[Rejestr] pytanie o jawność adresów IP urzędu

Pon, 17 Maj 2010, 07:16:37 EDT

On Mon, 17 May 2010 12:53:01 +0200 Robert Partyka 
<bobson w bobson.pl> wrote:

>Zagrożenie jest oczywiste. Absolutnie podanie wszystkich adresów 
>IP łącznie z zapasowymi jest pod katem bezpieczeństwa kompletna 
>głupotą i powiedzeniem "tu strzelaj".

Jeśli bezpieczeństwo organizacji zależy od niejawności jej adresów 
IP - które są i tak albo jawne (RIPE, DNS) albo łatwe do 
znalezienia (skanowanie) - to ma ona znacznie większy powód do 
zmartwień. Innymi słowy, niejawność adresu IP nie jest narzędziem 
kontroli dostępu.

Nawiasem mówiąc podejście wynikające ze zdania "dla społeczeństwa 
nie ma znaczenia to czy tamto" jest dość typowe dla pewnej klasy 
specjalistów od bezpieczeństwa, roszczących sobie prawo do 
decydowania co jest istotne dla kogoś innego. Marek pracując w 
prywatnej firmie może mieć taki pogląd, w przeciwieństwie do 
urzędnika państwowego pracującego za pieniądze podatnika.

Ja tego podejścia nie podzielam i widziałem jego negatywne skutki w 
wielu sytuacjach, począwszy od KSI ZUS (taki sam bzdurny argument o 
bezpieczeństwie) a skończywszy na różnych komercyjnych algorytmach 
szyfrujących, które połamano bez publikacji specyfikacji.

-- 
Paweł Krawczyk
http://ipsec.pl