[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Firewalls und Komplexität



* Kristian Köhntopp:

> http://blog.koehntopp.de/archives/306_Firewalls_und_Komplexitaet.html
> [ Was ganz anderes ]

Ich vertrete inzwischen den Ansatz, daß Web-Anwendungen regelmäßig
Firewall-Komponenten darstellen und auch als solche entwickelt werden
müssen. Alles andere bringt nichts.

Wenn dann natürlich Leute mit traditionellem PHP-Code herkommen, der
tonnenweise Anweisungen der Form

   $sql = "SELECT * FROM users WHERE uid=$uid";

enthält, haben sie natürlich verloren.

Es ist auch fraglich, ob PHP unbedingt so geeignet ist als
Firewall-Implementierungssprache.

> http://securityfocus.com/bid/keyword/, Suchbegriff "ethereal"
>  
>  Dies listet eine ganze Reihe von Problemen, bei denen die Anwendung, ein 
> Netzwerkmonitor, sich selbst kompromittiert beim Decodieren von 
> Netzwerkpaketen, die für ganz andere Systeme bestimmt sind. ethereal hat 
> natürlich keine Chance - wann immer ein Protokoll selber einen Exploit hat, 
> hat ethereal möglicherweise auch einen. Da alle Protokolle in ethereal 
> decodiert werden müssen, hat ethereal jede Menge Exploits.

Protokolle haben keine Exploits, es sind die C-Implementierungen. Und
bei der Masse an Protokollen, die die Sniffer unterstützen müssen,
kann halt nicht in jedem Fall eine saubere Implementierung hingelegt
werden. Warum man das dann ausgerechnet in C implementiert, entzieht
sich meiner Kenntnis, wahrscheinlich ist das ebenfalls Tradition.

Bei Nessus ist das wesentlich besser gelöst.

> [ Bildschirm voll Exploits ]
>
> Wobei ich sagen muß, daß die ethereal, tcpdump und snort-Listen
> meine Lieblinge sind. Wenn ich diese Listen sehe, denke ich über
> gewisse Produkte [http://www.syborg.de/] mit ganz ähnlicher
> Funktionalität nach, und ob deren Exploit-Listen wohl kürzer sein
> mögen. Und wer mag da wohl haften, wenn so eine Kiste kompromittiert
> und dann ausgenutzt wird. Der Netzbetreiber hat die ja nicht
> freiwillig aufgestellt...

Frag' mal die Leute, die eine IVW-Schnüffelbox mit ungepatchtem SSH in
ihrem Netz aufstellen mußten...

-- 
Current mail filters: many dial-up/DSL/cable modem hosts, and the
following domains: atlas.cz, bigpond.com, di-ve.com, hotmail.com,
jumpy.it, libero.it, netscape.net, postino.it, simplesnet.pt,
tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr, yahoo.com.

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de