Mailinglist Archive: opensuse-de (6022 mails)
| < Previous | Next > |
Re: Anforderungen an Gateway
- From: Adalbert Michelic <adalbert+list@xxxxxxxx>
- Date: Tue, 5 Feb 2002 19:15:53 +0100
- Message-id: <20020205181553.GC7088@xxxxxxxxxxxxx>
Hi,
der Absatz, den Du zitiert hast, sieht ohne den davorgehenden
einigermaßen anders aus, ich hab ihn mal wieder dazugeschrieben.
* On Tue, 05 Feb 2002 at 18:32 +0100, Thomas Michael Wanka wrote:
Der steht im Abstellraum, vergraben hinter Mineralwasser und
kiloweise Obst und Gemüse. Und leeren Flaschen.
Lies den ersten Absatz, den ich geschrieben habe, noch mal genau
durch. Da steht z.B.:
| Hat sich Dir noch nie das Problem gestellt, daß Du, wenn Du
| auswärts bist, Zugriff auf den Rechner zuhause brauchst?
Und ich meine hier _nicht_ Wartung! Deswegen habe ich weiter unten
auch das Beispiel mit mutt konstruiert. Der fällt definitiv nicht
unter Wartung.
Ich weiß nicht wie es Dir geht, aber wenn ich irgendwo bin, dann
habe ich dort
a) wechselnde Telefonnummern
b) nicht immer ISDN zur Verfügung
c) nicht immer die Chance mich überhaupt irgendwie einzuwählen
d) keine Lust lange ssh-Sitzungen über Handy zu zahlen
Fall 1: Ich sitze im Büro und möchte dringend wissen, wann ich mir
mit $FOO ausgemacht habe, daß wir ins Kino gehen. $FOO ist
telefonisch nicht erreichbar. Über Rauchzeichen auch nicht.
Lösung 1: Es findet sich bei mir zuhause jemand, der meinen Rechner
einschaltet, dem ich mein Passwort anvertrauen kann, und der in
meine privaten Emails eine raussucht. Nicht sehr verlockend.
Zeitaufwand: ca. 10 min
Lösung 2: Ich setze mich ins Auto, fahre nach Hause, sehe nach,
stelle fest, daß es nicht heute, sondern morgen ist und fahre wieder
ins Büro.
Zeitaufwand: ca. 40 min
Lösung 3: Ich starte mir meinen HTTP-Tunnel, der mir ermöglicht
TCP-Verbindungen über HTTP zu tunnel und baue eine Verbindung zu
meinem Knecht zu Hause auf, starte mutt, sehe nach und schließe die
Verbindung.
Zeitaufwand: ca. 2 min
Mit ist Lösung 3 am liebsten. Was wählst Du - fährst Du oder
telefonierst Du nach Hause?
--
Adalbert
PGP welcome, request public key: mailto:adalbert+key@xxxxxxxx
der Absatz, den Du zitiert hast, sieht ohne den davorgehenden
einigermaßen anders aus, ich hab ihn mal wieder dazugeschrieben.
* On Tue, 05 Feb 2002 at 18:32 +0100, Thomas Michael Wanka wrote:
On 5 Feb 2002 at 17:58, Adalbert Michelic wrote:
Hat sich Dir noch nie das Problem gestellt, daß Du, wenn Du auswärts
bist, Zugriff auf den Rechner zuhause brauchst? Dann bist Du aus dem
Schneider. Ansonsten müsste in Deinem Abstellraum - wenn Du
konsequent bist - eine kleine bis mittlere Serverfarm herumstehen.
Die kostet nicht nur in der Anschaffung was, sondern auch im Betrieb
- man Stromkosten.
Irgendeinen Server brauchst Du dann, der Dich per ssh reinlässt. Der
ssh-Daemon darf natürlich keine Sicherheitslücken aufweisen, was
wiederum mit endlichem Zeitaufwand kaum realisierbar ist. Dann sitzt
Dein Angreifer nun nicht mehr am Gateway sondern am ssh-Server.
Gottseidank hat der ssh-Server keine read-write Medien, also kann der
Angreifer nichts anstellen.
zur sicheren remote Administration empfehle ich einen
Einwahlechner. Wer z.B. von immer einer gleichen Nummer
anruft, kann Callback verwenden. Sonst reicht eine
Deaktivierung bei mehreren falschen Passworteingaben. Bedenke,
der Rechner steht irgendwo, wo man auch oft (vermutlich
Der steht im Abstellraum, vergraben hinter Mineralwasser und
kiloweise Obst und Gemüse. Und leeren Flaschen.
täglich)an ihn rankommt. Der Gateway kann ja ohneweiteres
routen, im Falle eines Einbruchs kannst Du durch Analyse der
Logfiles feststellen, was passierte. Ich habe Filesystemflags
bislang nur unter NetBSD eingesetzt, aber es sollte auch unter
Linux möglich sein.
Lies den ersten Absatz, den ich geschrieben habe, noch mal genau
durch. Da steht z.B.:
| Hat sich Dir noch nie das Problem gestellt, daß Du, wenn Du
| auswärts bist, Zugriff auf den Rechner zuhause brauchst?
Und ich meine hier _nicht_ Wartung! Deswegen habe ich weiter unten
auch das Beispiel mit mutt konstruiert. Der fällt definitiv nicht
unter Wartung.
Ich weiß nicht wie es Dir geht, aber wenn ich irgendwo bin, dann
habe ich dort
a) wechselnde Telefonnummern
b) nicht immer ISDN zur Verfügung
c) nicht immer die Chance mich überhaupt irgendwie einzuwählen
d) keine Lust lange ssh-Sitzungen über Handy zu zahlen
Fall 1: Ich sitze im Büro und möchte dringend wissen, wann ich mir
mit $FOO ausgemacht habe, daß wir ins Kino gehen. $FOO ist
telefonisch nicht erreichbar. Über Rauchzeichen auch nicht.
Lösung 1: Es findet sich bei mir zuhause jemand, der meinen Rechner
einschaltet, dem ich mein Passwort anvertrauen kann, und der in
meine privaten Emails eine raussucht. Nicht sehr verlockend.
Zeitaufwand: ca. 10 min
Lösung 2: Ich setze mich ins Auto, fahre nach Hause, sehe nach,
stelle fest, daß es nicht heute, sondern morgen ist und fahre wieder
ins Büro.
Zeitaufwand: ca. 40 min
Lösung 3: Ich starte mir meinen HTTP-Tunnel, der mir ermöglicht
TCP-Verbindungen über HTTP zu tunnel und baue eine Verbindung zu
meinem Knecht zu Hause auf, starte mutt, sehe nach und schließe die
Verbindung.
Zeitaufwand: ca. 2 min
Mit ist Lösung 3 am liebsten. Was wählst Du - fährst Du oder
telefonierst Du nach Hause?
--
Adalbert
PGP welcome, request public key: mailto:adalbert+key@xxxxxxxx
| < Previous | Next > |