Re: Debian als Router einsetzen
On Saturday 15 November 2003 21:12, Dirk Prösdorf wrote:
> Christoph Wegscheider <cw@wegi.net> wrote:
> > Ich bin generell der Meinung das auf einem Computer der ans Internet
> > angeschlossen ist eine Firewall (packet filtering) gehört, denn auch wenn
> > nicht 1000 interne Dienste installiert sind so kann sich dennoch die eine
> > oder ander Angriffsstelle zeigen.
>
> Kannst du mir das mal genauer erleutern?
> Bis jetzt war ich nämlich immer der Auffassung, dass es ausreicht die
> Dienste _nicht_ an das externe Interface zu binden um keine Angriffstelle
> zu bieten und das IP-Spoofing zu verhindern.
Nicht umsonst sind wichtige Systeme immer (mindestens doppelt) ausgelegt:
2 Bremskreise im Auto
Reservefallschirm beim Fallschirmspringen
redundante Netzanbindung kritischer Server
13 DNS-Root Server
das Internet als solches
...
Redundanz bringt Sicherheit denn selbst mit einer perfekten Konfiguration kann
dir ein Bug im Programm einen Strich durch die Rechnung machen. Eine Firewall
kann natürlich auch Bugs haben oder schlecht Konfiguriert sein aber die
Wahrscheinlichkeit das eine Lücke in der Firewall genau auf eine Lücke im
Programm trifft ist eben geringer als das nur eines der Beiden zutrifft.
Deshalb ist es nun einmal sicherer eine Firewall zu haben als keine zu haben
und sich auf seine perfekte Konfiguration zu verlassen. Genauso falsch ist es
freilich sich auf seine Firewall zu verlassen und die Konfiguration zu
vernachlässigen.
An "Die Perfekte Konfiguration" glaube ich sowieso nicht, denk nur mal an
OpenBSD die haben es sich zur Aufgabe gemacht in der Standardkonfiguration
keine Sicherheitslücke zu haben. Und wenn man ihrer "Werbung" glauben darf
ist es ihnen bis auf eine Sicherheitslücke auch gelungen, aber eine ist eben
doch "durchgerutscht".
Wenn das denen passiert kann das jedem belibigen Admin in einer Firma auch
passieren von Leuten mit ein paar vernetzten Computern zu Hause wie bei mir
spreche ich jetzt erst einmal gar nicht.
Christoph
Reply to: