* On Mon, 04 Feb 2002 at 18:03 +0100, Jörg Zimmermann wrote:
On 3 Feb 2002 at 21:57, Adalbert Michelic wrote: [...].
Wenn ich mal aus meiner Erfahrung sprechen darf: Der potentielle Angreifer nimmt sich seine Tools selber mit. Mit einem derart
Trotzdem benötigt er einige Dinge auf Deinem System, Speicher kann er schlecht über das Internet übertragen.
echo -en '\104\141\163\040\147\145\150\164\040\141\165\143\150' && \ echo -e '\040\155\151\164\040\145\143\150\157\056'
Und irgendwo muss er auch was hinschreiben.
Da wird er, sobald er root ist, schon einen geeigneten Platz finden.
Ausserdem muss er ja erstmal auf das System drauf kommen, das kann schon sehr hart werden.
Das ist Grundvoraussetzung. Da werden ihn aber nicht vorhandene Tools auf dem System kaum dran hindern. Da ist es weit förderlicher Security-Updates und Konsorten nicht einzuspielen.
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut
Was soll's, dann lernst Du's eben mal anders rum. back to the root's. Ich bin immer wieder überrrascht wieviel Probleme man mit den einfachsten Befehlen lösen kann.
Warum sollte ich mir zuhause ein Gateway hinstellen, das derart verkrüppelt ist, daß ich selbst nicht mehr drauf arbeiten kann? Da schaue ich vielmehr drauf, daß ich Paketmäßig auf einem einigermaßen aktuellen Stand bin, und ich mit dem System arbeiten kann.
einer sowieso wenn er will. Wenn Du derart hohe Sicherheitsanfor- derungen hast, solltest Du besser, bevor Du das Gateway so sauber machst, dafür sorgen, daß auch die Clients sauber sind, und Deine User auch in Sachen Sicherheit gut geschult sind. Vorsicht bei
Die Kompetenz der user würde alles enorm vereinfachen, darauf kannst und solltest Du Dich aber nicht verlassen.
Wenn man derart hohe Sicherheitsanforderungen hat, dann müssen die User aber entweder kompetent sein, oder so massiv eingeschränkt sein, daß sie unter keinen Umständen Blödsinn machen können. Das wird aber zuhause kaum vorkommen.
ankommenden Emails, am besten keine Attachments zulassen. Keine Downloads von "Bildschirmschonern" o.ä. Kein ICQ, AIM, usw. blablabla ....
In Kürze: Das sicherste Gateway bringt nichts, wenn der Angreifer bequem über Trojaner o.ä. Sicherheitslücken der Clients ausnutzen kann.
Ein Angreifer kann natürlich alles mögliche tunneln, aber dafür muss im internen Netz ein entsprechender Dienst laufen.
Wieso? Da reicht doch ein User der sich gerne an bunten Bildchen erfreut und nach Möglichkeit an einem Windows-Rechner sitzt. Was will man mehr?
Kurz, einen gut gesicherten Gateway auszutrixen macht nur Sinn wenn der Nutzen für den Angreifer hoch ist, oder ein er 'Sportler' ist.
Klar, aber solange er nur Sklaven für DDos-Angriffe udgl. braucht, ist ein geknacktes Gateway zwar praktisch, aber nicht erforderlich. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at