Infizierte Bezahlterminals umgehen Firewalls

Alle Heise-Foren heise Security News-Kommentare Infizierte Bezahlterminals um… Und deswegen gehören der inte…

Ansicht umschalten

Bit-Popler

mehr als 1000 Beiträge seit 25.06.2001

19.10.2014 14:29

Und deswegen gehören der interne und der externe DNS getrennt!

Klassische Vorgehensweise:

1. Der interne DNS beantwortet Anfragen *nur* für interne Geräte und
nur für interne Namen. Wozu sollte der interne DNS externe Namen
auflösen können, wenn die Endgeräte nichts *direkt* im Internet
verloren haben?

2. Der Bevollmächtigte (Proxy) bzw. Mailserver für externe
Kommunikation, der in einer DMZ zu stehen hat befragt einen DNS *in*
der DMZ für externe Namen und den internen DNS (oder er ist selbst
ein Spiegel davon) für interne Namen.

3. Der Zugang zur externen Kommunikation ist nur nach
Authentifizierung am Web-Proxy/SMTP möglich.

Wo ist also tatsächlich das Problem?

Das Problem existiert, weil heute fast niemand mehr "klassische"
Strukturen für die Trennung von internen und externen Netzen
verwendet. Man darf es ja dem Management und den Mitarbeitern nicht
zu schwer machen eine Email zu verschicken oder x-beliebige Webseiten
aufzurufen.

Zum Artikel - ja, dass Hotspots gerne schon die DNS-Auflösung
erlauben (und zwar beliebige) habe ich auch schon genutzt. Es liegt
meistens daran, dass die Trennung von internen und externen
Namensabfragen (siehe 1. und 2.) nicht durchgeführt wird.

der bit-popler

Bewerten

- +

Thread-Anzeige einblenden

- 
- Beitrag
- 
- 
- Threads
- 

Ansicht umschalten

Nutzungsbedingungen

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Und deswegen gehören der interne und der externe DNS getrennt!