Re: [OT] Netzwerk Sicherheits Frage

To: debian-user-german@lists.debian.org
Subject: Re: [OT] Netzwerk Sicherheits Frage
From: "M\. Houdek" <linux@houdek.de>
Date: Sat, 26 Apr 2008 14:40:54 +0200
Message-id: <200804261440.54407.linux@houdek.de>
Reply-to: maxx@houdek.de
In-reply-to: <20080426114440.GT6448@wasteland.homelinux.net>
References: <20080424180743.43c9b231@pinguinstall> <200804251858.14041.linux@houdek.de> <20080426114440.GT6448@wasteland.homelinux.net>

Am Samstag 26 April 2008 13:44:40 schrieb Jochen Schulz:
> M. Houdek:
> > [1] So ein schädliches Programm könnte z.B. eine eigene Verbindung über
> > Port 80 aufbauen - dieser Port ist in der Regel immer nach außen offen,
> > weil man ja surfen will. Statt dem üblichen HTTP kann aber auch jedes
> > beliebige andere Protokoll darüber verwendet werden - es muss nur die
> > Gegenseite darüber Bescheid wissen. Über diesen "Trick" stellen z.B.
> > manche eine ssh-Verbindung zum heimischen PC durch eine Firmen-Firewall
> > her (Stichwort: http-Tunnel),
>
> Ein Tunnel wäre das erst, wenn man SSH over HTTP macht. 

Richtig. Ich wollte nur ein Stichwort angeben, unter dem man entsprechende 
Hinweise dazu findet. Das Umleiten von ssh über Port 80 ist dabei die 
einfachste, ist ein Proxy dazwischen, muss man tunneln. Am besten klappt das 
über https, weil da der Proxy die Inhalte nicht mitbekommt.

> Das kenne ich höchstens in Form von Webinterfaces, die ein Terminal in den
> Browser zaubern.

Es gibt auch andere Varianten, z.B. Stichwort: proxytunnel

Aber es ging mir vorrangig darum aufzuzeigen, dass eine nur auf Paketfiltern 
basierende Firewall nicht mehr viel Sicherheit bietet, wenn erst einmal ein 
entsprechendes Schadprogramm läuft. Selbst ein Proxy als Bestandteil der 
Firewall lässt sich leicht aushebeln - durch gewiefte User genau so wie durch 
ein Schadprogramm. Der wichtigste Schutz ist also immer noch die Wachsamkeit 
der User selbst, eben _nicht_ sorglos Mailanhänge zu öffnen oder Programme 
herunterzuladen.

Ein für mich gravierendes Beispiel ist übrigens die Anmeldung bei 
Elster-Online. Diese erfolgt über ein Java-Applet, welches uneingeschränkte 
Schreibrechte auf den gesamten Userbereich anfordert. Gibt man dem statt, 
könnte dieses Applet beliebige Software auf meinem Rechner platzieren, die 
(da mit dem gleichen Zertifikat autorisiert) letztlich auch wieder in meinem 
Userbereich alles machen darf. Gibt man dem nicht statt, kann man sich nicht 
anmelden. 
Und da das Finanzamt Steuererklärungen möglichst online haben möchte ... - bei 
mir läuft sowas jedenfalls nur noch in einer VBox, die kann ich danach 
löschen und den Schlüssel vorher fürs nächste Jahr woanders sichern (oder ich 
melde mich eben neu an).

-- 
Gruß
                MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Reply to:

References:
- [OT] Netzwerk Sicherheits Frage
  - From: Dirk Schleicher <dirk.schleicher@gmx.de>
- Re: [OT] Netzwerk Sicherheits Frage
  - From: "M\. Houdek" <linux@houdek.de>
- Re: [OT] Netzwerk Sicherheits Frage
  - From: Jochen Schulz <ml@well-adjusted.de>

Prev by Date: Re: 10 EXAbyte lo-traffic in 6 Tagen
Next by Date: Postfix als SMTP-Client: Überprüfung der TLS-Zertifikate macht Probleme
Previous by thread: Re: [OT] Netzwerk Sicherheits Frage
Next by thread: Re: [OT] Netzwerk Sicherheits Frage
Index(es):
- Date
- Thread