Re: Debian in DMZ absichern
hi
Am 20. März 2014 20:29 schrieb Spiro Trikaliotis
<list-debian-user-german@spiro.trikaliotis.net>:
> Hallo Björn,
>
> * On Thu, Mar 20, 2014 at 05:40:39PM +0100 Bjoern Meier wrote:
>
>> Am 20. März 2014 17:23 schrieb Spiro Trikaliotis
> [...]
>> > "paranoid" ist nicht genau das Wort, war mir einfällt. Du schlägst vor,
>> > aus der DMZ einen Rückkanal auf ein internes System aufzubauen: Damit
>> > wird das interne System ja auch wieder gefährdet.
> [...]
>> DMZ ist kein eingemauertes System sondern lediglich ein Bereich der
>> interne Ressourcen öffentlich zur Verfügung stellt und gleichzeitig
>> für Natting und Ähnliches kontrolliert werden kann. Was wären denn
>> Reverse Proxies ohne "Rückkanal"?
>>
>> Lesend wird von internen Host gesteuert und das System kann sogar per
>> Kernel von NFS gestartet werden.
>
> Prinzipiell richtig. Ich merke, ich hätte weiter ausführen sollen.
>
> Eine Typo3-Installation kann aber in den vielen Fällen komplett ohne
> Zugriff auf das interne Netz betrieben werden. Zumindest das, was mir so
> bekannt ist (zugegebenermassen nicht unbedingt repräsentativ), ist das
> Typo3-System in sich geschlossen.
>
> Für so ein System würde ich tatsächlich eben keinen Rückkanal einbauen
> wollen.
Wieso eigentlich immer Rückkanal? Wenn ich den Ordner Typo3-src lesend
zur Verfügung stelle, dann ist das nicht bidirektional. Wo bitte ist
das ein Rückkanal?
Wenn du aber per SSH / Console dich verbindest, weil du deine Typo3
Installation ja aktualisieren musst, dann hast du einen Rückkanal, da
ich dann eventuell mit Typo3 in der Lage bin, dir etwas in deine
Session zu schieben.
Denn SSH ist bidirektional.
Und die Verbindung zum LAN gehört zum DMZ dazu, sonst wäre es ja kein
DMZ, sondern lediglich ein isoliertes Netz.
Gruß,
Björn
Reply to: