Re: ntpd-Synchronisation

From: Oliver Fromme <olli(at)secnetix.de>
Date: Fri, 18 Oct 2002 18:06:44 +0200 (CEST)

Patrick Hess <patrick_hess(at)t-online.de> wrote:
> In einer anderen Mail wurde vorgeschlagen, zum ddial-Modus zu
> wechseln. Kommt aber auch nicht gut,
>
> - ich hab ein ungutes Gefühl, mein Netzwerk 24/7 im Internet hängen
> zu haben. Ok, IPFW ist aufgesetzt, aber das heißt ja noch lange
> nicht, daß ich ungebetene Gäste fernhalten kann.

Und wenn die kommen, während Du gerade online bist?

Man sollte schon entsprechende Sicherheitsmaßnahmen ergrei-
fen, denen man selbst vertrauen kann, und zwar unabhängig
davon, ob man eine Minute pro Tag online ist oder 24 Stun-
den. Und wenn man das getan hat, kann man auch genausogut
24 Stunden online bleiben.

IPFW ist schonmal ein sehr brauchbarer Schritt, vorausge-
setzt man hat ein vernünftiges Regelwerk. Davon abgesehen
sollte man natürlich nur solche Netzwerkdienste laufen ha-
ben, die man benötigt, ganz besonders auf das »äußere« In-
terface. Bei mir ist nach außen z.B. nur ssh offen, sonst
nichts.

Die Dienste, die man nach außen offen hat, kann man wie-
derum in Jails laufen lassen (übrigens auch ssh), um eine
weitere Schutzschicht zu erhalten. Dann gibt es noch die
Möglichkeit, den tcpwrapper einzusetzen.

Wer ganz paranoid ist, kann auch IPF und IPFW gleichzeitig
verwenden. Wenn ein »böses« Paket aufgrund eines Bugs
durch den einen durchflutscht, bleibt es mit hoher Wahr-
scheinlichkeit im anderen hängen, da beide völlig unter-
schiedliche Codebasen und Funktionsweisen haben, und somit
vermutlich nicht die gleichen Bugs haben.

Dann gibt es natürlich noch IDS-Systeme (Snort, Tripwire,
mtree).

Du kannst jetzt natürlich einwenden, daß das alles furcht-
bar aufwendig ist. Nunja, Sicherheit fällt einem nicht in
den Schoß, und irgendwo wird man meistens einen Kompromiß
eingehen, aber wenn ich Angst hätte, 24h Online zu sein,
dann könnte ich auch nicht ruhigen Gewissens eine Minute
online sein. Soviel sollte man schon in ein brauchbares
Sicherheitskonzept investieren.

> - nach 24 Stunden ist eh Sense. Dank ddial bin ich zwar sofort
> wieder online, eine neue IP hab ich trotzdem.

Was für den ntpd _eigentlich_ kein Problem sein sollte;
siehe die andere E-Mail von mir in diesem Thread. Ich ha-
be den ntpd bei mir auch mit -ddial laufen.

> Wie es aussieht, scheint ntpd für meinen Server ungeeignet zu sein.
> Ich überlege mir, ob ich nicht einmal am Tag per Cron ein ntpdate
> rausjagen soll, das wäre vielleicht ein Kompromiss.

Dann hättest Du keine Drift-Kompensation mehr.
Übrigens ist ntpdate eh obsolet; es wurde angekündigt, daß
es ntpdate in der nächsten Version der ntpd-Suite nicht
mehr gibt.

> Noch eine Verständnisfrage: Die Clients sollen sich auch weiterhin
> die Zeit vom Netzwerkserver holen. Muß dafür auf dem Server der
> ntpd laufen oder kann ich mir den dann ganz schenken?

Ich würde grundsätzlich auf jedem Rechner einen ntpd laufen
lassen.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 18 Oct 2002 - 18:06:48 CEST

search this site