Einer für alle, alle für einen Marc Ruef | 08.09.2008 Historizismus ist eine wunderbare, ja gar sehr wichtige Sache. Denn kann man aus der Vergangenheit lernen, wird man sich in der Gegenwart so verhalten wollen, dass man für sich die Zukunft erschliessen kann. Um es mit den leicht abgewandelten Worten von Zack De La Roca der Band Rage against the Machine auszudrücken: quoteWho controls the past now controls the future. Who controls the present now controls the past. Who controls the past now controls the future. Who controls the present now?/quote Aus eben diesen Gründen bin ich darum bemüht auch in meinem Beruf den Blick für die Vergangenheit und der ihr zugrundeliegenden Errungenschaften nicht zu verlieren. Was man vor 50 Jahren in der Informatik geleistet hat, ist auch heute noch wichtig. Es erstaunt den Laien oftmals, dass gar viele Dinge, die heute hochtechnologisiert daherkommen, sich eigentlich seit damals nur wenig geändert haben. Das Kellerprinzip (Stack) zum Beispiel, welches im Zusammenhang mit Pufferüberlauf-Attacken so manchem Programmierer auch heute noch Schwierigkeit bereitet. Das erste Buch, welches ich zum Thema Firewalling gelesen habe, war Firewall-Systeme (http://www.amazon.de/dp/3826640756) von Norbert Pohlmann. Der deutsche Ingenieur beschrieb in seinem kompakten Buch die unterschiedlichen Firewall-Technologien, ihre Vor- und Nachteile. Aus eben diesem Grund ein ideales Einsteigerwerk, das ich auch heute noch jedem empfehlen kann (ich habe damals die erste Auflage gelesen). In diesem Buch wird einer der elementaren Grundsätze des Firewallings postuliert: Einfachheit. Diese Eigenschaft verspricht Übersicht und Transparenz, die wiederum die zentrale Grundlage von Sicherheit darstellen. Ein Application Gateway ist mit seinen dedizierten Proxies viel komplexer, weder ein simpler Paketfilter. Aus diesem Grund sollte man letzteren als äusserstes Element einsetzen, um den Direktkontakt mit den Angreifern möglichst kurz und bündig abschlagen zu können. Der Produktetrend geht jedoch in eine komplett andere Richtung: Was früher als Perimeter-Firewall ihren Einsatz finden sollte, wird heute als Paketfilter-Proxy-Mail/Web-Antivirus-Server mit LDAP-Anbindung und strenger Authentisierung betrieben. Und wenn man ein Kistchen kauft, dann kriegt man dieses Schweizer Taschenmesser sowie zwei Kinogutscheine für Daniel der Zauberer (http://www.imdb.com/title/tt0421051/) gratis - Greifen Sie jetzt zu, es hat nur noch 589 Stück, ... äh, ich meine 588 Stück! Ein Firewall-System hat zum Ziel Datenverkehr einzuschränken und ihn zu protokollieren. Diese Einschränkung hat effektiv und effizient zu erfolgen. Zusätzliche Features, die sich auf einer Applikationsebene abspielen und zudem nur wenig mit Netzwerksicherheit zu tun haben, sollten durch andere Komponenten übernommen werden. Ist dem nicht so, hat mein ein verworrenes und potentiell inkonsistentes Gebilde, das sowohl bei der Entwicklung als auch bei der Betreuung und Nutzung als Magnet für Fehler fungieren wird. Der nächste Pentester wird sich freuen! Die PR-Maschinerie sollte von ihrem Wahn nach Umsatzzahlen absehen und dem Kunden traditionelle Qualitätswahre mit soliden Werten liefern. Alles andere ist Idiotie, die selbst ein BWL-Student zu rechtfertigen Probleme haben wird. Aber Eierlegendewollmilchsäue hatten schon immer etwas Anziehendes.