Hallo!
habe mich in der früheren Vergangenheit mit einigen Leuten unterhalten, die auf ihren Routern durchaus ältere Debian- oder auch SuSE-Versionen betreiben. Diese Leute meinten, dass ein Update der Systeme nicht notwendig sei, da sie keine Dienste nach außen anbieten würden und die installierte Software stabil genug liefe, die Hardware unterstützt würde, etc..
Prinzipiell soll man Systeme ja möglichst up to date halten, was gerade für Server gelten sollte, was meint ihr? Wenn auf einem Host "nur" eine Firewall läuft, er also nur als Gateway dient und nach innen wenige Dienste wie etwa DHCP und DNS anbietet, ist es dann sicherheitstechnisch vertretbar, längst veraltete Software zu nutzen, solange diese die Anforderungen erfüllt?
Edit: Dabei denke ich natürlich an kleine Netzwerke, vor allem Heimnetze, bei denen nicht davon auszugehen ist, dass jemand von innen versucht die Sicherheitsmechanismen auszuhebeln.
MfG
Mr. Frogman
Was tun, wen System nicht mehr mit Updates unterstützt wird?
Was tun, wen System nicht mehr mit Updates unterstützt wird?
Wanne contact me? Meinen GPG-Key findest du hier: *klick*
Re: Was tun, wen System nicht mehr mit Updates unterstützt wird?
Also keine Dienst ist ja so nicht richtig.
Firewalling ist durchaus ein Dienst. OK man kann ihn nicht von außen aktiv als solcher nutzen.
Allerdings ist es bei einer solchen Funktionalität durchaus empfehlenswert die Software aktuell halten.
Klar, dass man sich durch Updates auch durchaus Probleme einhandeln kann oder neue Bugs.
Ich denke es ist ähnlich zu argumentieren wie mit Sicherheit durch Verschluss bei propreitaerer Software.
Diese Diskussion wurde jedoch schon oft genug geführt.
Letzten Endes ist es Glaubensfrage und eine Frage wie du Nachts besser schlafen kannst. Letzten Endes ist jeder seines eigenen Glückes Schmied
Firewalling ist durchaus ein Dienst. OK man kann ihn nicht von außen aktiv als solcher nutzen.
Allerdings ist es bei einer solchen Funktionalität durchaus empfehlenswert die Software aktuell halten.
Klar, dass man sich durch Updates auch durchaus Probleme einhandeln kann oder neue Bugs.
Ich denke es ist ähnlich zu argumentieren wie mit Sicherheit durch Verschluss bei propreitaerer Software.
Diese Diskussion wurde jedoch schon oft genug geführt.
Letzten Endes ist es Glaubensfrage und eine Frage wie du Nachts besser schlafen kannst. Letzten Endes ist jeder seines eigenen Glückes Schmied
Re: Was tun, wen System nicht mehr mit Updates unterstützt wird?
Nun, ich bezog mich ausschließlich auf Router und wie es sich dort theoretisch verhält.
Das hat nichts mit Glaubensfragen zu tun.
Das hat nichts mit Glaubensfragen zu tun.
Wanne contact me? Meinen GPG-Key findest du hier: *klick*
-
hnr
Re: Was tun, wen System nicht mehr mit Updates unterstützt wird?
Wenn es sich im Netzwerk befindet, ist es immer in Gefahr 
-
novalix
- Beiträge: 1909
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: Was tun, wen System nicht mehr mit Updates unterstützt wird?
Hi,
bezogen auf das Szenario eines Firewallrouters ohne weitere angebotene Dienste und in einem typischen @home-Netzwerk, ist es durchaus vertretbar ein älteres Debian bis runter zu woody einzusetzen. Der 2.4er Kernel sollte es allerdings schon sein, da dieser zum einen weiterhin gepflegt wird (zumindest Upstream) und zum zweiten der Networkstack mit modernen Userlandtools (Iptables) zusammenarbeitet.
Dass die jeweilige Software dann händisch auf dem aktuellsten Sicherheitsstand zu halten ist, sollte jedem, der die Wahrscheinlichkeit eines Angriffs eingrenzen will, selbstverständlich sein. Zumal für einen Router ein angepasster, selbstgebauter Kernel, ohne ladbare Module etc. durchaus Sinn ergibt.
Praktisch ist natürlich die Wahrscheinlichkeit, dass ein Angreifer gezielt eine mögliche Schwachstelle im, sagen wir, dem 2.4.18er aus woody anpeilt, um in ein tendenziell uninteressantes Heimnetzwerk zu gelangen, nicht besonders hoch. Man hat aber eben auch schon Pferde kotzen sehen. Das ist kein schöner Anblick.
Alles in allem halte ich es für wesentlich pragmatischer ein auf einem solchen Gerät tendenziell eh schlankes System, auf die jeweils neue Version upzugraden. Vielleicht nicht sofort bei erscheinen, sondern nach einer angemessenen Beobachtungsphase (Erfahrungs- und Fehlerberichte anderer und eigene Erfahrungen mit anderen Sytemaktualisierungen).
Das gilt natürlich vor allem für Debian. Bei Suse habe ich schon anderes gehört und gesehen.
Groetjes, niels
bezogen auf das Szenario eines Firewallrouters ohne weitere angebotene Dienste und in einem typischen @home-Netzwerk, ist es durchaus vertretbar ein älteres Debian bis runter zu woody einzusetzen. Der 2.4er Kernel sollte es allerdings schon sein, da dieser zum einen weiterhin gepflegt wird (zumindest Upstream) und zum zweiten der Networkstack mit modernen Userlandtools (Iptables) zusammenarbeitet.
Dass die jeweilige Software dann händisch auf dem aktuellsten Sicherheitsstand zu halten ist, sollte jedem, der die Wahrscheinlichkeit eines Angriffs eingrenzen will, selbstverständlich sein. Zumal für einen Router ein angepasster, selbstgebauter Kernel, ohne ladbare Module etc. durchaus Sinn ergibt.
Praktisch ist natürlich die Wahrscheinlichkeit, dass ein Angreifer gezielt eine mögliche Schwachstelle im, sagen wir, dem 2.4.18er aus woody anpeilt, um in ein tendenziell uninteressantes Heimnetzwerk zu gelangen, nicht besonders hoch. Man hat aber eben auch schon Pferde kotzen sehen. Das ist kein schöner Anblick.
Alles in allem halte ich es für wesentlich pragmatischer ein auf einem solchen Gerät tendenziell eh schlankes System, auf die jeweils neue Version upzugraden. Vielleicht nicht sofort bei erscheinen, sondern nach einer angemessenen Beobachtungsphase (Erfahrungs- und Fehlerberichte anderer und eigene Erfahrungen mit anderen Sytemaktualisierungen).
Das gilt natürlich vor allem für Debian. Bei Suse habe ich schon anderes gehört und gesehen.
Groetjes, niels
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.