Am Montag, 16. Oktober 2006 19:51 schrieb Stefan Berthold:
Mit dem sym- metrischen Verfahren müßte Renés Bekannter mit jedem Dienstnehmer einen privaten Schlüssel tauschen, also eine Port-Sequenz, die zur Dienster- bringung führen soll.
Missverständnis: Das Portknocking war nur für die SSH-Verbindung gedacht, also für den Kanal des Admins. HTTP ist davon unbetroffen. Annahme ist eine simple Webserverkiste. Auch wenn die iptables-Regeln von René ein ganzes Sammelsurium von Diensten offenbaren.
Eben das würde ich gern nochmal hinterfragen. Kaum eine Implementierung von »Port-Knocking« dürfte wirklich im Kern laufen, dafür aber in den üblichen Linux-Umgebungen ausweglos mit UID 0.
Ob Netzwerkpolicies überhaupt in den Kern gehören, darüber könnte man jetzt hier wunderbar spekulieren. Wenn aber iptables reingehört, dann sollte auch das entsprechende Portknocking-Modul dafür dort rein. Ist ja ähnlich wie die Funktionalität, Verbindungsantworten zu akzeptieren (ist auch stateful).
Nochmal auf den Punkt gebracht: Warum nicht QoS alleine als die Maßnahme gegen DoS-Attacken? Binäre Zugangssteuerung gehört doch in eine andere Schublade und braucht sich vorallem nach einer ordentlichen Regulierung des Netzes mit QoS nicht mehr verstecken.
Das ist natürlich richtig. Hast du gleich ein paar Zeilen dazu da? Als Entwickler nutzt man ja die Möglichkeit, mit diesen Tools die Netzwerkverbindungen künstlich zu verlangsamen (aus 'lo' mach 'eth0' bzw. modem). Als Admin hat man da sicher andere Einsatzfälle.
Josef
P.S. Und wenn René nicht mit Outlook schreiben würde, sondern mit einem guten $MUA, dann wäre sogar sein Name vernünftig anzeig- und suchbar :-) Umlaute in der From-Zeile und sonstigen Headern müssen via quoted-printable geschützt werden. Das ist zwar eine dumme Regelung in den Mailstandards, aber sie existiert.