Re: gehackt :(

Fri, 26 Feb 1999 14:24:27 -0500 


Remo Pini wrote:
> 
> >>  was haltet Ihr den von einen Firewall auf einem
> >>  Rechner mit nur einer Netzwerkkarte ?
> >
> >Ein Witz?
> >
> >Ein Firewall kann seine Aufgabe nur wahrnehmen, wenn _aller_
> >Traffic
> >durch ihn hindurch _mu�_. Das geht mit nur _einer_ Netzwerkkarte
> >nicht.
> 
> In sehr vielen Netzen wird mit 2 Router und einem Firewall gearbeitet. Der
> Firewall kann auch nur "single"-attched sein, sprich eine Netzwerkkarte
> haben. Es kann also auch bei einem Rechner mit einer Karte sinn machen,
> einen Firewall zu installieren. Es kann trotzdem aller Traffic durch ihn
> hindurch m�ssen (alles eine Frage des Routing).

Das ist ein ziemlich blau�ugiges Konzept. Ich habe mir gerade
noch etwas
Argumentationshilfe von Peter Simons, unserem Firewall-Experten
geholt, 
wobei sich folgende Schlu�folgerung ergab (ich zitiere):

Das Szenario ist wie folgt:


               Au�enwelt
                  |
              +---+----+
              | router |
              +---+----+
                  |
       +----------+---------+-------+-------+     Ethernet
       |                    |       |       |
       |                    |       |       |
   +----------+         +------+ +--+---+ +-+----+
   | Firewall |         | Host | | Host | | Host |
   +----------+         +------+ +------+ +------+


IMHO ist auf den ersten Blick ersichtlich, was daran falsch ist.
Es
ist nicht erzwungen, da� Traffic zwischen den Hosts durch den
Firewall
mu�. Es ist weiterhin nicht erzwungen, da� Traffic zwischen einem
Host
und der Au�enwelt durch den Firewall mu�.

Zwar kann man jetzt per Konvention allen Traffic auf den Firewall
routen, aber es mu� lediglich ein Hacker Zugriff auf den Router
bekommen, die Routen �ndern und sofort ist das gesamte Netz nach
au�en
offen.

Gegen diese Bedrohung wird sicherlich als Gegenargument gebracht
werden, da� man den Router halt "sicher" machen mu�. Das ist aber
unsinnig, denn genau das ist ja die Aufgabe einer Firewall: Man
hat
- -einen- Rechner, der so sicher wie m�glich ist, und der die
restlichen
Rechner sch�tzt. In diesem Szenario w�re der Router der
eigentliche
Firewall und die "Firewall" w�re nur ein Proxy-Server. Oder
sowas.

Weiterhin ist die Gefahr da, da� ein User auf einem der Hosts die
entsprechenden Privilegien erlangt, seine eigene Default-Route
umbiegt
und dann direkt auf den Router geht -- wieder ohne den Firewall.

Neee... so ein Netzaufbau -kann- funktionieren, aber es
widerspricht
IMHO dem Prinzip eines Firewalls.

Zitat Ende.

-- 

Dirk Taggesell
CyberSolutions GmbH      http://www.cys.de/
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux

Antwort per Email an