Hallo Christian, * Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de> [20050828 16:39]: > Das ist keine Alternative. > Wenn man nicht moechte, dass "ein Port offen ist" (ein Dienst auf > diesem Port lauscht), dann schaltet man den Dienst ab. > Oder haengst Du beim Verlassn Deiner Wohnung auch nur ein Schild > "Abgeschlossen" an Deine Wohnungstuer? Das ist ein ziemlich dämlicher Vergleich. Ein vernünftiger Paketfilter filtert nunmal Pakete, man kann damit definitiv erreichen, dass ein Port unter bestimmten Kriterien eben NICHT mehr ansprechbar ist. Unter Umständen ist das sogar die einzige Möglichkeit, wenn man einen Dienst nur im LAN haben will, dieser aber keine Konfigurationsmöglichkeiten bietet hinsichtlich der Interfaces, an denen er horcht. Wenn irgend möglich sollte man sowohl den Dienst dazu bringen, NICHT am externen interface zu lauschen (oder je nachdem ihn ganz beenden) als auch Pakete filtern. Sicherheitskonzepte möchte man nämlich gerne redundant haben. Grüße, Felix -- | /"\ ASCII Ribbon | Felix M. Palmen (Zirias) http://zirias.ath.cx/ | | \ / Campaign Against | fmp@palmen.homeip.net encrypted mail welcome | | X HTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |
Attachment:
signature.asc
Description: Digital signature