Harald Mühlböck
Hallo Harald Mühlböck
BearbeitenEs freut mich, dass Du zu uns gestoßen bist. In Hilfe und FAQ kannst Du dir einen Überblick über unsere Zusammenarbeit verschaffen. Lies unbedingt zuerst Erste Schritte, Zweite Schritte und Wie schreibe ich gute Artikel. Fragen stellst Du am besten hier. Solltest Du bestimmte Worte oder Abkürzungen der anderen nicht auf Anhieb verstehen, dann schaue doch hier mal rein. Ich (und die meisten Wikipedianer) helfen gerne. Wenn Du mal etwas ausprobieren willst, dann ist hier Platz dafür.
Mein Tipp für Deinen Einstieg in Wikipedia: Sei mutig ;-)
Gruß, --Flominator 09:43, 28. Jul 2005 (CEST)
Geothermie
BearbeitenIch habe gesehen, dass du dich mit dem Artikel Geothermie beschäftigt hast. Ich habe diesen Artikel in einem sehr schlechten Zustand vorgefunden und in den vergangenen Tagen etwas aufgepäppelt, ohne den (die) Ursprungsautoren zu kennen. Es wäre schön, wenn du bei der weiteren Verbesserung /revue des Artikels noch mitmachst. -- 80.144.241.18 15:12, 19. Aug 2005 (CEST)
Bewertung von Computerwurm
BearbeitenHallo Harald! Ich habe gesehn, dass deine bewertung für lesenswerte artikel von Computerwurm hier. grüsse, Mario23 18:39, 25. Aug 2005 (CEST)
Kontra war, und ich bin deine kritikpunkte sehr genau durchgeganen, und habe versucht, alles zu verbessern. Vielleicht könntest du den artikel noch einmal anschauen und möglicherweise deine Stimme ändern :) Du findest esHier Benutzer:Nerdi. Um den sicher viel gelesenen Artikel "Trojanisches Pferd ..." nicht komplett nach Baustelle aussehen zu lassen, habe ich meinen Verbesserungsvorschlag hier: Benutzer:Nerdi/Trojaner erarbeitet. Es handelt sich um eine Zusammenschrift positiver Teile aus dem englischen und dem deutschen Artikel. Wenn dir daran etwas auffällt, sag mir Bescheid. Meinst du, wir könnten den Vorschlag in den Artikel einbauen? Ich habe - glaube ich - keine Information aus dem dt. Artikel entfernt, sondern nur umgeordnet und umgeschrieben (da z.b. der Abschnitt Definition etwas holperig anfing). Warte auf Rückmeldung, --Nerdi ?! 14:17, 3. Sep 2005 (CEST)
- Hallo! Die Umbenennung der Abschnitte finde ich sehr gelungen. Ich finde er kann ruhig auf die Seite des eigentlichen Artikles eingebaut werden. Apostrohe bei englischem Plural entfernen (Executable's -> Executables); Der Artikel ist stark auf Windows bezogen. Mehr dazu im Review.--Harald Mühlböck 09:03, 4. Sep 2005 (CEST)
Endlich abgeschlossen....
BearbeitenDie Überarbeitung aller Artikel rund um Linux ist endlich abgeschlossen: Linux-Einsatzbereiche wurde heute als lesenswert aufgenommen. Wenn es auch nicht ganz so viele Artikel auf das Exzellenz-Podest geschafft haben, wie gehofft, so haben doch alle Artikel davon profitiert, und sind entscheidend verbessert worden. Vieles davon wäre nicht ohne deine Hilfe möglich gewesen - deswegen: Danke! --Liquidat, Diskussion, 11:20, 17. Dez 2005 (CET)
Personal Firewall
BearbeitenHallo Harald,
du hast mir geschrieben: ->
"Hallo! Du hast bei der Exzelentdiskussion des Artikels Personal Firewall teilgenommen. Der Artikel steht nun im Review. Ich würde mich freuen, dort wieder deine Meinung zum inzwischen überarbeiteten Artikel zu lesen.--Harald Mühlböck"
Ich werde mir den Artikel in den nächsten 2-3 Tagen ausgeruht zu Gemüte führen, und dir dann schreiben, was mir aufgefallen ist.
Eines ist mir jetzt schon aufgefallen: Setze doch die erste Grafik von 300px gleich auf 400px. Dann kann man es ohne anklicken gleich gut lesen. Sieht gut aus die Grafik.
Gruß Boris Fernbacher 19:35, 5. Mär 2006 (CET)
Internet Explorer ?
BearbeitenHallo Harald,
du scheinst dich ja PC-mäßig gut auszukennen. ich hätte da ein Problem (für dich wohl recht banal). Auf einmal werden Midi-Dateien aus dem Internet (auch Soundbeispiele aus Wikipedia) auf meinem PC nicht mehr wiedergegeben. Statt dessen erscheint ein weisser Bildschirm mit einem kleinen Viereck links oben, welches zuerst drei farbige Zeichen enthält, die sich nach circa zwei Sekunden in ein rotes x verwandeln. Midi-Dateien die ich lokal auf meiner Festplatte habe werden wiedergegeben. Ist da in Extras - Internetoptionen irgendwas verstellt oder deaktiviert. Java oder sonst was ? Wäre schön, wenn du eine Lösung wüsstest, und mir auf meiner Diskussionsseite antworten könntest. Gruß Boris Fernbacher 08:40, 17. Mär 2006 (CET)
Hallo Harald Mühlböck, ich habe gesehen, dass du an dem Artikel Great FireWall of China auch mitgearbeitet hast. Ich habe ihn letztens ergänzt und wollte fragen, ob du den technischen Teil, insbesondere Great FireWall of China#Manipulation des DNS nochmal durchsehen und entsprechend ergänzen kannst. Wie war das jetzt mit dem IDS-Kontrollsystem und den Domainnamen? Was war wohl im chinesischen Original mit "Es gibt weltweit 13 DNS" gemeint? Viele Grüsse --Ningling 22:29, 26. Sep 2006 (CEST)
2.tes Wikitreffen in Wien
BearbeitenHallo Harald Mühlböck, wir versuchen ein Wikitreffen in Wien zu organisieren. Schau einmal auf die Diskussionsseite vom Portal Wien über näheres. Wir hoffen du kannst auch kommen. K@rl und Geiserich77
Personal Firewall: Dein persönlicher Tip...?
BearbeitenHallo Harald!
Wo du dich leichtsinnigerweise als Autor der Seite "Personal Firewall" geoutet hast, möchte ich dich auch gleich skrupellos bitten, mir einen Tip zu geben, welche du empfehlen würdest! Wie du weißt, ist mein PC platt, und ich muß dringend wieder ein funktionierendes System drauf haben, damit ich endlich wieder an meine Emails kann!! Mein derzeitiges Surfen hier mache ich quasi auf der Felge: mit einer alten Knoppix-CD von 2002, die mit der aktuellen Sw der Mail-Provider offenbar nicht mehr klarkommt. Und der ungeschützte Surfbetrieb in Windows scheint ja Malware-mäßiger Selbstmord zu sein.
Ich hatte mir (per Knoppix) gegen das Gröbste schon mal die .exe von www.dingens.org heruntergeladen, dem CCC-Mitglied, dessen Datei die defaultmäßig offenen Ports von Windows schließen soll (daß Windows da defaultmäßig alle "Türen" aufstehen läßt und den Benutzer damit ins Messer laufen läßt, finde ich schon empörend!) Die Grundidee ist mir sehr plausibel: Wozu einen Polizisten an jede Tür stellen, wenn man sie auch einfach zumachen kann? Das sollte eine Menge Rechnerressourcen sparen!
Allerdings braucht man zum Web-Surfen aber doch mindestens EINE offene Tür (und so ähnlich soll es ja mit anderen Funktionen wie e-mailen (auch für webbasierte Mailprovider wie Yahoo usw., oder läuft das durch die Surf-Tür?), Tauschbörsen usw., ich weiß da nichts darüber). DIESE Tür(en) wäre(n) dann ja immer noch dauer-offen, was wohl wieder Einfallslöcher offenließe. So scheint man also letztlich um Polizisten zum Bewachen einer bis mehrerer Türen doch nicht herumzukommen. Und am besten welche, die unterscheiden können, ob das, was da von außen kommt, auf Anforderung von innen kommt oder nicht. Was dann wohl "Stateful Inspection" wäre.
Leider kriegte ich nach Starten der exe-Datei aber nur die Meldung "Nicht genug Arbeitsspeicher", was bei der Winzigkeit der Datei ein Witz ist. Da ich nicht mailen kann, kann ich den Autor auch nicht fragen, was los sein könnte.
Kurz gesagt bitte ich dich um deine Empfehlung, welche unter den kostenlosen PFs du aussuchen würdest (Randbedingung: PIII 600 MHz, 256 MB SD-RAM; die Windows-Partition inkl. Auslagerungsdatei, Programmen und Daten kann für's Erste nur 4,8 - 5 GB kriegen; wenn Xubuntu (oder vielleicht Debian Edge) und die zweite HD drauf sind, mehr.)
Ausgesondert hab ich schon Norton (soll ressourcenfressend sein), Zone Alarm (keine Lust auf eine PF, die meine Daten nach Hause telefoniert (Sauerei!!)) und Outpost (die scheint ja viel zu können; aber in einer Tabelle sah ich mal, daß die nicht automatisch konfiguriert, was mir für den Anfang doch erst mal lieber wäre, da die Menüs in ihrer Knappheit nicht unbdingt "sprechend" sind.) (Popup-Blocken muß sie nicht können; das kann dann Opera. NetBIOS kann ich gegen derartige Popups wohl selber abstellen, und gegen normale HTML-Anzeigen gibt's ja Tools.)
Also Sunbelt/Kerio/Tiny? (solange die nicht auch nach Haus telefoniert, ist Scientology mir wurscht.) Oder würdest du eine der weniger bekannten vorziehen?
Wenn du dazu kommst: Danke!; und herzlichen Gruß von Preußen nach Wien! ;-)
Josef
P.S. Antworten dann bitte hier (und ein bissel stehen lassen), da ich derzeit wie gesagt nicht mailen kann!
- Welches Betriebssystem verwendest Du? Bei Windows XP (auf jeden Fall zuerst Service Pack 2 installieren!) würde ich die »Windows Firewall« empfehlen. Sie kann das nötigste und ist bereits dabei. Macht reltativ wenig Probleme. Windows 2000 habe ich lange ohne Firewall mit einer Dienstkonfiguration von http://www.ntsvcfg.de/ verwendet. Wichtig ist, dass man das Ergebnis mit netstat überprüft. (Kommandoeingabe starten, dort netstat -an eingeben)
- Zum Thema offene Türen beim Surfen: Man muss zwischen Client und Server unterscheiden. Ein Server bekommt vom Betriebssystem beliebige Anfragen weiltergeleitet. Ein Client (wie ein Browser oder ein E-Mail-Programm) bekommt nur angeforderte Antworten. Dafür sorgt das Betriebssystem auch ohne Firewall.--Harald Mühlböck 09:13, 10. Jan. 2007 (CET)
Hi Harald!
Dankeschön für deine Tips! Ich muß allerdings gestehen, daß ich z. T. keine rechte Linie drin finde:
ich benutze demnächst W2000 (mit SP 4 plus die beiden Patches gegen Blaster und ... wie hieß der andere Schädling noch...), was du ja auch benutzt hast - "lange ohne Firewall", nur mit CCC-Konfiguration, wie du schreibst. Da sollte man meinen, daß du der Meinung warst, daß das reicht, oder?
Andererseits schreibst du von W. XP und empfiehlst deren Firewall. Das beides krieg ich nicht recht unter einen Hut. XP ist doch nichts weiter als eine Weiterentwicklung von W2k - sollte man da nicht erwarten, daß, wenn für W2k eine Port-Schließung OHNE Firewall genügt, dies auch der Fall ist für XP?
Zumal ja argumentiert wird, daß ein Mehr an Programmen auch ein Mehr an Angriffspunkten liefert. (Allerdings geht dieser Sachverhalt - der sich wohl nicht bestreiten läßt - mir zu schnell über in die (wenn auch vielleicht nicht direkt ausgesprochene) Behauptung: "... und damit auch ein Mehr an Risiko." Sicherlich hat das Riskiko auf abstrakter Ebene mit der Anzahl der Defekte zu tun; aber diese nun stracks als Maß für das Risiko anzusetzen, greift mir doch wesentlich zu kurz. Das hieße: je weniger Leibwächter man hat, desto sicherer ist man, denn jeder Leibwächter mehr könnte ein korrumpierter Leibwächter sein! Am sichersten geht man also mit gar keinem Leibwächter. Man muß ja schließlich auch berücksichtigen, daß eine Schutzmaßnahme zwar einen Fehler haben kann, aber andererseits auch eine Schutzfunktion ausübt (oder dies zumindest SOLLTE!). Man muß das System also in seiner Strukturiertheit und seinen gegenseitigen Abhängigkeiten berücksichtigen, nicht nur seine Komponenten zählen.
Nun werden aber von CCC-Leuten auch Beispiele genannt, wie eine (Personal) FW leicht auszutricksen geht. Allerdings scheinen die Beispiele mir nur dafür zu gelten, wie man von INNEN nach AUßEN durchkommt (interessanter wäre ja wohl die Frage, wie der Schädling überhaupt hineingekommen ist) - allerdings bin ich mir da nicht völlig sicher; und auch nicht darin, ob sich das alles nur auf Low-level-Kontrollen (sprich: Paketfilter) bezieht.
Zumindest sollte das Port-Abdichten wohl auf jeden Fall passieren (das Skript scheint da eine Version weiter zu sein als die exe-Datei).
Danach emfpiehlst du dringend netstat; sicherlich zur Kontrolle. Aber sollten bei einem frisch aufgebrachten Betriebssystem (noch ohne alle Anwendungen; allerdings mit einem ganz kurzen Probe-Surfen danach, ob die Web-Anschluß-Konf. funktioniert) das Ergebnis nicht voraussagbar sein? Wie müßten die Soll-Werte (für den Normalfall) sein: ALLES zu / Dienste aus?
Bei Robert Sieber/different-thinking.de (der Microsofts Liste übersetzt und Zustände empfiehlt) steckt überraschenderweise rund die Hälfte aller Dienste in nur zwei Prozessen = Dateien: services.exe und svchost.exe. Das wirft schon wieder Fragen auf: warum wird der ganze andere Ramsch mit geladen, wenn ich nur einen kleinen Teil davon brauche?? Und wie ist es zu verstehen, wenn für die "sichere Konf." z. B. die Anwendungsverwaltung (services.exe) "manuell", der Arbeitsstationsdienst (genau die selbe Datei) aber "automatisch" gestartet werden soll?
(Und wieso zeigt mein Prozeßmanager (in o. g. Windows-Zustand) in den 18 Posten der Prozeßliste die Datei svchost.exe gleich drei mal, mit erheblich verschiedenem RAM-Footprint? Ist das noch normal, oder deutet es schon auf Schädlingseinwirkung?)
Zum Thema "offene Türen beim Surfen": da verwendest du die Begriffe Client und Server. Ich hatte da früher ein "naives Vorverständnis": der Server steht "zentral" und schickt Anfrageergebnisse an die PCs umher - bis ich mal an eine Unix-Anlage mit Zentralrechner und ziemlich dummen Terminals geriet; da galt zu meiner gewaltigen Überraschung: der Zentralrechner war der CLIENT, der an das Grafiksystem im Terminal = SERVER (!!) das Ersuchen stellte, zentral errechnete Ergebnisse auf dem Display darzustellen. Was also Client und was Server ist, scheint also eine hochgradig relative Chose zu sein!
Ich gehe aber mal davon aus, das du die Begriffe etwa wie in meinem "naiven Vorverständnis" verwendest: der Server ist z. B. Google, und meine Kiste ist der Client. Dazu schreibst du: "Ein Server bekommt vom Betriebssystem beliebige Anfragen weiltergeleitet. Ein Client (wie ein Browser oder ein E-Mail-Programm) bekommt nur angeforderte Antworten. Dafür sorgt das Betriebssystem auch ohne Firewall." Aber wenn der Client nur _angeforderte_ Antworten bekommt (und gar kein anderer gestartet ist, weil man ihn momentan gar nicht braucht - der hat also keine Anfragen gestartet und kriegt demnach auch keine "Post"): dann kann ja gar nichts mehr schiefgehen - dann hat das Problem sich in Luft aufgelöst: wozu also der ganze Riesenzirkus???
Derzeit verwirrter denn je
- Josef
P.S. Bin inzwischen auch mal auf die Äußerungen des Herrn Donnerhacke /TU Jena gestoßen, der ja wohl teilweise als Security-Guru gehandelt wird. Dessen Weisheiten scheinen darauf rauszulaufen, daß man doch bitte das Manual lesen möge, und bei Befall eine schöne argumentative Stellung gegenüber dem Händler hätte; ansonsten solle man doch bitte erst mal tausend Protokolle studieren, d. h. praktisch mindestens ein Semester Informatik bzw. Telekommunikation. - Wenn jener Jenaer (pun durchaus intended) über den Kauf von Autos zu bestimmen hätte, müßte man statt Führerschein und Lesen der Betriebsanleitung erst mal dieses (und vielleicht jenes) Semester Maschinenbau absolvieren, ehe man ein Auto fahren darf. [Was von der Haltung vieler Wiki-Poster aber gar nicht so weit weg ist...]
Abstimmung Firewall lesenwert
BearbeitenHallo Harald, ich mache mir gerade Sorgen das die Abstimmung über die Lesenswertigekeit von Firewall nicht mal 3 Stimmen kriegt und da Du Dich mit dem Thema ja auch auskennst wäre es nett wenn Du Dich beteiligst ;) --Penosa 13:13, 22. Feb. 2007 (CET)
HAPPY BIRTHDAY!!!
BearbeitenAlles Gute zu deinem 29. Geburtstag! Lass dich reich beschenken und feier schön. P.S. Trink nicht zu viel ;-) gruß -Matrixplay Hilfe gesucht! 12:33, 14. Sep. 2007 (CEST)
Happy Birthday
BearbeitenZu Deinem Ehrentag wünsche ich Dir nachträglich alles Gute, Glück, Gesundheit, Zufriedenheit, weiterhin viel Freude in Wikipedia und alles was Du Dir sonst selber wünschst. So und jetzt geh feiern!!! --Pittimann besuch mich 09:06, 15. Sep. 2009 (CEST)
Datei:Stateful inspection udp.svg
BearbeitenHallo Harald. Das, was in Deiner Datei beschrieben wird, hat mit Stateful Inspection nicht viel zu tun. Es ist eher die Beschreibung eines dynamischen Paketfilters. Genauso wie der Artikel Stateful Packet Inspection selbst nicht viel auf die Stateful Inspection eingeht, sondern ebenfalls eher die dynamische Paketfilterung beschreibt.
Ich würde Deiner Datei daher gerne einen passenden Namen geben, wie dynamic packet filter.svg. Spricht etwas dagegen? -- ηeonZERO 21:27, 9. Sep. 2010 (CEST)
- Schon, weil sich dadurch unnötiger Weise alle URLs ändern. Beim Benennen der Zeichnung bin ich der zu dieser Zeit auf Wikipedia dargestellten Terminologie gefolgt, die durchaus seine berechtigung hat und derzufolge das dargestellte "Stateful Inspection" ist.--Harald Mühlböck 12:11, 11. Sep. 2010 (CEST)
Nur ist die Beschreibung innerhalb des Artikels missverständlich formuliert und das Wesen der Stateful Inspection wurde daher(?) von Dir vermutlich falsch erfasst. Siehe den dort beschriebenen Aufbau eines vermeintlich „normalen“ Paketfilters. Er wird benutzt, um daran den Unterschied zur Stateful Inspection zu beschreiben. Zitat:
- Quelle A nach Ziel B mit Dienst HTTP (für die Anfrage, z. B. „Schicke mir Webseite www.example.com“)
- Quelle B nach Ziel A mit Dienst HTTP (für die Antwortpakete, in diesem Beispiel der Inhalt von www.example.com)
Davon auszugehen, dass der Rückgabeport identisch mit dem Zielport ist (oder auch nur eindeutig wäre), ist falsch. Nur dann würde jedoch eine solche Regel funktionieren.
Richtig ist, dass das Betriebssystem die Netzwerkpakete den Anwendungen zuordnen können muss. Daher ist der (Rückgabe-)Port für jede Anwendung, die eine solche Anfrage stellt, unterschiedlich. Es läßt sich für den Rückkanal keine feste Regel definieren.
Tatsächlich bezieht sich die oben zitierte Beschreibung also nicht (wie im Artikel angegeben) auf das Regelwerk, das von dem Administrator definiert wird, sondern auf die durch das Regelwerk etablierten Verbindungen. Das beschreibt nämlich eine der Besonderheiten der Stateful Inspection: Schickt das Zielsystem auf den erlaubten Rückkanal Daten, die vom Client nicht angefordert wurden, so sperrt eine solche Firewall den Transfer selbst nach erfolgter Verbindung zwischen Client und Zielsystem. Das wird erreicht, indem die Verbindung für den Rückkanal eben nicht dauerhaft etabliert wird, sondern immer nur für kurze Zeit bei Anforderung des Clients. Mit dem Regelwerk hat das aber nichts zu tun.
Das, was Du in Deiner Grafik beschreibst, trifft also auch auf den normalen Paketfilter zu: Man legt dort eine Regel an, die es diesem internen Client (statische Regel) oder beispielsweise allen internen Clients (dynamische Regel) erlaubt, auf das externe Zielsystem zuzugreifen und schränkt den Zugriff meinethalben auf Port 80 (HTML) des Zielsystems ein. Baut der Client nun eine Verbindung zum Zielsystem auf, dann sieht der Paketfilter in sein Regelwerk, ob er das darf. Darf er, also etabliert der Paketfilter zwei erlaubte Verbindungen. Die erste ist „dieser Client zu Port 80 des Zielsystems“, die zweite lautet „Zielsystem zum Rückgabeport des Clients, der in der Verbindungsanfrage angegeben wurde“ (das ist allerdings abhängig vom Protokoll oder genauer von dem verwendeten Zielport; in Ausnahmefällen, wie beispielsweise bei aktivem FTP, kann es auch eine gültige Verbindung zu einen beliebigen Port des Clientsystems geben, da der normale Paketfilter nicht in der Lage ist, die Verbindungsanforderung auf höherer Ebene zu analysieren (genauer: er kann nicht in die Nutzdaten hineinsehen); er kann daher den tatsächlich benötigten Rückkanal nicht genauer bestimmen, der zwischen den beiden Kommunikationspartnern auf der Ebene der Nutzdaten ausgehandelt wird; eine weitere Besonderheit der Stateful Inspection, die das nämlich kann).
Eine weitere Besonderheit der Stateful Inspection ist die, dass sie sämtliche verbindungsrelevante Informationen (wie SYN-Bits, ACK-Bits und Sequenz-Nummern, etc.) in eine Statustabelle schreibt, diese mit den eingehenden Paketen vergleicht und ungültige Pakete verwirft.
Dazu passend beschreibt Deine Grafik neben der normalen Funktion eines Paketfilters, dass auch die Informationen der Verbindungsanforderung zusätzlich in eine Statustabelle geschrieben werden. Nur ist dort der Grund nicht ersichtlich, warum die Firewall diese Information zusätzlich in die Statustabelle schreibt; das Wesen der Stateful Inspection wird auf diese Weise nicht erfasst. Auch der Artikel geht darauf nicht tiefer ein bzw. wurde er zumindest in Teilen missverständlich formuliert. Der englische Artikel ist da besser. -- ηeonZERO 17:00, 11. Sep. 2010 (CEST)
- Nein, wie ich oben schon schrieb und wie so oft bei diesem Themenbereich gibt es hier keine einheitliche Terminologie: Das, was für dich ein "normaler Paketfilter" ist, ist für viele Autoren "Statefult Inspection". Und "Stateful Inspection", "Stateful Filtering", "stateful firewall", "keeping state", "zustandsgesteuerte Paketfilterung", "dynamische Paketfilterung" werden häufig als Synonyme gesehen, siehe z.B. http://www.openbsd.org/faq/pf/filter.html#state , man ipfw Abschnitt "Stateful Firewall", Zwicky / Cooper / Chapman "Einrichten von Internet Firewalls" usw. Klar hätte man die Grafik auch anders benennen können, aber ich sehe keinen Grund den bestehenden Namen und damit die URL zu änderen.--Harald Mühlböck 12:53, 19. Sep. 2010 (CEST)
Nicht das wir hier aneinander vorbeireden. Meinst Du ernsthaft, dass es keinen Unterschied zwischen der Paketfilterung aus der Zeit gibt, in der sie noch keine Stateful Inspection vornahmen, verglichen mit den heutigen Stateful Inspection tauglichen Paketfiltern? Und wenn doch, worin liegt Deiner Meinung nach der Unterschied? Bist Du dann immer noch sicher, dass Deine Grafik diesen Unterschied erfasst? Denn es geht in der Disku nicht darum, ob und wann Begriffe vermischt werden, sondern ob Deine Grafik die Stateful Inspection beschreibt.
Der Begriff „Stateful Inspection“ geht auf eine Technik ein, die von Checkpoint entwickelt und patentiert wurde (US Patent 5.835.726). Das macht die Terminologie einheitlich: Die Analyse und die zu erwartenden Reaktionen (State) zusammen mit der Zustands- und Kontextinformationsüberprüfung (Stateful) wird dort zusammen als Stateful Inspection bezeichnet. Sie ist auf den OSI-Layern 3, 4 und 7 implementiert.
Ich habe Paketfilter aus einer Zeit kennen gelernt, in der sie noch keine Stateful Inspection beherrschten. Die Neuerungen, die diese Technik mit sich brachte, habe ich oben beschrieben. Wenn daran etwas unklar ist, wäre es nett, wenn Du das genauer benennen könntest. Das gilt vor allem auch, wenn Du meinst, dass es Paketfilter ohne Stateful Inspection gibt, die anders funktionieren, als in Deiner Grafik beschrieben (bzw. als es in meiner Ausführung erklärt wurde). -- ηeonZERO 07:35, 20. Sep. 2010 (CEST)
- 1) Nein, meine ich nicht, soll heißen: Es gibt einen Unterschied zwischen einem zustandsgesteuerten und einem zustandslosen Paketfilter.
- 2) Der Unterschied liegt darin, ein Datenpaket durchlassen zu können, weil es Teil einer bereits bestehenden logischen Verbindung (Flow) ist.
- 3) Die Grafik soll den wesentlichen Unterschied erfassen: Das ein Antwort Paket wird aufgrund der in der Staustabell gespeicherten Information über die logische Verbindung durchgelassen. Ich bin der Meinung sie das zeigt. Was genau fehlt der Grafik deiner Meinung nach?
- Du kannst die Grafik ja gerne ergänzen, wenn wir uns über folgendes einig sind:
- Die Grafik soll Stateful Inspection als Synonym für dynamische Paketfilterung veranschaulichen und zwar so wie ich sie im Artikel "Personal Firewall" beschrieben habe (und wie stateful Inspection auch in man ipfw, der FAQ zu pf, bei Zwicky, Cooper, Chapman: Einrichten von Internet Firewalls. O’Reilly, Köln 2001; S179/180, oder im englischen Artikel en:Stateful Firewall beschrieben ist.) veranschaulichen
- Die Grafik soll das für den einfachsten Fall tun: Also auf für UDP, nicht für TCP; die wichtigesten Header aufzunehmen ginge sich da aus Platzgründen nicht aus.
- Die Grafik muss nicht das beschreiben was im Checkpoint-Patent steht. Sie muss nicht die das wiedergeben, was in der Einleitung des deutschen WP Artikels zum Thema "Stateful Instepction" steht Sie wurde für den Artikel Personal Firewall erstellt und kann aus dem Artikel Stateful Inspection gelöscht werden.
- die Grafik bleibt svg.
- --Harald Mühlböck 09:41, 20. Sep. 2010 (CEST)
Bitte sei versichert, dass ich Dich hiermit nicht ärgern möchte. Ich denke es gibt diesbezüglich entweder grundlegende Missverständnisse, oder wir beide liegen mit unserem Verständnis um diese Materie gar nicht so weit auseinander, reden aber doch irgendwie aneinander vorbei. Um das herauszufinden, versuche es mal Stück für Stück:
Zu 2.): Hier war meine Frage missverständlich formuliert, weshalb ich noch einmal nachfragen muss. Meinst Du „Der Unterschied eines Stateful Inspection Paketfilters zum zustandslosen Paketfilter liegt darin, ein Datenpaket durchlassen zu können, weil es Teil einer bereits bestehenden logischen Verbindung ist“ oder meinst Du „Der Unterschied eines zustandslosen Paketfilters zur Stateful Inspection liegt darin, ein Datenpaket durchlassen zu können, weil es Teil einer bereits bestehenden logischen Verbindung ist“?
Daran angelehnte Zusatzfrage: Was genau macht der jeweils andere Filter anders? Worin liegt also der Unterschied?
Zu 3.) Hier kommt es auf den Kontext an. Inhaltlich (für sich allein stehend) ist das durchaus korrekt. Bezogen auf den Kontext Deiner Grafik ist das nicht korrekt. Ich habe oben versucht, das zu erklären. Da ich mich über den direkten Weg aber offensichtlich nicht verständlich machen kann, möchte ich Dich bitten, erst die obigen Fragen zu beantwortet. Entweder klärt sich das dann (hoffentlich) von alleine, oder aber ich gehe danach noch einmal darauf ein. -- ηeonZERO 10:45, 20. Sep. 2010 (CEST)
- Es existiert eine gültige Definition von "Stateful Inspection", derzufolge sich Stateful Inspection dadurch auszeichnet, dass ein Datenpaket durchgelassen werden kann, weil es Teil einer bereits bestehenden logischen Verbindung ist. Bei zustandsloser Paketfilterung wird (dieser Definition zufolge) jedes Pakete dagegen nur gegen den statischen Regelsatz geprüft. Der zustandslose Paketfilter interessiert sich nicht dafür, ob eine logische Verbindung exisiert, oder welche den Paketfiter ihn vorher passiert haben.
- Der Paketfilter PF betreibt nach dieser Definition Stateful Inspection, wenn in einer Regel "keep state" gesetzt ist (was seit OBSD4.1 standardmäßig der Fall ist) und zustandslose Paketfilterung wenn "no state" gesetzt ist.
- Ein Steful-Inspection Regelstz für pf könnte z.B. so aussehen:
ext_if = "sis0"
set skip on lo0
scrub in on $ext_if all no-df
# setup a default deny policy
block all
# Ich erlaube ausgehende tcp, udp und icmp-Verkehr.
# Dieser wird Stateful behandelt.
pass out on $ext_if proto { tcp udp icmp } all keep state
- Wenn ich jetzt angfange zu surfen füllt sich die Statustabelle mit Folws von DNS-Anfrage und mit TCP-Verbindungen. (in der Grafik ist das Füllen der Staustabelle aufgrund des ausgehenden Pakets durch den Gelben Pfeil symbolisiert) Das surfen klappt soweit, denn die Antworten der jeweiligen Server werden mit der Statustabelle verglichen und hereingelassen. (das ist in der Grafik durch den gelben Folgepfeil von Statustabelle zum Allow dargestellt)
- UDP-Pakete mit gespoofter Absenderadresse des DNS-Servers aber flaschem Rükgabeport würden aufgrund der Statustabelle nicht hereingelsassen und somit aufgrund der default deny policy verworfen. Auch das symbolisiert die Grafik.
- Nun setze ich das Wort no state um einen zustandslosen Paketfilter zu erhalten:
ext_if="sis0"
timeserver="{86.59.13.46 213.235.253.203}"
nameserver="{213.129.232.1 213.129.226.2}"
icmp_types="{ echorep unreach squench timex paramprob }"
set skip on lo0
scrub in all
block log all
# Ich erlaube ausgehende Pakete jedoch ohne Stateful Inspection
pass out quick on $ext_if proto { tcp udp icmp } all no state
- Will ich nun surfen gibt es wieder eine Ausgehende DNS-Anfrage. Diese füllt jedoch nicht die Statustabelle. Die Statustabelle bleibt leer. Die Antwort wird aufgrund des Regelsatzes verworfen, mein System kann also keine Namen mehr auflösen.
- Ich muss bei einem zustandsloser Paktfilterung also Regeln für die Antworten definieren. z.B so:
ext_if="sis0"
timeserver="{IP-Addresse1 IP-Adresse2}"
nameserver="{IP-Addresse1 IP-Adresse2}"
icmp_types="{ echorep unreach squench timex paramprob }"
set skip on lo0
scrub in all
block log all
pass out quick on $ext_if proto { tcp udp icmp } all no state
pass in quick on $ext_if proto udp from $timeserver port ntp to \
($ext_if) port ntp no state
pass in quick on $ext_if proto udp from $nameserver port 53 \
to ($ext_if) port > 1023 no state
block in log quick on $ext_if proto tcp from any to ($ext_if) flags S/SA
pass in quick on $ext_if proto tcp from any to ($ext_if) port > 1023 no state
pass in inet proto icmp all icmp-type $icmp_types no state
- Jetzt klappt wieder, was vorher geklappt hat. Für eingehende Pakete allerding ein größerer Port-Bereich freigegeben werden, als dies bei der zustanddsgesteuerten Paketfilterung der Fall war.--Harald Mühlböck 13:33, 26. Sep. 2010 (CEST)
Danke für Deine Antwort. Ich hatte schon fast nicht mehr damit gerechnet (Urlaub?).
Ich bin kein großer Freund von OpenBSD. Dein letztes Regelwerk von oben gibt nicht das typische Verhalten eines zustandslosen Paketfilters wieder. Typisch wäre eine src_port bezogene Regel und keine die port > 1023 impliziert.
Man kann das so machen, wie Du das vorgeschlagen hast, aber das hat dann auch zur Folge, dass das Zielsystem auf sämtliche Ports des Quellsystems zugreifen kann, die höher als 1023 liegen. Das will man im Normalfall nicht, sondern nur in Ausnahmefällen, wie beim aktiven FTP, in der die Kommunikationspartner einen zweiten Kanal öffnen, die der zustandslose Paketfilter sonst nicht zulassen würde (hier wird je nach Firewall und Art des problematischen Protokolls entweder port > 49151, mitunter auch port > 1023 oder sogar eine any port Einstellung verwendet).
keep state impliziert die Verwendung von src_port, weshalb man das dort nicht extra angeben muss. Darüber hinaus beinhaltet das die Eingangs beschriebene Funktionalität (Paketanalyse, zeitweilige Etablierung des Rückkanals und inhaltsbezogene Bestimmung des Rückkanals bei schwierigen Protokollen), die den Unterschied zum zustandslosen Paketfilter ausmachen.
Will sagen: Eine src_port-Regel ist keine Domäne der Stateful Inspection, sondern beinhaltet das typische Verhalten eines jeden Paketfilters. Also auch beim zustandslosen Paketfilter würden „Pakete mit gespoofter Absenderadresse des DNS-Servers aber falschem Rückgabeport nicht hereingelassen“ (aufgrund der etablierten Verbindungen für den Hin- und Rückkanal gemäß des Regelwerks; basierend auf den Header-Informationen der Kommunikationsanfrage). Es sei denn in den genannten Ausnahmefällen oder wenn die Firewall darüber hinaus schlecht konfiguriert wurde. -- ηeonZERO 22:29, 26. Sep. 2010 (CEST)
Nachtrag: Ich sehe gerade, das die OpenBSD-Firewall als reine Stateful Inspection Firewall läuft. Diese kann man wohl strukturieren (keep, modulate und synproxy) aber nicht ausschalten im Sinne der zustandslosen Paketfilterung. "no state" läßt also keine src_port-Regel zu, sondern nur (wie Du es oben angegeben hast) die Angabe eines Port-Bereichs. Ist ja auch irgendwie sinnvoll bei einer Stateful Inspection Firewall; wer will schon SPI ausschalten, es sei denn man will einen Port-Bereich durchdrücken... -- ηeonZERO 23:04, 26. Sep. 2010 (CEST)
Nachtrag2: Wie peinlich ich das denn? Ich bin von den Eigenschaften eines uralten mir bekannten (vermeintlich) zustandslosen Paketfilters ausgegangen, der tatsächlich aber so etwas wie eine Stautstabelle gepflegt hat (angesiedelt war die Firewall nicht bis Layer 7, sondern nur bis Layer 3; per checkpoints Definition war das also keine Stateful Inspeciton Firewall, sondern etwas dazwischen). Dass man dort bereits von einer Statustabelle spricht, war mir neu (derartige Verbindungslisten, also Quelle/Ziel und Ziel/Quelle, sind schließlich auch in anderen Verfahren üblich, die nichts mit SPI zu tun haben). Peinlich, peinlich.
Big Sorry. Du hattest mit allem Recht.
Ich hatte die Statustabelle bisher immer als eine erweiterte Form der Registrierung verstanden, die für die Analyse der Pakete in Bezug auf die vorhergehenden Pakete benötigt wird. Diese "Erkenntnis" hat mich den RFCs und sonstigen Texten gegenüber blind gemacht; seit über 10 Jahren. Unglaublich. Tatsächlich muss man die Statustabelle aber einen Level tiefer betrachten und die Verwaltung der etablierten Verbindungen dort mit einbeziehen. Die Diskussion hat mich dazu veranlasst, meine "Erkenntnis" in Frage zu stellen und da noch einmal genauer nachzuforschen. Für mich hat unsere Diskussion also viel gebracht; für Dich war sie sicher nur nervig.
Danke nochmals und Sorry. Hast was gut bei mir.
PS: Hast Du etwas dagegen, dass ich Dein Beispiel von oben etwas abgewandelt mit in den Stateful Inspection Artikel aufnehme? Und könntest Du zudem Deine Grafikdatei "Personal firewall.svg" zusätzlich zur aktuell verwendeten "Free Art"-Lizenz auch unter die "GNU Free Documentation"-Lizenz stellen (es wird sonst problematisch, diese Grafik in anderen Grafiken einzubauen, die unter der GNU-Lizenz stehen; das Problem habe ich gerade)? -- ηeonZERO 11:19, 27. Sep. 2010 (CEST)
- Die Datei scheint außer mir niemand bearbeitet zu haben; ich habe sie daher jetzt zusätzlich unter GDFL und Creative Commons Attribution 3.0 lizenziert. Hast Du eventuell eine Möglichkeit die Grafiken als SVG zu speichern? Falls dies nicht möglich ist, würde ich überlegen, ob nicht eventuell PNG den JPGs vorzuziehen ist. Das Beispiel kannst Du natürlich verwenden.--Harald Mühlböck 21:53, 28. Sep. 2010 (CEST)
Danke. Zu den Grafikformaten: Warum? *grübel* JPG ist selbst bei hoher Qualität (also geringer Komprimierung von ca. 95% JPG-Qualität) wenigstens 6 mal kleiner als PNG, obgleich es keine sichtbaren Unterschiede in der Darstellung beider Formate gibt. SVG wird nicht überall gleich dargestellt, was beispielsweise Text aus seiner Umrahmung ausbrechen läßt, etc. Diese Probleme habe ich mit JPG nicht. -- ηeonZERO 22:34, 28. Sep. 2010 (CEST)
Zum Geburtstag
Bearbeitenwünsche ich Dir alles Gute, Gesundheit, Glück, Zufriedenheit und weiterhin viel Freude und Erfolg im realen Leben aber auch in Wikipedia. Feier aber nicht zu wild!!! --Pittimann besuch mich 10:37, 14. Sep. 2010 (CEST)
Zwei Einladungen
BearbeitenHallo Harald Mühlböck, wir haben etwas anzukündigen!
- Kennst du das derzeit laufende Projekt Denkmalpflege Österreich, die Erfassung der denkmalgeschützten Kulturgüter Österreichs, das gemeinsam mit dem Bundesdenkmalamt derzeit gerade durchgeführt wird? Dabei sollen 36.000 Denkmäler österreichweit gelistet, fotografiert, verortet und beschrieben werden. Vielleicht ist das auch für dich von Interesse, jede Hand wird benötigt, damit das Sollen auch tatsächlich geschieht.
- Stammtisch: Am 11. 8. findet erstmals auch in St. Pölten ein Stammtisch statt. Vielleicht hast du Zeit und Interesse, dann würde es uns freuen, wieder einen Wikipedianer aus der virtuellen in der realen Welt kennenzulernen. Anmelden kannst du dich hier! Aber auch wenn du nur Interesse, aber diesmal keine Zeit hast, solltest du dich, wenn dir St. Pölten näher ist auf dieser Liste eintragen, wenn dir aber Wien näher ist, dann auf dieser Liste, somit können wir dich vor den nächsten Treffen rechtzeitig verständigen.
Wir würden uns freuen, dich kennenzulernen! AleXXw, Karl Gruber und Hubertl
PS: Diese Einladung ergeht einmalig an alle, welche sich als Benutzer aus Wien oder Niederösterreich ausgewiesen haben.
Es ist soweit
Bearbeitenwie in jedem Jahr, ist der Wikipedia Geburtstagsbote da. Er wünscht Dir Gesundheit, Glück und recht viel Freude, sei immer vergnügt und nicht nur heute. Zu diesem allen kommt obendrauf, ein herzliches Glückauf. --Pittimann besuch mich 08:43, 14. Sep. 2011 (CEST)
Hallo liebes Geburtstagskind
BearbeitenHeute ist der Tag an dem Du im Vordergrund stehst, es ist der Tag der Dir gehört. Lass Dich mal so richtig verwöhnen und geniesse die Stunden im Kreise Deiner Gäste. Ich wünsche Dir von Herzen alles Gute, Glück, Gesundheit, Zufriedenheit und alles was Du Dir noch selber wünschst. Glückauf vom --Pittimann Glückauf 11:26, 14. Sep. 2012 (CEST)
Hallo Harald Mühlböck, wir laden Dich am 28. Februar ab 19 Uhr herzlich zum 50. Wiener Stammtisch ein !
Dieser findet in unserem Stammlokal Café Restaurant Schönbrunn, 1120 Wien, Schönbrunner Straße 244 (in unmittelbarer Nähe der U4-Station Meidling Hauptstraße), im separaten (vom Gastgarten direkt zugänglichen) Saal Maximilian statt.
Der Eingang befindet sich rechts vom Lokal direkt durch den Hof.
Ab 20 Uhr dürfen wir uns beim Stammtischtreffen auch auf die Teilnehmer des Wiktionary-Treffens in Wien freuen!
Selbstverständlich sind Angehörige und Freunde jeglicher Art willkommen!
Alle Details und die Anmeldung findest Du hier.
Um den Stammtischgeburtstag gebührend zu feiern, organisiert Wikimedia Österreich um 17 Uhr eine Donauturmfahrt. Bei Interesse bitte hier anmelden.
Wir freuen uns auf Dein Kommen!
Liebe Grüße --Agruwie Disk und das Team vom Wikidienstag
01:34, 18. Feb. 2015 (CET)
(Auf Grund des Jubiläumsstammtisches erfolgt die Einladung ausnahmsweise an alle eingetragenen wiener, niederösterreichischen und burgenländischen Wikipedianer. Solltest Du auch künftig Interesse daran haben, zu Treffen und Veranstaltungen der Wikipedia und Wikimedia im Wiener Raum eingeladen zu werden, trage dich bitte in der Wiener Einladungsliste ein)
Hallo Harald Mühlböck,
wir laden Dich am Freitag, dem 7. August herzlich zum Sommerheurigen ein, der ab 18 Uhr beim Heurigen ZumBinder stattfinden wird.
Selbstverständlich sind Angehörige und Freunde jeglicher Art willkommen!
Heuriger ZumBinder
Johann-Staud-Straße 53
1160 Wien
Für die Hinfahrt am Besten ab U3-Ottakring den Autobus 46B (Fahrplan (PDF)), bis Haltestelle Hansl-Schmid-Weg nehmen.
Alle Details und die Anmeldung findest Du hier.
Wir freuen uns auf Dein Kommen!
Liebe Grüße --Agruwie Disk und das Team vom Wikidienstag
06:41, 21. Jul. 2015 (CET)
Hallo Harald Mühlböck,
als am 15. Jänner 2001 die Wikipedia und am 16. März 2001 die deutschsprachige Wikipedia das Licht der Welt erblickte, konnte keiner erahnen, welchen gewaltigen Erfolg dieses Projekt zur Förderung Freien Wissens durch die Vielzahl an freiwilligen Unterstützern und Helfern erringen sollte. So gibt es nun nach 15 Jahren wohl kaum Anlass zur Nostalgie aber viele gute Gründe zu feiern.
Entsprechend laden wir Dich am 15. Jänner 2016 herzlich sowohl zum Tag der offenen Wikipedia-Tür (ab 12h) als auch zum Wiener-Jänner-Jubiläumsstammtisch (ab 18 h) ein:
- Ort: Raum D/quartier21, MuseumsQuartier Wien, Museumsplatz 1, 1070 Wien (siehe Lageplan),
- Datum: Freitag, 15. Jänner 2016,
- Uhrzeit: 12 - 17 Uhr,
- von 16 - 17 Uhr gibt es noch zusätzlich einen Wikiversity-Themenschwerpunkt in Zusammenarbeit mit der Studienprogrammleitung Publizistik- und Kommunikationswissenschaft der Universität Wien
(Alle Details und die Anmeldung zum Tag der offenen Tür)
- Ort: Neubauschenke (Großer Saal), 1070 Wien, Ecke Zieglergasse/Seidengasse (siehe Lageplan)
- Datum: Freitag, 15. Jänner 2016,
- Beginn: ab 18 Uhr
- (Alle Details und die Anmeldung zum Jubiläums-Stammtisch)
- weitere Events in Österreich bzw. in der ganzen Welt:
- Neben der Feier in Wien werden am 15. Jänner auch weitere in
- Linz, Graz und Dornbirn,
- bzw. am 29. Jänner in Salzburg organisiert.
- Unter Veranstaltungen im deutschen Sprachraum bzw. weltweite Feiern findest Du eine Übersicht über alle geplanten Events.
Wir würden uns freuen, wenn Du Zeit findest und mit uns feierst!
Selbstverständlich sind Angehörige und Freunde jeglicher Art willkommen!
Liebe Grüße --Agruwie Disk und das Team vom WikiDienstag
11:22, 11. Jan. 2016 (CET)
(Auf Grund des feierlichen Anlasses wurdest Du per Regions-Babel kontaktiert, falls Du Einladungen zu sonstigen Events erhalten willst, trage Dich bitte entsprechend auf der Wiener Einladungsliste oder der Niederösterreichischen Einladungsliste ein)
HGW 🍻 zum 40.
BearbeitenHallo Harald Mühlböck, herzlichen Glückwunsch zum Geburtstag und alles Gute! 🍾🎂🎁 --❄ Treibeis (Disk) 09:51, 14. Sep. 2018 (CEST)