken sind jedoch über die Dialog-GUI auf einfache Art und Weise möglich. Im Falle des Kernel größer 2.6.12 (3.X.X selbst habe ich noch nicht getestet) bedingten Ausfalls von CMD-Owner verbleibt neben GID- noch das dank dem selbsttägtig arbeitenden, zuverlässigen PID-Agent von Linfw3 CMD- sicherlich gleichkommende Konzept des PID-Owners und die Unterscheidung in Client- (Dienste abfragende)- und Server- (Dienste anbietende)- Ports. UNIX/Linux kann somit gerettet werden! LINFW3 regelt auch im einstellbaren Vorab ungeachtet all dieser Benutzer und Gruppen den wesentlichen Traffic wie über ftp (ftp-Filetransfer auf über IP ggfls. in Verbindung mit Subnetmask vom Anwender vorgesehene ftp-server), pop3 (Email-Eingang auf vorgesehene Posteingangsserver), smtp (Postausgangsserver) und news (Nachrichtenserver des USENET). Nun hat Linux dank des Owner-Konzepts von Linfw3 neben der Seite von außen nach innen auch die Seite von innen nach außen im Griff, während es bei anderen Linuxern "pingt und pingt"!
Allgemein lässt sich zum Abschluss des ersten Schrittes über Risiken Folgendes sagen: Der Binärcode vieler Programme ist nicht selten schwarz geblieben, unzählige Versionen und Distributionen mit ihren Abhängigkeiten zum sogenannten neuesten Stand flattern entgegen, und der zeitaufwendige Sicherheit umsetzende Soll-Code einer Firewall zum Netfilter-core gestützten ICSA-zertifizierten Iptables-Konzept wird da erst auf meiner eigenen Homepage angeboten. Dafür gibt es zu allem Unguten auch noch installierbare sowie einstellungs- und updatebedürftige Drittsoftware. Zu älteren Mandrake wirkte die Version zu iptables noch verstümmelt und eine ausformulierte Firewall schien überhaupt nicht vorhanden zu sein. Bei SuSE wartete unter gelegentlichen unerwarteten Eindringungen ein Update nach dem anderen, und ein Nachweis an Zuverlässigkeit für Endbenutzer, die es selber wissen wollten, lag noch in weiter Ferne. Ich möchte nun mein möglichst referentiell (optimal) konzeptioniertes "Ding" näher vorstellen. Es beruht zwar ausschließlich auf UNIX durch und durch, die Regeln, insbesonders Sicherheit ausmachende, können aber teilweise in allen guten Firewalls Verwendung finden - ein Vergleich mit sowie eine Vervollständigung des "dunkeldüsteren, alten Schätzchens" bieten sich an. Wer die standardisierte Sprache für Firewalls namens iptables von Netfilter.org bereits in aller Ausführlichkeit kennt, kann unter Kenntnisnahme ihrer Module austestenden Kernel-GUI Dialog auch direkt unter "IDS (intrusion detection systems)" weiterlesen.
Linfw3 in allen Einzelheiten:
-getestet in LAN/WAN- und GAN-Netzwerken - MAX. SICHER, TRANSPARENT UND VERSTÄNDLICH-
ideal für Einsteiger, Fortgeschrittene und Profis auf der Suche nach der nachvollziehbaren und sicheren Konfiguration wie auch Experten zur Ausformulierung von Endstufen
Diese referentielle Firewall lässt sich in allen Einzelheiten präsentieren, ohne Sicherheitsschwächen zu riskieren - eine transparente, universelle FW wie im Ideal vorzustellen. Mit LINFW3 erleben Sie u.a. Dank aller INPUT-Ports schließender Semi-Porosität einfach keinen Trojaner, über Ausschöpfung des iptables-Moduls STRING, spätestens in Verbindung mit Skriptfiltern, also Netz- oder Werbefilter wie "privoxy" sowie Addon-Plugins für Firefox "adblockplus", gut auch "noscript", bzw. dem Werbeblocker des Konquerors auf von Surfern selbst aufgebauten Verbindungen keinen Hacker und auch keinen unerwünschten Verbindungsabbau mehr lebend: Während die eine Portseite unter konsequenten Einsatz des STATE NEW über Block mit Target DROP sowohl im Hauptteil von außen nach innen vollständig schließt, öffnen sich Ports von außen nach innen unter den zugelassenen dort und nur dort, wo von Seiten des Surfers vorher eine Verbindung aufgebaut worden ist und somit Erlaubnis besteht. Hier kann dann sowohl das Modul String von iptables als auch ein das Netz filternder Proxy wie auch Traffic Shaping (siehe Checkliste) aufsetzen. Um die Sicherheit online, hier Schutz vor Trojanern, zu gewährleisten, genügt neben der selbsttätig vollzogenen Konfiguration der OUTPUT-Ports Dank des konsequenten Einsatzes des Modules PID-, GID-, ferner UID- und - je nach Kernel - auch CMD-Owner innerhalb Linfw3 die Konzentration auf nur wenige statt "unendlich viele" Programme in Ausführung (Prozesse) wie ausschließlich mozilla-firefox für Firefox oder privoxy für Privoxy unter Benutzergruppe daemon (uid und gid 2) bzw. kio_http und ggfls. noch kdeinit für Konqueror usw. für das Blocken von innen nach außen. Trojaner bleiben also (ausgenommen Browser möglicher Weise selbst) in jedem Fall kein Thema:
Kernelversion größer 2.6.12: Der Block erfolgt mittels PID-Agent von Linfw3 über CMD- gleichkommendes PID-Owner. Um die Firewall über Angaben bzw. Einstellungen zu CMD "acceptedprograms" bei seitens LINFW3 selbsttätig erfolgender Suche zuzulassender PID nicht jedesmal neu starten zu müssen, verhilft der zuverlässige PID-Agent von LINFW3, mit jedem Aufruf (Start wie insbesonders des Standard-Browsers) die vom Betriebssystem zugewiesene PID (wie hier ausschließlich des Browsers) numerisch zu erfassen, alle auf dem Owner-Konzept basierenden Blöcke um die ausdrücklich zugelassenen Prozesse herum einzurichten.
Kernelversion kleiner oder gleich 2.6.12: wie größer 2.6.12, einschließlich CMD-Owner auf möglichst wenige Prozesse wie Browser oder Standardbrowser
Unabhänigig von der Kernelversion lässt sich mit separaten Netzfiltern wie privoxy auch auf ganz eigenem lokalen Port (vorkonfiguriert 8118) mit für alle Prozesse verbindlichen UID=GID=daemon=2 als einzige zugelassene ID Sicherheit erzielen (obwohl wir von dieser Variante abraten möchten)
Der alle Trojaner schlagende PID-Agent von Linfw3 checkt also auch bei Kernelversionen größer 2.6.12 (voreingestellt alle 25 Sekunden) ab, ob einer der in acceptedprograms unter Sektion CMD angegebenen Prozesse unter einer zugehörigen PID vom Surfer gestartet ist, um ihm den Zugang von innen nach außen zu ermöglichen, während alle anderen Prozesse bzw. PID geblockt werden. Mit der Beendigung des ("Browsers" bzw.) Prozesses durch den Surfer wird sein Zugang sofort wieder gesperrt. Einziges Manko ist die Wartezeit von bis zu voreingestellten 25 Sekunden nach jedem Start des Browsers vor dem allerersten Seitenaufbau
Ungestörtes Senden und Empfang von Emails und News von Newsgruppen des USENET, unbeeinträchtigte WHOIS-Datenbankabfragen für IP-Namensauflösungen sowie Download und Upload von Dateien auf auf Wunsch nur konkrete, frei bestimmbare FTP-Server - ungestört bzw. unabhängig von allen ausgewählten Schutzkonzepten und Modulen (darunter Module zu Owner)
Spezialprogramme wie Internet-Telephonie: Unzählige Ports öffnende Prozesse werden in eine acceptedprograms ähnelnde Liste für nach dem beschriebenen PID-Konzept zu erlaubende Prozesse vergleichsweise allerdings ohne (!) im Anschluss noch erforderliche Portüberprüfung eingetragen, um ganz ähnlich Zugang wie hier für die Zeit des Telefonats zu erhalten
Um welche unter dem Owner-Konzept freizugebenden Prozesse es sich neben Browser namentlich (CMD) handeln kann, klären System-Prozessmanager und Prozess-Audit
Gestaffelte, weitestgehend geschlossene NEW-Linienzüge auf INPUT im Anfang-, (über Ports) in Mitte und Endteil sowie POLICY-Regel können das Blocken von außen nach innen gleich von Anfang an vereinfachen bzw. vervollständigen
rasches Austesten der Module verschiedener Versionen der "Firewallsprache" iptables im Zusammenhang mit diversen Kernel
Debugging über alle Sektionen zum schnellen Aufspühren von Konfigurationsfehlern
Einhaltung von Normen und Grundsätzen der Lehrstühle für Softwaretechnik der Hochschulen, Zertifizierung durch ICSA und internationale Presse
Listet Ihre bisherige FW die detaillierte Implementierung einzelner Regeln auf? Gerade auf sie aber kommt es an!
Alle Filterregeln können im Transparentmodus unmittelbar eingesehen, geprüft und modifziert werden
frei setzbare Kernel-Flags für ECN (Early Cognestion Notification, Früherkennung von Staus), bootprelay, TCP-keep-alive time, IP-fragtime, redirects, sourceroute, IP-fragment hightresh und -lowtresh und martians (anomale IP) usw.
für 2.4.x Kernel oder höher, für alle UNIX-Distributionen (bitte um Benachrichtigung, falls nicht)
stealth mode, Berücksichtigung aller ICMP-TYPEN und Protokolle, darunter IGMP, UDP und TCP
logische Mehrschichtigkeit aus nativer GUI-Dialog, der im Modus "Transparent" editierbaren Konfigurationsdatei und auf dem Kern des Betriebssystems bzw. Kernel aufsetzenden Iptables-Filter-Satz
fortlaufend begleitende Dokumentation und Hilfe
referentieller Firewall-Charakter, übernehmbare Konfigurationen für FW anderer Betriebssysteme
Desktop Firewall oder Vorlage für eine (nicht im Widerspruch stehende) Router Firewall
herauspickbares Shell-Script
300 KB Ur-UNIX im selbst erklärenden OSD-Look iptraf und des Kernels makeconfig; strengste Orientierung an UNIX durch UNIX-Shellsprache, beliebig erweiterbare Benutzeroberfläche
garantiert richtige Konzeption, Zeitersparnis bei der Suche nach Netzfehlern
kwrited bzw. kwatch - begleitendes Nachrichtenfenster im empfohlenen Logmodus emerg(ancy) zur Auflistung aktueller Protokollierungen und Meldungen
durchdachte Ordnung und effiziente Strukturierung aller Regeln
Bewahrung vor psychisch bedenklichen Wiederholungen der Tastatureingabe "iptables"
beste Erweiterungsmöglichkeiten
Kompatibilität mit Webmin und allen Dienst- und Runlevel-Editoren
mit Boot- bzw. Runlevel-Init-Skript bzw. unter den Diensten in der Systemkonfiguration aufgeführten Dämon linfw3 für selbsttätiges Starten, sowie manuelles Starten und Beenden per Mausklick auf zugehörige Buttons
Statistiken für die Wirksamkeit verschiedenster Sätze (Versionen) und Module von iptables
auf Dialog basierte, skalierte wie prozentuale Indizierung der über die jeweilige Konfiguration erzielten FW-Sicherheitsstufe in Prozent und nach Name, Abfrage von Details zugrundeliegender Schwächen, rasche Präzisierbarkeit beimessender Faktoren und in Frage kommender Ursachen (Details) auf beliebige Genauigkeit
Netbios/Samba (LAN) binnen weniger Sekunden
einfache Installation: benötigt wird lediglich eine zuverlässige (nicht notwendiger Weise die neueste) Version einer möglichst gepatchten Iptables wie siehe unter Download, ggfls. Erweiterungen wie Patch-o-matic von netfilter.org sowie Dialog, wg. mehrzeiligem Inputmenü mindestens der Version 0.9b-20040316.tar.bz2 und ein Editor wie pico oder nano (alles in der Sektion Download erhätlich)
transparent, ohne schwarzen oder komplizierten Quellcode, da im nativen UNIX-sh
beliebige Erweiterbarkeit mit iptables-Regeln und Dialog-Widgets
einfache Konfiguration
Unterstützung aller Interfaces: DSL- und analoge Modem (ppp), Ethernet-Karten (eth) und ISDN (ippp)
Filter für Adressüberprüfungen und Blackholes
Stabilität: Ein TCP-Flag-Filter hält die Verbindungen stabil und schützt vor unerwünschtem Verbindungsabbau (nur in Abstimmung mit systeminternen OS-Timeouts), vor Speicherüberlauf zur Erlangung von root-Rechten, vor Abschüssen laufender Prozesse (z.B. Browsern) sowie unerwarteten System-Neustarts und Hang-up-Situationen
Just-Surf-Konzept: Vorkonfiguration für "Single-User" - lediglich die DNS muss hier noch eingetragen werden
keine Wünsche offen lassende Protokollierung aller Arten von Angriffen, auch noch so unglaublicher; viele verschiedene und einfache Testmöglichkeiten mit: einem Debugger zur schnellen syntaktischen und semantischen Analyse der Regeln, einer nach ersten Testdurchläufen leicht deaktivierbaren Vergleichsbasis für Log-Einträge zwecks Soll-Ist-Vergleich, mit Connection-Tracking zur Überprüfung aufgebauter Verbindungen, der Möglichkeit, Regeln über Dialog ganz einfach an- und abzuschalten sowie ein- und auszukommentieren, der Benennung verschiedener FW-Security-Level sowie dem Mitschnitt von Prozessen (Audit), z.B. um Verbindungsaufnahmen nach außen notfalls freizuschießen
vollkompatibel mit aufbauender Filter(-Software), d.h. "additiona-filters", auf die noch im Schritt 2 näher eingegangen wird
Optimierung der Datenübertragungsrate: Maximierung des Durchsatzes für TCP-Verbindungen, Minimierung der Verzögerungen auf UDP (DNS), indem das TOS-Feld von Paketen auf maximale Schnelligkeit eingestellt wird und bei TCP auf den maximalen Durchsatz. Dadurch ergeben sich Geschwindigkeitserhöhungen von bis zu 30%
Internet Telephony und die damit verbundene Freigabe vieler Ports lässt sich auf einfache Art aktivieren und deaktivieren
mit einem Prototyp zum modernen HTB-Filtern zur Beseitigung von an den Schnittstellen verschiedener Netze (LAN zu WAN) bestehender Engpässe
Modifikationen werden Abschnitt für Abschnitt auf syntaktische Fehler hin überprüft
interne Ausformulierung der effektivsten FW-Strategie "verboten ist, was nicht (ausdrücklich) erlaubt ist" (statt z.B. : "erlaubt ist, was nicht verboten ist") zur Vorlage wissenschaftl. Abgeschlossenheit/Vollständigkeit der eingesetzten Regeln
für nahezu alle Client-/Server-Architekturen (Single-User, Client, Server, Router...)
explizite Auftrennungen von Ports in Quell (Source)- und Ziel- (destination)-ports und adressen, rascher Überblick über Ports zu Services dank abrufbarer Port-Service-Liste
Internetsperre für bedrohliche Ausnahmesituationen online
mit schwarzen Listen, "blacklists" für einzelne IP, IP-Adressbereiche, auf LAN und WAN, im Server-Betrieb sowie zu HTTPS
Verhinderung von Smurf (Broadcasting mit Zielvorgabe), von Tcp-syn-flooding, Land-Attacken und vor Angriffen auf Basis von Paket-Übergrößen
Unterstützung des aktiven und des (sichereren) passiven FTP-Übertragungsmodus
automatische Austauschbarkeit beliebiger Regeln zu frei festlegbaren Zeitpunkten
Anzeige bzw. Protokollierung aller schlechten (langsamen) Verbindungen über TTL (Anzahl Paketen noch eingerämter Stationen/Hops)
Alle Regeln werden durch die OS-Zugriffskontrolle Paßwort geschützt unter 128-Bit abgespeichert (Blowfish,...) und sind somit vor Manipulationen sicher
Log-Statistiken versorgen mit statistischen Erhebungsdaten und ermöglichen Evaluierungen zwischen beliebigen Zeitabständen
Modul OWNER basierte Filterung von Prozessen (namentliches CMD oder über die PID, zugehörige Benutzer (UID), Gruppen (GID) und/oder Sitzungen (SID)
Modul UNCLEAN zur Filterung verunstalteter Pakete und MAC-Adressen
konfigurierbare Stundenpläne zum Modul TIME-MATCHING
Modul STRING zum Filtern auf Data-Payloads (Hauptinformationsteile von Paketen) anhand beliebiger Suchzeichenfolgen. Bitte beachten Sie, dass trotz des Moduls ein Skript- bzw. Werbefilter mitunter unerlässlich bleibt!
Modul XOR-Paketverschlüsselung und Limitierbarkeit der Verbindungen verschiedener Dienste mittels Module connlimit
Modul QUOTA für Volumentarife, optionales TARPIT anstelle DROP
Modul ACCOUNT zur Umsetzung eines Traffic-(Besucher-) Zählers für Netzwerke und lokale Server
Modul RECENT, zur Aufnahme einzelner IP über bestimmte Ports in Blacklisten zeitlich befristet oder erst nach einer best
Modul Random: skaliertes Blocken in frei frequentierbarer Präzision von 0 bis 100% (stetig, voreingestellt auf 50)
Intergration weiterer Module, Integrierbarkeit aller Module von iptables
LAN-Rundumvorsorge: Ein integriertes (aktivierbares) LAN-Frühwarnsystem protokolliert jeglichen Zugriff auf alle freigegebene Ordner. Alle Arten von Blöcke lassen sich auch bereits lokal innerhalb eines LAN aufstellen
IP können mit Subnetmask angegeben werden, ganze Rechnergruppen und -netze auf einmal anzusprechen
Linfw3, ... kurzum so konzipiert (und normiert), dass das Wort Firewall in kurzer Zeit für immer getrost hinter sich gebracht werden kann!
Damit neben GID- auch noch CMD-owner funktioniert, raten sich Kernel bis 2.6.12. Künftige Kernel-Versionen sind in diesem Sinn vorzubehalten, indem auf das eben erwähnte Konzept einer Firewall mit Netzfilter wie Squid und Privoxy zurückgegriffen wird. Wie das PDF Checkliste aus Schritt zwei beschreibt, liefern aufgeführte Punkte immer noch nicht den von einer Firewall zu erwartenden effektiven Schutz schlechthin. Weiteres Faktum ist demnach der bei jedem Neustart zeitlich nur verzögert erfolgte Start des Prozesses iptables sowie die etwaige Existenz Verbindung aufbauender Routinen im Arbeitsspeicher während des Runterfahrens. Daher sollte der Verbindungsaufbau "ifup " mit device wie beispielsweise eth0 für das "erste" Ethernet, ipp0 für ISDN und ppp0 für analoges Modem immer erst zu einem Zeitpunkt weiter nach dem Start des Betriebssystems erfolgen und Verbindungen bereits vor dem Runterfahren wieder vollständig über "ifdown " abgebaut sein. Wie bereits beschrieben filtern Netzfilter und Firewall i.a. nur unzureichend oder schwach auf eigenhändig aufgenommene Verbindungen. Daher ist beim, genauer vor dem Umgang mit sensiblen Daten im laufenden Betrieb darauf zu achten, dass sämtliche Verbindung aufnehmende Prozesse wie Seiten aufbauende Browser und ftp-Transfer pflegende ftp-Clients beendet bzw. deaktiviert sind.
Ähnlich wie mit den Regeln von iptables stehen sich Regeln des in diesem Zusammenhang verifizierenden Additivs und Intrusion Detection Systems (IDS)
lids (PDF). Generell eignet sich aber auch jedes andere IDS wie beispielsweise aide (Advanced Intrusion Detection System) mit dem Nachteil, erst ab einem Zeitpunkt aus weiter nach dem der Intrusion auf eine ebensolche zu verweisen - oft dann, wenn sie keinen mehr interessiert, es also gewisser Maßen bereits zu spät ist, weil sie sich unter dynamischen Veränderungen der IP-Landschaft längst ausgewirkt hat. Hingegen nehmen erheblich wachsamere IDS wie Samhain periodisch und somit einiger Maßen aktuelle, wenn auch merklich Zugriffszeiten auf die Festplatte verzögernde, aufwendige Überprüfungen über Checksummenvergleiche und Veränderungen der Zugriffsrechte der Dateien und dergleichen on the fly und somit zu durchaus aktuellen Zeitpunkten vor, am zu befürchtenden regelmäßigen Scannen der Festplatte leider doch nicht so ganz vorbei zu kommen!
Bei verschiedenen Mainboardtypen verbleibt über den Weg von innen ein generelles Risiko in der Rückstellung des BIOS auf Werk, bei vielen Modellen über rein provisorischen Austausch. Alarme eines etwaig vorhandenen Chassis-Intrusion-Detection-Systems finden in der Regel nicht das erforderliche Gehör, weshalb sich außerdem noch Verschlüsselungen der Gehäuse sowie der Computerräume, Videoüberwachungen, Lärmpegelmessungen wie über Babyphone, Lichtschranken, Bewegungsmelder usw. aneignen. Andernfalls können als root (denn root ist root, der mit allen Rechten ausgestattete Systemadministrator) über das Booten eines Betriebssystems von Medien wie CD/DVD und über USB am Paßwortschutz des Bootloaders wie etwa lilo vorbei unabhängig von Dateisystemen root-Rechte auf Partitionen erlangt werden. Von hier aus lassen sich obendrein Paßwort-Hacks durchführen. Außerdem deuten bereits Partitionsmanager die Existenz beliebige Partitionen erfassender und zum Mounten befähigender (einbindender) Tools an. Eine Installation von Software sollte daher ausschließlich dem Systemadministrator vorbehalten sein!
Am Ende von Schritt 1 sei nochmal, um unerwünschte Zugänge aller Art vor lauter sich zu PIN und TAN und Firmen-Chip zugesellenden in Dateien, auf Papier oder letztlich direkt im Kopf zu behaltenden Paßwörtern effektiv zu verhindern, darauf hingewiesen, sich privat umzustellen. Wer hier noch auf Nummer sicher geht, benutzt
ein Schließfach bei einer sogenannten vertrauenswürdigen Bank.
1) Dieser Exkurs bezieht sich wie gesagt auf gängige Computer-Betriebssysteme. "Hier wird Sie geholfen!". So richtig stabil lief bei mir erst SuSE Linux ab 8.2. Statt Knoppix empfiehlt sich die nicht über Schreibschutz stolpende und somit aus meiner Sicht reparaturfreudigere Life Eval von CD/DVD. Wenn Sie mich fragen, um Kosten zu sparen und ganz sicher zu gehen, ich persönlich möchte unten den Computer-Betriebssystemen neben MS Windows ab XP mit Internet Explorer 7, noch besser aufwärts, vielmehr noch das ehemals am Kiosk für um die 10 bis 20 Euro bzw. 2007 noch umsonst aus dem Internet erhältliche mdv2007.0 32 and 64 bit mit einer Ansammlung aus Binär- und zugehörigen Quellpaketen aus Polen und Frankreich mit um genau eine Version heruntergeschraubten Kernel 2.6.12-12 und auf 2.0.0 und nicht höher als auf 2.X.X geupdateten Firefox empfehlen, nach Stand der zu dieser Distribution zugehörigen und einsichtigen, vergleichsweise merklich kurzen Errata-Liste unter dem lediglich zu updatenden, wie ich meine nicht weiter wichtigen alacarte zu GNOME und Ekiga Softphone, wg. kphone nicht unbedingt das Thema. OpenOffice.org startet hier anfangs noch verzögert. Erwähnenswert ist höchstens noch eine stark sporadische Falschmeldung des (alsa) Soundservers mit "fatal error: CPU overloaded and aborted!". Unter Berücksichtigung der beiden Hauptschritte hat es sich dann aber!
Was lernt man mal wieder daraus? Die Linux-Werbung ist nicht neu, Zunge raus: Wer keine Probleme hat, der macht sich welche!
Auch mit den Treibern hat alles gut funktioniert (den für die Graphikkarte brauchte ich gar nicht und Netzwerk funktionierte binnen weniger Minuten). Künftig ist also bei UNIX-Systemen kaum noch mit irgendwelchen wirklich ernst zu nehmenden Updates zu rechnen! Spätestens ob mit oder ohne das Einspielen der Vorgängerversionen erhält man ein unsäglich viele Bereiche erschließendes, breites Anwendungsspektrum aus tausenden von Anwendungen, darunter einen 3D-Desktop, am besten mit dem von XP her gewohnten Hintergrundbild bliss.jpg, das mit der grünen Wiese vor dem blauen Berg und den Wolken. Scanprogramme wie Virenscanner und Registry-Cleaner braucht man dann wie gesagt zum Glück dank des auf UNIX basierenden Aufzuges, darunter nun Dateisysteme wie das sich bei etwaiger Beschädigung selbsttätig reparierende ReiserJS natürlich nicht mehr (die mdv2007.0 muss wohl so toll sein, die 64-Bit Version als einzige DVD und CD mit einem kunstvollen Bruch in der Plexiglassscheibe bei mir wiedergefunden zu haben..., während die anderen beiden DVDs zu dieser Distribution hoffentlich noch intakt sind. Naja, vielleicht kann man sie ja noch nachbestellen!)
Treiber für mein Multifunktionsgerät aus Drucker, Scanner und Kopierer ließen sich im Jahr 2012 noch mühelos über vom Hersteller im Internet erhätliche Pakete (rpm- wie deb.-Dateien) nachinstallieren - einmal Cups aufrufen, um auf DIN A4 einzustellen - fertig: Drucken, Kopieren, Scannen, alles klappt.
Schon mit dem Vorgägnermodell hatte ich auf mdv.2007 da keine Probleme. Um sicher zu gehen, erkundige man sich in Hardwaredatenbanken und bei Herstellern.
Nun warte ich seit Jahren auf den allerersten Hacker und Trojaner, Virus, Systemabsturz, Bedarf an Neustart, Updates sowie auf der Festplatte auch noch mit dem Scannen anzufangen - zum Glück scheinbar hoffnungslos!
Als PC-Hardware empfiehlt sich die vergleichsweise zur neueren wie der 1000-Watt-PC die im beträchtlichen Maß Strom einsparende und alle ergonomische Kriterien erfüllende des Zeitraums 2004 mit USB 2.0, besser noch abwärts kompatibles 3.0, IDE, am besten S-ATA-Anschlüsse für die mindestens 20 GB und unter gleichen Aspekten maximal ein paar TB große Festplatte, angesichts einer Firewall vorzugsweise noch das analoge Modem, und wem das zu langsam ist ISDN, notfalls verkabeltes DSL und das sage und schreibe in puncto Stromverbrauch etwa einer Engergiesparlampe gleichkommende, nur 18 (!) Watt (Vorgänger-TFT: 45, CRT mit 50, wenn nicht um die 100 Watt) verbrauchende, mindestens 45 cm die Diagonale große, unter mdv2007.0 abermals problemlos laufende WLED-TFT-Flatscreen unter über das Bestriebssystem feinabgestimmten APM (Advanced Power Management für sein automatisches An- und Abschalten): alle Angaben ohne Gewähr!
Schritt 1 -
mannigfachen Möglichkeiten allein im Vergleich zur herkömmlichen Schreibmaschine jedoch nicht aufgeben. The Green LED ist ein neben um inhaltliche Vollständigkeit erstmalig auch um Strukturierung und wissenschaftliche Normen bzw. Lösungen bemühter Treffpunkt für möglichst immerwährende IT Sicherheit, dem Computerfirmen nachziehen bzw. wenigstens tun sie so. Vorgestellt wird das standardisierte Konzept einer Firmendatenbank und -managements und der IT Sicherheit nach dem auf Niveau, Standards, Prototypen und Checklisten basierten Ansatz mit dem Verzicht auf betriebsfremde (nicht im Lieferumfang enthaltener) Mittel und rapiden Einsparungen an Festplattenscans, Updates und Upgrades auf je nach Dateisystem tatsächlich erzielbarer bzw. idealer Weise sage und schreibe Null! Im Vergleich zu vielen anderen Projekten weisen die Projekte von The Green LED nicht nur einen immerwährenden Charakter auf, sondern finden zu jedem Anfang im Großen und Ganzen auch ein verdientes Ende des Zustands "bearbeitet". Dabei bleiben mit dem anhaltenden Konzept für nur 10 Euro sämtliche Kosten für Anschaffung, Registrierung, Schulung, Beratung und Umstellung einschließlich Lizenzgebühren erspart. Einhaltung stärkt außerdem die rechtliche Position im Computerzeitalter und Glaubhaftigkeit gegenüber Mitmenschen. Die sicherheitstechnische Umsetzung selbst erfolgt von der Zeit unabhängig über Feinabstimmungen zu den Downloads unter anderem anhand Pdfs wie dem Computer-Handbuch mit Checkliste und flächendeckender Sicherheitssoftware wie Firewall linfw3, der Wiederaufbereitung von Daten auf Speichermedien klean, Einblick in die Arbeitsweise von Suchmaschinen, der sicheren PHP-MySQL Firmendatenbank und Download-Schutzmaßnahme download-counter. Natürlich wird auch vor ergonomischen Kriterien und Kriterien der Green IT nicht Halt gemacht. The Green LED verhilft daher im entscheidenden Maß zur Prävention, Diagnose und Reparatur von Computersystemen. Neben einem auf der SQL-Datenbank gestützten und weitgehend standardisierten Firmen-Management erinnert The Green LED in Sicherheitsfragen alles in allem an den von einer grünen LED signalisierten, ruhigen, störungsfreien Betrieb.
Instanzen (Prozesse) die Funktion als Informationslieferant, Räuber bzw. als Backdoor zu untersagen. Vier Konzepte fallen hier nach einer Reduzierung der Anzahl aktivierter Services bzw. Dienste in der Systemkonfiguration eines Betriebsystems sofort ein:
Verschlüsselung, Dateifreigabe, Zugriffskontrolle auf Benutzer und Benutzergruppen mit dem Benutzer Root bzw. Systemadministrator für alle Rechte (beides nur innerhalb lokaler Netze, LAN) und
Firewall. Mittels Zugriffskontrolle kann über chmod 755 abwärts auf Besitzer Root, auf Wunsch auch in Verbindung mit chattr +i zur Wahrung der Integrität von Dateien, neben Schreib-/Leseschutz im LAN weitgehend Virenfreiheit auf dem lokalen Rechner erzielt werden. Bei Dateisystemen ohne derart mächtiges Konzept eignen sich kleinere Umgebungen insbesonders um den Browser herum abschottende, vertrauenswürdige Sandboxen. Verschlüsselung ganzer Partitionen kann sowohl über moderne Partitionsmanager als auch sogenannte Loop-devices für virtuelle Partitionen auf herkömmlichen Dateien erfolgen.
Dennoch sollten während des Einspielens sensibler Daten keine seitens Benutzer online aufgebaute, Verbindung haltende Prozesse wie insbesonders Seiten bereits darstellende Browser aktiv sein! Zu beachten ist die in mehreren Studien erwähnte Unzulängichkeit einer Verschlüsselung mit Methoden wie XOR. Zumindest das Benutzerverzeichnis wie Home, alle temporären Verzeichnisse und auch die swap-Partition mit der Auslagerungsdatei gehören mit Methoden wie AES, SERPENT, Two- oder Blowfish, im Falle swap über mehr oder weniger einem speziellen Befehl verschlüsselt. Für einzelne Dateien bietet sich außerdem das bewährte kgpg bzw. gpg freeware an, Im Internet sollte über den Browser die Wahl auf mehrere möglichst an Bit starke Schlüssel der Größe von mindestens 128 für SSL fallen. Außerdem eignen sich hier gelegentlich noch Tunnelbauten. Generelle Techniken zur zusätzlichen Filterung, zur Verschlüsselung, Früherkennung und Rettung beschädigter Daten auf Festplatte und das nicht jedem Dateisystem inhärente Konzept der effektiven Zugriffskontrolle finden sich neben ergonomischen Aspekten und zahlreichen Einzelpunkten im zweiten Schritt bzw. in der Checkliste wieder. Sorgsam vor- bzw. nachkonfiguriert ermöglicht Zugriffskontrolle wie gesagt zumindest den Rundumschutz vor Viren. Selbst nach Regelung der Freigabe im LAN (Intranet, lokalem Netz) bleiben Verzeichnisse und Dateien im WAN (Internet) aber lesbar. Die grundlegende Spionageabwehr sowie im Insbesonderen die Protokollierung der Intensität krimineller Hackerei bleiben nach wie vor erforderlich. Nicht selten kommt es obendrein vor, dass die Menge aller Zugriffsrechte in Unordnung gerät oder sich in Wirklichkeit nicht restlos eigenen Wünschen anpassen lässt. Das trifft u.a. auf Systemverzeichnisse mit Dateien wie beispielsweise dcopserver, kdesu und xauth vieler Linux-Distributionen zu.
Derartigem aufkommt, fällt zunächst womöglich dennoch nicht leicht. Sollte man etwa ausgerechnet selbst zu einem Opfer von Computerkriminalität, Hackern und Trojanern, werden? Spätestens aber bei dem Gedanken an eine ausgelastete mehrspurige Highway (Datenhighway) mit all den sie durchflitzenden Autos (hier Paketen), konkret bei einem Einblick in die System-Logdatei, dürfte sich aber mehr Überzeugung einstellen. Hier tummeln sich die Logeinträge binnen kurzer Zeit gleich zeilen-, wenn nicht seitenweise. Insbesonders Verbindungsaufnahmen von innen nach außen sollen an dieser Stelle kurz interessieren, denn hier geht es um Art Trojaner. Zunächst protokolliert LINFW3 dabei unter PID- (process identifying number) bzw. CMD- (command identifying name) und/oder (am besten beides) GID- (group identifying number or -name) Owner unter Linux wie verrückt. Die Möglichkeit zur gezielten Abstellung des Protokollierens ohne Einbußen der Intensität beim Blocken sind jedoch über die Dialog-GUI auf einfache Art und Weise möglich. Im Falle des Kernel größer 2.6.12 (3.X.X selbst habe ich noch nicht getestet) bedingten Ausfalls von CMD-Owner verbleibt neben GID- noch das dank dem selbsttägtig arbeitenden, zuverlässigen PID-Agent von Linfw3 CMD- sicherlich gleichkommende Konzept des PID-Owners und die Unterscheidung in Client- (Dienste abfragende)- und Server- (Dienste anbietende)- Ports. UNIX/Linux kann somit gerettet werden! LINFW3 regelt auch im einstellbaren Vorab ungeachtet all dieser Benutzer und Gruppen den wesentlichen Traffic wie über ftp (ftp-Filetransfer auf über IP ggfls. in Verbindung mit Subnetmask vom Anwender vorgesehene ftp-server), pop3 (Email-Eingang auf vorgesehene Posteingangsserver), smtp (Postausgangsserver) und news (Nachrichtenserver des USENET). Nun hat Linux dank des Owner-Konzepts von Linfw3 neben der Seite von außen nach innen auch die Seite von innen nach außen im Griff, während es bei anderen Linuxern "pingt und pingt"!
