Am Dienstag, 20. Juli 2004 12:38 schrieb Damian Philipp:
Hallo,
Sven Gehr wrote:
ch betreibe bei uns in der Firma eine Linux-Firewall um das LAN an's WAN anzubinden. Aus Sicherheitsgründen habe ich alle Ports größer 1024 gesperrt.
Soweit ich das Linux-IP-Masquerading-Konzept bisher verstanden habe, ist das gar nicht nötig. Ports auf denen nichts horcht, müssen nicht explizit geschlossen werden. Oder gibt es einen anderen Grund, warum du explizit alles über diese Ports verbietest?
Weil man sich zum Zeitpunkt (A) nicht zu 250% sicher sein kann, daß nicht zu irgendeinem späteren Zeitpunkt (B) irgendein Programm auf einem der hohen Ports lauscht, ohne daß man davon weiß? Was du auf jeden Fall tun solltest, schon allein um dich vor späteren eventuellen Repressalien zu schützen: 1. Setze ein Schriftstück auf, in dem du ausdrücklich auf die Tatsache hinweist, daß du für die Sicherheit des Firmennetzes keine Verantwortung mehr annehmen kannst, sobald Sohnemann da irgendwelche nicht freigegebene Software mit Kontakt zum Internet betreibt. Lege dieses Schriftstück deiner Chefin vor. Lass sie es durchlesen und die Kenntnisnahme unterschreiben. Hefte es gut weg. 2. Setze ein ähnliches Schriftstück auf, in dem der Junior bzw. der Erziehungsberechtigte alle Verantwortung für eventuell durch den Betrieb von nicht Geschäftsbezogener Software enstehende Schäden übernimmt. Ebenfalls abzeichnen lassen und wegheften. bye, MH