Folgende Maßnahmen würde ich beim Aufbau eines Netzes
niemals empfehlen:
- Zuweisungen von Zugriffsrechten anhand von Adressbereichen innerhalb der selben DMZ (das ist nun wirklich leicht auszuhebeln, man weist sich als böser Bube einfach eine andere IP zu).
- Von außen erreichbare Server in "inneren" DMZ's (im Gegensatz zu einer DMZ im Grenzbereich zum "Außen").
- Mehr als zwei Paketfilter zwischen zwei beliebigen eigenen Netzen.
- Routing-Konstrukte, die für das stabile Funktionieren erfordern, dass man Änderungen immer an mehr als einem Ort zugleich durchführen muss, um asymmetrisches Routing zu vermeiden (irgendwer vergisst so etwas immer, und dann hat man wieder gesunkene Stabilität).
Mir fiele sicher noch sehr viel mehr ein, aber irgendwie war mir danach, ausgerechnet diese Punkte aufzuschreiben...
Schönes Wochenende, liebe Leser!