Sicherheitskonzept

Achim Dreyer adreyer at adreyer.de
Sat Feb 16 20:24:03 CET 2002 

On 2002.02.15 11:34 Florian Lohoff wrote:

> > .. das setzt aber voraus, das intern offizielle IP-Ranges verwendet
> > werden, welches IMHO eine SEHR SCHLECHTE Idee ist. (Aber leider bei
> > vielen Firmen genauso =FCblich wie interne =3D externe Domainnamen).
> > Wenn ein NATting stattfindet haette man dann aber wieder 2 Eintr=E4ge.
> 
> Das ist keine schlechte idee sondern das konzept von IP - Genau das
> war Ziel des ganzen - Eine "any to any" Kommunikation zu ermoeglichen.
> Genau das verhindern nat und masquerading. Das das nicht immer gewollt
> ist ist ok - Dann aber bitte eine einfache Firewall/Paket filter
> und keine Klimmzuege mit extrem ekeligem masquerading.

.. hmm, für kleine bis mittlere Firmen finde ich das ja auch ok, leider
kenne ich aber auch mehrere mittelständische Firmen die recht gr0ße Netze
haben. Da dann noch mit offizielle Adressen zu arbeiten kann sehr teuer
und schwierig werden.

Bsp.1:
Firmen-Zentrale mit ca. 1200 Netzwerk-Geräten
4 Außenstandorte mit je ca. 200 Netzwerk-Geräten
3 Außenstandorte mit je ca. 20 Netzwerk-Geräten
Dial-Up Zugang für 80 Mitarbeiter

Mit offiziellen Netze wären damit ca. 5 + 4 + 0,5 + 0,5 = 10 Class-C Netze
(oder andere Staffelung, nur die Größenordnung ist wichtig) notwendig. 
Bsp.2:
Firmen-Zentrale mit ca. 500 Netzwerk-Geräten
5 Standorte mit je ca. 100 Netzwerk-Geräten
120 Standorte mit je ca. 2-20 Netzwerk-Geräten
Dial-Up Zugang für 100 Mitarbeiter
Interne Router-Strecken zu anderen internationalen Firmenzentralen.

Mit offiziellen Netze wären damit ca. 2,5 + 5 * 0,5 + 120 * 0,125 + 0,5
= 22,5 Class-C Netze notwendig. 

Provider-Unabhängige IP-Ranges bitte, da dies schließlich interne
Firmen-Netze sind!
- Was würde mich das kosten, wie lange würde die Bereitstellung dauern ?


Bei diesen Größenordnungen von Netzen vertraue ich auch nicht mehr darauf,
das sich alle an die Regeln halten. D.h. evtl. hängt "mal eben" jemand
ein Modem mit an einen Rechner, damit irgendeine Firma irgendwelche
"Wartungsarbeiten" einfacher erledigen können. Wenn hierdurch 
'versehentlich'
eine Route ins Internet auftaucht, so kann das zu Problemen führen, mit
denen viele Admins überfordert sind. Bei inoffiziellen Ranges (RFC1918:
192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) wird üblicherweise vom nächsten
Router das Paket als non-routable erkannt und es kann nichts passieren.

Ausserdem habe ich bereits in einigen Firmen bemerkt, das diese intern
offizielle IP-Ranges benutzen, die diesen Firmen gar nicht gehören, sondern
anderen Firmen zugeteilt sind.
=> War früher beliebt bei Suns, die im Auslieferungszustand eine IP-Nummer
von Sun besaßen, bzw. wo in den Unterlagen bei allen Beispiele eine 
offizielle
Nummer von Sun eingetragen war. -> dumme Admins haben das dann so 
übernommen.
=> Auch beliebt wenn Hersteller einer Produktions-Maschine einen Steuer-PC
mitliefern, der dann fertig konfiguriert ankommt und von irgendjemand ans
interne Netz gehängt wird.


> Wer Nat und Masquerading fuer DIE loesung haelt - Der kann auch
> gleich wieder Decnet machen.

.. die Lösung heißt einfach Application-Level Gateway/Proxy. Falls dies
nicht möglich ist (IMHO ungünstig/schlecht definierte Protokolle), dann
kann Not-Nagel NAT/Masquerade eingesetzt werden. 

> IP heisst "Internet Protocol" - Durch NAT schliesst man einige
> Netze wieder aus - Also kein "Internetworking" - Warum dann IP ?

.. interne Netze heißen bei mir ja auch "Intranet".

<Sehr persönliche Meinung>
  IP, da dies das einzige Protokoll ist, was derzeit gute Zukunftschancen
  hat. Für VPN sollte man ja auch nur IPsec verwenden. -> andere Baustelle.
</Sehr persönliche Meinung>


> KIS - Keep it simple - Transparent - Alles erreicht potentiell jeden
> durch pures routing - Filter mal ausgeschlossen.

KIS - Keep It Secure - Man erreicht nix, es sei denn der Admin richtet 
einen
Proxy ein.


Ciao,
Achim

More information about the Linux mailing list