Re: IPFW-Regeln mit Hostnamen

Patrick Hess <patrick_hess(at)t-online.de> wrote:
> [...]
> Interessieren würde mich zwar schon mal, wie man mit IPFW Regeln
> mit Hostnamen machen kann, ist jetzt aber nicht mehr sooo wichtig.

Zu dem, was die anderen schon geschrieben habe, möchte ich
noch hinzufügen, daß Du mit der Angabe von Hostnamen kei-
nerlei zusätzliche Sicherheit gewinnen würdest, sondern
eher einen zusätzlichen Sicherheitsbruch hinzufügen wür-
dest. Dann müßtest Du nämlich zusätzlich dem DNS vertrau-
en können, was man durchaus nicht grundsätzlich garantieren
kann.

Das Problem an sich ist natürlich nicht ganz trivial. IP-
Adressen und auch MAC-Adressen lassen sich manipulieren.

Wenn es um Rechner in einem internen Netz geht, bietet es
sich an, die Zugriffsrechte per Accessliste auf dem Switch
zu regeln. VLANs können da auch recht praktisch sein.
Dann hilft zumindest schonmal ein Ändern von MAC- und/oder
IP-Adresse auf dem Client nicht.

Wen es um externe Zugriffe geht, kannst Du Dich im grunde
genommen auf gar nichts verlassen; auf Hostnamen noch weni-
ger als auf IP-Adressen (um IP-Adressen zu faken, muß zu-
mindest schonmal das Routing stimmen, zumindest bei bidi-
rektionalen Verbindungen, obwohl es auch dort Angriffs-
szenarien gibt). Wenn Du da _wirklich_ auf Nummer sicher
gehen willst, mußt Du Protokolle mit kryptographischer Au-
thentisierung verwenden (IPSEC, SSL). Aber ich vermute,
in Deinem Fall wäre das Overkill. :-)

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message