Mailinglist Archive: opensuse-de (3756 mails)

< Previous Next >
Re: OT: T-DSL ans Firmennetz, und die Folgen
  • From: "Dr. Thorsten Brandau" <mailing@xxxxxxxx>
  • Date: Wed, 08 Sep 2004 09:37:52 +0200
  • Message-id: <413EB6D0.8000205@brace.de>


Matthias Houdek wrote:
Er trennt zumindest erst einmal das Internet von meiner Firewall. Und ich hab eine Vorwarnzeit, wenn das Teil geknackt wurde (also Pakete an der Firewall ankommen, die dort nicht ankommen dürften). z.B. könnten dann

das IM PRINZIP das eine tolle loesung ist - voellig klar. ABER: gerade da i.d.R. bei (guenstigen) dial-ups mit firewall die zugangsdaten eben dort liegen und verhaeltnismaessig leicht zugaenglich sind, halte ich es fuer ein schlecht kalkulierbares risiko einen solchen einzusetzen. wie leicht sind zugangsdaten dann bekannt, und z.B. im ausland funktionieren die DSL zugangsdaten prima, auch wenn der heimische rechner online ist. nach den neuen AGBs von T-online kann das auch ziemlich teuer werden.

schon mal automatisch weitere Schranken hochfahren (Einwahl von außen

wie machst du das? wuerde mich mal interessieren...

Der Mehraufwand ist für eine Firma praktisch gleich Null, aber es ist ein nicht zu unterschätzender Sicherheitsgewinn. (Wir sprechen hier über einen Firmenzugang, keine Lösung für privat)

s.o. gerade bei firmennetzen halte ich es fuer einen essentiellen sicherheitsverlust, wenn zugangsdaten von ISPs bekannt werden.

der proxy sollte aber auch gleich mailfunktionalitaet bieten. evtl. auch webserver, damit man potentiell
nach aussen webdienste anbieten kann.

Möglich, aber dann würde ich auf jeden Fall eine echte DMZ aufbauen und diesen Rechner über einen abgesetzten Firewall-Router mit dem LAN verbinden.

nun, da du dein netz so aufgemalt hattest bin ich davon ausgegangen das du von einer DMZ sprichst. die sollte fuer eine sichere konfiguration schon sein, und nur dort nach aussen zugaegnliche prozesse und dienste angeboten werden.

Andere Accounts sind ja wohl das Mindeste. Das setze ich mal stillschweigend voraus, dass mit normalen Useraccounts kein Systemzugriff auf die sicherheitsrelevanten möglich ist und auch die root-Passwörter dort andere sind.

das sollte man aber durchaus nochmals betonen - faulheit ist eine betraechtliche motivation. und wie einfach ist es, den YP auf der firewall mitlaufen zu lassen ;-)

Steht das nicht in meinem nächsten Satz?

stimmt, aber da hatte ich es schon getippt <8-}

Installier mal ettercap, häng dich mit dem Rechner in ein geswitchtes Netz und staune, was damit alles möglich ist (Stickworte: Arp-Spoofing und Apr-Poisoning, Man in the Middle-Attacs). Einziger halbwegs brauchbarer Schutz dagegen sind managbare Switches, die pro Port nur eine MAC-Adresse lernen können. Aber da bist du mal ganz schnell mit 6-8 Hundertern pro Switch (!) dabei.

mmh. das ist wohl wahr. grundsaetzlich aber ein nicht-triviales problem, das nur schwer komplett abzusichern ist. ich halte einen managbaren switch aber durchaus fuer eine praktikable loesung und 0,6-0,8 kEUR ist keine grosse sache. da sind die rechner die man zum aufbau braucht teurer ;-)

BTW: Deine Shift-Taste scheint zu klemmen.

stimmt.

ciao

T

< Previous Next >
Follow Ups