Linux Tails oder Quobes OS bezüglich Anonymität

[madmax2010]

Was hat das nun mit dem Thema Anonymität zu tun?

Ich sagen da kann man argumentieren, dass eine vorgelagerte Firewall eher sich besser eignet um zu protokollieren, welche Verbindungen von welchem gerät ausgehen und diese bei bedarf zu whitelisten / zu unterbinden. Also den ganzen "Software schickt Nutzungsverhalten nach hause teil" zum Beispiel.
Wenn man das in windows direkt konfiguriert würde ich dem wenig vertrauen.
Wobei die meisten security appliances auch keinen tollen track record haben

@Zer0DEV Deshalb braucht man für Kritis auch zwei Firewalls von verschiedenen Anbietern...

Aus redundanz und compliance sicht sinnvoll. Aber damit vergrößert man auch Angriffsfläche. A

 

[AlphaKaninchen]

Nichts was jede Fritzbox oder jeder Router von Asus oder TP-Link nicht auch verhindern würde. Also quasi jeder Heimrouter,

Deine Fritzbox oder Asus Router haben am Ende auch eine Firewall, und für einfach alles Blocken ist die auch mehr als ausreichend (deshalb schrieb ich auch du wirst auffallen wenn du das nicht machst)

Was die dedizierten können was die Fritzbox nicht kann sind Dinge wie Deep Package Inspection oder Intrusion Detection, ersteres Erlaubt es auch einen offenen Port z B. für einen Web Server einzuschränken z. B. das ungültige HTTPs anfragen nie den Webserver erreichen. Oder Fehler nicht beantwortet werden. Zweiteres ist im Grunde eine Heuristik wie die Antiviren Software hat auf Netzwerkebene.

Aus redundanz und compliance sicht sinnvoll. Aber damit vergrößert man auch Angriffsfläche.

Es ist sinnvoll das es für Kritis Regeln dazu gibt und diese auch befolgt werden sie siehe z. B. Colonial Pipeline und nicht Verfügbarkeit ist ähnlich schlimm wie gehackt, je nach System schlimmer (bzw der Hack ist nur ein Problem weil er die Verfügbarkeit gefährdet)

Was ich gerne mehr sehen würde in der Öffentlichen Debatte um IT Sicherheit ist Zero Trust also Systeme so zu entwickeln das selbst wenn jemand ein System komprimiert hat er nicht weit kommt, und hier wären wir dann wieder bei Firewalls und QubesOS, ersteres weil es eben auch genutzt wird um Netzsekmente zu trennen und zweiteres weil es eine der beste Umsetzungen von Zero Trust für ein Desktop System ist.

 

[gaym0r]

@AlphaKaninchen Und nochmal: Was hat es mit dem Thema zu tun? Was hat DPI damit zu tun, ob und wie man anonym im Internet unterwegs ist?

Es ging darum wie man anonym im Internet ist. Er schrieb "jede Firewall blockt besser weg als jedes OS". Klar - wenn die Firewall gar nichts mehr rein- und auch nichts rauslässt, dann ist man ziemlich anonym. Aber halt nicht mehr im Internet unterwegs.
Und eine Firewall kann noch so viel DPI, IPS, Proxy und so weiter spielen - anonym ist man damit genauso wenig wie hinter einem 0815 Heimrouter, der diesen Schnickschnack nicht hat.

 

[AlphaKaninchen]

anonym ist man damit genauso wenig wie hinter einem 0815 Heimrouter, der diesen Schnickschnack nicht hat.

Und genau da liegt dein Denkfehler dein Heimrouter ist bereits eine Firewall und selbst wenn er es nicht hätte Linux und Windows haben sie, wenn du wissen willst warum such mal mach dem Sicherheitsdebakel das Windows XP vor Service Pack 2 war.

Die Frage ist mit #5,#14,#18 und #21 ausreichend beantwortet.

 

[gaym0r]

Und genau da liegt dein Denkfehler dein Heimrouter ist bereits eine Firewall

Danke, aber das ist mir vollkommen bewusst.

Die Frage ist mit #5,

Nichts davon wird durch eine professionelle Firewall mit DPI, IPS etc. verhindert.

#14

Wenn ein frisches Live-System bereits kompromittiert ist, dann hilft auch eine Profi-Firewall nicht mehr, dann hat man schon ganz andere Probleme in seinem Netz bzw. auf seinem Host, der das Image erstellt hat.

#18

Same bzw. komplett irrelevant für das Thema.

und #21 ausreichend beantwortet.

Das geht wenigstens halbwegs in die richtige Richtung.

Das wird mir hier zu wild.

 

[AlphaKaninchen]

Danke, aber das ist mir vollkommen bewusst.

Schön, wiederlegst diese Aussage aber eine Zeile später...

Nichts davon wird durch eine professionelle Firewall mit DPI, IPS etc. verhindert.

Was ich auch nirgends behauptet habe, der Betrag kam von @chr1zZo und wie du selbst richtig erkannt hast #21 erklärt die Vorteile einer Firewall separat vom PC.

Wenn ein frisches Live-System bereits kompromittiert ist, dann hilft auch eine Profi-Firewall nicht mehr,

Eben doch den genau das ist mit Windows XP passiert, damals gab es keine OS Firewall und Router mit Firewall waren auch nicht verbreitet und so gab es das Problem das man mit einem Frish installierten System ohne zutun z. B. bereits mit dem Blaster Wurm befallen war. Deshalb hat Windows XP mit SP2 eine Firewall bekommen.

 

[Evil E-Lex]

Eben doch den genau das ist mit Windows XP passiert, damals gab es keine OS Firewall und Router mit Firewall waren auch nicht verbreitet und so gab es das Problem das man mit einem Frish installierten System ohne zutun z. B. bereits mit dem Blaster Wurm befallen war. Deshalb hat Windows XP mit SP2 eine Firewall bekommen.

Historische Geschichten. Damals (TM) waren noch viele PCs mit Dial-Up-Zugängen im Internet unterwegs und waren deshalb direkt per Public-IP erreichbar. Das hätte man aber auch zur damaligen Zeit ohne Firewall lösen können, in dem man 1. unnötige Dienste abschaltet und 2. Dienste nur auf localhost oder die Private-IP bindet.

 

[AlphaKaninchen]

@Evil E-Lex Richtig und genau das ist der Punkt, zu Zeiten von Dial Up ohne Software Firewall hatte man diese Probleme, heute sind sie dank Firewalls und anderer Maßnahmen so selten das es für @gaym0r unvorstellbar ist das es soetwas gab.

Die IoT Botnetze kommen da noch am ehesten dran in der jüngeren Vergangenheit, sind aber auch schon ein paar Jahre.

Im Grunde gibt es diese Diskussion nur weil ich kurz zusammengefasst gesagt habe das man ohne Sicherheit mit Anonymität nicht Anfangen braucht weil man sie in kürzester Zeit verliert, ob diese mangelnde Sicherheit eine Lücke im Webbrowser oder das nicht Vorhandensein einer Firewall oder ähnlicher Schutzmaßnahmen ist, ist dabei erstmal egal, die Firewall war halt der aufhänger wegen dem Post von @chr1zZo

Deshalb haben sowohl Qubes OS als auch Tails keine Persistents für Angreifbares wie Webbrowser vorgesehen bei QubesOS via Disposables, bei Tails indem das System nicht persistent ist. Damit selbst wenn alles andere versagt spätestens nach einem Neustart nichts übrig ist das die Anonymität gefährdet

 

[gaym0r]

so selten das es für @gaym0r unvorstellbar ist das es soetwas gab.

Keine Ahnung, wo du sowas rausliest.

 

[Evil E-Lex]

Richtig und genau das ist der Punkt, zu Zeiten von Dial Up ohne Software Firewall hatte man diese Probleme, heute sind sie dank Firewalls und anderer Maßnahmen so selten das es für @gaym0r unvorstellbar ist das es soetwas gab.

Der einzige Punkt an der Stelle ist, das Paketfilter (oder noch genauer Source-NAT bei den ganzen Plasteroutern) bei diesem Problem nichts anderes als Symptombekämpfung sind. Hätte MS in Sachen Dienstemanagement nicht so unfassbar beschissenes Design abgeliefert, hätte es die Probleme nie gegeben. Erinnert mich irgendwie stark an die komplett nutzlosen Personal-Firewalls.