Wenn Sie auf der linken Seite keine Menüleiste vorfinden, klicken Sie bitte hier.
Willkommen auf greenled.tk!
"Früher legten sogenannte Cyberkriminelle fremde Rechner durch Computerviren lahm, heute räumen die Datendiebe ganze Bankkonten leer", schreiben die Zeitschriften. In der Tat, auch wenn bestimmt viele gar nichts merken: Selten sowas gesehen. Die IT Sicherheitslage erinnert seit Einführung des Computers an Notfälle, Katastrophen und unabsehbare Zahlungen. "Der Weg ist das Ziel", mit solchen Sätzen stünde auch Konfuzius heute trauriger Weise nicht mehr alleine dar. The Green LED möchte den Kampf um die Vorzüge des Computers mit seinen
mannigfachen Möglichkeiten allein im Vergleich zur herkömmlichen Schreibmaschine jedoch nicht aufgeben. The Green LED ist ein neben um
inhaltliche Vollständigkeit erstmalig auch um Strukturierung und wissenschaftliche Normen bemühter Treffpunkt für IT Sicherheit, dem Computerfirmen nach ziehen bzw. wenigstens tun sie dann so. Vorgestellt werden das wissenschaftliche und standardisierte Konzept einer Firmendatenbank und -managements und der IT Sicherheit nach dem auf Niveau, Standards, Prototypen und Checklisten basierten Ansatz mit rapiden Einsparungen an Festplattenscans und Updates. Dabei bleiben mit einem anhaltenden Konzept für nur 10 Euro sämtliche Kosten für Anschaffung, Registrierung, Schulung, Beratung und Umstellung sowie Lizenzgebühren erspart. Befolgung stärkt außerdem die rechtliche Position im Computerzeitalter und gegenüber Mitmenschen. Umsetzung selbst erfolgt von der Zeit unabhängig über Feinabstimmungen zu den Downloads unter anderem aus Pdfs wie dem Computer-Handbuch mit Checkliste und flächendeckender Sicherheitssoftware wie Firewall linfw3, Datenentrümplung auf Speichermedien klean, Einblick in die Arbeitsweise von Suchmaschinen und Download-Schutzmaßnahme download-counter. Natürlich wird auch vor ergonomischen Kriterien und Kriterien der Green IT nicht Halt gemacht. The Green LED verhilft daher im entscheidendne Maße zur Prävention, Diagnose und Reparatur. Neben einem auf der SQL-Datenbank gestützten und weitgehend standardisierten Firmen-Management erinnert The Green LED in Sicherheitsfragen alles in allem an Erste-Hilfe Kästen und aus Sicht des Computers als Hilfsbedürftigem seiner katastrophalen Zeit an das Internationale Rote Kreuz e.V. .
Doch von vorn: In diesem zweischrittigem Exkurs wird die Entwicklung von Quellcode im Rahmen des Webdesigns gelehrt. Insbesonders wird gezeigt, dass Computertechnik und Computerzeitlalter nicht für Nonsens stehen müssen, obwohl sie aller Vorrausicht nach geschäftlich so gemeint sind und obwohl im Rahmen eines Wettlaufes von sicherheitsgefährdenden mit schützenden Technologien und den Menschen
dahinter bekanntlich nichts als wirklich sicher gilt. Deshalb besteht das Ziel dieses Exkurses, nur die im
zweiten Schritt näher spezifierten Schwachpunkte stehen zu lassen, gegen die sich von vornherein nichts ausrichten lässt. Was sogenannte vor
Manipulation geschützte Chips angeht, ist nach Angaben aus CHIP10/2004 alles bloß eine Frage des Aufwandes, denn die Kombination aus
Raster-Elektronen-, Raster-Auger- und Raster-Sonden-Mikroskop knacke jeden Chip. Nicht nur das Knacken oder Cracken, sondern auch Interna der
Know-Hows lassen sich nur mit Sachverstand unter erheblichen Zeitaufwand erschließen, so dass wir uns nach wie vor gezwungen sehen, einigen wenigen gutachterlichen Stellen und Presseorganen unser Vertrauen entgegen zu bringen. Beispielsweise brachten einige Drucker infolge Kollision der Sicherheitsinteressen nicht nur das Erwünschte, sondern außerdem noch mit bloßem Auge nicht mehr erkennbare Inschriften zu Papier. Ähnliches gilt wie wir noch sehen werden immer auch für Software.
Zur Umsetzung softwaretechnisch basierter IT-Sicherheit stehen uns heute jede Menge Produkte zur Verfügung. Daher ist die Frage zu stellen, welche dieser sogenannten Sicherheitssoftware überhaupt erforderlich ist. Um von Sicherheit zu sprechen, erscheint die konzeptionell möglichst weit reichende Intransparenz von Sicherheitstechnik auf Seite der Bedroher zur Transparenz auf Seite der sich Schützenden als Sicherheit des einen auf Kosten der Unsicherheit des anderen ganz besonders sinnvoll. Geht es zentral um Sicherheit, herrscht vor allem Konzentration auf ein Anliegen: fremden, unerwünschten Zugang abzuwehren und zugleich den Kontakt nach außen aufnehmender getarnter Instanzen (Prozesse) die Funktion als Informationslieferant, Räuber bzw. als Backdoor zu untersagen. Vier Konzepte fallen hier sofort ein: Verschlüsselung, Dateifreigabe, Zugriffskontrolle (beides nur innerhalb lokaler Netze, LAN) und Firewall. Während die Checkliste verschiedene Techniken zur Verschlüsselung vorstellt, ist Zugriffskontrolle fester Bestandteil so manchen Dateisystems. Sorgsam vor- bzw. nachkonfiguriert reicht sie an für sich zumindest gegen Viren aus. Dennoch bleiben Verzeichnisse und Dateien aber zumindest im WAN (Internet) lestbar. Die grundlegende Spionageabwehr sowie im Insbesonderen die Protokollierung der Intensität krimineller Hackerei bleiben erforderlich. Nicht selten kommt es obendrein vor, dass die Menge aller Zugriffsrechte in Unordnung gerät oder sich in Wirklichkeit nicht restlos eigenen Wünschen anpassen lässt. Das trifft u.a. auf Systemverzeichnisse mit Dateien wie beispielsweise dcopserver, kdesu und xauth vieler Linux-Distributionen zu.
Insgesamt soviel IT-Sicherheit, d.h. ein so hohes Sicherheitsniveu wie möglich anstrebend, begeben wir uns gleich als Erstes weitgehend unabhängig vom System auf die Suche nach einer zertifizierten Firewall mit referenziellem (d.h. wissenschaftlichen Vorstellungen genügendem) Inhalt (mit allgemeinem, auch für andere OS als UNIX gültigem Bezug).
Eine Firewall nennt man immer auch Paketfilter. Dieser dient der Verhindung/Einschränkung von Vandalismus, Einbruch, Diebstahl und Raub. In noch allgemeinerer Auslegung kann man von einem wichtigen Instrument zur Regulierung des gesamten Online-Verkehrs und somit der Bandbreite sprechen. Ihr Aussehen gleicht in etwa einer Mauer als Aneinanderreihung von Tonnen (Regeln, vereinfacht Ports) in der übergeordneten dreidimensionierten Form eines Trichters mit nur schmalem, aber gesichertem Durchsatz am Endstück. Bereits ihre mit Lichtstrahlen reflektierten, sich über Sequenzen an Tonnen (Ports) vollziehenden Checks des Verbindungszustandes (State) NEW auf der sequentiellen Kette (Chain) wie INPUT sind dazu imstande, die meisten Hackerangriffe von außen (intrusions) abzuwehren. Derart geschlossene Linienzüge über NEW lassen sich aber nicht immer einrichten und bedürfen daher der Verstärkung.
Den frei konfigurierbaren Drehreglern und Schaltern gleichkommenden Kernelparamtern entsprechen dabei in etwa die kreisförmig angeordneten und beleuchteten Einzelpunkte an einer Art Kern des 3D Gewöbes.
Erst auf die Ebene projeziert gleicht eine korrekt aufgebaute Firewall der im Mittelpunkt dargestellten, namentlich umfassten Wand bzw. Mauer.
Der Zusatz "fire" zu "Wand" (engl. "Wall") selbst rührt vermutlich von der Tatsache her, dass i.a. nur eine prozentuale Anzahl von Paketen geblockt wird, voreingestellt jedes zweite. Einmal geblockte Pakete werden dabei erst allmählich verbrannt bzw. eliminiert.
Daran recht glauben, dass privat oder seitens Firmen ein realer Bedarf an
Derartigem aufkommt, fällt zunächst womöglich dennoch nicht leicht. Sollte man etwa ausgerechnet selbst zu einem Opfer von Computerkriminalität, von Hackern und Trojanern, werden? Spätestens aber bei dem Gedanken an eine ausgelastete mehrspurige Highway (Datenhighway) mit all den sie durchflitzenden Autos (hier Paketen), konkret bei einem Einblick in die System-Logdatei, dürfte sich mehr Überzeugung einstellen. Hier tummeln sich die Logeinträge binnen kurzer Zeit gleich zeilen-, wenn nicht seitenweise.
Allgemein lässt sich zum Abschluss des ersten Schrittes über Risiken Folgendes sagen: Der Binärcode vieler Programme ist nicht selten schwarz geblieben, unzählige Versionen und Distributionen mit ihren Abhängigkeiten zum sogenannten neuesten Stand flattern entgegen, und der zeitaufwendige Sicherheit umsetzende Soll-Code einer Firewall zum Netfilter-core gestützten ICSA-zertifizierten Iptables-Konzept wird da erst auf meiner eigenen Homepage angeboten. Zu älteren Mandrake wirkte die Version zu iptables noch verstümmelt und eine ausformulierte Firewall schien überhaupt nicht vorhanden zu sein. Bei SuSE wartete unter gelegentlichen unerwarteten Eindringungen ein Update nach dem anderen, und ein Nachweis an Zuverlässigkeit für Endbenutzer, die es selber wissen wollten, lag noch in weiter Ferne. Ich möchte nun mein möglichst referentiell (optimal) konzeptioniertes "Ding" in allen Einzelheiten vorstellen. Es beruht zwar ausschließlich auf UNIX durch und durch, die Regeln, insbesonders Sicherheit ausmachende, können aber teilweise in allen guten Firewalls Verwendung finden - ein Vergleich mit sowie eine Vervollständigung des "dunklen, alten Schätzchens" bieten sich an. Wer die standardisierte Sprache für Firewalls namens iptables von Netfilter.org bereits kennt, kann unter Kenntnisnahme der Module austestenden Kernel-GUI Dialog auch direkt unter Menüpunkt "Produkts/Services" weiterlesen. Linfw3 in allen Einzelheiten:
-getestet in LAN/WAN- und GAN-Netzwerken - MAX. SICHER, TRANSPARENT UND VERSTÄNDLICH-
ideal für Einsteiger, Fortgeschrittene und Profis auf der Suche nach der nachvollziehbaren und sicheren Konfiguration wie auch Experten zur Ausformulierung von Endstufen
Transparenz: Diese referentielle Firewall lässt sich in allen Einzelheiten präsentieren, ohne Sicherheitsschwächen zu riskieren - eine transparente, universelle FW wie im Ideal vorzustellen. Mit LINFW3 erleben Sie u.a. Dank aller INPUT-Ports schließender Semi-Porosität einfach keinen Trojaner und keinen Hacker und auch keinen unerwünschten Verbindungsabbau mehr lebend: Während die eine Portseite unter konsequenten Einsatz des STATE NEW sowohl im Hauptteil als auch über durchgänigige Strahlen des Vorfilters von außen nach innen vollständig schließt, öffnen sich durch nochmalige Abfragen Ports von außen nach innen unter den zugelassenen genau dort, wo von Seiten des Surfers vorher eine Verbindung aufgebaut worden ist und Erlaubnis besteht. Hier kann dann sowohl das Modul String von iptables als auch ein das Netz filternder Proxy wie auch Traffic Shaping (siehe Checkliste) aufsetzen. Um die Sicherheit online, hier Schutz vor Trojanern, zu gewährleisten, genügt neben der Konfiguration der OUTPUT-Ports Dank des konsequenten Einsatzes des Modules CMD- und je nach Kernel alternativ GID-Owner in linfw3 die Konzentration auf nur wenige statt "unendlich viele" Programme in Ausführung (Prozesse) wie kdeinit für den Konqueror, privoxy bzw. squid, firefox, kontact bzw. thunderbird, einige Kommunikationsprotokolle wie nntp, ftp, sftp, postfix oder sendmail, pppd, auf Chat-Clients wie xchat, kscirc und gaim
Listet Ihre bisherige FW die detaillierte Implementierung einzelner Regeln auf? Gerade auf sie aber kommt es an!
Alle Filterregeln können mit linfw3 unmittelbar eingesehen, überprüft und modifziert werden
bel. aufstockbarer Schutz durch Kernel-Flags wie ECN (Early Cognestion Notification, Stauerkennung), bootprelay, TCP-keep-alive time, IP-fragtime, vor redirects, sourceroute, IP-fragment hightresh and -lowtresh, martians (falscher Protokollierung)
für 2.4.x Kernel oder höher, für alle UNIX-Distributionen (bitte um Benachrichtigung, falls nicht)
Mehrschichtigkeit aus einfacher GUI-Dialog, im Modus "Transparent" editierbarer Konfigurationsdatei mit Angabe der einzelnen Regeln und dem auf einem Kernel aufsetzenden Iptables-Filter-Satz
Konfiguration fortlaufend begleitende Dokumentation und Hilfe
referentieller Firewall-Charakter, übernehmbare Konfigurationen für FW anderer Betriebssysteme
Desktop Firewall oder Vorlage für Konfiguration einer (nicht im Widerspruch stehenden) Router Firewall
herauspickbares Shell-Script
300 KB Ur-UNIX im selbst erklärenden OSD-Look von iptraf; strengste Orientierung an UNIX durch UNIX-Shellsprache, beliebig erweiterbare Benutzeroberfläche
Zeitersparnis bei der Suche nach Netzfehlern
kwrited bzw. kwatch - Nachrichtenfenster (logmode emerg(ancy))
durchdachte Ordnung und effiziente Strukturierung der Regeln zu iptables
Bewahrung vor psych. bedenklichen Wiederholungen der Tastatureingabe "iptables"
beste Erweiterungsmöglichkeiten
Kompatibilität mit Webmin und allen Dienst- und Runlevel-Editoren
mit Boot-Skript bzw. Dämon linfw3
Statistiken für schnelle Tests verschiedener Sätze (Versionen) von iptables
auf Dialog basierte, skalierte wie prozentuale Indizierung des mittels jeweiliger Konfiguration erzielten FW-Security-Levels, Abfrage von Details zugrundeliegender Schwächen, Präzisierbarkeit beimessender Faktoren und in Frage kommender Ursachen (Details) auf beliebige Genauigkeit
für Netbios/Samba binnen weniger Sekunden einsatzbereit
einfache Installation: benötigt wird lediglich eine zuverlässige (nicht notwendiger Weise die neueste) Version einer möglichst gepatchten Iptables wie siehe unter Download, ggfls. Erweiterungen wie Patch-o-matic von netfilter.org sowie Dialog, wg. mehrzeiligem Inputmenü mindestens der Version 0.9b-20040316.tar.bz2 und ein Editor wie pico oder nano (alles in der Sektion Download erhätlich)
transparent, ohne jeden schwarzen oder komplizierten Quellcode, da im nativen UNIX-sh
konfigurierbar und beliebig erweiterbar durch iptables-Regeln und Dialog-Widgets
einfache Konfiguration
Unterstützung aller Interfaces: DSL- und analoge Modem (ppp), Ethernet-Karten (eth) und ISDN (ippp)
Filter für Adressüberprüfungen
konfigurierbarer Modus Stealth, Berücksichtigung aller ICMP-TYPEN, aller Protokolle, darunter IGMP, UDP und TCP des Adressräums ipv4
Ein TCP-Flag-Filter hält die Verbindungen stabil und schützt vor unerwünschtem Verbindungsabbau (nur in Abstimmung mit systeminternen OS-Timeouts), vor Speicherüberlauf zur Erlangung von root-Rechten, vor Abschüssen laufender Prozesse (z.B. Browsern) sowie unerwarteten System-Neustarts und Hang-up-Situationen
Just-Surf-Konzept: Vorkonfiguration für "Single-User" - lediglich die DNS muss hier noch eingetragen werden
Eine keine Wünschen offen lassende Protokollierung aller Arten von Angriffen, auch noch so unglaublichen; viele verschiedene und einfache Testmöglichkeiten mit: einem Debugger zur schnellen syntakt. und semant. Analyse der Regeln, einer nach ersten Testdurchläufen leicht deaktivierbaren Vergleichsbasis für Log-Einträge zwecks Soll-Ist-Vergleich, Connection-Tracking zur Überprüfung aufgebauter Verbindungen, der Möglichkeit, Regeln ganz einfach ein- und auszukommentieren, FW-Security-Level sowie dem Mitschnitt von Prozessen (Audit), z.B. um Verbindungen freizuschießen
vollkompatibel mit allen Arten aufbauender Filter(-Software), d.h. "Additional" Filtern, auf die noch im Schritt 2 näher eingegangen wird
Optimierung der Datenübertragungsrate: Maximierung des Durchsatzes für TCP-Verbindungen, Minimierung der Verzögerungen auf UDP (DNS), indem das TOS-Feld von Paketen auf Schnelligkeit eingestellt wird und bei TCP auf den maximalen Durchsatz. Dadurch ergeben sich Geschw.-Erhöhungen von bis zu 30%
Internet Telephony lässt sich auf einfache Art aktivieren und deaktivieren
mit einem Prototyp zum modernen HTB-Filtern zur Beseitigung von an den Schnittstellen verschiedener Netze (LAN zu WAN) bestehender Engpässe
Modifikationen werden Abschnitt für Abschnitt auf syntakt. Fehler hin überprüft
interne Ausformulierung der effektivsten FW-Strategie "verboten ist, was nicht (ausdrücklich erlaubt ist" (statt z.B. : "erlaubt ist, was nicht verboten ist") zur Vorlage wissenschaftl. Abgeschlossenheit/Vollständigkeit der eingesetzten Regeln
für nahezu alle Client-/Server-Architekturen (Single-User, Client, Server, Router...)
explizite Auftrennungen von Ports in Quell (Source)- und Ziel- (destination)-ports und adressen, rascher Überblick über Ports zu Services dank integrierter Service-Port-Liste
Modul Random (optional): gängiges optionales Blocken in frei frequentierbarer Präzision von 0 bis 100% (stetig, voreingestellt auf 50%)
Internetsperre in bedrohlichen Situationen online
Konfigurierbarkeit schwarzer Listen, "Blacklists" für einzelne IP, IP-Adressbereiche, auf LAN und WAN, im Server-Betrieb sowie zu HTTPS
Verhinderung von Smurf (Broadcasting mit Zielvorgabe), von Tcp-syn-flooding, Land-Attacken und vor Angriffen auf Basis von Paket-Übergrößen
Unterstützung des aktiven und des sichereren passiven FTP-Übertragungsmodus
automatische Austauschbarkeit beliebiger Regeln zu frei festlegbaren Zeitpunkten
Anzeigbarkeit bzw. Protokollierung aller schlechten (langsamen) Verbindungen über TTL (Anzahl noch eingerämter Stationen/Hops)
Alle Regeln werden durch die OS-Zugriffskontrolle Paßwort geschützt unter 128-Bit abgespeichert (Blowfish,...) und sind somit vor Manipulationen sicher
Log-Statistiken versorgen mit stat. Erhebungsdaten und ermöglichen Auswertungen zwischen beliebigen Zeitabständen
Auf Modul OWNER basierte Filterung von Prozessen (namentliches CMD oder über die PID), Benutzern (UID), Gruppen (GID) und/oder Sitzungen (SID)
Filterung verformter Pakete mittels Modul UNCLEAN, von MAC-Adressen
Stundenpläne innerhalb Dialogs zum Modul TIME-MATCHING
Intergration des Moduls STRING zum Filtern auf Data-Payloads (Hauptinformationsteile von Paketen) anhand beliebiger Suchzeichenfolgen
mit XOR-Paketverschlüsselung und Limitierbarkeit der Verbindungen versch. Dienste mit Module connlimit
optionales QUOTA für Volumentarife, TARPIT anstelle DROP
mit ACCOUNT zur Umsetzung eines Traffic-(Besucher-) Zählers für Netzwerke und lokale Server
Integration des Moduls RECENT, um einzelne IP über best. Ports in Blacklisten optional zeitlich befristet oder erst nach einer bestimmten Anzahl von Treffern (Hits) aufzunehmen
Intergration weiterer Module, Integrierbarkeit aller Module zu iptables
LAN-Rundumvorsorge: Ein integriertes (aktivierbares) LAN-Frühwarnsystem protokolliert jeglichen Zugriff auf den eigenen Rechner und alle freigegebene Ordner. Alle Arten von Blöcke lassen sich auch bereits lokal innerhalb eines LAN aufstellen
... kurzum so konzipiert (normiert), dass das Wort Firewall binnen kurzer Zeit für immer getrost hinter sich gebracht werden kann
Ähnlich wie mit iptables stehen sich Regeln des in diesem Zusammenhang verifizierenden Additivs und Intrusion Detection System (IDS)
lids (PDF). Generell eignet sich aber auch jedes andere IDS wie beispielsweise aide (Advanced Intrusion Detection System), mit dem Nachteil, erst auf einen Zeitpunkt nach der Intrusion zu verweisen. Hingegen nehmen IDS wie Samhain periodisch mitunter aufwendige Überprüfungen vor, am befürchteten regelmäßigen Scannen der Festplatte doch nicht vorbei zu kommen. Schritt 2 zur "Erzielung höherer Sicherheitsniveus"
Schritt 1 -
mannigfachen Möglichkeiten allein im Vergleich zur herkömmlichen Schreibmaschine jedoch nicht aufgeben. The Green LED ist ein neben um
inhaltliche Vollständigkeit erstmalig auch um Strukturierung und wissenschaftliche Normen bemühter Treffpunkt für IT Sicherheit, dem Computerfirmen nach ziehen bzw. wenigstens tun sie dann so. Vorgestellt werden das wissenschaftliche und standardisierte Konzept einer Firmendatenbank und -managements und der IT Sicherheit nach dem auf Niveau, Standards, Prototypen und Checklisten basierten Ansatz mit rapiden Einsparungen an Festplattenscans und Updates. Dabei bleiben mit einem anhaltenden Konzept für nur 10 Euro sämtliche Kosten für Anschaffung, Registrierung, Schulung, Beratung und Umstellung sowie Lizenzgebühren erspart. Befolgung stärkt außerdem die rechtliche Position im Computerzeitalter und gegenüber Mitmenschen. Umsetzung selbst erfolgt von der Zeit unabhängig über Feinabstimmungen zu den Downloads unter anderem aus Pdfs wie dem Computer-Handbuch mit Checkliste und flächendeckender Sicherheitssoftware wie Firewall linfw3, Datenentrümplung auf Speichermedien klean, Einblick in die Arbeitsweise von Suchmaschinen und Download-Schutzmaßnahme download-counter. Natürlich wird auch vor ergonomischen Kriterien und Kriterien der Green IT nicht Halt gemacht. The Green LED verhilft daher im entscheidendne Maße zur Prävention, Diagnose und Reparatur. Neben einem auf der SQL-Datenbank gestützten und weitgehend standardisierten Firmen-Management erinnert The Green LED in Sicherheitsfragen alles in allem an Erste-Hilfe Kästen und aus Sicht des Computers als Hilfsbedürftigem seiner katastrophalen Zeit an das Internationale Rote Kreuz e.V. .
Zur Umsetzung softwaretechnisch basierter IT-Sicherheit stehen uns heute jede Menge Produkte zur Verfügung. Daher ist die Frage zu stellen, welche dieser sogenannten Sicherheitssoftware überhaupt erforderlich ist. Um von Sicherheit zu sprechen, erscheint die konzeptionell möglichst weit reichende Intransparenz von Sicherheitstechnik auf Seite der Bedroher zur Transparenz auf Seite der sich Schützenden als Sicherheit des einen auf Kosten der Unsicherheit des anderen ganz besonders sinnvoll. Geht es zentral um Sicherheit, herrscht vor allem Konzentration auf ein Anliegen: fremden, unerwünschten Zugang abzuwehren und zugleich den Kontakt nach außen aufnehmender getarnter Instanzen (Prozesse) die Funktion als Informationslieferant, Räuber bzw. als Backdoor zu untersagen. Vier Konzepte fallen hier sofort ein: Verschlüsselung, Dateifreigabe, Zugriffskontrolle (beides nur innerhalb lokaler Netze, LAN) und Firewall. Während die Checkliste verschiedene Techniken zur Verschlüsselung vorstellt, ist Zugriffskontrolle fester Bestandteil so manchen Dateisystems. Sorgsam vor- bzw. nachkonfiguriert reicht sie an für sich zumindest gegen Viren aus. Dennoch bleiben Verzeichnisse und Dateien aber zumindest im WAN (Internet) lestbar. Die grundlegende Spionageabwehr sowie im Insbesonderen die Protokollierung der Intensität krimineller Hackerei bleiben erforderlich. Nicht selten kommt es obendrein vor, dass die Menge aller Zugriffsrechte in Unordnung gerät oder sich in Wirklichkeit nicht restlos eigenen Wünschen anpassen lässt. Das trifft u.a. auf Systemverzeichnisse mit Dateien wie beispielsweise dcopserver, kdesu und xauth vieler Linux-Distributionen zu.
Derartigem aufkommt, fällt zunächst womöglich dennoch nicht leicht. Sollte man etwa ausgerechnet selbst zu einem Opfer von Computerkriminalität, von Hackern und Trojanern, werden? Spätestens aber bei dem Gedanken an eine ausgelastete mehrspurige Highway (Datenhighway) mit all den sie durchflitzenden Autos (hier Paketen), konkret bei einem Einblick in die System-Logdatei, dürfte sich mehr Überzeugung einstellen. Hier tummeln sich die Logeinträge binnen kurzer Zeit gleich zeilen-, wenn nicht seitenweise.
