[Martin Borchert]:
Am Dienstag, 17. Juni 2003 17:11 schrieb Matthias Houdek:
[Martin Borchert]:
Der Grund es zu lassen ist einfach: Es ist zusätzliche Software und mithin zusätzliche Angriffsfläche. Keiner weiß, welche Leichen da begraben sind. Das Risiko eines Fehlverhaltens erhöht sich also. Wenn im Gegenzug nicht die Sicherheit des Systems erkennbar verbessert wird, macht es keinen Sinn, so etwas einzusetzen.
Und ich finde das Argument: "Firewall = zusätzliche Software = zusätzliche Angriffsfläche" nicht sehr überzeugend, denn sicherheitsrelevante Software wie z.B. iptables steht wohl in besonderem Maße unter ständiger Beobachtung, ob da noch Lücken geschlossen werden müssen.
Ja. Ich denke die steht genauso unter ständiger Beobachtung wie andere sicherheitsrelevante Software: sendmail, proftp, bind, ssh, der apache nebst Modulen hat auch eine gewisse Geschichte auf Securityfocus.
Eben, Und deshalb gehe ich eher davon aus, dass ich nicht neben vorhandene Löcher noch weitere haue, sondern eine dichte Wand noch einmal abdichte. Falls doch irgendwo ein Loch oder Riss sein sollte. Und dass beide Schichten an der gleichen Stelle ein Loch haben ...
Fehlerfreie Software ist eine Illusion. Und wenn der master-httpd erstmal aufgemacht ist, ist iptables schneller abgeschaltet als du Sicherheitsloch sagen kannst.
Wenn. Aber genau das versucht man ja zu verhindern. Außerdem kann man es Einbrechern auf einem eigenen System immer noch schwer machen, das Richtige zu finden. Ein Blinder kann in seiner eigenen Wohnung "sehen", dazu braucht er kein Licht. Ein Fremder ist ohne Lampe in dieser Wohnung wirklich blind. Und wenn er seine Taschenlampe vergessen, braucht er ziehmlich lange, um sich zurecht zu finden *g*. -- Gruß MaxX