Hi Dr.Einstein,
Daher ist das ein eher hyptothetisches Problem - aber da Aushilfsinformatiker eine Schule absichern will, sollte er mit maximaler Paranoia an das Problem herangehen - und da heißt die Lösung: Deny-All Strategie.
BTW: in der IPv6-Firewall sind die Regeln im Default auf "Allow-Outgoing" gesetzt, weil dort der "Mindestschutz" durch das NAT gänzlich fehlt
Gruß
Backslash
weil es nicht so schlimm ist... Ein Angriff ist ja nur dann möglich wenn der Angreifer zunächst den Port kennt der vom NAT gewählt wurde - und dann muß er noch wissen, welche Ziel-Adresse und welchen Ziel-Port der initiierende Rechner angesprochen hat, um einen wirksamen Angriff durchzuführen - spich: eine gefälchte Antwort zu schicken, die auch ausgewertet wird...Wenn das alles so schlimm ist, wieso ist dann der Default im Lancom 'Allow All'? Nicht mal 'Allow All Outgoing'? Auch LanConfig und die LMC ignorieren diesen Punkt komplett und lassen alles IPv4 mäßige offen.
Daher ist das ein eher hyptothetisches Problem - aber da Aushilfsinformatiker eine Schule absichern will, sollte er mit maximaler Paranoia an das Problem herangehen - und da heißt die Lösung: Deny-All Strategie.
BTW: in der IPv6-Firewall sind die Regeln im Default auf "Allow-Outgoing" gesetzt, weil dort der "Mindestschutz" durch das NAT gänzlich fehlt
Gruß
Backslash
Statistik: Verfasst von backslash — Heute, 11:24
