OT: T-DSL ans Firmennetz, und die Folgen
ich habe hier seit 6 Monaten einen ungenutzten T-DSL Anschluß. Als Mädchen für alles habe ich so wenig Zeit. Ich will jetzt das Firmennetz anschließen. Ich habe gehört, ich brauche dafür einen Router?!? Wie sieht es mit Firewall aus?? Wäre es sinnvoll, dann einen eigenen Mailserver aufzusetzen?? Gibt es andere sysadmins da draussen die das Ganze mehr oder minder schmerzlich hinter sich gebracht haben, und die mich teilhaben lassen wollen an Ihre Erfahrungen?? Es wäre doch dumm wenn ich das Rad nochmal erfinden müßte. Antworten bitte per PM - und herzlichen Dank im voraus!! -- Regards, Walter Ulmke Ulmke Machine Tools, 48496 Hopsten, Germany Tel. ++49/5458/93345-0 Fax. ++49/5458/93345-45 Mobile: ++49/172/5357999 eMail: ulw@ulmke.com
Hallo Walter,
Walter Ulmke
ich habe hier seit 6 Monaten einen ungenutzten T-DSL Anschluß. Als Mädchen für alles habe ich so wenig Zeit.
Ich will jetzt das Firmennetz anschließen. Ich habe gehört, ich brauche dafür einen Router?!? Wie sieht es mit Firewall aus?? Wäre es sinnvoll, dann einen eigenen Mailserver aufzusetzen??
Gibt es andere sysadmins da draussen die das Ganze mehr oder minder schmerzlich hinter sich gebracht haben, und die mich teilhaben lassen wollen an Ihre Erfahrungen?? Es wäre doch dumm wenn ich das Rad nochmal erfinden müßte.
Long time. no see. Ob du einen Router benötigst, oder auch nur einsetzen kannst, hängt vom Provider ab.Bei T-online z.B. brauchst du keinen Router, da übernimmt der Einwahlserver ds Routing. Firewall ist in jedem Falle wichtig. Wenn du dein Firmennetz an einen DSL Anschluß hängen möchtest, gibt es bei T-online möglicherweise Probleme, da dann vermutlich mehrere Hosts online sein werden. Da ist dann ein Business-Anschluß angebracht. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Walter Ulmke wrote:
ich habe hier seit 6 Monaten einen ungenutzten T-DSL Anschluß. Als Mädchen für alles habe ich so wenig Zeit.
Ich will jetzt das Firmennetz anschließen. Ich habe gehört, ich brauche dafür einen Router?!? Wie sieht es mit Firewall aus?? Wäre es sinnvoll, dann einen eigenen Mailserver aufzusetzen??
Gibt es andere sysadmins da draussen die das Ganze mehr oder minder schmerzlich hinter sich gebracht haben, und die mich teilhaben lassen wollen an Ihre Erfahrungen?? Es wäre doch dumm wenn ich das Rad nochmal erfinden müßte.
Antworten bitte per PM - und herzlichen Dank im voraus!!
Vorab: Da du offensichtlich wenig Wissen hast solltest du es tunlichst vermeiden Dinge zu machen deren Folgen du nicht überblicken kannst. Privat mag das noch angehen aber Fehler bei der Konfiguration eines Internetzuganges können für eine Firma, aber auch ggf für die verantworlichen Personen, existenzielle Folgen haben. Als Tip: Es gibt Lösungen wie Smoothwall bzw. Ipcop die dir relativ sichere Lösungen frei Haus liefern. Wenn du aber mit Begriffen wie Ports und DMZ wenig bis nichts anfangen kannst laß die Finger davon. Gruß
Walter Ulmke wrote:
ich habe hier seit 6 Monaten einen ungenutzten T-DSL Anschluß. Als Mädchen für alles habe ich so wenig Zeit.
ihr muesst echt zuviel geld haben ;-)
Ich will jetzt das Firmennetz anschließen. Ich habe gehört, ich brauche dafür einen Router?!? Wie sieht es mit Firewall aus?? Wäre es sinnvoll, dann einen eigenen Mailserver aufzusetzen??
du "brauchst" natuerlich keinen router. du kannst auch auf jedem rechner die T-online software installieren und die kabel umstecken. du "brauchst" auch keinen firewall. wenn du keinen wert auf deine daten legst. Ob ein mailserver "sinnvoll" ist, entscheidet eher die persoenliche vorliebe.
Gibt es andere sysadmins da draussen die das Ganze mehr oder minder schmerzlich hinter sich gebracht haben, und die mich teilhaben lassen wollen an Ihre Erfahrungen?? Es wäre doch dumm wenn ich das Rad nochmal erfinden müßte.
nein, aber selbst die leute die das geschafft haben, haben wohl kaum das rad erfunden. genutzt vielleicht... (hach, bin ich heute im klugscheissermodus!).
Antworten bitte per PM - und herzlichen Dank im voraus!!
noe. Also, wenn du - Das gesamte Firmennetzwerk "online" bringen willst - einen gewissen wert auf sicherheit legst - die mails lokal und oeffentlich trennen - evtl- zusatzservices einrichten willst, dann solltest du dir einen rechner hinstellen, der sich einwaehlt (einwahlrechner), auf diesem SuSEfirewall2 und Squid konfigueren. Anschliessen postfix und fetchmail zum laufen bringen. Und dann sagt auch t-online nichts, da ja nur ein rechner online ist. wenn du hingegen jeden firmenrechner DIREKT ins netz bringen moechtest, d.h. ohne proxies, dann wird es wohl ein busniessanschluss sein muessen. Sicherer ist es immer über proxies zu gehen. und mit einer konfigurierten emailloesung kannst du auch gleich nach viren und spam suchen... ciao T
Hallo, Dr. Thorsten Brandau wrote:
Sicherer ist es immer über proxies zu gehen.
Mal ganz blöd geftagt: Warum eigentlich? Es macht doch eigentlich keinen großen Unterschied, ob man einen Proxy verwendet oder nicht. Interessant wird es doch eigentlich erst dann, wenn der Proxy Dialer, Popups, JavaScripts und Active-X-Sachen aus dem Datenstrom filtert. Damian Philipp
Damian Philipp wrote:
Hallo,
Dr. Thorsten Brandau wrote:
Sicherer ist es immer über proxies zu gehen.
Mal ganz blöd geftagt: Warum eigentlich? Es macht doch eigentlich keinen großen Unterschied, ob man einen Proxy verwendet oder nicht. Interessant wird es doch eigentlich erst dann, wenn der Proxy Dialer, Popups, JavaScripts und Active-X-Sachen aus dem Datenstrom filtert.
Eben drum. Dazu kommen dannn noch unter aderem alle Inhalte die rechtlich bedenklich sind für die man als Verantwortlicher richtig Ärger bekommen kann. Ausserdem spart ein Proxy Traffic was dem Provider gegenüber ein feiner Zug ist (auch wenn das in den heutigen Zeiten ziemlich in Vergessenheit geraten ist). Gruß
Am Dienstag 07 September 2004 13:16 schrieb Ralf Prengel:
Damian Philipp wrote:
Hallo,
Dr. Thorsten Brandau wrote:
Sicherer ist es immer über proxies zu gehen.
Mal ganz blöd geftagt: Warum eigentlich? Es macht doch eigentlich keinen großen Unterschied, ob man einen Proxy verwendet oder nicht. Interessant wird es doch eigentlich erst dann, wenn der Proxy Dialer, Popups, JavaScripts und Active-X-Sachen aus dem Datenstrom filtert.
Eben drum.
Und nicht nur das.
Dazu kommen dannn noch unter aderem alle Inhalte die rechtlich bedenklich sind für die man als Verantwortlicher richtig Ärger bekommen kann.
Das Filtern ist aber nur eine Zusatzaufgabe, die viele Proxies auch können.
Ausserdem spart ein Proxy Traffic was dem Provider gegenüber ein feiner Zug ist (auch wenn das in den heutigen Zeiten ziemlich in Vergessenheit geraten ist).
Naja, es kommt auch der Performance zugute. Aber nur, wenn viele Seiten häufig angewählt werden. Der Hauptvorteil eines Proxies liegt aber in seiner Firewall-Funktionalität (Achtung: Paketfilter != Firewall). Wenn ein Proxy installiert (und genutzt ;-) wird, dann besteht keine direkte Verbindung mehr zwischen den Clients und dem Internet. Werden alle benötigten Dienste über Proxies oder Relays abgewickelt, braucht es kein Forwarding (Routing) mehr zwischen dem LAN und dem Internet zu geben. Was das für die Sicherheit bedeutet, braucht man wohl nicht mehr detailiert zu erörtern. Contentfilter sind dann nur noch schmückendes Beiwerk. Eine brauchbare Firewall-Konfiguration sieht z.B. so aus (Minimalkonfiguration, mehr ist immer möglich, weniger wird deutlich unsicherer und ist höchstens bei Privat noch vertretbar): [Zone 3] | [Zone 2] | --------------- ------------ | Proxy mit | | Firewall | LAN -------------| Paketfilter |-----------------| mit |--- ... 192.168.100.0/24 | zum LAN | 192.168.10.0/24 | IP-Tables | --------------- ------------- | | lokales Netz | DMZ (bedingt sicher) | äußeres Netz (sicher) | hier evtl. auch Web-Server, | (unten gehts | Mailserver, ... | weiter) [Zone 1] | ----------------- | DSL-Router | ... ------------| (Hardware- |--------------- 192.168.0.0/24 | router mit | / ins Internet | Packetfilter) | /----------------> ----------------- äußeres Netz | "die Böse Welt da draußen ;-)" | Du brauchst dafür zwei zusätzliche Rechner und hast defür eine sehr hohe Sicherheit. Keiner deiner Rechner ist direkt aus dem Netz erreichbar, ja nicht einmal sichtbar. Mit der vorgelagerten Firewall mit IP-Tables kannst du zielgerichtet Ports in abhängigkeit der offenen Verbindungen freischalten (wichtig vor allem für die High-Ports) und der Proxy (auf dem meinetwegen auch noch der Mailserver und der DNS laufen können) schottet das LAN endgültig ab. Wenn da ein Angreifer unbemerkt durchkommt, hat der Admin gepennt ;-) Als Sparvariante könnte man IP-Tables auch auf dem Proxy laufen lassen, aber wenn der kompromittiert ist, ist es auch das LAN, da er direkt im LAN hängt. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Matthias Houdek wrote:
Der Hauptvorteil eines Proxies liegt aber in seiner Firewall-Funktionalität (Achtung: Paketfilter != Firewall). Wenn ein
<grmpf> firewall funktionalität? naja. wichtig ist ja auch, das ein potentieller angreifer das netz dahinter nicht "sieht". und was man nicht sieht, kann man auch nur schlecht angreifen. die anonymyizer funktion von z.B. squid ist uebrigens auch noch ganz nett.
Eine brauchbare Firewall-Konfiguration sieht z.B. so aus (Minimalkonfiguration, mehr ist immer möglich, weniger wird deutlich unsicherer und ist höchstens bei Privat noch vertretbar): [Zone 3] | [Zone 2] | --------------- ------------ | Proxy mit | | Firewall | LAN -------------| Paketfilter |-----------------| mit |--- ... 192.168.100.0/24 | zum LAN | 192.168.10.0/24 | IP-Tables | --------------- ------------- | | lokales Netz | DMZ (bedingt sicher) | äußeres Netz (sicher) | hier evtl. auch Web-Server, | (unten gehts | Mailserver, ... | weiter)
[Zone 1] | ----------------- | DSL-Router | ... ------------| (Hardware- |--------------- 192.168.0.0/24 | router mit | / ins Internet | Packetfilter) | /----------------> ----------------- äußeres Netz | "die Böse Welt da draußen ;-)" |
also den DSL hardwarerouter halte ich fuer uebertrieben, auch und gerade aus sicherheitstechnischen gruenden. die haben sich als allzuleicht kompromittierbar herausgestellt. einen sauberen linux dialup, am besten gebootet von einer CD erscheit mir hier in jedem fall sinnvoller (stichwort: IPCOP). der proxy sollte aber auch gleich mailfunktionalitaet bieten. evtl. auch webserver, damit man potentiell nach aussen webdienste anbieten kann. als alternative konfiguration, die nicht wesentlich unsicherer ist, waere proxy, dialup und firewall auf einem rechner zu integrieren und dahinter ein separates netzwerk zu spannen (z.B. mit anderen accounts etc.). wenn man am firewall dann auch alle ports dichtmacht, ist der schon ziemlich sicher fuer die meisten anwendungen...
Als Sparvariante könnte man IP-Tables auch auf dem Proxy laufen lassen, aber wenn der kompromittiert ist, ist es auch das LAN, da er direkt im LAN hängt.
mmh. nicht unbedingt, wenn die accounts sauber getrennt sind. generell sollte man zumindest an dieser stelle einen switch verwenden, und keinen hub, damit der firewall nicht auf passwoerter am netz lauschen kannn. ciao T
Am Dienstag 07 September 2004 17:45 schrieb Dr. Thorsten Brandau:
Matthias Houdek wrote:
Der Hauptvorteil eines Proxies liegt aber in seiner Firewall-Funktionalität (Achtung: Paketfilter != Firewall). Wenn ein
<grmpf> firewall funktionalität? naja. wichtig ist ja auch, das ein potentieller angreifer das netz dahinter nicht "sieht". und was man nicht sieht, kann man auch nur schlecht angreifen.
Eine Firewall ist wesentlich mehr als nur ein bisschen Paketfilterung. Und ein Proxy war, ist und bleibt nun mal als trennendes Element auf Anwendungsebene ein wichtiges Element in einer Firewall. Natürlich darf ich den Proxy nicht umgehbar machen, d.h. es darf kein Routing daneben geben. ;-)
die anonymyizer funktion von z.B. squid ist uebrigens auch noch ganz nett.
Eine brauchbare Firewall-Konfiguration sieht z.B. so aus (Minimalkonfiguration, mehr ist immer möglich, weniger wird deutlich unsicherer und ist höchstens bei Privat noch vertretbar): [Zone 3] | [Zone 2] | --------------- ------------ | Proxy mit | | Firewall | LAN -------------| Paketfilter |-----------------| mit |--- ... 192.168.100.0/24 | zum LAN | 192.168.10.0/24 | IP-Tables | --------------- ------------- lokales Netz | DMZ (bedingt sicher) | äußeres Netz (sicher) | hier evtl. auch Web-Server, | (unten gehts | Mailserver, ... | weiter)
[Zone 1] | ----------------- | DSL-Router | ... ------------| (Hardware- |--------------- 192.168.0.0/24 | router mit | / ins Internet | Packetfilter) | /----------------> ----------------- äußeres Netz | "die Böse Welt da draußen ;-)"
also den DSL hardwarerouter halte ich fuer uebertrieben, auch und gerade aus sicherheitstechnischen gruenden. die haben sich als allzuleicht kompromittierbar herausgestellt.
Er trennt zumindest erst einmal das Internet von meiner Firewall. Und ich hab eine Vorwarnzeit, wenn das Teil geknackt wurde (also Pakete an der Firewall ankommen, die dort nicht ankommen dürften). z.B. könnten dann schon mal automatisch weitere Schranken hochfahren (Einwahl von außen völlig verbieten, was bisher vielleicht für den Außendienst über IPSec noch erlaubt war, Pakete mitsniffen, damit der Admin gleich sieht, was gerade so läuft, ...) Der Mehraufwand ist für eine Firma praktisch gleich Null, aber es ist ein nicht zu unterschätzender Sicherheitsgewinn. (Wir sprechen hier über einen Firmenzugang, keine Lösung für privat) Noch ein Hinweis zu den Sicherheitszonen: Zone 1: unsicher, praktisch gleich dem Internet zu betrachten Zone 2: bedingt sicher, hier sollten aber keine sicherheitsrelevanten Dienste laufen. Zone 3: sicher, hier laufen alle wichtigen lokalen Dienste, dieser Bereich bedaf der optimalen Absicherung.
einen sauberen linux dialup, am besten gebootet von einer CD erscheit mir hier in jedem fall sinnvoller (stichwort: IPCOP).
Das wäre eine Lösung für die Firewall.
der proxy sollte aber auch gleich mailfunktionalitaet bieten. evtl. auch webserver, damit man potentiell nach aussen webdienste anbieten kann.
Möglich, aber dann würde ich auf jeden Fall eine echte DMZ aufbauen und diesen Rechner über einen abgesetzten Firewall-Router mit dem LAN verbinden.
als alternative konfiguration, die nicht wesentlich unsicherer ist, waere proxy, dialup und firewall auf einem rechner zu integrieren und dahinter ein separates netzwerk zu spannen (z.B. mit anderen accounts etc.).
Andere Accounts sind ja wohl das Mindeste. Das setze ich mal stillschweigend voraus, dass mit normalen Useraccounts kein Systemzugriff auf die sicherheitsrelevanten möglich ist und auch die root-Passwörter dort andere sind.
wenn man am firewall dann auch alle ports dichtmacht, ist der schon ziemlich sicher fuer die meisten anwendungen...
Steht das nicht in meinem nächsten Satz? (aber diese Variante ist wesentlich unsicherer (s.o., Stichwort Vorwarnzeit z.B.)).
Als Sparvariante könnte man IP-Tables auch auf dem Proxy laufen lassen, aber wenn der kompromittiert ist, ist es auch das LAN, da er direkt im LAN hängt.
mmh. nicht unbedingt, wenn die accounts sauber getrennt sind. generell sollte man zumindest an dieser stelle einen switch verwenden, und keinen hub, damit der firewall nicht auf passwoerter am netz lauschen kannn.
Installier mal ettercap, häng dich mit dem Rechner in ein geswitchtes Netz und staune, was damit alles möglich ist (Stickworte: Arp-Spoofing und Apr-Poisoning, Man in the Middle-Attacs). Einziger halbwegs brauchbarer Schutz dagegen sind managbare Switches, die pro Port nur eine MAC-Adresse lernen können. Aber da bist du mal ganz schnell mit 6-8 Hundertern pro Switch (!) dabei. BTW: Deine Shift-Taste scheint zu klemmen. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Matthias Houdek wrote:
Er trennt zumindest erst einmal das Internet von meiner Firewall. Und ich hab eine Vorwarnzeit, wenn das Teil geknackt wurde (also Pakete an der Firewall ankommen, die dort nicht ankommen dürften). z.B. könnten dann
das IM PRINZIP das eine tolle loesung ist - voellig klar. ABER: gerade da i.d.R. bei (guenstigen) dial-ups mit firewall die zugangsdaten eben dort liegen und verhaeltnismaessig leicht zugaenglich sind, halte ich es fuer ein schlecht kalkulierbares risiko einen solchen einzusetzen. wie leicht sind zugangsdaten dann bekannt, und z.B. im ausland funktionieren die DSL zugangsdaten prima, auch wenn der heimische rechner online ist. nach den neuen AGBs von T-online kann das auch ziemlich teuer werden.
schon mal automatisch weitere Schranken hochfahren (Einwahl von außen
wie machst du das? wuerde mich mal interessieren...
Der Mehraufwand ist für eine Firma praktisch gleich Null, aber es ist ein nicht zu unterschätzender Sicherheitsgewinn. (Wir sprechen hier über einen Firmenzugang, keine Lösung für privat)
s.o. gerade bei firmennetzen halte ich es fuer einen essentiellen sicherheitsverlust, wenn zugangsdaten von ISPs bekannt werden.
der proxy sollte aber auch gleich mailfunktionalitaet bieten. evtl. auch webserver, damit man potentiell nach aussen webdienste anbieten kann.
Möglich, aber dann würde ich auf jeden Fall eine echte DMZ aufbauen und diesen Rechner über einen abgesetzten Firewall-Router mit dem LAN verbinden.
nun, da du dein netz so aufgemalt hattest bin ich davon ausgegangen das du von einer DMZ sprichst. die sollte fuer eine sichere konfiguration schon sein, und nur dort nach aussen zugaegnliche prozesse und dienste angeboten werden.
Andere Accounts sind ja wohl das Mindeste. Das setze ich mal stillschweigend voraus, dass mit normalen Useraccounts kein Systemzugriff auf die sicherheitsrelevanten möglich ist und auch die root-Passwörter dort andere sind.
das sollte man aber durchaus nochmals betonen - faulheit ist eine betraechtliche motivation. und wie einfach ist es, den YP auf der firewall mitlaufen zu lassen ;-)
Steht das nicht in meinem nächsten Satz?
stimmt, aber da hatte ich es schon getippt <8-}
Installier mal ettercap, häng dich mit dem Rechner in ein geswitchtes Netz und staune, was damit alles möglich ist (Stickworte: Arp-Spoofing und Apr-Poisoning, Man in the Middle-Attacs). Einziger halbwegs brauchbarer Schutz dagegen sind managbare Switches, die pro Port nur eine MAC-Adresse lernen können. Aber da bist du mal ganz schnell mit 6-8 Hundertern pro Switch (!) dabei.
mmh. das ist wohl wahr. grundsaetzlich aber ein nicht-triviales problem, das nur schwer komplett abzusichern ist. ich halte einen managbaren switch aber durchaus fuer eine praktikable loesung und 0,6-0,8 kEUR ist keine grosse sache. da sind die rechner die man zum aufbau braucht teurer ;-)
BTW: Deine Shift-Taste scheint zu klemmen.
stimmt. ciao T
Am Mittwoch 08 September 2004 09:37 schrieb Dr. Thorsten Brandau:
Matthias Houdek wrote:
Er trennt zumindest erst einmal das Internet von meiner Firewall. Und ich hab eine Vorwarnzeit, wenn das Teil geknackt wurde (also Pakete an der Firewall ankommen, die dort nicht ankommen dürften). z.B. könnten dann
das IM PRINZIP das eine tolle loesung ist - voellig klar. ABER: gerade da i.d.R. bei (guenstigen) dial-ups mit firewall die zugangsdaten eben dort liegen und verhaeltnismaessig leicht zugaenglich sind, halte ich es fuer ein schlecht kalkulierbares risiko einen solchen einzusetzen. wie leicht sind zugangsdaten dann bekannt, und z.B. im ausland funktionieren die DSL zugangsdaten prima, auch wenn der heimische rechner online ist. nach den neuen AGBs von T-online kann das auch ziemlich teuer werden.
OK, ist ein Argument. Hab jetzt mehr an Standleitung gedacht (bei Firma ...).
schon mal automatisch weitere Schranken hochfahren (Einwahl von außen
wie machst du das? wuerde mich mal interessieren...
Da der vorgelagerte Paketfilter (meinetwegen auch als Linux-Host) eigentlich nur auf fest vorbestimmten Ports mit der eigentlichen Firewall kommunizieren dürfte (alles andere solten die Forward-Regeln dort gleich ausfiltern, es dürften eh nur geforwardete Pakete kommen), ist jegliche andere Kommunikation ein relativ sicheres Indiz für einen Einbruch in den ersten Rechner. Kommen also plötzlich Portscans oder Verbindungswünsche vom vorgelagerten Router, so kann das über IPTables geloged und durch Überwachung der Logfiles entsprechend gehandelt werden.
Der Mehraufwand ist für eine Firma praktisch gleich Null, aber es ist ein nicht zu unterschätzender Sicherheitsgewinn. (Wir sprechen hier über einen Firmenzugang, keine Lösung für privat)
s.o. gerade bei firmennetzen halte ich es fuer einen essentiellen sicherheitsverlust, wenn zugangsdaten von ISPs bekannt werden.
ACK, wenn die dort gespeichert werden müssen.
der proxy sollte aber auch gleich mailfunktionalitaet bieten. evtl. auch webserver, damit man potentiell nach aussen webdienste anbieten kann.
Möglich, aber dann würde ich auf jeden Fall eine echte DMZ aufbauen und diesen Rechner über einen abgesetzten Firewall-Router mit dem LAN verbinden.
nun, da du dein netz so aufgemalt hattest bin ich davon ausgegangen das du von einer DMZ sprichst. die sollte fuer eine sichere konfiguration schon sein, und nur dort nach aussen zugaegnliche prozesse und dienste angeboten werden.
Naja so richtig DMZ ist es noch nicht, da der Rechner ja direkt mit dem LAN verbunden ist.
Andere Accounts sind ja wohl das Mindeste. Das setze ich mal stillschweigend voraus, dass mit normalen Useraccounts kein Systemzugriff auf die sicherheitsrelevanten möglich ist und auch die root-Passwörter dort andere sind.
das sollte man aber durchaus nochmals betonen - faulheit ist eine betraechtliche motivation. und wie einfach ist es, den YP auf der firewall mitlaufen zu lassen ;-)
Autsch. Na, wer so was macht, der sollte sich gleich erschießen lassen.
Steht das nicht in meinem nächsten Satz?
stimmt, aber da hatte ich es schon getippt <8-}
Installier mal ettercap, häng dich mit dem Rechner in ein geswitchtes Netz und staune, was damit alles möglich ist (Stickworte: Arp-Spoofing und Apr-Poisoning, Man in the Middle-Attacs). Einziger halbwegs brauchbarer Schutz dagegen sind managbare Switches, die pro Port nur eine MAC-Adresse lernen können. Aber da bist du mal ganz schnell mit 6-8 Hundertern pro Switch (!) dabei.
mmh. das ist wohl wahr. grundsaetzlich aber ein nicht-triviales problem, das nur schwer komplett abzusichern ist. ich halte einen managbaren switch aber durchaus fuer eine praktikable loesung und 0,6-0,8 kEUR ist keine grosse sache. da sind die rechner die man zum aufbau braucht teurer ;-)
s/kEUR/TEURO/ (früher hat man doch auch TDM geschrieben, und es passt so schön ;-)
BTW: Deine Shift-Taste scheint zu klemmen.
stimmt.
Immer noch! -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
herzlichen Dank an alle, die geantwortet haben. Ich muss die Antworten erst einmal auswerten, ich war ene Woche weg. Ich habe keine Ahnung, will aber von niemandem Fremden abhängig sein und es deswegen selber machen. Die Antworten haben meine Wissenslücken offenbart. MIST. -- Regards, Walter Ulmke Ulmke Machine Tools, 48496 Hopsten, Germany Tel. ++49/5458/93345-0 Fax. ++49/5458/93345-45 Mobile: ++49/172/5357999 eMail: ulw@ulmke.com
Walter Ulmke wrote:
herzlichen Dank an alle, die geantwortet haben. Ich muss die Antworten erst einmal auswerten, ich war ene Woche weg.
Ich habe keine Ahnung, will aber von niemandem Fremden abhängig sein und es deswegen selber machen. Die Antworten haben meine Wissenslücken offenbart.
MIST.
Kleiner Tipp am Rande: Wenn Du keine Ahnung hast, solltest du DAS zumindest erst mal lassen. Sonst ist das OBER-DOPPEL-RIESEN-MIST und du kannst deine rauhfaser anstarren... wenn dein chef dich rausgeschmissen hat, weil du murks gebaut hast. ABER: es wird auch nichts so heiss gegessen wie gekocht. aber gruendlich informieren wuerde ich mich schon, und vielleicht doch ein paar kroeten ausgeben, damit dir mal jemand sowas aufsetzt und dir erklaert wie das funktioniert. ciao T
Am Dienstag, 14. September 2004 15:42 schrieb Dr. Thorsten Brandau:
Walter Ulmke wrote:
herzlichen Dank an alle, die geantwortet haben. Ich muss die Antworten erst einmal auswerten, ich war ene Woche weg.
Ich habe keine Ahnung, will aber von niemandem Fremden abhängig sein und es deswegen selber machen. Die Antworten haben meine Wissenslücken offenbart.
MIST.
Kleiner Tipp am Rande: Wenn Du keine Ahnung hast, solltest du DAS zumindest erst mal lassen. Sonst ist das OBER-DOPPEL-RIESEN-MIST und du kannst deine rauhfaser anstarren...
Ich gehe immer davon aus, dass Mensch lernfähig ist.
wenn dein chef dich rausgeschmissen hat, weil du murks gebaut hast.
Wohl nicht, wenn er der Chef ist. ;-)
ABER: es wird auch nichts so heiss gegessen wie gekocht. aber gruendlich informieren wuerde ich mich schon, und vielleicht doch ein paar kroeten ausgeben, damit dir mal jemand sowas aufsetzt und dir erklaert wie das funktioniert.
Am schnellsten lernt er es, wenn er es selber macht. Auch wen es nicht sofort klappt. Ich persönlich bin auch davon überzeugt, dass er das schafft. @Walter Wissenslücken kann man schließen. Ich denke auch, dass es diese bei _allen_ hier gibt. Bein einen mehr, beim anderen weniger. lg, Andreas
Andreas Scherer wrote:
Ich gehe immer davon aus, dass Mensch lernfähig ist.
naja, "lernen durch schmerz" ist zwar effektiv, aber vielleicht ist "lernen durch leichtes unwohlsein" doch vorzuziehen ;-)
wenn dein chef dich rausgeschmissen hat, weil du murks gebaut hast.
Wohl nicht, wenn er der Chef ist. ;-)
ah, aber ein chef kann sein problem immer zu deinem machen ;-)
Am schnellsten lernt er es, wenn er es selber macht. Auch wen es nicht sofort klappt. Ich persönlich bin auch davon überzeugt, dass er das schafft.
das ist richtig. aber leider geht es u.U. dann auch am schnellsten schief. ich wuerde trotzdem mich erst mal gruendlich informieren und als erstes die kiste komplett nach aussen dicht machen. jeder dienst sollte nach reiflicher ueberlegung nach und nach erst "rausgelassen" werden. selbst SSH... ciao T
participants (8)
-
Andreas Scherer -
Damian Philipp -
Dieter Kluenter -
Dr. Thorsten Brandau -
Matthias Houdek -
Ralf Prengel -
Ralf Prengel -
Walter Ulmke