DMZ Dokumentation

Wolfgang Weisselberg weissel at netcologne.de
Fr Jan 26 04:22:06 CET 2001


Hi, Robin!

Trying to kill the keyboard, Robin S. Socha (robin at socha.net)
produced 1,8K in 47 lines:

> * Wolfgang Weisselberg <weissel at netcologne.de> writes:
> > Trying to kill the keyboard, Robin S. Socha (robin at socha.net) produced 1,5K in 36 lines:

> > Dummerweise ist diese Doku an einigen Stellen... sagen wir einmal,
> > inkorrekt.

> Ja. Leider habe ich in all den Jahren noch nirgends eine 100% korrekte
> Firewall-Doku gesehen. Halt! Eine: Stecker ziehen.



> > So wird in http://www2.little-idiot.de/firewall/zusammen-140.html
> > ja sehr gross chroot als *das* Mittel zur Absicherung von Daemonen
> > angepriesen.  Nirgens ist erwaehnt, dass *natuerlich* UID0 aus einem
> > chroot-Gefaengnis ausbrechen kann[1].

> Eine Sicht der Dinge. Wohl dem, der OpenBSD und DJB-Software hat...

Kondome schuetzen.  Auf Kondompackungen steht, dass kein
Verhuetungsmittel einen 100% Schutz garantiert, weder vor
Schwangerschaft noch vor Geschlechtskrankheiten.

chroot schuetzt IMHO wesendlich schlechter als Kondome, daher
*darf* in einem ernstzunehmenden Handbuch nicht der Eindruck
entstehen, chroot waere der absolute Schutz.

> > Natuerlich kann man jetzt argumentieren, dass dies alles
> > 'Kleinigkeiten' sind, aber einem Sicherheitshandbuch *muss* ich fast
> > blind vertrauen koennen.  Wenn ich es schon besser weiss als das
> > Handbuch, brauche ich das Handbuch schliesslich nicht, oder?

> Richtig. Warum schickst Du dann nicht dem Autor patches?

Jetzt getan, aber:

> Immerhin ist
> diese Website 1. komplett frei,

<META NAME="copyright" CONTENT="Guido Stepken, LITTLE-IDIOT
NETWORKING">

"Jede Art von kommerzieller Verwertung, d.h. auch das Kopieren
 auf CDROM oder andere Datenträger sowie der Druck bedarf
 der ausdrücklichen Zustimmung des Autors. Die Versionen vor
 dieser Version 3.0 unterliegen weiterhin der GPL (GNU Public
 License)."

> 2. das Beste, was ich bisher auf Deutsch
> gesehen habe

Halbwissen ist *viel* gefaehrlicher als Nichtwissen.  Vieles in
dem Handbuch (ich hab diese Schnitzer mit sehr wenig stoebern
gefunden, daher schliesse ich das) ist das Halbwissen eines
Autodidakten, der in einigen wichtigen, sogar kritischen
Punkten erschreckendes Unwissen zeigt.  Der demonstrierte
absolute Glaube an chroot ohne den leichtesten Hinweis auf
Probleme oder Unsicherheiten ist fuer mich sehr erschreckend.

> und 3. immer noch besser als "do nothing".

Falsche Sicherheit ist schlimmer als keine.  (Wieso
vorsichtig fahren, ich habe ABS und Airbags!)

> >     Ach so, die allermeisten Angriffe auf Firmennetze kommen von
> >     innen, 
> [...]

> Ja. Eine Firewall ist ein Konzept, keine Mischung aus Hard- und
> Software. Aber das Ding ist kein InfoSec-Primer sondern eine Anleitung
> zum Verständnis von Firewalls. Eine gute.

Eine Firewall ist ein Bandaid oder eine Verlagerung von
Zugriffskontrollen aus sauber programmierten Servern an die
Eingangstore.  Sinnvoll, da auch bei sauberem Programmieren
immer noch Fehler passieren koennen, notwendig, da man viel
zu oft den Sourcecode nicht pruefen kann.

Aber genausowenig wie chroot ist sie a priori sicher.  Oder ein
Ersatz zu sauberer und sorgfaeltiger Programmierung.

Und wenn bei Firewalls chroot disktuiert wird, sollte der
Hinweis auf die "allermeisten Angriffe" voll on topic sein,
alleine schon weil die Firewall womoeglich das erste Ziel
ist... und wenn diese am Ruecken ungepanzert ist[1], hilft
sie wenig genug.

-Wolfgang

[1] Man denke nur an Siegfried, Hagen, das Blatt beim
    Drachenbad und das aufgestickte Kreuz...



Mehr Informationen über die Mailingliste Linux-Users