Moin allerseits,
Gert Doering <[email protected]> writes:
> Was heisst "sicher"? Sicher gegen *was*?
>
> Die theoretisch möglichen Angriffe sind klar, aber was ist davon in einem
> Uni-Umfeld ein realistisches(!) Bedrohungsszenario, und warum hilft dagegen
> die vom Vendor-Marketing verkaufte Lösung?
in einem Uni-Umfeld treffen eine Reihe ziemlich unschöner Sachen
zusammen:
- Es gibt Studenten, die gerne mal (auch ohne böse Absicht) Sachen
ausprobieren und noch nicht ansatzweise wissen, was sie da tun.
- Es gibt andere Studenten, die unter Zeitdruck ihre Diplom^WMaster-
Arbeit schreiben und einerseits über tatsächlich nicht
funkionierende Netzzugänge ausgesprochen unglücklich und
andererseits über die Ausrede "das Netz hat nicht funktioniert,
deshalb bin ich nicht rechtzeitig fertiggeworden" durchaus glücklich
sind; das ist für die Studentenwerke ein ständiges Horror-Szenario.
- Juristisch hast Du nur sehr begrenzte Möglichkeiten, Netzvandalen am
Wickel zu kriegen; selbst wenn Du den Zugang für vier Wochen sperren
willst, kann das schon vor Gericht landen und wegen
Unverhältnismäßigkeit nach hinten losgehen.
- Die Hörsaal-WLANs sind notorisch verseucht mit großen Mengen von
Rechnern, die von Leuten "administriert werden", die keine Ahnung
haben, lassen sich nur schlecht segmentieren und sind so dynamisch,
dass die Leute ihre Kisten schon wieder ausgeschaltet haben, bevor
man überhaupt merkt, dass da mal wieder wer Mist baut.
Und was den Unterschied zwischen einem Hochschulrechenzentrum und
einer Informatik-Rechnerbetriebsgruppe (so hieß das damals in
Dortmund) angeht: Erstens sind die sich sowieso regelmäßig schon aus
Prinzip spinnefeind und zweitens haben Informatiker deutlich mehr
Interesse an neuen (Netz- und sonstigen) Technologien als andere
Fachbereiche, die einfach nur ein funktionierendes Office-Netz, oder
bei Ingenieuren vielleicht noch eine funktionierende
Fortran-Installation haben wollen. Deshalb ist das ja auch an relativ
vielen Unis getrennt.
> Wir fahren (ausser Anti-Spoofing-Filtern) gar keine First-Hop-Security-
> Massnahmen, weil entsprechende Bedrohungsszenarien nicht existieren
> ("wer einen Rechner in unserem OfficeNetz hat, ist Mitarbeiter, und hat
> sowieso Zugriff - und das, worauf er keinen Zugriff hat, ist verschlüsselt,
> da bringen ihm auch irgendwelche Netzwerkschweinereien nichts").
Das ist in einem Firmennetz eine andere Situation, weil Du Leute, die
sich nicht an die Regeln halten, abmahnen und im schlimmsten Fall auch
rauswerfen kannst. Und bei einem ISP ist außerdem auch noch die
Wissensdichte und das Verantwortungsbewusstsein höher als in
"normalen" Firmen.
Tatsächlich ist es so, dass in vielen Umgebungen eine gewisse
Pseudo-Schmalspur-Sicherheit gefahren wird, die eigentlich nicht
wirklich viel bringt. Aber 802.1x ist mit erheblichem Aufwand
verbunden und ohne alle Maßnahmen geht auch nichts, also benutzt man
entsprechende Minimalansätze. Dass das keine gute Idee war stellt man
höchstens fest, wenn man jemanden wirklich vor's Arbeitsgericht zerrt
und dann lernen muss, dass eine protokollierte MAC-Adresse in einem
Logfile nichts ist, womit man vor Gericht auch nur ansatzweise
argumentieren sollte (modulo Kompetenz des Richters und des oder der
herangezogenen "Sachverständigen").
> have you enabled IPv6 on something today...?
s/enabled IPv6/disabled IPv4/g
Viele Grüße,
Benedikt
--
Business Grade IPv6
Consulting, Training, Projects
Benedikt Stockebrand, Dipl.-Inform. http://www.benedikt-stockebrand.de/
--
ipv6 mailing list
[email protected]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
