Die Firewall-Schulung oder: Sicherheit und ihre praktische Umsetzung

von Khark am 27. Mai 2007 um 15:03 Uhr

Letzte Woche war ich auf einer Firewall-Schulung.
Keine direkte Cisco-Schulung, auch wenn der Referent Certified Internet Engineer, Certified Network Security Engineer, Certified Checkpoint System Administrator und Certified Checkpoint System Engineer ist.
Es ging halt mehr um die theoretischen Grundlagen und die Problematiken bei der Erstellung eines Firewalldesigns. Also Sicherheitskonzept, Sicherheitsanalyse, etc.

Nun hatte ich vorher schon 4 Schulungen bei diesem Referenten und bin immer noch sehr angetan von ihm. Seine Einstellungen vielen Dingen gegenüber deckt sich mit meinen und so Sprüche wie: “Egal wie sicher die Daten sind. Sobald ich eine Pistole an der Schläfe habe, gebe ich jedes Passwort raus.” zeigten dann für mich auch, das er das ganze auch real betrachten konnte.

Allerdings war ich dann doch leicht schockiert, als jener Referent uns etwas im Internet zeigen wollte. Also Powerpoint minimieren, den Internet Explorer aufmachen und – Strike!
Der IE zeigte eine in HTML selbstgestaltete Seite mit allen seinen Bookmarks. Inklusive dem jeweiligen Benutzernamen und Passwort in Klartext.
Sein Benutzername war auf jeder Seite (die 30 die ich sehen konnte) identisch, Passwörter gab es 1-2 verschiedene. Diese waren aber höchstens 8 Zeichen lang und beinhalteten nur kleine Buchstaben und Zahlen. Also etwa so: aw65tzu78
Und unter den angezeigten Daten waren so Sachen wie seine privaten/beruflichen Mailaccounts, etc.
Irgendwie Zweifel ich jetzt doch daran, das dieser jemand fähig ist, das was er anderen vermittelt in die Realität umzusetzen..

Meine durchschnittlichen Passwörter sehen so aus: hz(T6hu}\3tr#er4aj
Aus diesem Grund hasse ich Systeme, die Passwörter nach 8 Zeichen abschneiden (SuSE bis 9.x) oder viele Zeichen nicht zulassen.

3 Antworten zu “Die Firewall-Schulung oder: Sicherheit und ihre praktische Umsetzung”

  1. dead_orc sagt:

    Naja, sowas kann jedem mal passieren…
    Was hat der Referent dazu gesagt? Oder hat ers einfach ignoriert? Und übrigens: Respekt an dein Gehirn, dass du dir sowas merken kannst. Für “normale” Passwörter benutze ich eigentlich auch nur relativ kurze (10 Zeichen) Passwörter, weil die einfach leichter zu merken sind.

  2. Khark sagt:

    Naja:
    Auswending kann ich nur die für SSH, Webmail und die wichtigsten Seiten/Foren.

    Es gibt doch eTokens, Passwortverwaltung, etc.
    Nur in einer .txt sollte man das dann nicht ablegen..

    Und gesagt hat der Referent dazu nichts.

  3. Susianer sagt:

    Die SUSE kann seit 8.irgendwas lange Passwörter, man muss nur bei der Installation die Einstellungen fürs Passwort-hashing vom Standard auf Blowfish (ja, ist kein Hash) oder MD5 umstellen.