Re: wie sieht die Minimallösung aus?

helmut woess schrieb:

> Am Sun, 06 Nov 2005 10:12:55 +0100 schrieb Oliver Schad:
> Wie kann man es dann besser machen ohne das der Aufwand dabei
> steigt? und warum genügt es den Sicherheitsanforderungen nicht?
> Besser als ein persönlich Check direkt zum Zeitpunkt des Connects
> parallel dazu am Telefon - das ist doch nicht mehr zu toppen.

Eine IP-Adresse taugt nicht zur Identifizierung.

> Und wenn jemand das Ding löscht, dann nehme ich meine Sicherung her
> und ghoste das Ganze in 20 Minuten wieder drauf.

Was passiert, wenn die Daten beim Transport verfälscht werden, ohne,
dass du das merkst? Wäre das schlimm? Wenn ja, musst du die
Integrität der Daten irgendwie sicherstellen.

>> Nein, ein Paketfilter wäre die richtige Lösung, nicht eine PFW.
>> Falls du wirklich als einzige Sicherheitsmaßnahme IP-Filterung
>> willst, schau dir mal wipfw an.
>>
>> Wird per Kommandozeile konfiguriert, ist schön klein.
>> http://wipfw.sourceforge.net/index.html
>> http://wipfw.sourceforge.net/documentation.html
>>
> Das schaut schon interessant aus. Benutzt du das auch selber?

Ja.

> Mich würde interessieren, wie zB die Konfiguration aussieht, wenn
> ich ALLE Anfragen von aussen sperren will, NUR der IP
> 123.456.123.456 soll es erlaubt sein, alles was am Server
> freigegeben ist und über TCP/IP arbeitet, zu benutzen.

Doku-Seite lesen, da stehen einige Beispiele drin.

Alles verboten, dazu wipfw.conf editieren (vorher den Rummel
installieren, wie in der Doku beschrieben):

-f flush
add deny all from any to any

Fertig. "init.cmd" aufrufen. Wenn du Zugriff von einer bestimmten IP
erlauben willst, eine Regel vor dem deny reinquetschen, die ein- und
ausgehend die Verbindung erlaubt.

add allow tcp from [IP-Adresse des Gegenübers] to any [Portnummer DB]
in
add allow tcp from any [Portnummer DB] to [IP-Adresse des Gegenübers]
out

Vielleicht musst du noch DNS-Abfragen erlauben (UDP und TCP zu Port 53
des Name-Servers und wieder zurück), aber das darfst du mal selber
bauen.

> ...
>> Bei der Lösung mit dem SSH-Tunnel musst du darauf achten, dass
>> derjenige, der den Tunnel aufbaut, keine Shell zur Verfügung
>> gestellt bekommt, mit der er auf deinem Rechner arbeiten kann.
>>
> SSH brauche ich wohl nicht, da ja nur die freigegebene IP auf meinen
> Server kann und das was übertragen wird sind nur reine Demodaten,
> wenn also jemand glaubt die Personalnummer von Max Mustermann wäre
> wichtig, dann soll er sich ruhig reinhängen und mitlesen.

Die Frage ist noch, ob die Daten auch verfälscht werden dürfen.

mfg
Oli

--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen.
.

Relevant Pages

  • Re: JavaAnwendung auf Server
    ... > auf dem server läuft und auf der client-seite nur ein browser ... Je nachdem kann man mit einem Browser schon recht gut handhabbare ... Prev by Date: ... Next by Date: ...
    (de.comp.lang.java)
  • Re: Errori di make con Fink e server audio.
    ... come faccio a disabilitare il server audio di default di OS ... l'output verso un server esound. ... Prev by Date: ... Next by Date: ...
    (it.comp.macintosh)
  • Re: Zeichensatzdeklaration
    ... keinesfalls im Sinne des Usenet. ... nicht vorhandene Validation durch die Server ist ein solcher Mangel ... Prev by Date: ... Next by Date: ...
    (de.comp.os.unix.linux.misc)
  • Re: ASP.NET Hosting mit Server4You
    ... einfach die Erstellung mit dem VWD und den Vorlagen geht, ... Wie schaut denn die Filestruktur auf dem Server aus? ... Prev by Date: ... Next by Date: ...
    (microsoft.public.de.german.entwickler.dotnet.asp)
  • Re: Raketenmotoren was ist so teuer an ihnen?
    ... > Bei der wickipedia sind Bilder von Staatlichen ... Vielleicht weil die Bilder zu Werbezwecken freigegeben wurden, ... Prev by Date: ... Next by Date: ...
    (de.sci.raumfahrt)