home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / protocol / tcpip / 3924 < prev    next >
Encoding:
Text File  |  1992-07-30  |  1.9 KB  |  39 lines

  1. Newsgroups: comp.protocols.tcp-ip
  2. Path: sparky!uunet!haven.umd.edu!decuac!hussar.dco.dec.com!mjr
  3. From: mjr@hussar.dco.dec.com (Marcus J. Ranum)
  4. Subject: Firewall analogies (was Re: Firewall usage)
  5. Message-ID: <1992Jul31.000543.7421@decuac.dec.com>
  6. Sender: news@decuac.dec.com (USENET News System)
  7. Nntp-Posting-Host: hussar.dco.dec.com
  8. Organization: Digital Equipment Corporation, Washington ULTRIX Resource Center
  9. References: <l7g11bINNlib@pollux.usc.edu> <159hutINN6vl@early-bird.think.com>
  10. Date: Fri, 31 Jul 1992 00:05:43 GMT
  11. Lines: 26
  12.  
  13. >I think this analogy to a home and rooms is very poor.
  14.  
  15.     I really don't think there *IS* a particularly good analogy.
  16.  
  17.     Part of the problem is that firewalls and their implementation
  18. is not merely a technical problem. There is a whole set of "management"
  19. issues that usually need to be addressed. There are whole sets of CYA
  20. issues that need to be addressed, which don't necessarily improve the
  21. security of the network, but definitely improve the network manager's
  22. claim to showing diligence in securing the network.
  23.  
  24.     In the consulting work I've done for DEC (setting up firewalls)
  25. I've run across various combinations of these issues. Compared to them,
  26. the actual details of locking things down tight are real simple. Every
  27. time I run into these discussions, I try to come up with an analogy for
  28. Internet security - it's pretty hard. Part of the problem is that unlike
  29. a house, you don't always know that you've been robbed; people don't
  30. break into your house and steal a *COPY* of your gun collection, and
  31. vanish after shaving (or somehow magically cleaning) all the rugs to
  32. hide their footprints. This makes the whole thing harder to understand,
  33. especially for someone who is not used to modern networked computing.
  34. You get strange policies like: "it must be impossible to export data
  35. out over the network"  - never mind that a fistful of DATs is easier
  36. to hide.
  37.  
  38. mjr.
  39.