---

Hej
Jeg har i en tidligere tråd fået flere gode råd om at kryptere adgangen til
mit netværk.
Imidlertid har jeg spekuleret på om det er praktisk muligt, såfremt man når
gennem krypteringen at lukke sig ind på værtscomputeren.

Ip addressen er jo ikke kendt af uvedkommende..derfor spørgsmålet..
er det muligt relativt let at scanne (hacke) sig ind på en computer når
krypteringen er brudt?
Lad os antage at computerne sidder bag firewall, (det gør de fleste vel i
dag)
Er ikke interesseret i at forsøge mig som intruder, men kunne tænke mig at
få et godt svar på
problemet.
Bruger man programmer der kan portscanne, laver man dem selv eller de findes
måske allerede tilgængelige i andre systemer end Windows miljøer
Jeg er ikke interesseret i en egentligt drejebog, men blot fakta, da jeg
ofte diskuterer det i min omgangskreds.

mvh Per Juul Larsen

---

pjl wrote:

> Jeg har i en tidligere tråd fået flere gode råd om at kryptere adgangen til
> mit netværk.
> Imidlertid har jeg spekuleret på om det er praktisk muligt, såfremt man når
> gennem krypteringen at lukke sig ind på værtscomputeren.
>
> Ip addressen er jo ikke kendt af uvedkommende..derfor spørgsmålet..

Ip adresser opfanges samtidig med man bryder ind på netværket (network
sniffer).

> er det muligt relativt let at scanne (hacke) sig ind på en computer når
> krypteringen er brudt?
> Lad os antage at computerne sidder bag firewall, (det gør de fleste vel i
> dag)

Det er ikke så nemt, med mindre der benyttes en firewall med kendte
sikkerhedshuller, som kan udnyttes til at overtage maskinen.

For at udnytte huller i styresytem/fejlkonfiguration/installeret
software, kræver det at hackeren kan oprette en forbindelse til
computeren, det forhindrer firewallen.

Et par angrebspunkter:

>Hvis der er sat trust op i firewallen, til andre maskiner på
netværket, kan hackeren udgive sig for at være en af disse.


>Omdirigering af trafik, også kalde man-in-the-middle angreb. Hvis du
f.eks. benytter en browser med et sikkerhedshul som hackeren har
kendskab til, og kan udnyttes til at overtage din maskine, så er du
såbar her.

Når hackeren har fået omdirigeret din trafik (så den løber igennem hans
maskine), kan han injekte skadelig data i din trafik. F.eks.: du går ind
på google.dk, men du får mere med, nemlig det browser-exploit han har
injektet.


> Bruger man programmer der kan portscanne, laver man dem selv eller de findes
> måske allerede tilgængelige i andre systemer end Windows miljøer

nmap bliver ofte brugt, både under Linux og Windows.

---

pjl wrote:
> Hej
> Jeg har i en tidligere tråd fået flere gode råd om at kryptere adgangen til
> mit netværk.
> Imidlertid har jeg spekuleret på om det er praktisk muligt, såfremt man når
> gennem krypteringen at lukke sig ind på værtscomputeren.

Ja.

> Ip addressen er jo ikke kendt af uvedkommende..derfor spørgsmålet..

Men dit AP kører typisk en DHCP server, der selv deler IP adresser ud.

> er det muligt relativt let at scanne (hacke) sig ind på en computer når
> krypteringen er brudt?

Det svare til angriberen sidder på dit lokale netværk.

> Lad os antage at computerne sidder bag firewall, (det gør de fleste vel i
> dag)

Hvis dette er en firewall der beskytter dit lokale netværk imod
Internet, har den ingen indflydelse på sikkerheden da angriberen sidder
lokalt.

> Er ikke interesseret i at forsøge mig som intruder, men kunne tænke mig at
> få et godt svar på
> problemet.
> Bruger man programmer der kan portscanne, laver man dem selv eller de findes
> måske allerede tilgængelige i andre systemer end Windows miljøer

Har du brudt krypteringen kan man se al netværkstrafik i det trådløse
netværk....vi snakker om password til din email pop3/imap konto, ftp
login til dit webhotel.

Når du så downloader et program vil det rent teknisk også være muligt at
rette i programmet....jeg har dog ikke set implementationer der
kunne...udover man blot sætter en http/ftp server op, som man lader
requesten gå til.

> Jeg er ikke interesseret i en egentligt drejebog, men blot fakta, da jeg
> ofte diskuterer det i min omgangskreds.

Men det er afhængigt af setup'et.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On Sun, 17 Apr 2005 11:41:20 +0200, Christian E. Lysel wrote:

> pjl wrote:
>> Hej
>> Jeg har i en tidligere tråd fået flere gode råd om at kryptere adgangen til
>> mit netværk.
>> Imidlertid har jeg spekuleret på om det er praktisk muligt, såfremt man når
>> gennem krypteringen at lukke sig ind på værtscomputeren.
>
> Ja.
>
>> Ip addressen er jo ikke kendt af uvedkommende..derfor spørgsmålet..
>
> Men dit AP kører typisk en DHCP server, der selv deler IP adresser ud.
>
>> er det muligt relativt let at scanne (hacke) sig ind på en computer når
>> krypteringen er brudt?
>
> Det svare til angriberen sidder på dit lokale netværk.
>
Man kunne jo have et tredje ben i sin firewall, der uddelte IP adresser
på et selvstændigt net - DMZ. Det burde afhjælpe det værste. kan
selvfølgelig ikke beskytte mod, at andre "låner" ens opkobling.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Michael Rasmussen wrote:
> Man kunne jo have et tredje ben i sin firewall, der uddelte IP adresser
> på et selvstændigt net - DMZ.

Det beskytter ikke imod angriberen kan lytte med.

> Det burde afhjælpe det værste. kan
> selvfølgelig ikke beskytte mod, at andre "låner" ens opkobling.

Jo. Firewallen kan jo styre adgangen. Evt. vha. out-of-band
authentificering. Herved vil en IP adresse få tidsbegrænset adgang til
en firewall regel.


De net jeg har sat op på arbejdet er WiFi netværket tilsluttet bag en
firewall. Klienterne kan så lave en IPSec forbindelse til firewallen der
styre deres adgang.

Dvs. jeg betragter klienter som almindelige klienter på Internet

Andre setup, hvor klienten er en håndterminal (uden IPSec muligheder),
har vi selv bygget kommunikationsprotokollen og klient/server
applikationerne. Inddata fra protokollen inspiceres for deres gyldighed.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On Sun, 17 Apr 2005 13:09:56 +0200, Christian E. Lysel wrote:

>
> Det beskytter ikke imod angriberen kan lytte med.
>
Det er selvfølgeligt rigtigt, men som du selv skriver længere nede, er
det jo ikke anderledes end for andre almindelige klienter på internettet.
Jeg har min egen mailserver stående på samme net, men kun tilgang via
imaps, og så kun fra mit interne net. Skal der tilgås denne udefra, kan
det kun ske via et webinterface over https. Så mine passwords bliver ikke
route ud på det øvrige net i klar tekst.
>
> Jo. Firewallen kan jo styre adgangen. Evt. vha. out-of-band
> authentificering. Herved vil en IP adresse få tidsbegrænset adgang til
> en firewall regel.
>
Det kræver vist et mere avanceret ting. Jeg tænkte, hvis man ellers ikke
vil have en dedikeret firewall - ipcop, monowall etc, at man kunne
anskaffe sig en billig office router/firewall med et ben ud, et ben ind,
og så et indbygget AP med separat dhcp.
>
> De net jeg har sat op på arbejdet er WiFi netværket tilsluttet bag en
> firewall. Klienterne kan så lave en IPSec forbindelse til firewallen
> der styre deres adgang.
>
Det lyder fornuftigt til en virksomhed, hvor det må formodes, at data kan
være følsomme i persondatalovshensyn, og hvor trafikken er tilsvarende
større og mere kompliceret
>
> Andre setup, hvor klienten er en håndterminal (uden IPSec muligheder),
> har vi selv bygget kommunikationsprotokollen og klient/server
> applikationerne. Inddata fra protokollen inspiceres for deres gyldighed.
Er de skrevet i Java/C/C++ eller i native ARM?

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Michael Rasmussen wrote:
> Det kræver vist et mere avanceret ting. Jeg tænkte, hvis man ellers ikke

OOB er ikke avanceret. Det er mere avanceret at lave authentificeringen
inden for protokollen.

OpenBSD har OOB via OpenSSH authentificering. Du kan også selv lave et
lille script på en webserver, der tilføjer din IP til et filter regel i
en tidsbegrænset periode.

> vil have en dedikeret firewall - ipcop, monowall etc, at man kunne

http://www.publicip.net/

> anskaffe sig en billig office router/firewall med et ben ud, et ben ind,
> og så et indbygget AP med separat dhcp.


> Det lyder fornuftigt til en virksomhed, hvor det må formodes, at data kan
> være følsomme i persondatalovshensyn, og hvor trafikken er tilsvarende
> større og mere kompliceret

Det er også det nemmeste, da jeg i forvejen har mobile brugere.

> Er de skrevet i Java/C/C++ eller i native ARM?

Server, C. Klient, Visual Basic version gammel.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

pjl wrote:
> Hej
> Jeg har i en tidligere tråd fået flere gode råd om at kryptere adgangen til
> mit netværk.
> Imidlertid har jeg spekuleret på om det er praktisk muligt, såfremt man når
> gennem krypteringen at lukke sig ind på værtscomputeren.

Et godt svar på dit spørgsmål ville være noget i retning af: "Ja, men
det ville kræve enorme resourcer."

Jeg ville antage, at enhver der havde resourcerne til at bryde en
krypteret forbindelse af den art man bør bruge (på trådløse netværk) i
dag har resourcer til lidt af hvert - inkl. til at finde og udnytte
sikkerhedsfejl i et vilkårligt OS.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Tak for alle meget informative svar..

mvh Per Juul Larsen
"Alex Holst" <a@mongers.org> skrev i en meddelelse
news:4262e114$0$158$edfadb0f@dtext02.news.tele.dk...

> Et godt svar på dit spørgsmål ville være noget i retning af: "Ja, men det
> ville kræve enorme resourcer."
>
> Jeg ville antage, at enhver der havde resourcerne til at bryde en
> krypteret forbindelse af den art man bør bruge (på trådløse netværk) i dag
> har resourcer til lidt af hvert - inkl. til at finde og udnytte
> sikkerhedsfejl i et vilkårligt OS.