Re: warum PnP Dienst über Netzwerk?

On Sat, 20 Aug 2005 23:32:18 +0200 Frank Lindner wrote:

>> Ja. Das eine schließt das andere doch nicht aus. Rechner, die längere Zeit
>> nicht gepached wurden, müssten zuerst mal auf aktuellen Patchlevel gehoben
>> werden. Virenschutz genauso. [...]
>
> Der Laptop greift über VPN zu, ob er im Haus ist oder nicht. Warum einen
> Unterschied machen.

Ich glaube, du hast das Prinzip falsch verstanden.

> OpenVPN geht auch über TCP 80 oder TCP 443 und damit in jedem Hotelzimmer
> dieser Welt.

Außer das Hotelzimmer hat einen Proxy, der NTLM-Authentifizierung will. Es
wird immer Situationen geben, in denen eine Technik X nicht funktioniert
oder schlechter als eine Technik Y. Das ist jedoch nicht von sich aus ein
Wertmerkmal.

> Bin dich dann gegen man in the middle geschützt oder muß ich dafür ein
> Zertifikat kaufen und einem Dritten für eine unternehmensinterne Löung
> sinnlos vertrauen?

Das "gewöhnliche" Vorgehen ist das Hinzufügen deiner CA zu der Liste der
vertrauenswürdigen CAs - das funktioniert bei OpenVPN nicht anders.

> OpenVPN kan man gegen man in the middle konfigurieren

Das braucht man gar nicht, das gibt SSL/TLS ganz von alleine her.

> Eben eine universelle Lösung.

Eine vielseitige. Eine universelle existiert nicht - zumindest nicht für
uns.

>> Ich weiß. [...] 3389 [...] 445 [...] 1433 [...] 445
>> [...] 1433 [...] 3389 [...] 3389 [...] 1433 [...] 445
>
> Wieviel Sicherheitslücken gab es bei 3389. Die jetzige und eine davor in
> 2003.

Mit Portnummern zu jonglieren ist absolut sinnfrei - die Angriffsfläche ist
nicht von der Portnummer abhängig, noch nicht einmal von der Anzahl der auf
einem System erreichbaren Ports. Gesetzmäßigkeiten vom Typ "mein Port 389
haut deinen Port 21 voll weg, ey" abzuleiten, ist eher unsinnig. Die
statistischen Größen aus den Längsschnitten für die Sicherheit beziehen
sich *immer* auf die Dienste *stets* über einen festgelegten Zeitraum und
*nie* auf Faktoren wie Ports.

> Wievel Schädlinge, bei den meisten wohl per email, hast Du in den letzten 12
> Monaten bekommen für Angriffe auf
> Windows-FileServer (139,445) versus Samba Server von einem Windows Client?

Weiterer Aspekt - dass die Angriffsfläche auf 139 und 445 so groß zu sein
scheint, hängt eben nicht damit zusammen, dass dies beides schwarze
Pechzahlen sind, sondern vielmehr damit, dass MS-RPC diese benutzt. MS-RPC
ist bekanntlich ein Multiplexer und stellt die Schnittstelle für zahllose
Programmkomponenten bereit.

Das diese Programmkomponenten schon architektonisch bedingt nicht auf einem
Host mit einem völlig anders funktionierenden OS als Windows laufen würden,
und deshalb nicht auf einem Samba-Server vorhanden sind, bedeutet nicht,
dass Windows prinzipiell unsicher ist. Es bedeutet schlicht, dass ein
Windows-Server eine größere Angriffsfläche haben *kann*, weil er mehr
Funktionalität bereitstellen *kann*.

Was sehr wohl eine Verfehlung ist, ist die Tatsache, dass man MS-RPC im
Speziellen und Dienste im Allgemeinen nicht von einzelnen Interfaces
zwangsentbinden kann und dass die Kontrolle über die über MS-RPC
bereitgestellten Dienste mehr als dürftig ausfällt.

> Dann schreib doch konkret was für Kriterien da geprüft werden sollen?

Hat er. Du kannst Code auf dem Client ausführen (ja, mal wieder MS-RPC) und
der Code auf dem Client liefert dir eine Ausgabe, die du mittels Code auf
dem Server verarbeiten kannst und feststellen kannst, ob sie dir gefällt,
oder nicht. Die konzeptionellen Probleme sind nicht zu übersehen, aber wer
es braucht, wird sich darüber freuen.

> Eine Prüfung ist nicht beliebig sondern konkret.

Dann würde ich dich bitten, konkret die Abiturprüfung des Landes
Baden-Württemberg (ich habe absichtlich ein Zentralabiturland gewählt, um
es dir einfacher zu machen) im Fach Mathematik zu posten, wie sie im
Frühjahr 2006 an die Schüler herausgeht.

--
Denis Jedig
syneticon networks GbR http://syneticon.net/service/
.