Re: FreeBSD-basierter Firewall

From: Harold Gutch <logix(at)foobar.franken.de>
Date: Thu, 17 Jan 2013 00:11:47 +0100

Hi,

On Wed, Jan 16, 2013 at 10:46:45PM +0100, Bernhard(at)gtkx.de wrote:
> alle,
>
> ich bin entsetzt wie hier argumentiert wird
>
> von was reden wir?
>
> wir reden wie eine sichere verbidung, aus was für gründen auch immer, beschnüffelt werden soll.
>
> beispiel:
>
> ein mitarbeiter verbidet sich mit seiner bank um seine kontendaten abzurufen - es ist irrelevant ob das nun im betrieb erlaubt ist oder nicht - und dann wird "heimlich" eine sichere ssl verbidung vorgetäuscht das er nur dann bemerken kann wenn er das sll zertifikat überprüft!

Darf ich weiter argumentieren?

Beispiel: Ein Mitarbeiter startet einen Paketsniffer um im lokalen
Netz Passwörter mitzulesen - es ist irrelevant ob das nun im Betrieb
erlaubt ist oder nicht - und dann schaltet sich die Netzwerktechnik
ein und macht etwas dagegen.

Beispiel: Ein Mitarbeiter greift die internen Rechner an - es ist
irrelevant ob das nun im Betrieb erlaubt ist oder nicht - und der
Sysadmin liest Logdateien und kann daraus schließen von welcher
IP-Adresse und damit von welchem Rechner die Verbindungen kamen und
lässt den Mitarbeiter abmahnen.

Beispiel: Ein Mitarbeiter plant mit seinem Nachbarn, dessen Frau
umzubringen - es ist irrelevant ob das nun in Deutschland erlaubt ist
oder nicht - und unterhält sich über dieses Thema aus der Arbeit etwa
via Mail, und jemand erdreistet sich etwas dagegen zu unternehmen.

Wenn die Firmen-Policy klar sagt dass du keine privaten Sachen im
Firmennetz machen darfst und dir das nicht passt, dann wechsle den
Arbeitgeber. Ansonsten mach die privaten Sachen abends von zu Hause.
Oder beschwer dich nicht wenn deine Sachen mitgelesen werden. Ob das
nun *moralisch* in Ordnung ist, wenn der Sysadmin mitliest, worüber du
dich mit deiner Bank unterhältst, ist eine andere Frage. Darum geht es
hier aber nicht.

Ganz unabhängig davon - wenn du dich mit deiner Bank verbindest, es
ploppt ein Fenster auf das dir sagt "irgendwas passt mit diesem
Zertifikat nicht", und du klickst auf "Jaja, OK", dann bist du selbst
schuld. Es gibt genug Sachen bei denen man in so einem Fall einfach
auf OK klicken kann ohne nachzudenken. Bei meiner Bank würde ich das
*NIE* machen. Ein Mitarbeiter, der hier ohne groß nachzudenken auf OK
klickt würde das auch so machen wenn ein *echter* Angreifer über einen
MITM-Angriff die Bankdaten abgreifen will. Dass du argumentierst, dass
der Arbeitgeber hier zusätzliche Unsicherheit schafft, ist absurd. Aus
Sicht des Mitarbeiters bekommt ein dritter seine Logindaten in die
Hand. Ihm ist es offensichtlich egal, wenn das ein Bösewicht aus
Absurdistan ist, aber wenn es Karl-Eugen aus dem Nachbarbüro ist, dann
ist plötzlich die Hölle los?

> Und so ganz neben bei kann nan seine ganzen bank datenverker mitlesen einschließlich den zugangsdaten zur bank - das ist nicht nur verwerflich, das ist auch verboten - zumindest in deutschland und auch das falsche mittel.

Quatsch, das kann die Bank so und so, sie ist der Endpunkt der
SSL-Kommunikation.

Gruß,
  Harold

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 17 Jan 2013 - 00:11:53 CET

search this site