Am Donnerstag, den 25.11.2004, 17:12 +0100 schrieb Uwe Gansert:
On Thursday 25 November 2004 16:48, Daniel Hanke wrote:
Am Donnerstag, den 25.11.2004, 16:38 +0100 schrieb Uwe Gansert:
On Thursday 25 November 2004 16:35, Daniel Hanke wrote:
Firewall mit Servern in der DMZ an welche die Anfragen weitergeleitet werden? Also nicht Rechner B sperrt sondern die Firewall die davor ist. Zusätzlich noch Portknocking einbauen um dem Admin immer Zugriff zu gewähren :-)
security by obscurity
Wo denn bitte? Kann da jetzt nicht ganz folgen.
also bitte. Du willst einen Mechanismus der sich darauf verlässt, dass ein anderer Rechner vorher kontaktet/gescannt wurde, um dann einen weiteren Rechner zu schützen mit Hilfe von Informationen die vom Angreifer stammen. Dieser Schutz kann aber per Port knocking ausgehebelt werden, damit nicht jeder einfach den Admin aussperren kann, was dieses Konzept leider mit sich bringt. Das findest du nicht etwas seltsam? Warum lässt du nicht zusätzlich den ssh daemon noch je nach Mondstand auf einem anderen Port lauschen? Dann ist es noch sicherer.
Nein. Nicht wirklich. Der Admin brauch seinen Zugriff. Also macht man diesen Zugang so sicher wie möglich. Dann bau dir doch für den Portknocker Einmal-"Schlüssel". Mit dem Stand des Mondes ist gar nicht so schlecht... Sogesehen wäre ja jedes Passwort "Security by obsurity". Das vergibst du ja auch um den Zugriff zu verhindern. Das lässt sich aber auch mit dem richtigen Passwort aushebeln ;-) Ich würd sagen alle Netzwerkverbindungen raus. Eingabegeräte weg, CD, Diskette etc ausbauen und die Anschlüsse auf dem Board unbrauchbar machen. Dann den Rechner zur Bank in den Tresorraum. Dann ist er sicher. Fast... Nur zu gebrauchen auch nicht. Gruß Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com