Re: BSI-Grundschutz
- From: Oliver Schad <nospam.spam.entfernen@xxxxxxxxx>
- Date: Tue, 04 Nov 2008 10:20:44 +0100
Juergen P. Meier schrieb:
Oliver Schad <nospam.spam.entfernen@xxxxxxxxx>:
sagt mal, wer hat eigentlich den BSI-Leuten so in's Hirn geschissen,
dass die die besten Tipps aus Chip oder Computer-Blöd als
Absicherungen empfehlen?
Ich mein vor Jahren hab ich ja schon mit dem Kopf geschüttelt
stellenweise, aber als ich neulich den Baustein Absicherung von APs
studierte, wurde mir schlecht.
Wer kotzen will, liest auch
http://www.bsi.de/gshb/deutsch/m/m04294.htm
Ich finde den 6. Punkt wesentlich kritischer, zumal er ganz klar gegen
G-WLAN-19 verstoesst (Gefahrenkatalog WLAN) und damit strenggenommen
ein nach Grundschutz gebautes WLAN gegen die eigenen Grundschutzregeln
verstoesst, und so nicht fuer hohes Sicherheitsanforderungen
zertifiziert werden darf. (Im Massnahmenkatalog ist das sogar eine
eigene "Schutzmassnahme" - Inkonsistenz in Reinform).
Das ist ein grober und eklatanter Fehler im gesamten WLAN-Grundschutz.
Äh, wenn man wissen will, ob das auch das richtige Netz ist als Client,
dann kann man das auch einfach gegen $IRGENDWAS prüfen. Normalerweise
braucht man das aber nicht, es sei denn, man macht $SCHEISS.
Der Rest ist allerdings recht sinnvoll und brauchbar.
Sehe ich ganz anders.
(Aus diesem Grunde betrachte ich das Grundschutzhandbuch bzw. den
WLAN-Katalog auch nur als Vorlage).
Ich würd den Teil mal komplett in die Tonne kloppen.
Und das soll ich so einrichten, damit ich nach außen hin behaupten
kann, ich tue was für IT-Sicherheit? HALLO?
Den AP DHCP machen zu lassen ist ja auch eine Dumme Idee[tm].
Was soll daran dumm sein?
Allerdings ist es ebenso daemlich, DHCP zu verteufeln. DHCP sollte der
wenn vorhanden ein WLAN Distribution Switch machen, oder ein
dedizierter DHCP Server, den man anders als die meisten APs ordentlich
absichern kann (siehe Rest des Gefahrenkatalogs).
Es ist eine furchtbar dumme Idee einen WLAN-AP dafür einzusetzen, die
Vertraulichkeit von Kommunikation zu gewährleisten aus meiner Sicht.
Und auf einem WLAN-AP kann auch ein vernünftiger DHCP-Server laufen -
was ist das für eine komische Argumentation von dir?
Das allerdings nur in Verbindung mit gegenseitiger Access-Schicht-
Authentifizierung und -Sicherung (802.11i mit EAP-TLS (802.1x) oder
EAP-MS-CHAP+ADS-KERBEROS), nur dann kann der Client sicher sein, mit
nur dem echten DHCP server zu reden, und der DHCP server kann sicher
sein, nur mit dem echten Client zu reden.
Es ist in vielen Fällen total Wurst, mit welchem AP man redet als
Client, weil man sowieso immer die Gegenstellen bei kritischer
Kommunikation auf höheren Schichten als Layer 2 prüft.
DHCP selbst bietet nunmal grundsaezlich keinerlei Schutz gegen
Manipulation, und hat sogar eine ansonsten recht leicht auszunutzende
Angriffsflaeche (Angriff: einfach), wobei das Schaden maximal ist
(Schaden: hoch), woraus ein hohes Risiko resultiert.
So kann ein Netzteilnehmer bei ungeschuetztem DHCP dir als Client
falshce DNS-Server, defaultrouter, WINS-Server, Proxies etc.
unterjubeln, ohne dass du das am Client merkst.
Wenn man das richtig macht, ist das scheiß egal.
Von daher ist die Forderung des BSI zumindest nachvollziehbar, wenn
hier auch eine deutliche Differenzierung wuenschenswert ist.
Sie ist strunz hohl, aber nachvollziehbar in kleinen Gehirnen. Darauf
können wir uns einigen.
mfg
Oli
--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen.
.
- Follow-Ups:
- Re: BSI-Grundschutz
- From: Juergen Ilse
- Re: BSI-Grundschutz
- References:
- BSI-Grundschutz
- From: Oliver Schad
- Re: BSI-Grundschutz
- From: Juergen P. Meier
- BSI-Grundschutz
- Prev by Date: Re: XP herunterfahren bei falschen Login // Abbruch der Netzwerkverbindung // Per E-Mail?
- Next by Date: AntiVIR für Linux
- Previous by thread: Re: BSI-Grundschutz
- Next by thread: Re: BSI-Grundschutz
- Index(es):
Relevant Pages
|
