Am Montag, 13. Januar 2003 18:12 schrieb Patrick Hess:
Moin,
die Gelegenheit möchte ich nutzen, hie einen Thread anzuwerfen. Die Frage beschäftigt mich nämlich schon länger, ich hatte aber bis jetzt noch nie richtig Zeit, mich damit auseinander zu setzen (das Gegoogele hat mich auch nicht weiter gebracht).
Al Bogner schrieb:
[Hostnamen oder IP-Adressen in /etc/exports?]
Ist die Berechtigung von Maschinennamen risikoreicher als die von IP-Adressen? Ich denke an die Situation, dass sich jemand mit einem Notebook (unerlaubt) ins lokale Netzwerk hängt.
Dann müßte der "Böse" mit dem Notebook halt den passenden Namen, anderst die passende IP-Adresse konfigurieren. Kommt auf's gleiche raus.
Aber wie Albert schreibt, kann ja jeder kommen und "mal kurz" sein Notebook ins Netz hängen. Wenn sich dann auf dem Notebook Benutzer mit den UID's 500 aufwärts befinden, muß er sich nur als ein solcher Benutzer auf dem Notebook anmelden und kann dann auf Daten des NFS-Servers zugreifen, die dieser UID gehören, ihn aber eigentlich gar nichts angehen.
Ich habe mir mal überlegt, man könnte NFS statt an IP-Adressen/Hostnamen an MAC-Adressen freigeben. Geht sowas? Hat vielleicht jemand eine andere Idee, wie man einen NFS-Server absichern kann?
In deinem kleinen Netz könnte man den Server auch ohne großen Aufwand über entsprechende Paketfilter abschirmen, die nur bestimmte MAC-IDs erlauben $IPTables -A INPUT -i eht0 --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT für alle vorhandenen Hosts im internen Nezt wiederholen, keine weiteren INPUT-Regeln für -i eth0 und natürlich default für INPUT auf DROP oder REJECT setzen (oder alternativ ein "$IPTables -A INPUT -i eth0 -j DROP" anhängen). Natürlich bleibt immer noch die Gefahr, dass jemand durch Probieren eine erlaubte MAC-ID herausfindet, aber ob der Aufwand lohnt? Zusätzlich könntest du auch noch die jeweilige IP-Adresse des Hosts in die einzelnen Regeln mit einbinden, was es noch etwas schwieriger macht - vor allem, wenn du nicht die allseits beliebten 192.168.0.x Adressen nimmst ;-) Über eines solltest du dir ohnehin im Klaren sein: Ein Server, der physisch erreichbar ist, ist 100% unsicher. Ist ein (lokales) Netz physisch erreichbar, in dem der Server direkt zu finden ist, so ist der Server und damit dieses Netz ebenfalls relativ unsicher (Siehe Problematik WAN). Erst wenn ein Server durch entsprechende Schutzvorrichtungen (Firewall-Konzepte) gegen alle erreichbaren Netze abgeschirmt wird, die nur genau definierte Kommunikation erlauben, wird der Server sicherer. Oder man schimt das gesamte Netz gegen physischen Zugriff ab. Und da helfen auch Layer3-Switches nur weiter, wenn sie physisch nicht umgangen werden können (Verteilerschrank öffnen, eigenen Switch danebenstellen und umpatchen ;-). Außerdem bleiben immer die Fragen: Lohnt der gesamte Aufwand? Wie groß ist die Gefahr eines "Angriffs"? Welcher Schaden kann dadurch geschehen? -- Gruß MaxX