Re: Firewalls und Komplexität
* Peter Ross:
> On Thu, 20 May 2004, Florian Weimer wrote:
>
>> * Peter Ross:
>>
>> > Nun, ich erwaehnte es als _zusaetzlichen_ Puffer zur Aussenwelt. Ohne es
>> > verbindest Du die Aussenwelt direkt mit einem Webserver.
>>
>> Wenn Pound erfolgreich angegriffen wurde, kann der Angreifer die
>> Requests zum Webserver mitlesen, die typischerweise auch Paßwörter
>> u.ä. enthalten.
> das kannst Du genauso gut, wenn Du statt pound apache gehackt
> hast. Mit dem "Vorteil", dass Du schon eine Machine weiter bist.
Ja, das ist ein Argument, was gerne vorgebracht wird: ein
Zwiebelmodell, und der Angreifer muß erst mühselig jede Schicht
abpulen, bevor er etwas (aus seiner Sicht) Vernünftiges anstellen
kann.
Ich glaube inzwischen aber, daß man sich damit etwas in die Tasche
lügt. Einerseits gibt es genügend Angriffe, die von den äußeren
Schutzschichten nicht abgefangen werden (weil sie z.B. gar nicht die
zugehörige Protokollschicht verstehen), andererseits kann auch das
Knacken einer äußeren Schicht bereits fatale folgen haben. Wenn man
nicht genaue Analysen durchführt, sollte man also lieber die
Vorstellung im Hinterkopf haben, daß für das Gesamtsystem die
Vereinigung der Schwachstellen der einzelnen Komponenten relevant ist
(und nicht etwa der Durchschnitt).
--
Current mail filters: many dial-up/DSL/cable modem hosts, and the
following domains: bigpond.com, di-ve.com, fuorissimo.com, hotmail.com,
jumpy.it, libero.it, netscape.net, postino.it, simplesnet.pt, spymac.com,
tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr, yahoo.com.
--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx