[hannover] Umgang mit Sicherheitsfragen

[Peter Cleve]

On 08/15/2014 02:22 PM, Privat wrote:

Ich kenne den konkreten Setup zwar nicht, gebe aber trotzdem mal meine 2
Cent zum besten.
> Folgende Probleme sind uns bisher aufgestoßen:
> - Keine integrierte Firewall: Unbedarfte User stellen möglicherweise
> ungewollt (angreifbare) Dienste zur Verfügung, da - anders als sie es
> gewohnt sind - keine Firewall Freigaben etc. ins Internet automatisch
> unterbindet.

Der Angreifer muß die Pakete auch bis an das FF-Interface des Routers
bringen.
Eine Defaultpolicy die nur Verbindungsaufbauten von Innen nach Aussen
zulässt, das
FF-Interface schützt und Adressspoofing blockt hilft schon einiges.

> - ARP-Spoofing und ähnliche Attacken: sind aufgrund der
> Gleichberechtigung der Clients sehr viel leichter durchführbar.
> Hierdurch steigt die mögliche Angreiferzahl und die Angriffsfläche, der
> sich die User aussetzen.
Layer 2 Security ist, war und wird immer schwierig bis unmöglich sein.

> - Tracking via MAC-Adresse: Da Batman die Routingtabelle und Alfred
> Geodaten offen durchs Netz pusten, sind Nutzer leicht anhand ihrer
> MAC-Adresse von jedem trackbar.
Layer 2 Security ist, war und wird immer schwierig bis unmöglich sein.
Routing geht
halt nur wenn das Routing konsistent ist und das impliziert das die
routenden
Knoten wissen wo es lang geht.

Es ist quasi das gleiche Dilemma wie im Internet, den Transportnetzen
kann man per Definition
nicht trauen und Security kann daher nicht bei den Transportnetzen
ansetzen. IPSEC im Transportmode
macht niemand und IPSEC ist auch zu komplex um sicher zu sein. Und wo
sollte der TrustAncor sitzen?



-- 
Telling consumers their data is in the cloud is like telling a kid his dog has gone to doggie heaven. (Time Magazine - 2011)