Hallo, At 26.07.2001, Andreas Schockenhoff wrote: > Guido Hennecke wrote: [...] > > Habe ich bereits beschrieben. > Statefull Inspection mit ipchains? Nein, wie kommst Du darauf? > Statefull Inspection macht z.B. einen Port von innen nach außen > durchlässig aber nicht von außen nach innen. Naja, stateful instpection kuemmert sich eben um den Zusammenhang. Es muss etwas genauer in die Pakete sehen und einen state table halten (was an sich schon einen Angriffspunkt fuer DoS darstellt - siehe Pix). Der Sicherheitsgewinn ist mir nicht bekannt. > Auch UDP Protokolle. > (Schön z.B für DNS wenn man es selbst nicht nach außen anbieten > will.) Wenn ich DNS nicht aussen anbieten will, brauche ich dafuer keinen Paketfilter sondern ich biete den Dienst nicht an. > Schau es Dir mal an. (Kommt vieleicht in ein oder zwei Jahren wenn > 2.4 besser getestet ist auch für Dich in Frage.) Das weiss ich nicht. Zur Zeit kommt Kernel 2.4.x fuer mich ueberhaupt nicht in Frage. > > Ja, iptables ist sehr interessant und hat auch sehr interessante > > Features. Allerdings sehe ich das Verhaeltnis von Gewinn an Sicherheit > > durch neue Features und den Verlust an Sicherheit durch viele andere > > Faktoren (wie beispielsweise mehr Code) nicht so positiv und wuerde > > daher zur Zeit iptables nicht fuer wirklich kritische Systeme einsetzen. > Die stehen aber nicht bei uns zu Hause oder? :-) Auch dort. Warum nicht? Gruss, Guido -- Und SuSE kennt Debian nicht? Please compare the price for SuSE Linux Professional with its more than 2000 applications with the prize of another OS: You won't even get the OS for that money. Quelle: http://www.linuxiso.org/news.html
Attachment:
pgp6fVLzPtYyo.pgp
Description: PGP signature