Am Dienstag, 17. Juni 2003 18:55 schrieb Matthias Houdek:
[Martin Borchert]:
Am Dienstag, 17. Juni 2003 17:11 schrieb Matthias Houdek:
[Martin Borchert]:
Und ich finde das Argument: "Firewall = zusätzliche Software = zusätzliche Angriffsfläche" nicht sehr überzeugend, denn sicherheitsrelevante Software wie z.B. iptables steht wohl in besonderem Maße unter ständiger Beobachtung, ob da noch Lücken geschlossen werden müssen. Ja. Ich denke die steht genauso unter ständiger Beobachtung wie andere sicherheitsrelevante Software: sendmail, proftp, bind, ssh, der apache nebst Modulen hat auch eine gewisse Geschichte auf Securityfocus. Eben, Und deshalb gehe ich eher davon aus, dass ich nicht neben vorhandene Löcher noch weitere haue, sondern eine dichte Wand noch einmal abdichte. Falls doch irgendwo ein Loch oder Riss sein sollte. Und dass beide Schichten an der gleichen Stelle ein Loch haben ...
Eben nicht. Mir ist nicht ganz klar, wie das funktionieren soll. Mit einem exploit für den apache mach ich den auf und kann Unfug mit dessen Rechten machen Möglicherweise wird es sogar zu einem root-exploit. Jedenfalls bin ich dann lokal und der Paketfilter kümmert mich nicht mehr. Mit einem exploit für den netfilter-code genauso. Nur dass ich, wenn ich den ausnutzen kann, gleich root bin. Man macht damit eben _nicht_ ein Loch dichter, sondern baut ein potenzielles neues ein.
Fehlerfreie Software ist eine Illusion. Und wenn der master-httpd erstmal aufgemacht ist, ist iptables schneller abgeschaltet als du Sicherheitsloch sagen kannst. Wenn. Aber genau das versucht man ja zu verhindern.
Aber doch nicht mit einem Paketfilter. Darum geht es doch hier. _Man_ _kann_ _einen_ _angreifbaren_ _Service_ _nicht_ _mit_ _einem_ _Paketfilter_ _abdichten_. Jedenfalls nicht, wenn er öffentlich erreichbar sein soll.
Außerdem kann man es Einbrechern auf einem eigenen System immer noch schwer machen, das Richtige zu finden.
Das ist Security by Obscurity und funktioniert nicht.
Ein Blinder kann in seiner eigenen Wohnung "sehen", dazu braucht er kein Licht. Ein Fremder ist ohne Lampe in dieser Wohnung wirklich blind. Und wenn er seine Taschenlampe vergessen, braucht er ziehmlich lange, um sich zurecht zu finden *g*.
Der richtige Einbrecher(TM) bringt sich sein Zeug mit. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0