Re: Debian als Router einsetzen

To: debian-user-german@lists.debian.org
Subject: Re: Debian als Router einsetzen
From: Dirk Prösdorf <d.proesdorf@gmx.de>
Date: Sun, 16 Nov 2003 13:20:05 +0100
Message-id: <[🔎] 200311161220.hAGCK5lD004336@tux.proesdorf.de>
Mail-followup-to: debian-user-german@lists.debian.org
References: <[🔎] 200311151722.10106.pierro87@gmx.de> <[🔎] 200311152043.40425.cw@wegi.net> <[🔎] 200311152012.hAFKC9Q7019827@tux.proesdorf.de> <[🔎] 200311161047.25152.cw@wegi.net>

Christoph Wegscheider <cw@wegi.net> wrote:
> On Saturday 15 November 2003 21:12, Dirk Prösdorf wrote:
>> Christoph Wegscheider <cw@wegi.net> wrote:
>> > Ich bin generell der Meinung das auf einem Computer der ans Internet
>> > angeschlossen ist eine Firewall (packet filtering) gehört, denn auch wenn
>> > nicht 1000 interne Dienste installiert sind so kann sich dennoch die eine
>> > oder ander Angriffsstelle zeigen.
>>
>> Kannst du mir das mal genauer erleutern?
>> Bis jetzt war ich nämlich immer der Auffassung, dass es ausreicht die
>> Dienste _nicht_ an das externe Interface zu binden um keine Angriffstelle
>> zu bieten und das IP-Spoofing zu verhindern.

> Nicht umsonst sind wichtige Systeme immer (mindestens doppelt)
> ausgelegt:
> 2 Bremskreise im Auto

Hilfe, die beliebten Autovergleiche.

> Reservefallschirm beim Fallschirmspringen
> redundante Netzanbindung kritischer Server
> 13 DNS-Root Server
> das Internet als solches
> ...

Wären dann nicht doppelte Paketfilter oder gar 13 Paketfilter auf dem
Rechner wesentlich sicherer?
Ich würde mal sagen nein, da durch dieses mehr Software und damit auch
mehr an Konfiguration die Gefahr eines Fehlers ja eher höher würde.

> Redundanz bringt Sicherheit

Die Aussage in ihrer Absolutheit würde ich nicht teilen. Redundanz
bringt genau dann weniger Sicherheit, wenn sie durch ihr mehr an
Systemen die Angriffsmöglichkeiten erhöht .

> Eine Firewall kann natürlich auch Bugs haben oder schlecht
> Konfiguriert sein

Eine Firewall ist für mich erst einmal ein Konzept und klar, kann dieses
Fehler haben oder schlecht umgesetzt sein.
Es kann aber auch Bestandteil eines solchen Konzeptes sein, die
benötigten Dienste nur dort anzubieten, wo sie auch benötigt werden und
sie nicht in die freie Welt zu posaunen (ich finde dies übriegens einen
durchaus sinnvollen Bestandteil des Konzeptes ;-).
Dies kann man oft über eine sinnvolle Konfiguration erreichen und
manchmal halt nur über einen Paketfilter (gerade dann, wenn Netze
getrennt werden müssen).

> Genauso falsch ist es 
> freilich sich auf seine Firewall zu verlassen und die Konfiguration zu 
> vernachlässigen. 

Ich gehe mal davon aus, dass hier ein Paketfilter gemeint ist. Schade
nur, dass du in deinem ersten Beitrag nicht darauf verwiesen hast, die
verwendeten Serverdienste richtig zu konfiguieren.
Unter diesem Aspekt kann ein Paketfilter ein weiter Schutz sein, wenn
man sich dadurch nicht gerade neue Lücken rein holt.

Reply to:

References:
- Debian als Router einsetzen
  - From: Pierre Gillmann <pierro87@gmx.de>
- Re: Debian als Router einsetzen
  - From: Christoph Wegscheider <cw@wegi.net>
- Re: Debian als Router einsetzen
  - From: Dirk Prösdorf <d.proesdorf@gmx.de>
- Re: Debian als Router einsetzen
  - From: Christoph Wegscheider <cw@wegi.net>

Prev by Date: Re: Debian als Router einsetzen
Next by Date: apt-get - Quelle für spak
Previous by thread: Re: Debian als Router einsetzen
Next by thread: Re: Debian als Router einsetzen
Index(es):
- Date
- Thread