[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: OT: VPNs

To: debate@fitug.de
Subject: Re: OT: VPNs
From: Rudolf Schreiner <ras@muc.de>
Date: Mon, 8 Nov 1999 21:54:18 +0100 (MET)
Comment: This message comes from the debate mailing list.
In-Reply-To: <m11kuq4-0002wwC@fmrl00.btx.dtag.de>
Sender: owner-debate@fitug.de

On Mon, 8 Nov 1999, Axel H Horns wrote:

> These 1: Je groesser die Anzahl der legitimen User in einem VPN 
> (Virtual Private Network) ist, desto nutzloser wird das VPN in 
> sicherheitstechnischer Hinsicht.

"Nutzlos" ist in IT Security kein Kriterium. Ein Mechanismus kann Deine 
Sicherheitspolicy wirkungsvoll durchsetzen oder auch nicht. Das haengt 
sehr von Deiner Policy und den Umstaenden ab. Ein VPN stellt nur bestimmte 
Funktionen bereit. 

> Wenn z.B. in einem VPN ca. 30.000 
> Rechner stehen, kann ich in einem VPN nicht mehr a priori von 
> *Vertrauen* ausgehen, sondern muss damit rechnen, dass jederzeit z.B. 
> mindestens einer der Rechner unter der Kontrolle eines feindlichen 
> Dritten stehen koennte.

Jein. Die Rechner in einem VPN befinden sich in einem Ding, das man 
Security Policy Domain nennt, also einem Bereich gleicher 
Sicherheitspolicy. Ob Du diesen Rechnern vertrauen kannst und ob es ein 
Problem ist, wenn einer der Rechner unter der Kontrolle eines Angreifers 
steht, das ist eine andere Frage. 
Im Normalfall _ist_ es ein Problem, sogar ein riesengrosses.
Ich durfte die Scherben schon oefters aufraeumen. :-(#

> These 2: Wenn z.B. eine Kanzlei sowohl ueber eine Firewall mit dem 
> Internet als auch ueber einen Krypto-Router mit einem von 
> Patentaemtern usw. betreibenen VPN verbunden ist, bestimmt der 
> schlechtere Sicherheitsstandard von Firewall bzw. VPN die maximal 
> erzielbare Gesamtsicherheit.

Yep.
Hier nur ein VPN zu verwenden, ist schlicht schwachsinning. Patentamt und 
Kanzlei liegen naemlich garantiert nicht in einer gemeinsamen Policy
Domain. Deshalb braucht man einen Mechanismus, der zum Durchsetzen von 
Sicherheitspolicies an Domaingrenzen geeignet ist: So was nennt man 
Firewall. :-)#

> Kurzum: VPNs sind eigentlich nur was fuer kleinere, relativ 
> ueberschaubare Communities.

Nein. Ein VPN erfuellt eine bestimmte Funktion und schuetzt gegen 
bestimmte Angriffe. Das hat mit der Groesse nix zu tun. 

Kurz: VPN reicht nicht. Zwischen Kanzlei und VPN der Patentaemter muss 
eine Firewall. 

Rudi

References:
- OT: VPNs
  - From: "Axel H Horns" <horns@t-online.de>

Prev by Date: OT: VPNs
Next by Date: Re: OT: VPNs
Prev by thread: OT: VPNs
Next by thread: Re: OT: VPNs
Index(es):
- Date
- Thread