Konrad Rosenbaum (konrad.rosenbaum@gmx.net) schrieb auf LUG-DD am Die, 02 Jan, 2001; 07:54 +0100:
On Monday 01 January 2001 18:18, Frank Becker wrote:
Konrad Rosenbaum (konrad.rosenbaum@gmx.net) schrieb auf LUG-DD
am Mon, 01 Jan, 2001; 11:28 +0100:
On Sunday 31 December 2000 18:05, Frank Becker wrote:
Hi,
Ach und Vorsicht. Wirklich sicher ist weder wwwoffle noch squid.
[...]
Ich kenne Leute, die squid oder wwwoffle auf z. B. einem Linux-Kernel als sicheren Proxy auf Anwendungsebene halten. Solch ein Proxy sollte aber einen eigenen TCP/IP Stack haben. Sonst stimme ich Dir mit dem Meeresgrund zu.
Das ist aus der Sicht eines Programmierers grosser Schrott: je mehr ein
Hier stimme ich nicht voll mit Dir überein. Für sehr viele Fälle ist das auch IMHO richtig. Wenn sich allerdings die Anforderungen an eine S/W ändern, so muss das nicht immer so sein. Bitte korrigier(e|t) mich, wenn folgendes völliger Quatsch ist:
Du hast also einen Linux 2.2.X Router mit z. B. squid aktiv. Jetzt Knipst jemand den squid durch einen DoS oder was auch immer aus. Frage: Was macht der Kernel? Routed er dann die IP Pakete (auch gespooft) nach (innen|außen) oder nicht?
[...]
Was bedeutet normal denken?
Nicht so paranoid, wie man es sich als Security-Experte viel zu schnell angewöhnt...
Das zieht natürlich weitere, bisher nicht festgelegte Definitionen nach sich... Aber ich glaube verstanden zu haben, was Du meinst. Meine Meinung hierzu ist etwas strikter.
[...]
Wenn Du paranoid bist, wie es grosse Firen sein sollten: Bau Dir eine
[...]
Da Du eine grosse Fa. angesprochen hast, halte ich auch einen einfachen Paketfilter für nicht wünschenswert. Es kommt natürlich immer darauf an...
Naja, IPTables soll schon einiges mehr an stateful-filtering mitbringen, was da sehr nützlich sein kann...
Schon Erfahrungen gesammelt, oder eine Quelle bekannt?
[...]
Was, wenn Du aber Internet brauchst?
Dann bist Du automatisch nicht mehr sicher (nach aussen). Punkt.
Wie schon eher mal geschrieben. Für mich zählt, dass ich die Risiken abschätzen kann.
[...]
stammen ca. 80 % aller Angriffe von Innen.
Das ist dann eine Frage der Passworte und der internen security-Policy (Zugriffsrechte, Logs, Privilegien, etc.).
Auch wenn das sehr simpel klingt, stimme ich Dir unter Beachtung des "etc." zu. Ausser vielleicht, ein Mitarbeiter hält sich nicht dran...
So und nun nochmal zum Ausgangspunkt dieses Threads:
Die SOCKS FAQ befindet sich unter: http://www.socks.nec.com/socksfaq.html
auch interessant: http://www.socks.nec.com/aboutsocks.html
Gruß,
Frank