[linux-l] Slightly off topic: Jagd auf Spam

[Steffen Dettmer]

* Thomas Knop wrote on Sun, Nov 02, 2003 at 22:06 +0100:
> Security macht immer Arbeit. Gerade bei größeren Firmen, die
> immernoch auf bind setzen (gibt ja so tolle win-klicki-tools
> [qip]), ist das ein Problem.

Ich selbst setze auch bind ein, allerdings ohne win-klicki-tools.
Das ist eigentlich kein Problem. Vielleicht muß man hin- und
wieder patchen, weil eben die Qualität nicht so dolle ist, aber
funktioniert.

> Willst du einen bind in einer DMZ betreiben? Ich lieber nicht.
> Und selbst wenn es kein bind ist, hast du damit einen für alle
> Rechner in den DMZ's einen angreifbaren Punkt.

Na, klingt ja so, als ob man Bugs vorraussetzt, die nicht
gepatcht werden. Natürlich hat man angreifbare Punke, wenn man
Dieste des Internets nutzt oder für andere anbietet.

> Spätestens bei n-DMZ Zonen willst du dann kein DNS mehr. Das
> verbietet sich schon von selbst, da man ja die n-DMZ's
> möglichst vollkommen voneinander abschotten will.

Ich möchte jedenfalls DNS, damit z.B. Hostnamen in den Logfiles
stehen.

> > Synchronisierste Du die hosts-Files? 
> Ich nicht. Warum auch? In jeder DMZ werden andere Hosts benötigt.

Na ja, IP Adressen ändern sich ja. Muß man ja dann überall
anfassen. Dann muß man wissen, wo die Adresse überhaupt verwendet
wird, damit man eben weiß, wo man das anpassen muß. Iss schon
bissel nervig dann.

> > Halte dies für essentiell; Ich glaub, was man an
> > Sicherheitsproblemen spart, muß man "mehrfach" an Aufwand
> > zugeben.
> ACK, nur über das "mehrfach" in diesem speziellem Fall könnte man
> streiten ;-)

Die Kosten steigen exponentiell, die Sicherheit nähert sich nur
asymptotisch an die 100% Linie an. Für 90% -> 95% muß man die
Kosten vielleicht verdoppeln, 95%-96% kosten nochmal das gleiche
usw :)

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.