Guru
Date of registration: Dec 11th 2001
Location: Hämelerwald
Occupation: Wissenschaftlicher Mitarbeiter (Forschungszentrum L3S, TU Braunschweig)
Ganz einfach: jeder offene Port bzw. jeder Dienst der (interaktiv) von außen nutzbar ist, stellt ein potentielles Sicherheitsrisiko dar. Man kann zwar alles so toll konfigurieren wie man will, aber vor Sicherheitslöchern in der Software selber ist man nie sicher (wie man kürzlich gerade am Beispiel SSH gesehen haben dürfte). Und selbst wenn die Software bugfrei wäre (was sie natürlich nie sein wird), sind immer noch (mehr- oder minderschwere) DoS-Attacken möglich. Daß der Zugriff auf diese Weise aus dem Uni-Netz möglich ist, hat erstens praktische Gründe und zweitens ist das Uni-Netz (im Gegensatz zum Internet) eine kontrollierte und überschaubare Umgebung.Quoted
Original von MAX
Wieso sollte das Einloggen von zu Hause für Uni ein Risiko darstellen??? Das würde mich interessieren. Man ist sowieso in den Tätigkeiten sehr eingeschränkt. Was kann da so viel passieren??? Wo soll denn der Unterschied liegen, ob du dich dort oder von zu Hause einloggst??? (Vorausgesetzt es ist alles richtig konfiguriert) Ich sehe da kein Risiko!
Guru
Date of registration: Dec 11th 2001
Location: Hämelerwald
Occupation: Wissenschaftlicher Mitarbeiter (Forschungszentrum L3S, TU Braunschweig)
Das ist Einstellungssache. Netzwerksicherheit ist aus meiner Sicht (und da stehe ich bestimmt nicht alleine) eine Sache, bei dem man nie vorsichtig genug sein kann. Gerade bei Firmen ist es vor allem ein finanzieller Verlust, wenn Server gehackt, Daten manipuliert oder Server einfach lahmgelegt werden. Und als Universität sollte man in dieser Hinsicht eigentlich Vorbild sein; zumal der Nutzen in unserem konkreten Fall wie gesagt gering ist. Oder siehst du das anders?Quoted
Original von MAX
So ernst ist es auch nicht!!! Und falls welche Attacken durchgeführt werden, dann ist es immer eine Herausforderung für Verwalter. Können sie ja die Löcher so stöpfen!!!
Guru
Date of registration: Dec 11th 2001
Location: Hämelerwald
Occupation: Wissenschaftlicher Mitarbeiter (Forschungszentrum L3S, TU Braunschweig)
Ja, aber Remote-Administration passiert nicht von irgendwo, sondern von fest definierten Rechnern; SSH sollte auf diesen Rechnern schon laufen, aber Verbindungsversuche von UNBEKANNTEN externen Clients sollten auf jeden Fall (per Firewall oder vom SSH-Rechner selber) abgeblockt werden. Zugriff von außen also nur auf unbedingt für die Funktionalität des Angebots erforderliche Netzwerkdienste! Und für das Ausgangsproblem muß das bedeuten, daß auf selene kein SSH für jedermann stattfinden darf.Quoted
Original von PhilRM
SSH ist der Standard beim Zugriff zur Verwaltung von Servern. Jede Kiste, die in irgendeiner Rechenzentrum steht und von ferne administriert wird, nutzt dieses Protokoll.
[...]
Netzwerksicherheit ist wichtig; jedoch in Zeiten der Vernetzung zu verlangen, sich an einem bestimmten geographischen Ort für den Zugriff zu befinden, halte ich für verfehlt.
Quoted
@KreiS
Es muss nicht unbedingt ein Bug sein, wenns nicht funzt. Vielleicht sollte es auch nicht. (wegen Sicherheit???)Hmm..
Quoted
Original von Joachim
Ja, aber Remote-Administration passiert nicht von irgendwo, sondern von fest definierten Rechnern; SSH sollte auf diesen Rechnern schon laufen, aber Verbindungsversuche von UNBEKANNTEN externen Clients sollten auf jeden Fall (per Firewall oder vom SSH-Rechner selber) abgeblockt werden. Zugriff von außen also nur auf unbedingt für die Funktionalität des Angebots erforderliche Netzwerkdienste! Und für das Ausgangsproblem muß das bedeuten, daß auf selene kein SSH für jedermann stattfinden darf.
Guru
Date of registration: Dec 11th 2001
Location: Hämelerwald
Occupation: Wissenschaftlicher Mitarbeiter (Forschungszentrum L3S, TU Braunschweig)
Das steht ja außer Frage, aber als Admin weiß ich doch vorher, welche externen Rechner das sein werden (z. B. externe Firmen-PCs oder die Heim-Rechner der Admins) und kann den Zugriff entsprechend beschränken. Oder (so wird das zumindest in der Firma gemacht bei der ich nebenbei jobbe) man läßt eine solche Verbindung nur gekoppelt mit dem Einsatz eines Remote-Access-VPNs zu (die Zugriffsberechtigten werden dann natürlich soft- und evtl. hardwaremäßig entsprechend ausgerüstet). Diese Alternative entfällt natürlich für Otto Normaladministrator meistens aus Preisgründen, aber den Zugriff auf bestimmte PCs (oder wenn's nun gar nicht anders geht zumindest auf bestimmte Netze) einschränken sollte man schon. Oder siehst du das anders?Quoted
Original von PhilRM
Der Sinn einer Remote-Administration besteht ja gerade darin, den Zugriff von mehreren externen Systemen aus zu erlauben
Guru
Date of registration: Dec 11th 2001
Location: Hämelerwald
Occupation: Wissenschaftlicher Mitarbeiter (Forschungszentrum L3S, TU Braunschweig)
Für die Uni ist das z. B. nicht unmöglich, weil die ja soweit ich weiß einen eigenen Einwahlserver betreibt. Und auch sonst lassen sich bestimmt (mit gewissem Aufwand natürlich) immer Mittel und Wege finden. Aber egal, zu dem Thema gibt es ja noch Vorlesungen.Quoted
Original von PhilRM
Natürlich muß der Zugriff eingeschränkt werden, aber nicht dadurch, daß die RECHNERWAHL eingeschränkt wird. IP-Sperre, um ein Beispiel zu nennen, ist schon wegen deiner Wahl des Admin-Heimrechners unmöglich.