Pflichtenheft aktuell (2)

Alexander Dubielczyk Alexander.Dubielczyk at gmx.de
Fri May 23 11:51:35 CEST 2003 

Am Fre, 2003-05-23 um 10.38 schrieb Stephan Beyer:

Hallo Stephan,

> > Meine persönliche Konsequenz war, bei der Erweiterung des Netzwerks nur
> > noch entsprechend geschützte Switches zu kaufen und soweit möglich SSL zu
> > verwenden.
> 
> SSL alleine muesste es aber doch auch tun? so fuer low-budget ;)
> nur die server (http, pop, imap etc) mit ssl auszuruesten stellt ja kaum
> ein problem dar (entsprechende pakete installieren), problem ist eher,
> dass, das umsonst ist, wenn der client kein ssl will, also zb emails
> ohne ssl abgerufen werden... insoweit moeglich, koennte man dafuer eine
> art serverseitigen ssl-zwang einfuehren, der es aber auch nicht bringt,
> da ein zb alter mailclient sich trotzdem unverschluesselt einloggt, die
> daten uebers netz gehen, nur der server es dann nicht annimmt ;)

Im Prinzip sollte es reichen die kritischen Dienste bzw. bei HTTP die
entsprechenden Webseiten, die passwortgeschützte Logins haben oder
sensible Daten anzeigen über HTTPS abzuwickeln. Damit kannst Du schon
mal alle Möglichkeiten intern Daten zu stibitzen ausschalten. Ich habe
die Hardware nicht nur deswegen ausgetauscht, sondern auch weil ich
zusätzlich noch die Funktionalitäten von VLANs brauchte (siehe Thread
zur Klausurumgebung vor einiger Zeit). Da hat sich das alles automatisch
miterledigt.

> interessant wird es auch beim proxy. man muesste ja naemlich auch diese
> daten verschluesseln, also ein https-proxy, wobei ich nicht weiss, ob
> sich nicht trotzdem da die unverschluesselten daten vorher wegsniffen
> lassen (und ich glaub das geht).

Problematisch sind unverschlüsselte Zugriffe auf externe Ressourcen
(Webmail wie GMX oder web.de oder sowas). Allerdings vertrete ich da den
Standpunkt, dass es nicht Aufgabe eine lokalen Netzwerks bzw. dessen
Betreuers sein kann, die mangelhaften Sicherheitsvorkehrungen anderer zu
beheben. Es muss sich eh jeder klar darüber sein, dass unverschlüsselte
Daten auf dem Weg zum Ziel von irgendwem abgehört werden könnten, auch
außerhalb des Schul-LANs.

Gruss,
		Alex


-- 

Alexander Dubielczyk <Alexander.Dubielczyk at gmx.de>

Public PGP/GPG Key: http://www.rep-intern.de/keys/alexdu.gpg
Key fingerprint = 61BA 2C78 3503 B7ED 9B00 61DA D8D8 6C8F 3F2B 1302

More information about the SAN mailing list