linux-l: Welches LINUX?

[Steffen Dettmer]

* Sebastian Rother wrote on Fri, Oct 05, 2001 at 15:30 +0200:
> Einiege Meinungen, z.B. das CFS nichts auf einer Firewall zu
> suchen hat, teile ich aber trotz Überlegungen nicht :o) 

Hast Du Dir überhaupt mal die Mühe für eine
Sicherheitsabschätzung gemacht? Oder was sind "Überlegungen"?

> CFS wird auf der Firewall und auf dem PC eingesetzt, der alle Dienste
> bereitstellt.
> Dies würde beide Rechner vor "Offline Manipulationen" schützen. 

Nicht, wenn es automatisch funktionieren soll. An ein System, an
das man herrankommt, kann man solche Anforderungen nicht stellen.
Punkt. Man wird das immer manipulieren können, und irgentwie die
Passphrase herrauskriegen, mindestens mit einem "simulierten" OS.
Alles kein wirkliches Problem. Nimm einen Safe. Alles andere
schützt nicht.

> Ich gehe von der Situation aus: WAS WÄRE WENN: die Polizei den Rechner
> mitnimmt, ein Einbrecher kommt......

Dann hat die Polizei eine Firewall, na toll, und nu? Wenn die
Polizei wirklich ran "muß", schaffen die das schon. Einbrecher?
Der hält Dir ne Knarre auf die Brust und läßt Dich ne CD brennen,
wenn er die Daten haben will. Am einfachsten.

> Aber mit den finanziellen Mitteln eines Schülers wohl kaum zu
> realisieren.

Wenn Du sensible Daten hast, dann sind die viel Wert. Dann kann
man auch jemand überzeugen, diese zu schützen. Ansonsten sind die
Daten eben nix wert. Wenn Manipulation (die ja entdeckt werden
kann) z.B. Schaden von 1000 DM erzeugen kann (im Extremfall), ist
es das billigste, die so gut wie gar nicht zu schützen. 

> Deshalb suche ich (verzweifelt?) nach Selbstbauvarianten (im
> Hardware und/oder Softwarebereich), die mit den geringsten
> Kosten ein Maximum an Sicherheit ermöglichen.

Es gibt das Minimum und das Maximumprinzip. Keine Mischungen.

> Man könnte ja einen Rechner in einen Safe einschließen, aber
> ich bitte euch, wer macht so etwas? 

Hu?! Na, jeder, der Daten drauf hat. Ist das, was z.B. Debis
unter "sicherer" Umgebung versteht. Ich weiß ja nicht, welche
Vorstellungen Du hast, aber ein Sicherheitsraum muß
beispielsweise neben Zugangkontrollen über diverse
Einbruchssicherungen verfügen, die automatisch die Polizei
benachrichtigen (oder entspr. Wachdienst), die in 5 Minuten vor
Ort sein können muß. Die Sicherheitsbeauftragten müssen geeignet
geprüft und vor allem ausgebildet sein. Alles verdammt teuer.

> (und das bei 50 DM monatlichem Budget? *g*) 

Ups. Wo sind wir jetzt? 50 DM?! Dafür kann man ja gerade mal ein
DAT in ein Bankschließfach legen...

> IPSec scheint schoneinmal ein sehr guter Tipp, an den ich
> garnicht gedacht habe :o)

Schätze, Du hast an einiges nicht gedacht :) Vermute, Du machst
es Dir etwas zu einfach...

> In einer e-Mail wurde ich desweiteren auch wegen der "Dienstüberflutung" auf
> einem Rechner kritisiert. (Also http,pop/smtp,mysql,ftp auf
> einem Rechner) Dies ist aber auch darin begründet, dass ich nur
> über 3 Computer verfüge.

Immer nur Probleme. Mit den Vorraussetzungen wirst Du definitiv
nix brauchbar sicheres hinkriegen.

> Da ich mir gedacht habe es wäre sicherer auf der Firewall keine
> Dienste anzubieten, habe ich mich dazu entschlossen alle
> Dienste auf einen Rechner zu packen.

"Potentiell Unsicherer Rechner" :) Hinter sicherer Firewall.
Nützt ja auch nicht viel. Wenn auf PUP auch noch PHP rumkrepelt,
und Anfragen vom iNet beantwortet, kannst Du die Firewall ja
gleich weglassen, weil das kritische (PHP) ja eh erlaubt ist. Die
Firewall blockt ja dann keine Dienste.

> Und da Jeder eine andere Meinung hat, müsste man aus dem großem
> Ganzen, eine Lösung zusammenschweißen.

Nein, da gibt es viele Erkenntnisse, die vorhanden sind, und die
Praxiserprobt sind. Das kostet immer Geld. Wenn man keins hat,
kann man nix machen. Ist doch ganz einfach.

> Falls Jemand DIE Lösung hat, möge er bitte bedenken, dass ich Schüler bin,
> und kein vermögender Mensch. :o)

Ne Datenbank brauchbar über internet anzubieten, kostet schon mal
mindestens 10.000 DM. Eher mehr, je nach Auftrag, kann man ja so
nicht sagen. 

> Gibt es keine Organisation die Sicherheitslösungen für Schüler kostenfrei
> stellt? *fg*

Du hast immernoch nicht verraten, was Du überhaupt machen
möchtest. So kann Dir vermutlich niemand richtig helfen.

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.