Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

propritäre Software für VPN

1 view
Skip to first unread message

Stevan Tiefert

unread,
Aug 27, 2004, 11:52:46 AM8/27/04
to
Liebe Newsgroup,

was soll eigentlich der Unsinn mit der Cisco-Software? Sie ist so propritär,
daß nicht mal andere Betriebssysteme diese verwenden können, darunter
OpenBSD, FreeBSD, NetBSD, BeOS, OS/2,... Es ist doch nicht schön, wenn an
einer Stätte der Forschung und Wissens eine Software verwendet wird, welche
bestimmte Personengruppen ausgeschlossen werden, wegen einer technischen
unnötigen Entscheidung. Diese ist rückgängig zu machen!

--
Wer nichts sein Eigen nennt, hat nichts! Wir sind uns aber selbst eigen!
Somit sind wir Eigner!

Stephan Rosenke

unread,
Aug 27, 2004, 1:36:27 PM8/27/04
to
Stevan Tiefert <stevan....@freenet.de> wrote:

> was soll eigentlich der Unsinn mit der Cisco-Software? Sie ist so propritär,
> daß nicht mal andere Betriebssysteme diese verwenden können, darunter
> OpenBSD, FreeBSD, NetBSD, BeOS, OS/2,... Es ist doch nicht schön, wenn an
> einer Stätte der Forschung und Wissens eine Software verwendet wird, welche
> bestimmte Personengruppen ausgeschlossen werden, wegen einer technischen
> unnötigen Entscheidung. Diese ist rückgängig zu machen!

Schau Dir doch mal http://www.unix-ag.uni-kl.de/~massar/vpnc/ an, *BSD
scheint da dabei zu sein.

Eine wirklich offene Lösung wäre schöner, aber ehe die Rücknahme gefordert
wird: gibt es Alternativen zu der Cisco-Lösung, die den Anforderungen ge-
wachsen sind?

--
cu,
Stephan

Stevan Tiefert

unread,
Aug 29, 2004, 5:09:33 PM8/29/04
to
Stephan Rosenke wrote:

Ich habe mir den Link angesehen und versucht die Software zu installieren.
Nachdem ich nach Fehlermeldungen die Installation aufgab, habe ich mich
daraufhin bei der dort verfügbaren Mailingliste
vpnc-...@unix-ag.uni-kl.de
eingetragen, um das Problem zu lösen. Ich werde, wenn das Problem gelöst
ist, dann posten, ob diese Software dann läuft und ob sie den Anforderungen
gewachsen ist.

Zu deinem zweiten Absatz, habe ich etwas sehr erfreuliches zu melden: Die
Software steht unter GPL! Sie ist also frei!!!

Also der Dank kommt später :-)

Stephan Rosenke

unread,
Aug 30, 2004, 6:44:11 PM8/30/04
to
Stevan Tiefert <stevan....@freenet.de> wrote:
> Stephan Rosenke wrote:

>> Eine wirklich offene Lösung wäre schöner, aber ehe die Rücknahme gefordert
>> wird: gibt es Alternativen zu der Cisco-Lösung, die den Anforderungen ge-
>> wachsen sind?

[...]

> Zu deinem zweiten Absatz, habe ich etwas sehr erfreuliches zu melden: Die
> Software steht unter GPL! Sie ist also frei!!!

Daß die Software frei ist, war mir klar - meine obige Bemerkung bezog sich
eher darauf, ob eine es eine freie[1] VPN-Lösung gibt, die in den Größen-
ordnungen von Cisco mitspielen kann.

[1] free as in free speech ...

--
cu,
Stephan

Stevan Tiefert

unread,
Sep 8, 2004, 3:14:30 AM9/8/04
to
Stephan Rosenke erleuchtete uns:

Mensch Meier!

das ist doch nicht mehr schön! Wenn man deinem Link folgt (für den ich
eigentlich dankbar bin) erhält man ein Produkt welches mit dem make
Programm von FreeBSD nicht kompilieren lässt! Man sagte mir ich solle
die GNU-Variante des Programms verwenden. OK, danach heißt es, daß die
libgcrypt-Bibliothek auf meinem System zu alt sei! Aber im ports-Tree
vom FreeBSD existiert keine neuere, also muß ich eine neue Version des
ports-Tree auffinden, welches mit CVS und portsupdate irgendwie zu
bewerkstelligen sei...
Ich habe ja Hochachtung vor den Kaiserslauterern, aber die
diskriminierende Cisco-Software der Universität des Saarlandes ist
Quatsch! Ich kann noch nicht einmal E-Mails ohne diese Software lesen!
Wo wäre denn das Problem gewesen, jedes Notebook per MAC-Hardwareadresse
der Netzwerkkarte Nutzungsrechte zuzuweisen? Das Rechenzentrum
verwendet doch einen DHCP-Server! Diese Variante ist doch freundlicher
und technisch sauberer auch zu seltenen Betriebssystemen...

Stephan Rosenke

unread,
Sep 9, 2004, 8:34:05 AM9/9/04
to
Stevan Tiefert <stevan....@freenet.de> wrote:

> Ich habe ja Hochachtung vor den Kaiserslauterern, aber die
> diskriminierende Cisco-Software der Universität des Saarlandes ist
> Quatsch! Ich kann noch nicht einmal E-Mails ohne diese Software lesen!

Wie gesagt, eine offene VPN-Lösung wäre schöner gewesen, aber gibt es
eine, die
- Open Source oder besser noch GPLed ist
- mit einigermaßen geringen Aufwand in die bestehende Struktur ein-
zubinden war
- und den Anforderungen dieser Größenordnung gewachsen ist?

Mir persönlich ist keine bekannt.

Wir sprechen doch vom WLAN, oder?

> Wo wäre denn das Problem gewesen, jedes Notebook per MAC-Hardwareadresse
> der Netzwerkkarte Nutzungsrechte zuzuweisen? Das Rechenzentrum
> verwendet doch einen DHCP-Server! Diese Variante ist doch freundlicher
> und technisch sauberer auch zu seltenen Betriebssystemen...

Und was ist das dann? Authentifizierung, die von jedem technisch
versierten umgangen werden kann?
Was passiert,
- wenn ich einfach eine feste IP# einstelle?
- wenn ich mir einfach eine gültige MAC ersniffe und diese an meine
Netzwerkkarte vergebe?
Was hindert mich daran, den Traffic der anderen Teilnehmer zu be-
lauschen oder daran herumzuspielen?[1] Nein, WEP ist kein Mittel, um
Sicherheit zu erreichen, WPA gab's noch nicht als das WLAN auf dem
Campus eingeführt wurde.
Will man Siherheit, muß man im WLAN VPN verwenden, abgesehen davon,
daß man so bereits vorhandene Authentifizierungsdatenbanken anzapfen
kann.

[1] z.B. so http://www.evilscheme.org/defcon/

--
cu,
Stephan

Stevan Tiefert

unread,
Sep 15, 2004, 4:19:32 AM9/15/04
to
Stephan Rosenke schrieb:

Ich rede hier nicht vom WLAN! Ich rede von den Netzwerkbuchsen im
Gebäude 16/Audimax. Da muß man physikalisch vor Ort sein! Somit können
nicht allzuviele Mißbrauchstäter im Audimax sitzen können, ohne das dies
auffallen würde. Außerdem versuche mal eine fest eingebrannte
Netzwerkadresse (MAC) zu fälschen...
Weiter ist das Problem, daß ich bis auf die Weboberfläche, nicht mit
einem externen Mailprogramm E-mais von meinem studentischen Account
schreiben und lesen kann. Ich benötige selbst mit einem kommerziellen
Zugang (egal von wo) diese VPN-Software.
Und vor was will man sich den schützen? Vor Viren? Vor Hackern? Wo ist
das Problem einen Universitäts-Rechner aus dem Internet zu attackieren?
Der Hacker benutzt die VPN-Software nicht um dann sozusagen mit Ausweis
einzubrechen?! Der macht das auch ohne... Warum also die normalen
Benutzer gängeln? Wo liegen da die Vorteile?

--
Ex Dipl.-Ing. wird politisch verfolgt.

Martin Wanke

unread,
Sep 15, 2004, 5:27:13 AM9/15/04
to
Hi;

[On Wed, 15 Sep 2004 10:19:32 +0200, Stevan Tiefert wrote:]

[diverses planloses Rumgenöle]

Du möchtest Dich über folgende Themen informieren:

- korrektes Quoting im Usenet
- Existenz der Möglichkeit, MAC-Adressen softwaremäßig zu ändern
- SSH-Benutzung, um sich auf Rechnern von außen (etwa zum Mailschreiben)
einzuloggen
- Firewall-Konfiguration des G-Win-Routers und diverser anderer Firewalls

Das ist ja allmählich unerträglich, was Du hier von Dir gibst.


Gruß
Mawan

--
## ## # *** M A R T I N W A N K E ***
# # # # #
# ## # ## # mail: use...@mawan.de
# # # # # WWW: http://www.mawan.de/
# ## ## PGP: http://www.mawan.de/aboutme/PGP-Keys/

*** That white horse you see in the park could be a zebra synchronized ***
*** with the railings. [Ann Jellicoe] ***

Stevan Tiefert

unread,
Sep 15, 2004, 5:34:30 AM9/15/04
to
Martin Wanke schrieb:

> Hi;
>
> [On Wed, 15 Sep 2004 10:19:32 +0200, Stevan Tiefert wrote:]
>
> [diverses planloses Rumgenöle]
>
> Du möchtest Dich über folgende Themen informieren:
>
> - korrektes Quoting im Usenet
> - Existenz der Möglichkeit, MAC-Adressen softwaremäßig zu ändern
> - SSH-Benutzung, um sich auf Rechnern von außen (etwa zum Mailschreiben)
> einzuloggen
> - Firewall-Konfiguration des G-Win-Routers und diverser anderer Firewalls
>
> Das ist ja allmählich unerträglich, was Du hier von Dir gibst.
>
>
> Gruß
> Mawan
>

Weißt du überhaupt wovon ich rede? Wie soll ich in einen Vorlesungsraum
einen Router mit mir rumschleppen? Und welche Firewall soll ich
konfigurieren? Meine eigene? Die hat mit der von mir geschilderten
Situation nichts zu tun! Und die fremde Firewall kann ich nicht
konfigurieren. Das wäre ja noch schöner... Und ssh läßt sich ohne die
VPN-Software ja nicht nutzen, denn ich erhalte erst gar keine IP-Adresse
ohne die VPN-Software... somit auch ssh keine Lösung...


--
Ex Dipl.-Ing. wird von mir politisch verfolgt.
http://people.freenet.de/stevan.tiefert/

Stephan Rosenke

unread,
Sep 16, 2004, 3:32:29 AM9/16/04
to
Stevan Tiefert <stevan....@freenet.de> wrote:
> Stephan Rosenke schrieb:

>> Wir sprechen doch vom WLAN, oder?

[Authentifizierung über MAC-Adresse unsicher und umständlich]

> Ich rede hier nicht vom WLAN! Ich rede von den Netzwerkbuchsen im
> Gebäude 16/Audimax. Da muß man physikalisch vor Ort sein! Somit können
> nicht allzuviele Mißbrauchstäter im Audimax sitzen können, ohne das dies
> auffallen würde.

Und bei WLAN muß ich nicht vor Ort sein? Die öffentlichen Netzbuchsen
gibt es in einigen Gebäuden, auch außerhalb von Räumen und es fällt
selten auf, wenn jemand mit Laptop in einem Uni-Gebäude herumsitzt
- gerade in den Ferien.

> Außerdem versuche mal eine fest eingebrannte
> Netzwerkadresse (MAC) zu fälschen...

BTDT. Für näheres willst Du Google befragen und Dir Clue zulegen, ehe
Du etwas in Bausch und Bogen negierst.

> Weiter ist das Problem, daß ich bis auf die Weboberfläche, nicht mit
> einem externen Mailprogramm E-mais von meinem studentischen Account
> schreiben und lesen kann. Ich benötige selbst mit einem kommerziellen
> Zugang (egal von wo) diese VPN-Software.

Häh? Ich habe gerade von einem kommerziellen Zugang nachgesehen:
telnet und ssh funktionieren. Zu POP3 und IMAP kann ich verbinden. Was
will man mehr? Daneben gibt es noch die Terminals, die CIP-Pools und
Mailweiterleitung, an seine Mails sollte man einfach kommen.

> Und vor was will man sich den schützen? Vor Viren? Vor Hackern? Wo ist
> das Problem einen Universitäts-Rechner aus dem Internet zu attackieren?

Geh auf die Seiten des RZ und lies die Sicherheitskonzepte.
Und versuche mal einen normalen Arbeitsplatz-PC an der Uni aus dem
Internet zu erreichen ...

> Der Hacker benutzt die VPN-Software nicht um dann sozusagen mit Ausweis
> einzubrechen?! Der macht das auch ohne... Warum also die normalen
> Benutzer gängeln? Wo liegen da die Vorteile?

Vorteil: kein unauthentifizierter Netzzugang ist möglich, Mißbrauch kann
unterbunden werden, Wurmepedemien schnell eingedämmt.

--
cu,
Stephan

Martin Wanke

unread,
Sep 16, 2004, 7:06:44 AM9/16/04
to
Hi;

[On Wed, 15 Sep 2004 11:34:30 +0200, Stevan Tiefert wrote:]

[Fullquote entsorgt]


> Weißt du überhaupt wovon ich rede?

Nicht so 100%ig, aber das scheint bei Dir nicht anders zu sein. Dafür bilde
ich mir ein, zumindest deutlich mehr Ahnung als Du von den Themen zu haben,
über die Du Dich hier ausläßt.


> Wie soll ich in einen Vorlesungsraum
> einen Router mit mir rumschleppen? Und welche Firewall soll ich
> konfigurieren? Meine eigene? Die hat mit der von mir geschilderten
> Situation nichts zu tun! Und die fremde Firewall kann ich nicht
> konfigurieren. Das wäre ja noch schöner...

?!? Habe ich irgendwo geschrieben, daß Du das sollst? Aus Deinem Posting:

: Und vor was will man sich den schützen? Vor Viren? Vor Hackern? Wo ist


: das Problem einen Universitäts-Rechner aus dem Internet zu attackieren?
: Der Hacker benutzt die VPN-Software nicht um dann sozusagen mit Ausweis
: einzubrechen?! Der macht das auch ohne... Warum also die normalen
: Benutzer gängeln? Wo liegen da die Vorteile?

Warum es jetzt (trotz Firewall) möglich sein soll, 'problemlos'
irgendwelche Uni-Rechner, noch dazu von außen (diverse Dinge sind sogar
zwischen verschiedenen Subnetzen eingeschränkt, u.a. die Ports, über die
sich diverse Würmer etc. gern verbreiten; sogar den ssh-Port muß man für
Server extra freischalten lassen, da es da in der Vergangenheit Probleme
mit sshd-Versionen mit root-exploit gab usw.) zu attackieren, weiß ich
nicht so recht...
Per VPN eingewählte Benutzer lassen sich nachvollziehen und ggfs. sperren;
dabei muß es nichtmal um bewußte Attacken gehen; im Zeitalter der Viren und
Würmer machen sich Rechner auch leicht selbständig, wenn man nicht
entsprechend drauf aufpaßt.
Nein, ich glaube nicht, daß derartige Maßnahmen 100%ige Sicherheit bieten
(das wird man nie erreichen, ohne die Internet-Anbindung komplett zu
kappen, alle Rechner einzubetonieren und auf dem Meeresgrund zu versenken,
was aber aber aufgrund des damit verbundenen Funktionalitätsverlustes eher
selten tut ;-/), aber das hier kein Sicherheitsgewinn erzielt wird, sondern
nur die Benutzer 'gegängelt' werden, kann ich nun absolut nicht erkennen...

Daß auch andere Dinge Blödsinn sind, die Du geschrieben hast, hat Stephan
ja schon dargelegt.


Daher dürfte eine weitere Diskussion aus meiner Sicht sinnlos sein.
Ich spendiere Dir jetzt jedenfalls einen Aufenthalt in meinem Killfile in
der Sektion 'trolling'. Wenn Du da irgendwann wieder draußen bist, hast Du
die Möglichkeit, Dich für den Abschnitt 'repeated trolling' zu
qualifizieren. Das wird aber kein Problem sein, wenn Du Dich weiter
lauthals über Dinge beschwerst, obwohl Du offenbar keine Ahnung davon hast
und es dennoch ablehnst, Dich auch nur ansatzweise damit zu beschäftigen.


> http://people.freenet.de/stevan.tiefert/

people.freenet.de meint dazu
Die von Ihnen angeforderte Seite wurde nicht gefunden...


Gruß
Mawan

--
## ## # *** M A R T I N W A N K E ***
# # # # #
# ## # ## # mail: use...@mawan.de
# # # # # WWW: http://www.mawan.de/
# ## ## PGP: http://www.mawan.de/aboutme/PGP-Keys/

* > how the students at Hogwarts are able to write/read/spell etc. *
* Well, I think the Hogwarts students are usually rather gifted in spelling :) *
* [ams...@hotmail.com / Markku Uttula in alt.fan.harry-potter, 03.07.2003] *

Stevan Tiefert

unread,
Sep 16, 2004, 7:08:59 AM9/16/04
to
>>Der Hacker benutzt die VPN-Software nicht um dann sozusagen mit Ausweis
>>einzubrechen?! Der macht das auch ohne... Warum also die normalen
>>Benutzer gängeln? Wo liegen da die Vorteile?
>
>
> Vorteil: kein unauthentifizierter Netzzugang ist möglich, Mißbrauch kann
> unterbunden werden, Wurmepedemien schnell eingedämmt.
>
Würmer werden nicht dadurch aufgehalten, daß VPN-Software verwendet
wird. Einzig hilft ein auf Sicherheit gepatchter Serverdienst!

--
Ex Dipl.-Ing. wird von mir politisch verfolgt.

http://people.freenet.de/stevan-tiefert/

Stevan Tiefert

unread,
Sep 16, 2004, 7:16:38 AM9/16/04
to
Vielleicht handelte mein ursprüngliches Posting davon, daß durch die
VPN-Software der Uni mein FreeBSD-Rechner keinen Zugriff auf das
Netzwerk erhalten konnte. Somit finde ich diese Software sehr
diskriminierend. Aber wer lesen kann ist im Vorteil :-)

--
Ex Dipl.-Ing. wird von mir politisch verfolgt.

http://people.freenet.de/stevan-tiefert/

Message has been deleted

Stevan Tiefert

unread,
Sep 18, 2004, 4:42:06 PM9/18/04
to
Thorsten Tarrach schrieb:
> Bei mir läuft die Software zwar, aber es wäre natürlich schon schön,
> wenn es unter WinXP mit dem eingebauten VPN Client liefe. Na ja,
> Hauptsache es geht.
Das Traurige bei mir ist, daß ich es eben nicht benutzen kann. Und dabei
war zumindest der Web-Zugriff vor einem Jahr nicht gesperrt.
Unverständlicherweise hat das Rechenzentrum diesen Dienst unter den
vermeintlichen Schutz von Cisco Systems gestellt und somit viele
Betriebssysteme ausgesperrt. TCP/IP erfunden um Grenzen der Systeme zu
überbrücken wird von unserem Rechenzentrum Saarbrücken pervertiert...

Till Kinstler

unread,
Sep 18, 2004, 6:03:52 PM9/18/04
to
Stevan Tiefert <stevan....@freenet.de> wrote:

> TCP/IP erfunden um Grenzen der Systeme zu
> überbrücken wird von unserem Rechenzentrum Saarbrücken pervertiert...

Es wird dir nicht helfen, sei aber dennoch für die Akten
notiert: Nicht nur in Saarbrücken arbeitet man mit dieser
Cisco-VPN-Lösung zur Authentifizierung und "Trennung"
der Benutzer in Funknetzen; sie ist an zahlreichen Unis
verbreitet. Dabei habe ich bei der GWDG in Göttingen nun
die Erfahrung gemacht, dass man dort sehr viel weniger
gesprächsbereit über individuelle Sonderlösungen für
ausgefallene Gerätschaften ist, als man das in Saarbrücken
war.
Das Hauptproblem an der Cisco-Lösung ist wohl die
Authentifizierung mittels "XAUTH", was z.B. FreeS/WAN
nicht beherrschte. Bestechender Vorteil der Cisco-Lösung
ist wohl, dass sie sich ganz nett in bestehende
Authentifzierungsarchitekturen integriert und nebenbei
gerne angemahnte technische Datenschutzprobleme bei
Funknetzen (shared medium) per VPN löst. Man könnte das
alles auch anders lösen, sicher, aber so hat man etwas
ziemlich schlüsselfertiges...
Vielleicht ist
http://www.n.ethz.ch/student/danielro/vpnc-eth.html
auch hilfreich?

Gruß,
Till

--
Till Kinstler ti...@fs.is.uni-sb.de
http://www.phil.uni-sb.de/~till/ ti...@phil.uni-sb.de
mobile: +49 179 54 41 451

Stephan Rosenke

unread,
Sep 18, 2004, 1:03:04 PM9/18/04
to
Stevan Tiefert <stevan....@freenet.de> wrote:

>> Vorteil: kein unauthentifizierter Netzzugang ist möglich, Mißbrauch kann
>> unterbunden werden, Wurmepedemien schnell eingedämmt.
>>
> Würmer werden nicht dadurch aufgehalten, daß VPN-Software verwendet
> wird. Einzig hilft ein auf Sicherheit gepatchter Serverdienst!

Und wie soll sich ein Wurm noch verbreiten, wenn der Wirtsrechner nicht
mehr richtig ans Netz kommt? Durch anniesen? Wurmepedemien äußern sich
nicht in der Verbreitung des Wurms, sondern auch in erhöhten Traffic.
Außerdem hat man so einen Hebel, den Nutzer dazu zu bringen seinen
Rechner zu reinigen bzw. zu patchen.

Sicher, Sicherheit erreicht man nur mit aktuell gehaltener Software,
Symptome mangelnder Sicherheit lassen sich auch anders bekämpfen.

--
cu,
Stephan

Stephan Rosenke

unread,
Sep 19, 2004, 8:47:31 AM9/19/04
to
Stevan Tiefert <stevan....@freenet.de> wrote:

> Das Traurige bei mir ist, daß ich es eben nicht benutzen kann. Und dabei
> war zumindest der Web-Zugriff vor einem Jahr nicht gesperrt.
> Unverständlicherweise hat das Rechenzentrum diesen Dienst unter den
> vermeintlichen Schutz von Cisco Systems gestellt und somit viele
> Betriebssysteme ausgesperrt. TCP/IP erfunden um Grenzen der Systeme zu
> überbrücken wird von unserem Rechenzentrum Saarbrücken pervertiert...

Geht es auch eine Nummer kleiner?

Ich stelle jetzt zum wiederholten Mal die Frage: wie sieht die Alter-
native zu Cisco aus, wenn man nur authentifizierten Netzzugang
ermöglichen will?
Und nein, MAC-Adressen taugen nicht als Authentifizierungs-/
Identifizierungsmerkmal.

Denn Zugriff auf http/https ohne Authentifizierung wird das Rechenzentrum
wohl gesperrt haben, weil es auch Mißbrauchsmöglichkeiten gibt ... für
näheres einfach mal dort nachfragen.

--
cu,
Stephan

Stephan Rosenke

unread,
Sep 19, 2004, 9:02:10 AM9/19/04
to
Till Kinstler <ti...@fs.is.uni-sb.de> wrote:

> Das Hauptproblem an der Cisco-Lösung ist wohl die
> Authentifizierung mittels "XAUTH", was z.B. FreeS/WAN
> nicht beherrschte. Bestechender Vorteil der Cisco-Lösung
> ist wohl, dass sie sich ganz nett in bestehende
> Authentifzierungsarchitekturen integriert und nebenbei
> gerne angemahnte technische Datenschutzprobleme bei
> Funknetzen (shared medium) per VPN löst. Man könnte das
> alles auch anders lösen, sicher, aber so hat man etwas
> ziemlich schlüsselfertiges...

Richtig, xauth ist das Hauptproblem, warum man
Cisco-VPN-Gateways nicht mit FreeS/WAN bzw. dem integrierten IPSEC-
Kram von Windows zur Zusammenarbeit bewegen kann.

Wobei mir noch einfällt, daß xauth broken by Design ist:
http://cert.uni-stuttgart.de/ticker/article.php?mid=1195

Inzwischen gibt es auch andere VPN-Clients als die von Cisco, die
xauth implementieren.

--
cu,
Stephan

Stevan Tiefert

unread,
Sep 20, 2004, 8:16:04 AM9/20/04
to
Stephan Rosenke schrieb:
Glaubst du die restlichen Millionen Rechner auf der Welt die ihre Daten
ins HORUS-Netz senden benutzen einen VPN-Dienst von Cisco? Eben nicht,
wenn ich einen neuen Wurm von meinem mx.freenet.de-Account auf einen
Rechner des Lehrstuhles sende und sich dort verbreitet, wo ist da der
hoch gelobte Schutz über die VPN-Software. Wie oft soll ich sagen, daß
VPN-Software nicht vor Würmer-Attacken schützen kann!

Stevan Tiefert

unread,
Sep 20, 2004, 8:52:38 AM9/20/04
to
Stephan Rosenke schrieb:
Gegenfrage: Warum authentifizierten Zugang erst einführen? VPN-Software
und deren Möglichkeit zur Sperrung von Computern ist keine
Vorsichtsmaßnahme sondern eine Bestrafungsmöglichkeit! Mit VPN-Software
wird keine ernst zu nehmende Möglichkeit der Wurmabwehr gegeben, denn
was tut die VPN-Software wenn ich von mx.freenet.de eine wurmverseuchte
E-Mail zu irgendeinem Lehrstuhl sende? Ja nichts!

Stephan Rosenke

unread,
Sep 21, 2004, 5:11:54 AM9/21/04
to
Stevan Tiefert <stevan....@freenet.de> wrote:
> Stephan Rosenke schrieb:

>> Sicher, Sicherheit erreicht man nur mit aktuell gehaltener Software,


>> Symptome mangelnder Sicherheit lassen sich auch anders bekämpfen.
>>
> Glaubst du die restlichen Millionen Rechner auf der Welt die ihre Daten
> ins HORUS-Netz senden benutzen einen VPN-Dienst von Cisco? Eben nicht,
> wenn ich einen neuen Wurm von meinem mx.freenet.de-Account auf einen
> Rechner des Lehrstuhles sende und sich dort verbreitet, wo ist da der
> hoch gelobte Schutz über die VPN-Software. Wie oft soll ich sagen, daß
> VPN-Software nicht vor Würmer-Attacken schützen kann!

Du liest schon, worauf Du antwortest?
Also jetzt nochmals zum mitmeiseln:

Ich schrieb in <cibfid$6i2$1...@librarian.comstau.de>:


| Vorteil: kein unauthentifizierter Netzzugang ist möglich, Mißbrauch kann
| unterbunden werden, Wurmepedemien schnell eingedämmt.

Mit "eindämmen" ist hier eine Reaktion auf eine Wurminfektion gemeint,
keine Vorsichtsmaßnahme, um eine Infektion überhaupt zu verhindern.
Soweit klar? Gut.

Dein obiges Beispiel mit dem wohl per eMail versandten Wurm an einen
Lehrstuhl hinkt nicht nur, sondern dem Fehlen beide Beine, weil
1. die Authentifizierung für den Internetzugang der Arbeitsplatzrechner
an den Lehrstühlen nicht über VPN geregelt wird, da dort andere Techniken
der Authentifizierung (z.B. Bürotür, Türschloß, Sekretärin, Kollegen und
Chef) für den (drahtgebundenen) Internetzugang möglich sind.
Die VPN-Software ist dort - jetzt mußt Du ganz stark sein Stevan -
ganz aus dem Konzept draußen.
2. mit etwas Glück und bei hinreichenden Alter des versandten Wurms,
dieser gar nicht mehr bis zum Arbeitsplatzrechner kommt, sondern
auf den Mailservern in Quarantäne gesteckt wird.

Solltest Du den obigen Wurm nicht per eMail an einen der Arbeitsplatzrechner
"gesandt", sondern eine Verbindung zu einem Serverdienst des
Arbeitsplatzrechners aufgebaut haben, dann dürfte das fehlgeschlagen, da
die Außenanbindung der Uni ziemlich restriktiv gefiltert wird.

Sollte trotzdem eine Infektion des Arbeitsplatzrechners stattfinden,
kann das RZ den betroffenen Rechner effektiv vom Netz trennen, notfalls
physikalisch, indem man die entsprechende Datendose abschaltet.

--
cu,
Stephan

Stephan Rosenke

unread,
Sep 21, 2004, 5:27:05 AM9/21/04
to
Stevan Tiefert <stevan....@freenet.de> wrote:
> Stephan Rosenke schrieb:

> Gegenfrage: Warum authentifizierten Zugang erst einführen? VPN-Software

> und deren Möglichkeit zur Sperrung von Computern ist keine
> Vorsichtsmaßnahme sondern eine Bestrafungsmöglichkeit!

Die Frage ist jetzt nicht ernst, oder?
Nimm die Rosa Brille ab und sieh: wenn es keine Möglichkeit gibt Miß-
brauch zu unterbinden (z.B. über authentifizierte Zugänge), wie willst
Du dann dagegen vorgehen, wenn ein Spammer auf den Trichter kommt über
den Uni-Leitungen zu spammen? Oder ein Script-Kiddie die Infrastruktur
der Uni zum spielen verwendet? Verwurmte Rechner an DDoS-Attacken teil-
nehmen?

Wer nicht in der Lage ist, das eigene Netz zu managen - und dazu gehört
auch Abuse-Management - wird früher oder später keine Möglichkeit mehr
haben, am Internet teilzunehmen, weil sich der Rest der Netzwelt
nötigenfalls mit blacklistings zur Wehr setzt.
Schau Dir doch mal die Connectivität von China, Taiwan etc. an.

Übrigens: IP kostet auch Geld, deswegen möchte man seine Nutzer auch
kennen.

--
cu,
Stephan

Stevan Tiefert

unread,
Sep 21, 2004, 7:09:44 AM9/21/04
to
Stephan Rosenke wrote:

> Stevan Tiefert <stevan....@freenet.de> wrote:
>> Stephan Rosenke schrieb:
>
>>> Sicher, Sicherheit erreicht man nur mit aktuell gehaltener Software,
>>> Symptome mangelnder Sicherheit lassen sich auch anders bekämpfen.
>>>
>> Glaubst du die restlichen Millionen Rechner auf der Welt die ihre Daten
>> ins HORUS-Netz senden benutzen einen VPN-Dienst von Cisco? Eben nicht,
>> wenn ich einen neuen Wurm von meinem mx.freenet.de-Account auf einen
>> Rechner des Lehrstuhles sende und sich dort verbreitet, wo ist da der
>> hoch gelobte Schutz über die VPN-Software. Wie oft soll ich sagen, daß
>> VPN-Software nicht vor Würmer-Attacken schützen kann!
>
> Du liest schon, worauf Du antwortest?
> Also jetzt nochmals zum mitmeiseln:
>
> Ich schrieb in <cibfid$6i2$1...@librarian.comstau.de>:
> | Vorteil: kein unauthentifizierter Netzzugang ist möglich, Mißbrauch kann
> | unterbunden werden, Wurmepedemien schnell eingedämmt.
>
> Mit "eindämmen" ist hier eine Reaktion auf eine Wurminfektion gemeint,
> keine Vorsichtsmaßnahme, um eine Infektion überhaupt zu verhindern.
> Soweit klar? Gut.

Diese Reaktion kommt immer zu spät. Ein Wurm verbreitet sich schneller als
das Abschalten eines Rechners, somit ist mit der VPN-Software eben nicht
das Netzwerk vor einem Wurm geschützt. Eine richtige Reation ist das
Updaten von Antiviren-Software!

> Dein obiges Beispiel mit dem wohl per eMail versandten Wurm an einen
> Lehrstuhl hinkt nicht nur, sondern dem Fehlen beide Beine, weil
> 1. die Authentifizierung für den Internetzugang der Arbeitsplatzrechner
> an den Lehrstühlen nicht über VPN geregelt wird, da dort andere Techniken
> der Authentifizierung (z.B. Bürotür, Türschloß, Sekretärin, Kollegen und
> Chef) für den (drahtgebundenen) Internetzugang möglich sind.
> Die VPN-Software ist dort - jetzt mußt Du ganz stark sein Stevan -
> ganz aus dem Konzept draußen.

Ja und? Der Rechner sbustd.stud.uni-saarland.de läuft mit IRIX und dort
läuft auch keine Cisco Software... Und überhaupt, warum werden die
Studenten mit dieser Softwäre gegängelt und andere Teile nicht? Warum?

> 2. mit etwas Glück und bei hinreichenden Alter des versandten Wurms,
> dieser gar nicht mehr bis zum Arbeitsplatzrechner kommt, sondern
> auf den Mailservern in Quarantäne gesteckt wird.

Mein Gott! Welch eine passende Antwort auf einen verseuchten Computer! Die
passende Antwort ist immer noch einen aktuellen Virenscanner gegen
Wurmangriffe beziehungsweise up to date gehaltene Serverdienste!

> Solltest Du den obigen Wurm nicht per eMail an einen der
> Arbeitsplatzrechner "gesandt", sondern eine Verbindung zu einem
> Serverdienst des Arbeitsplatzrechners aufgebaut haben, dann dürfte das
> fehlgeschlagen, da die Außenanbindung der Uni ziemlich restriktiv
> gefiltert wird.

E-Mail-Dienste sind meistens, praktisch immer, verfügbar. Eine gute
Möglichkeit einen Wurm einzuschleusen. Eine Firewall ist bedingt geeignet
Sicherheit aufzubauen. Denn sie tut im Grunde nichts anderes als Kanäle
vollständig abzuriegeln. Nun ist es aber so, daß man zum vernünftigen
Arbeiten einige Kanäle doch benötigt und diese sind offen für Hacker...
Also hilft in diesem Fall auch nur ein up to date gehaltener Server!!!

> Sollte trotzdem eine Infektion des Arbeitsplatzrechners stattfinden,
> kann das RZ den betroffenen Rechner effektiv vom Netz trennen, notfalls
> physikalisch, indem man die entsprechende Datendose abschaltet.

Ja und dann? Die Verseuchung fand statt und das Netz wurde kastriert weil
viele verseuchte Rechner vom Netz gehen mussten. Das ist nicht die richtige
Antwort auf solch eine Attacke! Virenscanner und aktuelle Serverdienste,
das hilft...

Dann bleibt immer noch das Problem, daß viele Betriebssysteme der Studenten
ausgeschlossen werden und die Betriebssysteme der Uni sich nicht an Cisco
ausrichten müssen! Ich finde das ich diskriminiert werde!

Stephan Rosenke

unread,
Sep 23, 2004, 6:58:21 AM9/23/04
to
Stevan Tiefert <stevan....@freenet.de> wrote:
> Stephan Rosenke wrote:

>> Mit "eindämmen" ist hier eine Reaktion auf eine Wurminfektion gemeint,
>> keine Vorsichtsmaßnahme, um eine Infektion überhaupt zu verhindern.
>> Soweit klar? Gut.
>
> Diese Reaktion kommt immer zu spät. Ein Wurm verbreitet sich schneller als
> das Abschalten eines Rechners, somit ist mit der VPN-Software eben nicht
> das Netzwerk vor einem Wurm geschützt. Eine richtige Reation ist das
> Updaten von Antiviren-Software!

Ach echt? Was steht denn da? Nochmals, der relevante Teil extra
für Dich:


| Mit "eindämmen" ist hier eine Reaktion auf eine Wurminfektion gemeint,
| keine Vorsichtsmaßnahme, um eine Infektion überhaupt zu verhindern.

Wo wurde behauptet, daß VPN-Software primär vor Infektionen schützt?

Die Folgen einer Wurminfektion, also der Versuch sich weiter zu ver-
breiten bzw. als Zombie zu agieren, lassen sich durch Trennen des
Rechners vom Netz begrenzen.

Ein Trennen eines bestimmten Rechners vom Netz ist nur möglich, wenn
man weiß, welchen Rechner man trennen muß. Das wiederum ist nur möglich,
wenn der Zugang zum Netz nicht anonym oder besser noch (sicher)
authentifiziert erfolgt.



>> Dein obiges Beispiel mit dem wohl per eMail versandten Wurm an einen
>> Lehrstuhl hinkt nicht nur, sondern dem Fehlen beide Beine, weil
>> 1. die Authentifizierung für den Internetzugang der Arbeitsplatzrechner
>> an den Lehrstühlen nicht über VPN geregelt wird, da dort andere Techniken
>> der Authentifizierung (z.B. Bürotür, Türschloß, Sekretärin, Kollegen und
>> Chef) für den (drahtgebundenen) Internetzugang möglich sind.
>> Die VPN-Software ist dort - jetzt mußt Du ganz stark sein Stevan -
>> ganz aus dem Konzept draußen.
>
> Ja und? Der Rechner sbustd.stud.uni-saarland.de läuft mit IRIX und dort
> läuft auch keine Cisco Software... Und überhaupt, warum werden die
> Studenten mit dieser Softwäre gegängelt und andere Teile nicht? Warum?

Du liest nicht, worauf Du antwortest. Nochmals für Dich:
Die Authentifizierung für den Internetzugang der Arbeitsplatzrechner
an den Lehrstühlen wird nicht über VPN geregelt, da dort andere Techniken
der Authentifizierung (z.B. Bürotür, Türschloß, Sekretärin etc.) für den
(drahtgebundenen) Internetzugang möglich sind.

Der Hauptzweck des VPNs ist Authentifizierung, sowohl im WLAN, wie auch
bei den öffentlichen Datendosen.

Und was hat sbustd.stud.uni-saarland.de damit zu tun?

>> Sollte trotzdem eine Infektion des Arbeitsplatzrechners stattfinden,
>> kann das RZ den betroffenen Rechner effektiv vom Netz trennen, notfalls
>> physikalisch, indem man die entsprechende Datendose abschaltet.
>
> Ja und dann? Die Verseuchung fand statt und das Netz wurde kastriert weil
> viele verseuchte Rechner vom Netz gehen mussten. Das ist nicht die richtige
> Antwort auf solch eine Attacke! Virenscanner und aktuelle Serverdienste,
> das hilft...

Get real. Du möchtest Dir einmal durch den Kopf gehen lassen, wie
sichergestellt werden soll, daß *alle* Rechner, die *irgendwo* an der
Uni stehen, immer aktuell gepatched sind.

Hint:
1. Du findest eine große Anzahl an verschiedenen Betriebssystemen.
2. Das RZ hat über den geringsten Teil der Rechner direkte
administrative Verfügung.
3. Das RZ hat nicht unbegrenzte Personalressourcen.
4. Ein sofort stattfindendes Einspielen von Patches ist nicht immer
empfehlenswert.
5. Es werden auch Privatrechner ins HORUS eingebunden.

> Dann bleibt immer noch das Problem, daß viele Betriebssysteme der Studenten
> ausgeschlossen werden und die Betriebssysteme der Uni sich nicht an Cisco
> ausrichten müssen! Ich finde das ich diskriminiert werde!

Welche Betriebssysteme werden denn ausgeschlossen?

Ach ja, ich wiederhole nochmals meine Frage aus
<cijv53$3la$1...@librarian.comstau.de>:

| wie sieht die Alternative zu Cisco aus, wenn man nur authentifizierten
| Netzzugang ermöglichen will?

--
cu,
Stephan

0 new messages