On Tue, Jan 21, 2003 at 10:57:59AM +0100, Bjoern Engels wrote:
> Jein. Der Paketfilter auf der Firewall, die die DMZ abschottet, gilt ja
> nur nach außen, bzw. ins Intranet. Über lokale Firewallregeln kann man
> ja noch erreichen, daß, falls eine Maschine geknackt wird, und in der
> DMZ mehrere Hosts stehen, nicht von einem Rechner in der DMZ auf einen
> anderen Rechner in der DMZ zugegriffen werden kann.
Bitte? Es ist doch egal wieviel unsichere Server Du in der DMZ hast.
Ich brauche nicht einen Rechner in der DMZ übernehmen um eine zweiten
anzugreifen. Ich erreiche beide aus dem Internet. Die Frage ist
weniger von wo nach wo ich zugreifen kann. Die Tatsache, daß ich
zugreifen kann reicht aus. Ein Rechner auf den ich nicht zugreifen
kann brauche ich in der DMZ nicht.
Eine Ausnahme ist vielleicht ein NFS- oder Datenbankserver in der
DMZ der einem Webserver die Dateien liefert und der nur vom Webserver
erreicht werden darf. Aber auch in diesem Fall würde ich wohl eher
ein weiteres Interface in den Router/Paketfilter bauen und eine
weitere DMZ einrichten oder besser noch, am äußeren Router filtern.
Egal wie man es betrachtet, man muß bei einem Bastionhost davon
ausgehen, daß er kompromitiert wird. Der Sicherheitsgewinn den Du
beschreibst, ist keiner.
Bis dann
Matthias
-- Matthias Teege -- matthias@mteege.de -- http://www.mteege.de make world not war PGP-Key auf Anfrage To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Tue 21 Jan 2003 - 11:40:19 CET