<<< Date Index >>>     <<< Thread Index >>>

Re: Firewalls und Komplexität



On Tue, 1 Jun 2004, Dietz Proepper wrote:

> Florian Weimer:
> > Ja, das ist ein Argument, was gerne vorgebracht wird: ein
> > Zwiebelmodell, und der Angreifer muß erst mühselig jede Schicht
> > abpulen, bevor er etwas (aus seiner Sicht) Vernünftiges anstellen
> > kann.
>
> In der Praxis sieht das dann häufig so aus daß $Verantwortlicher für
> Zwiebelschale n sich darauf verlässt daß Schalen 1..n-1 exakt ihre
> Spezifikation erfüllen. Was bei ausreichend vielen Verantwortlichen und
> Schalen dann leicht in Sachen wie "an der Stelle können wir auf IP-Ebene
> identifizieren und authentifizieren da dort niemand usw." mündet.

Wer das tut, hat den Ansatz nicht verstanden. Jede "Zwiebelschale" sollte
einen unabhaengigen Schutz hinzufuegen.

> Das Gesamtsystem ist dann so aufgebläht daß auch niemand mehr die
> Implikationen ohne weiterers überblicken kann.

Von einander unabhaengige Schutzmechanismen sind einfach zu verstehen,
jeder Mechanismus fuer sich.

Wenn ich eine Maschine in die DMZ packe, ist das nicht davon abhaengig, ob
ich den "Internet"-Service in eine jailed oder chrooted Umgebung packe,
unabhaengig davon, dass der Dienst nicht mit root-Rechten laeuft,
unabhaengig davon, ab die Konfig-Dateien und binaries readonly gemountet
sind, unabhaengig vom Firewall, der nur Pakete, die fuer den
Internet-Dienst noetig sind, durchlaesst..

Nothing is perfect, aber Unfaehigkeit der Anwender ist kein Argument gegen
eine Methode.

Gruss
Peter

--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx