Fachrat Informatik - Forum

Quoted

Original von MAX
Wieso sollte das Einloggen von zu Hause für Uni ein Risiko darstellen??? Das würde mich interessieren. Man ist sowieso in den Tätigkeiten sehr eingeschränkt. Was kann da so viel passieren??? Wo soll denn der Unterschied liegen, ob du dich dort oder von zu Hause einloggst??? (Vorausgesetzt es ist alles richtig konfiguriert) Ich sehe da kein Risiko!

Ganz einfach: jeder offene Port bzw. jeder Dienst der (interaktiv) von außen nutzbar ist, stellt ein potentielles Sicherheitsrisiko dar. Man kann zwar alles so toll konfigurieren wie man will, aber vor Sicherheitslöchern in der Software selber ist man nie sicher (wie man kürzlich gerade am Beispiel SSH gesehen haben dürfte). Und selbst wenn die Software bugfrei wäre (was sie natürlich nie sein wird), sind immer noch (mehr- oder minderschwere) DoS-Attacken möglich. Daß der Zugriff auf diese Weise aus dem Uni-Netz möglich ist, hat erstens praktische Gründe und zweitens ist das Uni-Netz (im Gegensatz zum Internet) eine kontrollierte und überschaubare Umgebung.

Und wozu sollte man überhaupt von außen zugreifen wollen? Das einzige, das (aus meiner Sicht) überhaupt sinnvoll wäre, ist ein eventueller FTP-Transfer der zu Hause erledigten Übungsaufgaben auf die Maschine. Aber das geht ja nun auch anders.

Erschwerend kommt noch hinzu, daß Studenten grundsätzlich nicht vertrauenswürdig sind.

Quoted

Original von MAX
So ernst ist es auch nicht!!! Und falls welche Attacken durchgeführt werden, dann ist es immer eine Herausforderung für Verwalter. Können sie ja die Löcher so stöpfen!!!

Das ist Einstellungssache. Netzwerksicherheit ist aus meiner Sicht (und da stehe ich bestimmt nicht alleine) eine Sache, bei dem man nie vorsichtig genug sein kann. Gerade bei Firmen ist es vor allem ein finanzieller Verlust, wenn Server gehackt, Daten manipuliert oder Server einfach lahmgelegt werden. Und als Universität sollte man in dieser Hinsicht eigentlich Vorbild sein; zumal der Nutzen in unserem konkreten Fall wie gesagt gering ist. Oder siehst du das anders?

PS: Würde mich mal interessieren, was andere darüber denken. Wir haben doch auch Leute im Studiengang, die (nebenher) Administratoren irgendwelcher Webangebote sind. Was meint ihr dazu?

also privat hab ich seit 6 jahren weder firewall, noch sonst irgendwas pseudosicheres....
höchstens ab und an nen virenscanner....
bin da sehr paranoiafrei...
bin nichtsdesto trotz davon überzeugt, dass sonne uni schon auf ihre sicherheit diesbezüglich achten sollte...

und zu firmen: da muss es doch möglich sein, das interne netzwerk rein physisch vom internet zu trennen...bzw. offline alles zu sichern und wichtige daten offline abzulegen....
so dass angriffe nur kopien nichtspionagewürdiger dateien erreichen können....

naja....was weiss ich schon von gott und der welt

privat stehn alle meine türen und tore offen....sollen SIE (?) doch kommen
wo es ins ökonomische geht, sollte man hingegen schon sicher gehn, dass da keine dunkle gestalt durch die buchse kriecht

SSH ist der Standard beim Zugriff zur Verwaltung von Servern. Jede Kiste, die in irgendeiner Rechenzentrum steht und von ferne administriert wird, nutzt dieses Protokoll. Es ist hinreichend sicher und in Verbindung mit einem anständigen Datei-Sicherheitsrechtesystem ist auch gewährleistet, daß sich normale User einloggen können.

Netzwerksicherheit ist wichtig; jedoch in Zeiten der Vernetzung zu verlangen, sich an einem bestimmten geographischen Ort für den Zugriff zu befinden, halte ich für verfehlt. Wenn der Admin es nicht gebacken bekommt, mit den aktuellen Patches mitzuhalten, sollte ein neuer eingestellt werden. Dafür wird er nämlich bezahlt.

Phil hat irgendwo recht.
SSH ist aber nicht sicher, es gibt einen Bug im Protokoll, in der 1 Version oder so ;p nagelt mich hier net fest

jedenfalls müssen das die clients und server ausbügeln etc. was einfach nicht geht und man ja auf die neuen umsteigen soll ;p

www.heise.de bildet :-D

jedenfalls wäre es sehrpraktisch wenn man von aussen auf sein account zu greifen könnte.

eine OT frage mal, kann man auf den linux kisten die cdroms mounten?! damit man fröhlich sachen ins Web uploaden könnte ? (>= 200MB ) *ggg*

Quoted

Original von PhilRM
SSH ist der Standard beim Zugriff zur Verwaltung von Servern. Jede Kiste, die in irgendeiner Rechenzentrum steht und von ferne administriert wird, nutzt dieses Protokoll.
[...]
Netzwerksicherheit ist wichtig; jedoch in Zeiten der Vernetzung zu verlangen, sich an einem bestimmten geographischen Ort für den Zugriff zu befinden, halte ich für verfehlt.

Ja, aber Remote-Administration passiert nicht von irgendwo, sondern von fest definierten Rechnern; SSH sollte auf diesen Rechnern schon laufen, aber Verbindungsversuche von UNBEKANNTEN externen Clients sollten auf jeden Fall (per Firewall oder vom SSH-Rechner selber) abgeblockt werden. Zugriff von außen also nur auf unbedingt für die Funktionalität des Angebots erforderliche Netzwerkdienste! Und für das Ausgangsproblem muß das bedeuten, daß auf selene kein SSH für jedermann stattfinden darf.

Quoted

@KreiS
Es muss nicht unbedingt ein Bug sein, wenns nicht funzt. Vielleicht sollte es auch nicht. (wegen Sicherheit???)Hmm..

es gibt schon einen offiziellen bug, der so gravierend ist, das man nun hart durchgreift und halt auf die neuen Protokoll versionen umsteigt.

Quoted

Original von Joachim
Ja, aber Remote-Administration passiert nicht von irgendwo, sondern von fest definierten Rechnern; SSH sollte auf diesen Rechnern schon laufen, aber Verbindungsversuche von UNBEKANNTEN externen Clients sollten auf jeden Fall (per Firewall oder vom SSH-Rechner selber) abgeblockt werden. Zugriff von außen also nur auf unbedingt für die Funktionalität des Angebots erforderliche Netzwerkdienste! Und für das Ausgangsproblem muß das bedeuten, daß auf selene kein SSH für jedermann stattfinden darf.

Nope, sorry, dem muß ich widersprechen. Der Sinn einer Remote-Administration besteht ja gerade darin, den Zugriff von mehreren externen Systemen aus zu erlauben - ansonsten kannst du ein Kabel von dir zum Server verlegen - abprüfbar ist das ganze entweder durch das berühmte Benutzername/Passwort-Paar oder, wenns mal ganz hart kommt, durch RSA-Schlüsselpaare (letzteres für wichtigere Server als die Uni-Studenten-Rechner!).

Phil

Quoted

Original von PhilRM
Der Sinn einer Remote-Administration besteht ja gerade darin, den Zugriff von mehreren externen Systemen aus zu erlauben

Das steht ja außer Frage, aber als Admin weiß ich doch vorher, welche externen Rechner das sein werden (z. B. externe Firmen-PCs oder die Heim-Rechner der Admins) und kann den Zugriff entsprechend beschränken. Oder (so wird das zumindest in der Firma gemacht bei der ich nebenbei jobbe) man läßt eine solche Verbindung nur gekoppelt mit dem Einsatz eines Remote-Access-VPNs zu (die Zugriffsberechtigten werden dann natürlich soft- und evtl. hardwaremäßig entsprechend ausgerüstet). Diese Alternative entfällt natürlich für Otto Normaladministrator meistens aus Preisgründen, aber den Zugriff auf bestimmte PCs (oder wenn's nun gar nicht anders geht zumindest auf bestimmte Netze) einschränken sollte man schon. Oder siehst du das anders?

Natürlich muß der Zugriff eingeschränkt werden, aber nicht dadurch, daß die RECHNERWAHL eingeschränkt wird. IP-Sperre, um ein Beispiel zu nennen, ist schon wegen deiner Wahl des Admin-Heimrechners unmöglich.

Es ist Aufgabe des Remote-Zugriffs-Protokolls bzw. der Anwendungen, das zu regeln. Und da gibt es ja Möglichkeiten, z.B. über Passwörter oder Key Pairs. Wie du schon angesprochen hast, geht es natürlich auch extern über Tunneling. Alles aber unabhängig vom Rechner und prinzipiell von überall möglich. Abschotten ist nicht der Weg, die Sache muß einfach "Smart" vor sich gehen

So long

Phil

Quoted

Original von PhilRM
Natürlich muß der Zugriff eingeschränkt werden, aber nicht dadurch, daß die RECHNERWAHL eingeschränkt wird. IP-Sperre, um ein Beispiel zu nennen, ist schon wegen deiner Wahl des Admin-Heimrechners unmöglich.

Für die Uni ist das z. B. nicht unmöglich, weil die ja soweit ich weiß einen eigenen Einwahlserver betreibt. Und auch sonst lassen sich bestimmt (mit gewissem Aufwand natürlich) immer Mittel und Wege finden. Aber egal, zu dem Thema gibt es ja noch Vorlesungen.

Vollkommen überzeugt hast du mich zwar nicht, aber wenigstens sind wir uns darüber einig, daß Netzwerksicherheit ein wichtiges und sehr ernst zu nehmendes Thema ist. Das geht ja leider in viele Köpfe nicht rein (vor allem nicht in die von IT-Verantwortlichen, wenn man nur an die [vermeidbaren!] regelmäßigen Horrormeldungen der Branche denkt). Damit können wir das hier wohl beenden.