[linux-l] Alternativen zu Samba + NIS/NFS..
Steffen Schulz
pepe_ml at gmx.net
Di Mär 13 06:10:40 CET 2007
On 070312 at 22:40, Peter Ross wrote:
> nur kurz nochmal zurueck zu IPSec:
>
> Ich dachte nicht so sehr ans Sniffen, eher an die Authorisierung. Nur wer
> eine IPSec-Verbindung zustande bekommt (mit den richtigen Keys etc.) kann
> ueberhaupt am Verkehr teilnehmen und kann auch NFS etc.
>
> Das erhoeht die Sicherheit sehr.
Ja, stimmt schon. Das ist im Grunde eine Computer-Authentifikation
bevor jegliche Internaktion mit Server/Userlogins erlaubt wird.
Aber ich kann in meinem Fall die scharfe Grenze nicht ziehen.
Es geht ja nicht darum ob ein Laptop 'fremd' ist oder nicht, sondern
darum ob ich der Software darauf trauen kann, nicht das Netz
anzugreifen. Dh alle Rechner bei denen ich Admin bin duerfen einen
IPSec-Key haben, der Rest bleibt aussen vor. $Mitarbeiter muss mit
seinem Laptop aber unbedingt Zugriff haben.
Mit dieser Vorraussetzung bekommt man wohl keine hohe Sicherheit hin..
Deine Idee wuerde trotzdem was bringen, aber.."das isis mir nich wert".
Wenn ich so scharf abgrenzen koennte, wuerde sich das vllt lohnen, ja.
Mir faellt grad auf, Computer-Authentifikation wie hier ist auch gerade
einer der Anwendungsfaelle fuer trusted computing. Dort kann ich den
IPSec-Key oder Master-key nicht nur so verstecken, dass man ihn nicht
einfach so auslesen und kopieren kann, ich kann sogar sagen, dass er
nur entschluesselt werden darf, wenn der Rechner in einem bestimmten
Zustand ist(sealing). Also nur wenn Hashsums von Kernel und System und
Autostart usw zu den vom Admin vorgegebenen passen.
Also ich hab jetzt Kerberos+NFS3 und Samba+LDAP als Moeglichkeiten. Mal
gucken was lueppt.
> Wenn Du dann noch einen DHCP-Server unterhaeltst, der IP-Adressen nur an
> Rechner mit bekannter MAC-Adresse vergibt, hast Du ueber IPSec nur
> vertrauenswuerdige (bekannte) Rechner in einem ueber iptables filterbaren
> Subnetz.
Genau das wird gemacht. Vllt noch MAC-basiertes VLAN definieren, sodass
die Laptops auch ueber broadcast/promiscous mode nur sich selbst
sehen...
/Steffen
--
Zeit ist das, was man an der Uhr abliest. -- Albert Einstein
Mehr Informationen über die Mailingliste linux-l