---

Håber I kan bidrage med lidt input til en diskussion jeg røg ind i
idag:

Givet en windows-PC (uden firewall) som er tilkoblet nettet via en
ADSL-forbindelse.

A mener at sikkerheden højnes med adskillige grader blot ved at
indskyde en NAT router (ligeledes uden firewall) mellem ADSL'en og
PC'en.

B mener at det er ligegyldigt da routeren i den sammenhæng blot vil
fungere som overflødigt mellemled.


Vel vidende at en fuldt opdateret windows-maskine uden særlige
services kørende ikke er specielt udsat og alt det der....så ud fra en
"alt andet lige" betragtning. Hvem har så (mest) ret?

/B. Nice

---

B. Nice wrote:

> Håber I kan bidrage med lidt input til en diskussion jeg røg ind i
> idag:

Gerne.

> Givet en windows-PC (uden firewall) som er tilkoblet nettet via en
> ADSL-forbindelse.

Går ud fra at du mener "personlig firewall".

> A mener at sikkerheden højnes med adskillige grader blot ved at
> indskyde en NAT router (ligeledes uden firewall) mellem ADSL'en og
> PC'en.

A har ret.

> B mener at det er ligegyldigt da routeren i den sammenhæng blot vil
> fungere som overflødigt mellemled.

Hvordan kan en router være et overflødigt mellemled?! Hvordan vil du få
pakker flyttet fra WWW til internt LAN uden router? Medmindre vi da
taler ADSL-/kabelmodem ell. andet snavs.

> Vel vidende at en fuldt opdateret windows-maskine uden særlige
> services kørende ikke er specielt udsat og alt det der....så ud fra en
> "alt andet lige" betragtning. Hvem har så (mest) ret?

Definer "uden særlige services..."!

Nogle af de mest angrebne Windows porte tilhører system-services, som de
færreste nok ville betragte som "særlige services", jvf. NBT, DCOM, DCE
m.fl.

> /B. Nice

Mvh.
Michael.

--
A typical day in the life of a UNIX user:
"unzip,touch, finger, strip, mount, yes, core dump, umount, sleep"
Mark Taylor.

---

>> Givet en windows-PC (uden firewall) som er tilkoblet nettet via en
>> ADSL-forbindelse.
>
>Går ud fra at du mener "personlig firewall".
>

Jep!

>> A mener at sikkerheden højnes med adskillige grader blot ved at
>> indskyde en NAT router (ligeledes uden firewall) mellem ADSL'en og
>> PC'en.
>
>A har ret.
>

Tak

>> B mener at det er ligegyldigt da routeren i den sammenhæng blot vil
>> fungere som overflødigt mellemled.
>
>Hvordan kan en router være et overflødigt mellemled?! Hvordan vil du få
>pakker flyttet fra WWW til internt LAN uden router? Medmindre vi da
>taler ADSL-/kabelmodem ell. andet snavs.

B mente vist at routeren var overflødig når der kun var 1 PC.

>
>> Vel vidende at en fuldt opdateret windows-maskine uden særlige
>> services kørende ikke er specielt udsat og alt det der....så ud fra en
>> "alt andet lige" betragtning. Hvem har så (mest) ret?
>
>Definer "uden særlige services..."!

Okay, dårligt formuleret. Det var mest et forsøg på at undgå
diskussionen om hvorvidt en firewall / router o.s.v. overhovedet er
nødvendig - selv om denne diskussion bestemt også er både relevant og
interessant.

>
>Nogle af de mest angrebne Windows porte tilhører system-services, som de
>færreste nok ville betragte som "særlige services", jvf. NBT, DCOM, DCE
>m.fl.

Korrekt!

>
>> /B. Nice
>
>Mvh.
>Michael.

---

B. Nice <b__nice@hotmail.com> wrote:
> Givet en windows-PC (uden firewall) som er tilkoblet nettet via en
> ADSL-forbindelse.
>
> A mener at sikkerheden h?jnes med adskillige grader blot ved at
> indskyde en NAT router (ligeledes uden firewall) mellem ADSL'en og
> PC'en.
>
> B mener at det er ligegyldigt da routeren i den sammenh?ng blot vil
> fungere som overfl?digt mellemled.

Hvis der koerer services paa PC'en, som skal tilgaas fra det lokale net,
men ikke fra resten af verdenen, forhindrer et ordenligt NAT device at
forbindelser udefra, naar ind til PC'en. A har i saa fald ret.

Hvis der slet ikke koerer netvaerkservices paa PC'en, har B ret.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst wrote:
>
> Hvis der slet ikke koerer netvaerkservices paa PC'en, har B ret.

Men hvis man ikke selv har gjort noget aktivt for at
lukke dem ned, så vil der køre en del netværksservices
på Windows.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

In article <j73la09c61hvqvu4uu171rlm5snngrths7@4ax.com>, B Nice wrote:
> A mener at sikkerheden højnes med adskillige grader blot ved at
> indskyde en NAT router (ligeledes uden firewall) mellem ADSL'en og
> PC'en.

Hvis du har en NAT router uden firewall, så er dette blot en
router der vil route trafik begge veje.

Normalt vil der så eksistere en NAT regel fra det interne ben
til det eksterne ben.

Hvis det interne ben sidder på et offentligt net, ISP'en router
til vil det være trivielt at få adgang til PC'en udefra.

Hvis det interne ben sidder på et privat net, vil
ISP'en trivielt kunne få adgang til PC'en udefra.

En kompetent angriber vil også kunne få adgang til PC'en i
nogle tilfælde, men det er afhængigt af routeren.

I andre tilfælde kan dette ske igennem sårbarheder hos ISP'en.

> B mener at det er ligegyldigt da routeren i den sammenhæng blot vil
> fungere som overflødigt mellemled.

Hvis man ikke gør sig ovenstående betragtninger vil den
fungere som falsk tryghed.

> Vel vidende at en fuldt opdateret windows-maskine uden særlige
> services kørende ikke er specielt udsat og alt det der....så ud fra en

Du mener vel _ingen_ netværksservices.

> "alt andet lige" betragtning. Hvem har så (mest) ret?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" wrote:
>
> En kompetent angriber vil også kunne få adgang til PC'en i
> nogle tilfælde, men det er afhængigt af routeren.
>
> I andre tilfælde kan dette ske igennem sårbarheder hos ISP'en.

Det kræver vel at angriberen via en sårbarhed kan opnå
kontrol over den første router udenfor NAT routeren.
Hvordan skulle man ellers kunne få denne router til at
route trafik til et RFC1918 segment til din NAT router?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

In article <40AB6AA7.4F00271C@daimi.au.dk>, Kasper Dupont wrote:
>> En kompetent angriber vil også kunne få adgang til PC'en i
>> nogle tilfælde, men det er afhængigt af routeren.
>>
>> I andre tilfælde kan dette ske igennem sårbarheder hos ISP'en.
>
> Det kræver vel at angriberen via en sårbarhed kan opnå
> kontrol over den første router udenfor NAT routeren.

Dette er en metode.

> Hvordan skulle man ellers kunne få denne router til at
> route trafik til et RFC1918 segment til din NAT router?

Kik evt. på RFC 791, søg efter "loose source" og "strict source"

Se evt. også det sidste eksemple hvor "-g" bliver brugt i
http://www.openbsd.org/cgi-bin/man.cgi?query=traceroute

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On 2004-05-19, Christian E. Lysel <news.sunsite.dk@spindelnet.dk> wrote:
>
>> Hvordan skulle man ellers kunne få denne router til at
>> route trafik til et RFC1918 segment til din NAT router?
>
> Kik evt. på RFC 791, søg efter "loose source" og "strict source"
>
> Se evt. også det sidste eksemple hvor "-g" bliver brugt i
> http://www.openbsd.org/cgi-bin/man.cgi?query=traceroute

Og hvor tit har du mulighed for at benytte dette? Aldrig.
Kan vi ikke holde sikkerheds-diskussionerne på et relevant og realistisk
plan?

--
Andreas Plesner Jacobsen | DYSLEXICS OF THE WORLD, UNTIE!

---

In article <slrncanq55.iv.apj@slartibartfast.nerd.dk>, Andreas Plesner Jacobsen wrote:
> Og hvor tit har du mulighed for at benytte dette? Aldrig.

Hvor tit laver ISP'er fejl? Aldrig?

> Kan vi ikke holde sikkerheds-diskussionerne på et relevant og realistisk
> plan?

Det er realistisk nok at en ISP laver fejl.

Det er ikke realistisk at tro en ISP ikke laver fejl.

Igennem de sidste 10 år, har jeg set ISP'er som
TeleDanmark, TDC, Telia, AT&T, CyberCity, Song Networks,
Arrownet og Sektornet lave fejl.

Fejlene har været alt imellem:

o ingen password på routere
Dette var et ministerium, hvor man
derefter kunne lave en GRE tunnel til routeren,
via denne kunne man forsøge at spoofe pakker
igennem deres firewall.

o tilgang til telnet udefra.

o brug af default passwords på routere.

o udlevering af passwords til routere over
telefonen uden at validere personen.

o ændring af routningsregler via telefon
uden af validere personen.

o ændring af DNS opsætning via telefon
uden at validere personen.

o ISP router RFC1918 source adresser.

o replikering af netværkstrafik i
ISP'ens netværk, og efterfølgende
nægte dette.

o bytter rundt på kunders Internet
routere.

o bytter rundt på kunders VPN MPLS
routere.

o DHCP server, bliver startet med
forkert konfiguration, og vender kundens
firewall "om".


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On 2004-05-22, Christian E. Lysel <news.sunsite.dk@spindelnet.dk> wrote:

>> Og hvor tit har du mulighed for at benytte dette? Aldrig.
>
> Hvor tit laver ISP'er fejl? Aldrig?

Jeg kan virkelig ikke forstå, hvorfor du ynder at dyrke denne kæphest,
jeg vil mene at fejlmarginen hos ISPerne er langt lavere end de fleste
corporate installationer.
Men jeg er jo også forudindtaget.

>> Kan vi ikke holde sikkerheds-diskussionerne på et relevant og realistisk
>> plan?
>
> Det er realistisk nok at en ISP laver fejl.
>
> Det er ikke realistisk at tro en ISP ikke laver fejl.

Det er ikke realistisk at du kan udnytte ovenstående. Aldrig.
source routing skal være slået til på så tilpas meget infrastruktur
samtidig at det ikke vil ske.

--
Andreas Plesner Jacobsen | "Pull the wool over your own eyes!"
| -- J.R. "Bob" Dobbs

---

In article <slrncav44b.iv.apj@slartibartfast.nerd.dk>, Andreas Plesner Jacobsen wrote:
> Jeg kan virkelig ikke forstå, hvorfor du ynder at dyrke denne kæphest,

Det skyldes alle de fejl jeg har set.

> jeg vil mene at fejlmarginen hos ISPerne er langt lavere end de fleste
> corporate installationer.

Enig, jeg har også set mange fejl i corporate installationer.

Der var en periode hvor jeg kunne spørge en kunde om deres firewall
var sat op af distributør X (som desuden holdt kursus i produktet).

Deres installationer indeholdt alle fejl man overhovedet kunne
fortage sig. Desværrer var det generelt for alle deres kunde installationer.
Hvis de blot havde læst produktets 3 første
kapitler i manualen ville det være undgået.


Men fejlene hos en ISP har typisk betydning for mange kunder.
Specielt hos de kunder der har fejl i deres installation.


> Men jeg er jo også forudindtaget.

Ja.

>> Det er ikke realistisk at tro en ISP ikke laver fejl.
>
> Det er ikke realistisk at du kan udnytte ovenstående. Aldrig.
> source routing skal være slået til på så tilpas meget infrastruktur
> samtidig at det ikke vil ske.

Er situationen ikke omvente, før det kan ske?

Nemlig at man unlader at slå source routing fra.

Typisk er det en feature der en slået til som standard.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/