[Postfixbuch-users] Meinungen zu Header Manipulation um die interne Infrastruktur zu verstecken...

Igor Sverkos igor.sverkos at googlemail.com
Mo Mai 21 23:46:39 CEST 2012


Guten Abend,

Patrick Ben Koetter schrieb:
> Wir machen das auf Kundenwunsch und bei Kunden mit entsprechenden
> Schutzanforderungen, weil z.B. gerade diese Opfer gezielter Angriffe sind bei
> denen die Kenntnis interner Strukturen oder Software den Erfolg des Angriffs
> erhöht. Wenn man nicht weiß worauf man genau Zielen soll, z.B. Virenscanner A
> oder B oder gar C, dann erhöht das z.B. den Schutz, weil die Scanner alle
> spezifische Schwachstellen haben.

Das schützt aber allenfalls die Infrastruktur, also das niemand den
Daemon des Virenscanners ect. übernimmt - nicht den Nutzer.
Aber das ist nichts Neues - jeder Dienst kann einmal kompromittiert
werden, umso wichtiger ist:

1) Ich muss das zeitnah feststellen - Monitoring!

2) Richtige Rechte. Ein kompromittierter Dienst darf andere Dienste
nicht gefährden (Isolation)!

Letztendlich ist das die leidliche Security-Through-Obscurity Diskussion:

Wenn eine Bank in ihrem Aushang Blaupausen, Informationen zu den
verwendeten Sicherheitssystemen und die Dienstpläne des Wachpersonals
veröffentlichen würde, würde das auch niemand nachvollziehen können und
für einen Fehler halten.

Auf der anderen Seite: Wenn die Pläne zeigen, "Wir sind sicher, bei uns
lohnt es nicht", kann es auch von Vorteil sein...


Ähnliche bei SSH: Ändere ich den Default-Port, um von den Skript-Kiddies
verschont zu werden?
Auf der anderen Seite: Wieso? Wenn meine Sicherheitssysteme greifen wie
sie sollen, dann wird das alles gefiltert und gut.

Schalte ich bei einem Webserver eine Firewall mit IDS vor? Was gewinne
ich dadurch? Der Webserver muss nicht mehr sicher sein, weil ich fortan
nur noch legitime/valide Requests durchlasse.
Nur ist das wirklich ein Gewinn oder verschiebe ich da nicht eher etwas...?


Ich würde so wenig wie möglich nach außen weitergeben. Niemand muss
wissen, dass ich Software X in Version Y verwende. Wenn ich das also
abschalten kann, wieso nicht...

Aber:
Wenn die Entfernung solcher Informationen mit Aufwand verbunden ist,
dann sollte ich es lassen. Warum? Ich muss davon ausgehen, dass diese
Informationen bereits bekannt sind oder bekannt werden (sei es, weil das
Setup schon mehrere Jahre so in Betrieb ist, d.h. sich unzählige Mails
mit den Informationen via Google finden lassen oder weil ein Mitarbeiter
das einfach erzählt hat). Insofern ist es aus meiner Sicht sinnfrei, da
groß Wind zu machen und sich im Zweifel noch das Leben unnötig schwerer
zu machen...

Dennoch: Im Zweifel spielt fehlendes Wissen gegen den Angreifer. Ich
sollte mir allerdings nichts darauf einbilden ("...mit dem Patchen kann
ich warten, weiß ja eh niemand...").


-- 
Ich Grüße,
Igor



Mehr Informationen über die Mailingliste Postfixbuch-users