Re: ISDND: Aufzucht und Hege

From: Bernd Walter <ticso(at)cicely.de>
Date: Thu, 14 Oct 1999 12:12:11 +0200



On Thu, Oct 14, 1999 at 05:45:06AM +0200, Marc Santhoff wrote:


> Bernd Walter wrote:


> > 


> > Warum willst du da ueberhaupt was aendern?


> > Normalerweise laeuft das ohne zutun.


> > 


> > Wenn der garantiert die Verbindung nicht aufbauen soll dann reicht


> > eigendlich ein down aufs isp device - bei reinkommenden Rufen geht der


> > allerdings denoch auf up und bleibt dann so :(


> > Ein anschliessender up sollte keine Probleme bereiten.


> > 


> 


> Ich will den isdnd nur zeitweise laufen haben. Nach etwas rumspielen


> und Dokulesen gehts mit dem ersten Befehl des up-skriptes und dem


> expliziten löschen der route. Welcher dämon sollte das denn sonst tun?


> 


Die Route brauchst du nicht loeschen, da durch das Interface sowieso nichts


durchgeht wenns auf down ist.


Den isdnd solltest du laufen lassen.



> > >


> > > 3. Gibt es eine Möglichkeit, im log oder der accountdatei


> > > festzuhalten, welcher user/prozeß die Anwahl ausgelöst


> > > hat ?


> > 


> > Jein.


> > Die Erfahrung hat gezeigt das fast alle Verbindungen mit einer DNS Anfrage


> > beginnen.


> > Ich benutze selber einen Internen DNS-Server, welcher alle Anfragen logged.


> > Dadurch kann ich im Bedarfsfall mit ziemlicher Sicherheit sagen welcher Rechner


> > mit wem kominizieren wollte.


> > Alternativ duerfte das auch mit einem tcpdump auf Port 53 gehen.


> > Ist zwar nicht 100% aber fuer mich ausreichend.


> 


> Hm, das hieße entweder doch DNS aufsetzen (wollt' ich mir sparen) oder


> ständig tcpdump laufen haben. Gibt's dadurch andere Probleme, z.B. mit


> der Systemsicherheit? Wenn nein, käme diese Lösung schon in Frage.


> 


Naja - es gibt das Argument das bpf ein sekundaeres Sicherheitsproblem


darstellt.


Wenn der Rechner einmal offen ist kann man mit dessen Hilfe dann recht haeufig


mit wenig Aufwand weiter - hier gibt es ohnehin eine grosse Kluft zwischen


Sicherheit und Debuggingmoeglichkeiten. Ich persoenlich wuerde den Debugging-


features so oft wie moeglich den Vorang geben.



Ein eigener DNS ist meines Erachtens nach ein zusaetzlicher Schutz.


Er stellt zwar auch ein Service dar, welcher in gewissem Umfang auch von


draussen ereichbar sein muss. Aber man kann das auf einen Forwarder reduzieren


und entsprechend Filtern, dann ist das auch nicht schlimmer als direkte Anfragen


des Clients. Man hat aber nur noch eine Stelle, welche Anfragen stellt.



-- 
B.Walter                  COSMO-Project              http://www.cosmo-project.de
ticso(at)cicely.de             Usergroup                info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 14 Oct 1999 - 12:11:14 CEST













search this site