Hallo Clemens,
>
> verstehe ich Dich richtig, dass Du z.B. jeweils ein sendmail/bind
> innerhalb der DMZ hast und dann im internen Netz jeweils nochmal
> sendmail/bind, die über die "Kollegen" in der DMZ nach draussen kommen?
Ja.
> Welchen Sinn macht das dann aber überhaupt, wenn in der DMZ die gleiche
> SW eingesetzt wird wie im normalen Netz? Ließe sich da nicht die gleiche
> Sicherheit erreichen, wenn man auf eine DMZ verzichtet und nur einen
> Filter einsetzt, der dann entsprechend direkt die internen Server nach
> draussen läßt?
>
Nein.
Wenn Du es schaffst, meinen externen Mailserver zu knacken (z.B. wegen eines
Sicherheitslochs im bind), erreichst Du mein internes Netz noch nicht.
Der externe Mailserver hat nur den Port 25, um Mails abzusetzen und zu
empfangen, nach innen offen.
Du musst dann erst einmal den gleichen "Einbruch" noch einmal von dort
schaffen.
Der externe Mailserver ist minimal konfiguriert (kein gcc zum Beispiel, um
mal was zu uebersetzen), hat Read-Only-Filesysteme / und /usr, /var mit
noexec, SecureFlags, damit auch der Superuser die Binaries nicht veraendern
kann (nur im Single-User-Mode von der Konsole)...
Da musst Du dann erst einmal die Software wieder zum Laufen bringen, die Dir
den Zugriff auf den externen Mailserver ermoeglicht hat.
Soweit meine Einladung zum Happy-Hacking. Jetzt muss ich wohl schnell
umbauen..
Darf man so etwas ueberhaupt schreiben?
Gruss
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 03 Aug 2001 - 12:15:54 CEST