Pflichtenheft aktuell (1)

Hans-Dietrich Kirmse hd.kirmse at gmx.de
Sat May 17 16:45:02 CEST 2003 

Wieland Poser schrieb:
> 
  [...]
> 
> Und wenn diese Router ein Firewall-Rechner ist, dann sollte das doch
> gehen. Davon habe ich auch keine Ahnung. Aber hier werden soviele
> Rechner vorkonfiguriert, da sollte das doch auch noch abspringen.
> 

ich gebe wieland in der Hinsicht recht, das es für manche Schulen
schon Sinn macht. (vorhandene Standleitung, schulübergreifende
Projekte u.a.m.) Das hier mehr wissen gebraucht wird versteht sich
auch.
Ich denke, wenn es denn ein "genialer" Schulserver, jetzt einfach im
Sinne von zukunftssicher aufgefaßt, werden soll, dann sollte es eine
skalierbare Lösung sein. und dazu gehört auch das Bereitstellen von 
Diensten ins Netz. Dafür sind die Bedingungen zu schaffen.
(Das bedeutet nicht als Voreinstellung !)

Das auch der Admin Bedingungen erfüllen sollte, läßt sich zumindest
deutlich machen und die Bedienung läßt sich daraufhin gestalten,
z.B. das man einfach bestimmte Kenntnisse abfordert, damit er diese
Aufgabe realisieren kann. (also bewußt sinnvolle Barrieren)

> 
> > Ich sage nicht, dass es unter bestimmten Voraussetzungen unmöglich ist
> > einen relativ sicheren Zugang zu schaffen,
> 
> und welches sind die bestimmten Bedingungen?

genau das sollte m.E. schon diskutiert werden.

Ich sehe momentan diese notwendigen Voraussetzungen:
  - konkretes Bild über die Angriffssituation   -> Snort
  - Server muß auf aktuellen Stand sein -> Sicherheits-Updates
  - mehrstufiges Sicherheitssystem   	->  extra firewall
  - Sicherheit, das der Server nicht kompromittiert ist -> firewire
  - nur wirklich gebrauchte (sinnvolle) Dienste anbieten 
  - nur Dienste anbieten, die Passwörter verschlüsselt übertragen
  - nur über Proxy (also kein Masquerading)
  - Zugriff muß personengebunden freigegeben werden können 
  - Zugriffe genau nachvollziehbar (auch wenn angegeriffen wurde)

vielleicht ist zu überlegen, ob ein Honeypot auf der Firewall sinnvoll
wäre. wäre gleich ein Angriffsdetector.

Aber ich kenne mich da nicht sonderlich aus.
 

                                  /"\
Mit freundlichen Grüßen           \ / ASCII ribbon campaign
Hans-Dietrich                      X  against HTML mail 
                                  / \ and postings

More information about the SAN mailing list