/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Sikring af FW
Fra : Jimmy


Dato : 24-09-03 22:29

Hej

Jeg har en RH 9.0 FW (iptables), som jeg ønsker skal være så sikker som
muligt.

Lad os antage jeg har adgang til at SSH mig ind på en maskine hos en
leverandør (f.eks. Netcetera) og lave udgående SSH forbindelser fra den.

Ide:

- Luk for alle porte i min FW udefra
- Åbn for 139 og 22 for IP'en fra mit arbejde
- Åbn for 22 fra den IP, som jeg kan SSH mig ind på


I min verden har jeg nu effektivt begrænset alle muligheder for at angribe
mig direkte.
En angriber kan nu *kun* angribe mig ved enten at hacke sig ind på mit
arbejde eller hos min SSH-leverandør. (Vi undlader at tage højde for
trojanske heste og orme i denne omgang)


Er dette korrekt opfattet eller er verden mere nuanceret?

Mvh
Jimmy





 
 
Kasper Dupont (24-09-2003)
Kommentar
Fra : Kasper Dupont


Dato : 24-09-03 23:44

Jimmy wrote:
>
> Hej
>
> Jeg har en RH 9.0 FW (iptables), som jeg ønsker skal være så sikker som
> muligt.
>
> Lad os antage jeg har adgang til at SSH mig ind på en maskine hos en
> leverandør (f.eks. Netcetera) og lave udgående SSH forbindelser fra den.
>
> Ide:
>
> - Luk for alle porte i min FW udefra
> - Åbn for 139 og 22 for IP'en fra mit arbejde
> - Åbn for 22 fra den IP, som jeg kan SSH mig ind på
>
> I min verden har jeg nu effektivt begrænset alle muligheder for at angribe
> mig direkte.
> En angriber kan nu *kun* angribe mig ved enten at hacke sig ind på mit
> arbejde eller hos min SSH-leverandør. (Vi undlader at tage højde for
> trojanske heste og orme i denne omgang)
>
> Er dette korrekt opfattet eller er verden mere nuanceret?

Det lyder ikke som nogen god plan at åbne for port 139. Hvis du endelig
vil bruge den, så overvej at sende den gennem en SSH tunnel. Hvad angår
mulige angreb, så har du i store træk ret i, hvor de mulige angreb
ligger. Dog kan man også foretage nogle angreb med spoofed source IP
adresse, det kræver dog at man kan få fat i returpakkerne eller gætte
nogle TCP sekvensnumre. Hvis man f.eks. har kontrol over en router på
vejen er det nemt at få fat i returpakkerne. Hvis du sørger for at
hold din ssh software opdateret, så burde det ikke være noget stort
problem.

Hvor meget stoler du på Netcetera? Hvis man kan få kontrol over deres
maskine vil man også kunne opnå fuld kontrol over din ssh session
vidre derfra. Du kan evt. køre SSH over SSH for at undgå det problem.

Jeg har i øvrigt også selv en RH9 maskine, hvor jeg kun tillader SSH
fra udvalgte IP adresser, men derfor holder jeg nu alligevel altid
SSH serveren opdateret.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Jimmy (25-09-2003)
Kommentar
Fra : Jimmy


Dato : 25-09-03 08:41


"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3F721E2C.1F93059D@daimi.au.dk...
> Jimmy wrote:
> >

> > Er dette korrekt opfattet eller er verden mere nuanceret?
>
> Det lyder ikke som nogen god plan at åbne for port 139.


Nej det er ofte en skidt port, men hvis der kun er åbnet for arbejdets IP er
det vel ligemeget?



> Hvis du endelig
> vil bruge den, så overvej at sende den gennem en SSH tunnel.

Spørgmsålet er så, hvordan man gør dette og om Windows XP kan tilgå et
share, som er sendt på denne måde.


> Hvad angår
> mulige angreb, så har du i store træk ret i, hvor de mulige angreb
> ligger. Dog kan man også foretage nogle angreb med spoofed source IP
> adresse, det kræver dog at man kan få fat i returpakkerne eller gætte
> nogle TCP sekvensnumre. Hvis man f.eks. har kontrol over en router på
> vejen er det nemt at få fat i returpakkerne. Hvis du sørger for at
> hold din ssh software opdateret, så burde det ikke være noget stort
> problem.


Hmm ok - det problem vil jeg vel altid have, men det må være til at leve
med.
Det er trods alt de færreste der har kontrol med routere undervejs.


> Hvor meget stoler du på Netcetera? Hvis man kan få kontrol over deres
> maskine vil man også kunne opnå fuld kontrol over din ssh session
> vidre derfra.
> Du kan evt. køre SSH over SSH for at undgå det problem.


Det er klart at der er et svagt link der, men nu er Netcetera blot et
eksempel og sikkert ikke dem jeg ender med at vælge. Det vil derfor være
uendeligt svært for en hacker at finde de tilladte IP'er med mindre han
kender mig i forvejen.


Mvh
Jimmy



Kasper Dupont (25-09-2003)
Kommentar
Fra : Kasper Dupont


Dato : 25-09-03 10:15

Jimmy wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:3F721E2C.1F93059D@daimi.au.dk...
> > Jimmy wrote:
> > >
>
> > > Er dette korrekt opfattet eller er verden mere nuanceret?
> >
> > Det lyder ikke som nogen god plan at åbne for port 139.
>
> Nej det er ofte en skidt port, men hvis der kun er åbnet for arbejdets IP er
> det vel ligemeget?

Der er stadig en lille risiko for aflytning og IP spoofing.

>
> > Hvis du endelig
> > vil bruge den, så overvej at sende den gennem en SSH tunnel.
>
> Spørgmsålet er så, hvordan man gør dette og om Windows XP kan tilgå et
> share, som er sendt på denne måde.

Jeg ved kun, hvordan man gør det på Linux. Jeg har selv brugt
kommandoer, der så nogenlunde sådan ud:

ssh -N -C -L 139:smbserver:139 -f kasperd@sshserver
smbmount '\\localhost\kasperd' /mnt/smb -o username=kasperd

smbserver og sshserver behøver ikke være samme maskine. Men
kommunikationen mellem dem foregår ukrypteret, så gør det kun
med forskellige maskiner, hvis de er på samme pålidelige
lokalnet.

Jeg kører smbmount kommandoen på samme maskine som ssh
klienten. Men hvis ssh blev startet med en -g option burde
det også virke med smbklienten på en anden maskine. Igen
skal de to klienter naturligvis være forbundet med et
pålideligt lokalnet.

Hvis Windows XP kun skal bruge port 139 for at mounte et
share, burde det virke. Det kan selvfølgelig godt være en
stor udfordring at få en ssh klient under Windows XP til at
lytte på lokal port nummer 139.

>
> Hmm ok - det problem vil jeg vel altid have, men det må være til at leve
> med.
> Det er trods alt de færreste der har kontrol med routere undervejs.

Du kan ikke gøre ret meget for at forhindre uvedkommende i at få
kontrol over din rute. Selvom risikoen for netop den type angreb
er lille, synes jeg stadig det er en god idé at sikre sig imod
dem. Hvis du kører alt over ssh, og i øvrigt checker host keys
og holder softwaren opdateret vil du ikke risikere noget selvom
en router skulle blive overtaget.

>
> > Hvor meget stoler du på Netcetera? Hvis man kan få kontrol over deres
> > maskine vil man også kunne opnå fuld kontrol over din ssh session
> > vidre derfra.
> > Du kan evt. køre SSH over SSH for at undgå det problem.
>
> Det er klart at der er et svagt link der, men nu er Netcetera blot et
> eksempel og sikkert ikke dem jeg ender med at vælge. Det vil derfor være
> uendeligt svært for en hacker at finde de tilladte IP'er med mindre han
> kender mig i forvejen.

Du vil være beskyttet mod næsten ethvert tilfældigt angreb. Man
skal være meget målrettet for at gå efter dig personligt. Men
forestil dig en orm, der f.eks. udnytter et lokalt root exploit
og derefter patcher ssh klienten til at lave angreb mod andre
maskiner ved ethvert login fra den inficerede maskine til en
anden maskine.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Jimmy (25-09-2003)
Kommentar
Fra : Jimmy


Dato : 25-09-03 10:33


"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3F72B21C.672E2633@daimi.au.dk...
> Jimmy wrote:
> >
> > "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> > news:3F721E2C.1F93059D@daimi.au.dk...
> > > Jimmy wrote:
> > > >
> >
> > > > Er dette korrekt opfattet eller er verden mere nuanceret?
> > >
> > > Det lyder ikke som nogen god plan at åbne for port 139.
> >
> > Nej det er ofte en skidt port, men hvis der kun er åbnet for arbejdets
IP er
> > det vel ligemeget?
>
> Der er stadig en lille risiko for aflytning og IP spoofing.


Det er korrekt, men er der ikke denne risiko uanset hvilken port jeg åbner
for?


> > > Hvis du endelig
> > > vil bruge den, så overvej at sende den gennem en SSH tunnel.
> >
> > Spørgmsålet er så, hvordan man gør dette og om Windows XP kan tilgå et
> > share, som er sendt på denne måde.
>
> Jeg ved kun, hvordan man gør det på Linux. Jeg har selv brugt
> kommandoer, der så nogenlunde sådan ud:
>
> ssh -N -C -L 139:smbserver:139 -f kasperd@sshserver
> smbmount '\\localhost\kasperd' /mnt/smb -o username=kasperd

Ser herligt ud.
Det vil jeg prøve.

Måske jeg kan sætte en lille Linux box op på arbejdet, lade den hente shares
krypteret og lade XP tilgå den

Det vil naturligvis være smartere om jeg kunne tilgå 139 over SSH igennem
XP.
Det vil jeg se på.


> > Det er klart at der er et svagt link der, men nu er Netcetera blot et
> > eksempel og sikkert ikke dem jeg ender med at vælge. Det vil derfor være
> > uendeligt svært for en hacker at finde de tilladte IP'er med mindre han
> > kender mig i forvejen.
>
> Du vil være beskyttet mod næsten ethvert tilfældigt angreb. Man
> skal være meget målrettet for at gå efter dig personligt.


Fint - Det var det jeg gerne ville høre


>Men
> forestil dig en orm, der f.eks. udnytter et lokalt root exploit
> og derefter patcher ssh klienten til at lave angreb mod andre
> maskiner ved ethvert login fra den inficerede maskine til en
> anden maskine.

Det er klart.

Hvordan ville en orm kunne komme ind i min maskine?
Det er ret beset kun ren firewall og filserver og de eneste programmer der
afvikles på den er dem der kommer med Redhat.

Mvh
Jimmy



Stig Meyer Jensen (25-09-2003)
Kommentar
Fra : Stig Meyer Jensen


Dato : 25-09-03 12:43


"Jimmy" <nyhedsgruppe2@get2net.danmark> skrev i en meddelelse
news:rCycb.146$4u7.93@news.get2net.dk...
[snip]
> Det vil naturligvis være smartere om jeg kunne tilgå 139 over SSH igennem
> XP.
> Det vil jeg se på.

Lidt afhængig af hvordan du ønsker at arbejde med dine filer, vil WinSCP
måske være et godt værktøj for dig.

--

Stig Meyer Jensen
stig@mine_3_initialer.dk



Kasper Dupont (25-09-2003)
Kommentar
Fra : Kasper Dupont


Dato : 25-09-03 14:13

Jimmy wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:3F72B21C.672E2633@daimi.au.dk...
> >
> > Der er stadig en lille risiko for aflytning og IP spoofing.
>
> Det er korrekt, men er der ikke denne risiko uanset hvilken port jeg åbner
> for?

Jo, men med en protokol der giver dig kryptering og integritet er
konsekvenserne ikke nær så store, hvis det sker.

>
> Måske jeg kan sætte en lille Linux box op på arbejdet, lade den hente shares
> krypteret og lade XP tilgå den

Jeg tror det vil kunne lade sig gøre.

>
> Hvordan ville en orm kunne komme ind i min maskine?
> Det er ret beset kun ren firewall og filserver og de eneste programmer der
> afvikles på den er dem der kommer med Redhat.

Hvis du logger ind fra en inficeret maskine kan ormen opnå kontrol
over maskinen, der kontaktes med ssh. I første omgang får den kun
adgang til det brugernavn, man logger ind som. Men hvis du ikke
holder din software opdateret kan der være et lokalt root exploit.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste