From: "Kristian Rask" <none@krask--mediac.dk.lh.bsd-dk.dk> To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk> Subject: Re: NetBus/SubSeven toolkit? Date: Mon, 6 May 2002 19:51:11 +0200
Hej
> > Hvor i ligger det "meget, meget dumme" ved at anvende et pakkefilter
> > til at definere hvem der må tale med hvilke services ?
>
> Det er jo ikke det du goer. I stedet for at opgradere software med
> kendte sikkerhedsfejl bruger du et IP filter som eneste forhindring i at
> enhver kan bryde ind paa dine maskiner. Det er meget, meget dumt.
Næhh nej...
Du sagde : Hvorfor bruge firewalls ?
Jeg kom så med et eksempel på, at en sund paranoid holdning har beskyttet maskinen,
indtil exploiten(ene) blev kendt og at jeg faktisk kender til maskiner der lever i bedste velgående
i upatchet tilstand. Det at jeg er hyret til at opstille og konfigurere en maskine, gør mig ikke
personligt ansvarligt for andres manglende vilje til at skyde penge i vedligeholdelse.
Når jeg nævner at de trænger og ingen vil smide mønt på bordet, ja så er det da heldigt at
de er sat paranoidt op.
> Jeg gaar fuldt ind for, at blokere adgang til services der kun skal
> bruges internt, men det betyder ikke at det er passende at koere
> services med kendte fejl i. Det betyder blot, at naeste gang der bliver
> fundet en fejl i noget software kun interne mennesker kan naa, behoever
> du ikke styrte ind paa arbejdet midt om natten for at patche dine
> maskiner. Du kan sikre dig at servicen ikke er tilgaengelig for resten
> af verden og vente til naeste morgen med at reagere.
Ligeprecist ! Derfor en firewall
> Men det er dine maskiner, saa det staar dig naturligvis frit at tage mit
> raad eller smide det vaek. Nu er det hvertfald givet.
Næhh.. det er en kundes, kundes maskiner... men da ingen andre piller i
dem har jeg en tendens til at kalde dem "mine" maskiner :-)
mvh
Kristian
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:20 CET