Oliver Fromme schrieb:
> Patrick Hess <patrick_hess(at)t-online.de> wrote:
> > - ich hab ein ungutes Gefühl, mein Netzwerk 24/7 im Internet hängen
> > zu haben. Ok, IPFW ist aufgesetzt, aber das heißt ja noch lange
> > nicht, daß ich ungebetene Gäste fernhalten kann.
>
> Und wenn die kommen, während Du gerade online bist?
Tja, dann habe ich sie halt an der Backe. Aber die
Wahrscheinlichkeit ist bei 24/7 wohl zumindest statistisch höher.
Außerdem: Warum soll ich eine Internet-Verbindung 24 Stunden
offenhalten, wenn ich sie nur ca. 5 Stunden am Tag benötige? Nun
gut, der ntpd hätte gerne 24 Stunden Verbindung, aber schließlich
hat der sein Driftfile.
> Man sollte schon entsprechende Sicherheitsmaßnahmen ergrei-
> fen, denen man selbst vertrauen kann, und zwar unabhängig
> davon, ob man eine Minute pro Tag online ist oder 24 Stun-
> den. Und wenn man das getan hat, kann man auch genausogut
> 24 Stunden online bleiben.
"Vertrauen" in Software ist so eine Sache. Es gibt keine
fehlerfreie Software. Programme werden immer noch von Menschen
geschrieben und die machen halt nunmal Fehler. Wie sicher ein
System ist hängt letztendlich nur davon ab, wie gut die Fehler
"versteckt" sind und wie viele Leute wie intensiv danach suchen.
Nach diesem Grundsatz verhält es sich auch mit der Virenverbreitung
unter UNIX.
> IPFW ist schonmal ein sehr brauchbarer Schritt, vorausge-
> setzt man hat ein vernünftiges Regelwerk. Davon abgesehen
> sollte man natürlich nur solche Netzwerkdienste laufen ha-
> ben, die man benötigt, ganz besonders auf das »äußere« In-
> terface. Bei mir ist nach außen z.B. nur ssh offen, sonst
> nichts.
Bei mir ist nach außen nur NTP offen. Meine anderen Dienste (NFS,
NIS) haben im Internet nix verloren. Und SSH-Zugriff brauche ich
auch nur vom internen Netz aus.
> Du kannst jetzt natürlich einwenden, daß das alles furcht-
> bar aufwendig ist. Nunja, Sicherheit fällt einem nicht in
> den Schoß, und irgendwo wird man meistens einen Kompromiß
> eingehen, aber wenn ich Angst hätte, 24h Online zu sein,
> dann könnte ich auch nicht ruhigen Gewissens eine Minute
> online sein. Soviel sollte man schon in ein brauchbares
> Sicherheitskonzept investieren.
Sicherheit ist kein Stück Software, das ist ein Konzept. Ein
solches Konzept fällt nicht vom Himmel, da gebe ich dir recht.
Absolute Sicherheit gibt es nicht (außer, man macht den Rechner
erst gar nicht an). Daher ist jedes Konzept ein Kompromiss aus
Sicherheit und Benutzbarkeit. Ich denke, mit meiner IPFW-Konfig das
gröbste rauszuhalten. Die internen Dienste sind, soweit das möglich
ist, so konfiguriert, daß sie nur mit Rechnern des lokalen Netzes
kommunizieren dürfen. Bleibt noch das Thema IP-Spoofing...
> > - nach 24 Stunden ist eh Sense. Dank ddial bin ich zwar sofort
> > wieder online, eine neue IP hab ich trotzdem.
>
> Was für den ntpd _eigentlich_ kein Problem sein sollte;
> siehe die andere E-Mail von mir in diesem Thread. Ich ha-
> be den ntpd bei mir auch mit -ddial laufen.
Ich werde morgen früh nachsehen können, wie es sich damit verhält.
> > Wie es aussieht, scheint ntpd für meinen Server ungeeignet zu sein.
> > Ich überlege mir, ob ich nicht einmal am Tag per Cron ein ntpdate
> > rausjagen soll, das wäre vielleicht ein Kompromiss.
>
> Dann hättest Du keine Drift-Kompensation mehr.
Das ist mir klar. Aber sooo groß wird der Drift (hoffentlich) nicht
sein. Ich denke mal, es dürfte auf so max. 10 sec/Tag kommen(?).
Gruß,
Patrick
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 18 Oct 2002 - 18:36:31 CEST