[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Fragen zu iptables



On Thu, Apr 24, 2008 at 10:29:01AM +0200, Urs Traenkner wrote:
> Solchen Bloedsinn will man zugunsten eines funktionierenden 
> Netzwerks nicht haben. Ermoeglicht es doch nicht nur Denial of 
> Service Attacken (indem man Anfragen mit gespooften IP Adressen 
> "Angreifer" aussperrt, die eigentlich Zugriff haben sollen), es 
> blaeht Dir auch unnoetig die Codebasis auf und damit hat es der 
> Fehlerteufel leichter.

Eventuell liest du bis zum Abschnitt Probleme, und findest dann dort
auch die entsprechende Lösung?

> Ein ordentlich konfigurierter Dienst erzielt den gleichen Effekt. 
> Oder sind des OPs Passwoerter so schwach, dass er zu solchen ugly 
> hacks greifen musst? :]

Es ist ein zusätzlicher Schutz. Das Logfile wird nicht mit tausenden
fehlgeschlagenen Verbindungsversuchen überschwemmt. Außerdem hat man
nicht immer Einfluss auf die Passwörter der Nutzer. Davon abgesehen,
das diese Methode auf schwachbrüstigen Rechnern (z.B. Routern) die
einzige ist, die einen DOS auf Ressourcen (RAM/CPU) zuverlässig
verhindert. Welche Angriffsfläche wird geschaffen, wenn der Port im
alternativen Fall immer offen wäre?

Der einzige Nachteil, den ich entdecken konnte, kommt zum Tragen wenn
man z.B. schnell hintereinander Tab-completion mit scp oder ähnlichem
verwendet. Und selbst dann kann man Whitelists verwenden.

Kiro


Reply to: