Sicherheitskonzept

Florian Lohoff flo at rfc822.org
Sat Feb 16 21:13:03 CET 2002 

On Sat, Feb 16, 2002 at 03:54:18AM +0100, Achim Dreyer wrote:
> .. hmm, für kleine bis mittlere Firmen finde ich das ja auch ok, leider
> kenne ich aber auch mehrere mittelständische Firmen die recht gr0ße Netze
> haben. Da dann noch mit offizielle Adressen zu arbeiten kann sehr teuer
> und schwierig werden.

Teuer ? Schwachsinn ...

> Mit offiziellen Netze wären damit ca. 5 + 4 + 0,5 + 0,5 = 10 Class-C Netze

> Provider-Unabhängige IP-Ranges bitte, da dies schließlich interne
> Firmen-Netze sind!

Sehe ich jetzt noch nicht warum das PI adressen sein muessen ...

> - Was würde mich das kosten, wie lange würde die Bereitstellung dauern ?

Kosten - So viel ich weiss kosten IP addressen an sich nichts. Du wirst
die Anzahl der Rechner und das subnetting feinsaeuberlich in einem
RIPE 141 (oder dem nachfolger) aufzeichnen muessen und dann ggfs.
die IP adressen vom Ripe zugewiesen bekommen. PI werden zunehmend
seltener vergeben da die notwendigkeit nicht besteht bzw nachgewiesen
werden kann und auch durch PI addressen WELTWEIT die router gezwungen
werden immer kleinere Subnetze in den routingtabellen zu halten.
Groessere aggregations koennen nur durch PA adressen erreicht werden
die zu grossen (Multi Class-B) netzen aggregiert werden. Im
zweifelsfalle ist die erreichbarkeit von kleinen PI netzen ausserdem
fragwuerdig.

> Bei diesen Größenordnungen von Netzen vertraue ich auch nicht mehr darauf,
> das sich alle an die Regeln halten. D.h. evtl. hängt "mal eben" jemand
> ein Modem mit an einen Rechner, damit irgendeine Firma irgendwelche
> "Wartungsarbeiten" einfacher erledigen können. Wenn hierdurch 
> 'versehentlich'
> eine Route ins Internet auftaucht, so kann das zu Problemen führen, mit
> denen viele Admins überfordert sind. Bei inoffiziellen Ranges (RFC1918:
> 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) wird üblicherweise vom nächsten
> Router das Paket als non-routable erkannt und es kann nichts passieren.

Sorry - Wenn das zu problemen fuehrt dann hat der entsprechende Admin
BGP nicht verstanden - Ich nehme doch nicht von jeder Einwahlgeschichte
jegliche Routing announcements an ? Ausserdem ist es Firmenpolicy
ob ich modems erlaube. Bei vielen Firmen in derartiger groessenordnung
verbietet die IT policy das.

> Ausserdem habe ich bereits in einigen Firmen bemerkt, das diese intern
> offizielle IP-Ranges benutzen, die diesen Firmen gar nicht gehören, sondern
> anderen Firmen zugeteilt sind.

StandortNr.Gebaeude.Flur.Buero

4.2.1.44

> >Wer Nat und Masquerading fuer DIE loesung haelt - Der kann auch
> >gleich wieder Decnet machen.
> 
> .. die Lösung heißt einfach Application-Level Gateway/Proxy. Falls dies
> nicht möglich ist (IMHO ungünstig/schlecht definierte Protokolle), dann
> kann Not-Nagel NAT/Masquerade eingesetzt werden. 

NAT und Masquerading sind per definition evil und erschweren die
administration und das debugging wesentlich. Application proxy
natuerlich - Alleine um gewisse javascript sachen etc automatisch
zu filtern. Aber nicht um die probleme des NATs zu umgehen.

> >IP heisst "Internet Protocol" - Durch NAT schliesst man einige
> >Netze wieder aus - Also kein "Internetworking" - Warum dann IP ?
> 
> .. interne Netze heißen bei mir ja auch "Intranet".

Ja - Und man benutzt IP um Internetwork zu kommunizieren. Mit NAT mache
ich den einzigen vorteil (Protokolltechnisch) des IP zunichte den es
gegenueber IPX/Appletalk/Decnet/SNA etc hat.
 
> <Sehr persönliche Meinung>
>  IP, da dies das einzige Protokoll ist, was derzeit gute Zukunftschancen
>  hat. Für VPN sollte man ja auch nur IPsec verwenden. -> andere Baustelle.
> </Sehr persönliche Meinung>

Natuerlich ist IP das einzige protokoll mit zukunft. Aber das liegt
nicht daran Q

> KIS - Keep It Secure - Man erreicht nix, es sei denn der Admin richtet 
> einen Proxy ein.

Secure hat aber nichts mit NAT/Masquerading zu tun. NAT ist die
security fuer die leute die sonst keine ahnung haben. Wenn nichts
rein kann ist es sicher. Was auch ein trugschluss ist. Security
by Obscurity ist das. Denn IRGENDWO stehen kisten mit beinchen in
beiden Teilen.

Flo
-- 
Florian Lohoff                  flo at rfc822.org             +49-5201-669912
Nine nineth on september the 9th              Welcome to the new billenium
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 232 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20020216/f63acdcc/attachment.sig>

More information about the Linux mailing list