Sicherheitskonzept

[A. Dreyer]

On 2002.02.16 21:11 Florian Lohoff wrote:
> On Sat, Feb 16, 2002 at 03:54:18AM +0100, Achim Dreyer wrote:
> > .. hmm, für kleine bis mittlere Firmen finde ich das ja auch ok, leider
> > kenne ich aber auch mehrere mittelständische Firmen die recht gr0ße 
> Netze
> > haben. Da dann noch mit offizielle Adressen zu arbeiten kann sehr teuer
> > und schwierig werden.
> 
> Teuer ? Schwachsinn ...

.. siehe unten..

> > Mit offiziellen Netze wären damit ca. 5 + 4 + 0,5 + 0,5 = 10 Class-C
> Netze
> 
> > Provider-Unabhängige IP-Ranges bitte, da dies schließlich interne
> > Firmen-Netze sind!
> 
> Sehe ich jetzt noch nicht warum das PI adressen sein muessen ...

.. Provider-Wechsel sind in letzter Zeit gar nicht so selten, oder muß
man bei Provider-Wechsel nicht die Provider-eigenen IP-Ranges abgeben ??


> > - Was würde mich das kosten, wie lange würde die Bereitstellung dauern 
> ?
> 
> Kosten - So viel ich weiss kosten IP addressen an sich nichts. Du wirst
> die Anzahl der Rechner und das subnetting feinsaeuberlich in einem
> RIPE 141 (oder dem nachfolger) aufzeichnen muessen und dann ggfs.
> die IP adressen vom Ripe zugewiesen bekommen. PI werden zunehmend
> seltener vergeben da die notwendigkeit nicht besteht bzw nachgewiesen
> werden kann und auch durch PI addressen WELTWEIT die router gezwungen
> werden immer kleinere Subnetze in den routingtabellen zu halten.
> Groessere aggregations koennen nur durch PA adressen erreicht werden
> die zu grossen (Multi Class-B) netzen aggregiert werden. Im
> zweifelsfalle ist die erreichbarkeit von kleinen PI netzen ausserdem
> fragwuerdig.

Kosten die Wechsel von IP-Ranges denn nix ?
PA Adressen + Provider-Wechsel = sehr teuer !!


> > Bei diesen Größenordnungen von Netzen vertraue ich auch nicht mehr
> darauf,
> > das sich alle an die Regeln halten. D.h. evtl. hängt "mal eben" jemand
> > ein Modem mit an einen Rechner, damit irgendeine Firma irgendwelche
> > "Wartungsarbeiten" einfacher erledigen können. Wenn hierdurch
> > 'versehentlich'
> > eine Route ins Internet auftaucht, so kann das zu Problemen führen, mit
> > denen viele Admins überfordert sind. Bei inoffiziellen Ranges (RFC1918:
> > 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) wird üblicherweise vom
> nächsten
> > Router das Paket als non-routable erkannt und es kann nichts passieren.
> 
> Sorry - Wenn das zu problemen fuehrt dann hat der entsprechende Admin
> BGP nicht verstanden - Ich nehme doch nicht von jeder Einwahlgeschichte
> jegliche Routing announcements an ? Ausserdem ist es Firmenpolicy
> ob ich modems erlaube. Bei vielen Firmen in derartiger groessenordnung
> verbietet die IT policy das.

.. richtig, ist verboten! Bei über 100 Standorten ist es aber recht 
schwierig
dieses zu kontrollieren. Dazu die extrem mangelhafter fast aller Netzwerk-
Admins mit denen ich bisher zu tun hatte...


> NAT und Masquerading sind per definition evil und erschweren die
> administration und das debugging wesentlich. Application proxy
> natuerlich - Alleine um gewisse javascript sachen etc automatisch
> zu filtern. Aber nicht um die probleme des NATs zu umgehen.

.. Meines erachtens nach ist NAT absolut unnötig wenn man Proxys
einsetzt.


> > >IP heisst "Internet Protocol" - Durch NAT schliesst man einige
> > >Netze wieder aus - Also kein "Internetworking" - Warum dann IP ?
> >
> > .. interne Netze heißen bei mir ja auch "Intranet".
> 
> Ja - Und man benutzt IP um Internetwork zu kommunizieren. Mit NAT mache
> ich den einzigen vorteil (Protokolltechnisch) des IP zunichte den es
> gegenueber IPX/Appletalk/Decnet/SNA etc hat.

.. zumindest IPX und Appletalk sind evil, da dies Broadcast-Protokolle
sind. Zu Decnet und SNA kann ich nix sagen, da ich damit noch nicht zu
tun hatte.


> > KIS - Keep It Secure - Man erreicht nix, es sei denn der Admin richtet
> > einen Proxy ein.
> 
> Secure hat aber nichts mit NAT/Masquerading zu tun. NAT ist die
> security fuer die leute die sonst keine ahnung haben. Wenn nichts
> rein kann ist es sicher. Was auch ein trugschluss ist. Security
> by Obscurity ist das. Denn IRGENDWO stehen kisten mit beinchen in
> beiden Teilen.

.. wie ich oben bereits schrieb:
Es gibt leider zu viele zu schlecht geschulte Netzwerk-Admins. Da nehme
ich lieber in Kauf, das wenig funktioniert, als das die Tore zu leicht
zu öffnen sind.

Ciao,
Achim