At 11.01.2009, Christian Knorr wrote: > Am Sonntag 11 Januar 2009 10:45:38 schrieb Urs Traenkner: > Unter "Trennen" meinte ich: > webserver.no-ip.net nur für den Webserver; > ssh_kryptischesZeugs.dyndns.org für ssh. > Das geht, habe ich gerade gelernt, nicht, da es keine Portweiterleitungen > sind. Man demnach auch nicht nur einzelne Ports weiterleiten kann, und andere > nicht. Du sagst es. So recht ist diese Trennung nicht zu bewerkstelligen. > > Das ist ziemlicher Unsinn. Den meisten Protokollspam (lustige > > Bezeichnung uebrigens) erhaelt Deine Maschine von automatisierten > > Portscans ueber komplette IP-Bereiche, nicht ueber gezielte > > Angriffe auf DEINEN DYNDNS-Namen. > Ok, da ich es nicht besser weiß, glaub’ ich Dir das. Das ist halt wirklich so. Wenn ich als gelangweilter Angreifer irgendwelche Maschinen aufmachen will, geschieht das entweder so: root@Ayahuasca:~# nmap 141.24.0.0/16 -p 22 (scannt im Netz 141.24.0.0-141.24.255.255 alles Rechner auf Port 22 und zeigt mir laufende SSH-Daemons an) Im folgenden kann man im Zielnetz alle laufenden SSH-Daemons auf gaengige Exploits testen. oder so: root@Ayahuasca:~# nmap www.microsoft.com -p 22 (scannt die zu www.microsoft.com gehoerige IP-Adresse(n) auf laufende SSH-Daemons) Der Einfachheit halber halt mal ohne die angebrachten zusaetzlichen nmap-Optionen, aber das Prinzip sollte klar sein. Bei letzteres handelt es sich demnach um einen gezielten Angriff auf eine bestimmte Organisation / Privatperson. Das macht man als potentieller Angreifer, der einfach nur offene Maschinen fuer WAREZZ oder anderweitige Botnetze braucht, nicht, es ist naemlich schlicht und ergreifend nicht wirklich effektiv. Komplette IP-Bereiche von Dial-In-Pools abgrasen, oder Uninetzwerke, oder Anbieter von Virtual Host Providern, das bringt was. Wirklich gezielte Angriffe auf DNS-Namen (und damit mehr oder weniger einzelne IPs) sind selten. Sie bedingen, dass die entsprechende Organisation / Privatperson von jemandem auf den Kieker genommen wird. Dafuer bist Du - schlicht und ergreifend - viel zu klein und unwichtig. > > Im allgemeinen moechte ich mich den hier verbreitetenen Meinungen > > Deiner Gegenseite einfach mal anschliessen. Diese DYNDNS-Services > > sind einfach nur Arbeitserleichterungen, damit man von sonstwoher > > auf bestimmte Maschinen mit dynamischen Anbindungen zugreifen > > kann. Dort laesst man nur die Dienste laufen, die man benoetigt, > > fertig. > Seh’ ich auch so, wenn man Deinen unteren Kommentar (vernuenftiges > Passwortmanagement) mit einschließt. Nötig ist es aber dennoch nicht. Die Alternativen sind zeitaufwendiges Gefrickel. Uebersetze "noetig" hier einfach mit "einfach und am wenigstens zeitaufwendig" und schon hast Du die Antwort. Kompliziertere Loesungen widersprechen ein wenig dem KISS-Prinzip (keep it simple, stupid oder wahlweise keep it small and simple). Kompliziertere Loesungen <-> potentielle Fehlerquellen in der TCB. Services wie Dyndns / no-ip / etc. nicht zu nutzen ist paranoid, aber einen echten Sicherheitsgewinn kriege ich beim besten Willen nicht rauseruiert. Bis eine aufgrund schlechter Wartung / ueberfluessiger Dienste / kaputter Software angreifbare Maschine wirklich durch einen gezielten Angriff "aufgemacht" wird, hast Du schon fuenf erfolgreiche Angriffe durch netzweite Scans hinter Dir. Und wenn die Maschine ordentlich gewartet und damit nicht angreifbar ist, interessiert Dich weder das eine noch das andere. Gruss Urs... -- PGP-Key: 56FB72A1 Fingerprint: 7FE6 630C D59B 7E50 2899 B081 3352 E50B 56FB 72A1
Attachment:
signature.asc
Description: Digital signature