[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Firewalls und Komplexität

To: Peter Ross <Peter.Ross@alumni.tu-berlin.de>
Subject: Re: Firewalls und Komplexität
From: Florian Weimer <fw@deneb.enyo.de>
Date: Sun, 30 May 2004 22:31:36 +0200
Cc: debate@lists.fitug.de
Delivered-to: mailing list debate@lists.fitug.de
In-reply-to: <20040523172412.T758@guckloch.zuhause> (Peter Ross's message of"Sun, 23 May 2004 21:02:14 +1000 (EST)")
List-help: <mailto:debate-help@lists.fitug.de>
List-id: <debate.lists.fitug.de>
List-post: <mailto:debate@lists.fitug.de>
List-subscribe: <mailto:debate-subscribe@lists.fitug.de>
List-unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
Mailing-list: contact debate-help@lists.fitug.de; run by ezmlm
References: <200405120952.18016.kris@xn--khntopp-90a.de><87oeou5az2.fsf@deneb.enyo.de> <20040512220517.I850@guckloch.zuhause><87k6zhqv9l.fsf@deneb.enyo.de><Pine.WNT.4.58.0405131008310.1224@RSSERIES-ST.syn.com.au><87zn84kgj5.fsf@deneb.enyo.de><41733.128.221.197.132.1085027927.squirrel@mailbox.TU-Berlin.DE><878yfnczib.fsf@deneb.enyo.de> <20040523172412.T758@guckloch.zuhause>

* Peter Ross:

> On Thu, 20 May 2004, Florian Weimer wrote:
>
>> * Peter Ross:
>>
>> > Nun, ich erwaehnte es als _zusaetzlichen_ Puffer zur Aussenwelt. Ohne es
>> > verbindest Du die Aussenwelt direkt mit einem Webserver.
>>
>> Wenn Pound erfolgreich angegriffen wurde, kann der Angreifer die
>> Requests zum Webserver mitlesen, die typischerweise auch Paßwörter
>> u.ä. enthalten.

> das kannst Du genauso gut, wenn Du statt pound apache gehackt
> hast. Mit dem "Vorteil", dass Du schon eine Machine weiter bist.

Ja, das ist ein Argument, was gerne vorgebracht wird: ein
Zwiebelmodell, und der Angreifer muß erst mühselig jede Schicht
abpulen, bevor er etwas (aus seiner Sicht) Vernünftiges anstellen
kann.

Ich glaube inzwischen aber, daß man sich damit etwas in die Tasche
lügt. Einerseits gibt es genügend Angriffe, die von den äußeren
Schutzschichten nicht abgefangen werden (weil sie z.B. gar nicht die
zugehörige Protokollschicht verstehen), andererseits kann auch das
Knacken einer äußeren Schicht bereits fatale folgen haben. Wenn man
nicht genaue Analysen durchführt, sollte man also lieber die
Vorstellung im Hinterkopf haben, daß für das Gesamtsystem die
Vereinigung der Schwachstellen der einzelnen Komponenten relevant ist
(und nicht etwa der Durchschnitt).

-- 
Current mail filters: many dial-up/DSL/cable modem hosts, and the
following domains: bigpond.com, di-ve.com, fuorissimo.com, hotmail.com,
jumpy.it, libero.it, netscape.net, postino.it, simplesnet.pt, spymac.com,
tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr, yahoo.com.

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de

Follow-Ups:
- Re: Firewalls und Komplexität
  - From: Peter Ross <Peter.Ross@alumni.tu-berlin.de>

References:
- Firewalls und Komplexität
  - From: Kristian Köhntopp <kris@xn--khntopp-90a.de>
- Re: Firewalls und Komplexität
  - From: Florian Weimer <fw@deneb.enyo.de>
- Re: Firewalls und Komplexität
  - From: Peter Ross <Peter.Ross@alumni.tu-berlin.de>
- Re: Firewalls und Komplexität
  - From: Florian Weimer <fw@deneb.enyo.de>
- Re: Firewalls und Komplexität
  - From: Peter Ross <Peter.Ross@alumni.tu-berlin.de>
- Re: Firewalls und Komplexität
  - From: Florian Weimer <fw@deneb.enyo.de>
- Re: Firewalls und Komplexität
  - From: "Peter Ross" <Peter.Ross@alumni.tu-berlin.de>
- Re: Firewalls und Komplexität
  - From: Florian Weimer <fw@deneb.enyo.de>
- Re: Firewalls und Komplexität
  - From: Peter Ross <Peter.Ross@alumni.tu-berlin.de>

Prev by Date: Re: Firewalls und Komplexität
Next by Date: Re: Internet-Filter der FHT Esslingen
Previous by thread: Re: Firewalls und Komplexität
Next by thread: Re: Firewalls und Komplexität
Index(es):
- Date
- Thread