Re: ntpd-Synchronisation

From: Oliver Fromme <olli(at)secnetix.de>
Date: Fri, 18 Oct 2002 21:10:53 +0200 (CEST)

Patrick Hess <patrick_hess(at)t-online.de> wrote:
> Tja, dann habe ich sie halt an der Backe. Aber die
> Wahrscheinlichkeit ist bei 24/7 wohl zumindest statistisch höher.

Mit Statistiken ist das so eine Sache ... Die üblichen
IP-Ranges der Dial-in-Pools der bekannten Provider werden
ohnehin ständig von allen möglichen Leute gescannt. Wenn
Du Dich einwählt hast, schlägt bei Dir nach spätestens
zehn Minuten garantiert irgendwas auf. Aber wenn Du Dei-
nen IPFW loggen läßt, weiß Du das ja selbst.

> Außerdem: Warum soll ich eine Internet-Verbindung 24 Stunden
> offenhalten, wenn ich sie nur ca. 5 Stunden am Tag benötige?

Gegenfrage: Warum nicht? Es kostet keine Resourcen (der
Port auf dem AC von Toffline ist eh fest für Dich reser-
viert). Ich sehe da eigentlich nur Vorteile.

> "Vertrauen" in Software ist so eine Sache. Es gibt keine
> fehlerfreie Software. Programme werden immer noch von Menschen
> geschrieben und die machen halt nunmal Fehler.

Das hast Du völlig recht. Aber das ist ja gerade einer
der Vorteile von Open-Source-Software, daß da sehr viele
verschiedene Menschen reinschauen, nicht nur Mitarbeiter
einer ganz bestimmten Firma, deren Primärziel es ist, Um-
satz und Gewinn zu erzielen (und ihren Arbeitsplatz zu
sichern).

Davon abgesehen ist so eine Software wie IPFW kein Voodoo-
Zauber, sondern ziemlich straight-forward und eigentlich
einfach zu durchblicken. Es ist halt nur ein Paketfilter.
Wenn Du IPFW nicht »vertraust«, wieso benutzt Du es dann
überhaupt?

Bei ssh ist das schon viel schlimmer; das ist nicht wirk-
lich zu durchschauen (und ich traue ssh auch nicht -- zu
recht, wie die Historie zeigt).

> > Du kannst jetzt natürlich einwenden, daß das alles furcht-
> > bar aufwendig ist. Nunja, Sicherheit fällt einem nicht in
> > den Schoß, und irgendwo wird man meistens einen Kompromiß
> > eingehen, aber wenn ich Angst hätte, 24h Online zu sein,
> > dann könnte ich auch nicht ruhigen Gewissens eine Minute
> > online sein. Soviel sollte man schon in ein brauchbares
> > Sicherheitskonzept investieren.
>
> Sicherheit ist kein Stück Software, das ist ein Konzept.

Genau das schrieb ich ja. :-)

> [...] Bleibt noch das Thema IP-Spoofing...

Auch da hilft IPFW, zumindest für's Gröbste. Bei NTP hilft
es in der Tat nicht. Wenn jemand die IP Deines Upstream-
NTP-Servers spooft, kann er Deine Uhrzeit verpfuschen; zu-
mindest innerhalb gewisser Grenzen. Allerdings wird kaum
jemand so eine Art Angriff gegen eine Privatperson führen;
wozu auch? Wenn man sich dagegen absichern möchte, muß
man sich halt doch 'ne eigene Referenzuhr besorgen.

> > > Ich überlege mir, ob ich nicht einmal am Tag per Cron ein ntpdate
> > > rausjagen soll, das wäre vielleicht ein Kompromiss.
> >
> > Dann hättest Du keine Drift-Kompensation mehr.
>
> Das ist mir klar. Aber sooo groß wird der Drift (hoffentlich) nicht
> sein. Ich denke mal, es dürfte auf so max. 10 sec/Tag kommen(?).

Kommt drauf an; die RTCs von PCs sind da häufig ziemlich
übel; das können durchaus auch mehrere Minuten sein.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 18 Oct 2002 - 21:10:58 CEST

search this site