|
| Proxy server Fra : Mathias Mejborn |
Dato : 02-11-05 15:37 |
|
Hej Gruppe
Har lige et spørgsmål, er det egentlig ikke en antagelig sikkerhedsbrist
hvis en proxyserver sender den interne ip adresse (klient ip adressen)
med ud på nettet når klienten laver forespørgsler, som han jo gør gennem
proxyen.
Jeg mener så man både kan se proxy serverens ip adresse og klienten bag
proxyens ip adresse?
Og hvordan kan dette løses, med hvilken funktion?
MVH
Mathias Mejborn
PS: Mt første post, så undskyld hvis der er nogle standarder jeg ikke
overholder.
| |
Uffe S. Callesen (02-11-2005)
| Kommentar Fra : Uffe S. Callesen |
Dato : 02-11-05 16:56 |
|
Mathias Mejborn wrote:
> Jeg mener så man både kan se proxy serverens ip adresse og klienten bag
> proxyens ip adresse?
>
> Og hvordan kan dette løses, med hvilken funktion?
Hvilken type proxy taler vi om ?? http, smtp ???
En "ordentlig" proxy erstatter source IP adresser med din egen WAN IP -
også i de protokoller der sender IP oplysninger som en del af data
pakken - fx FTP protokollen.
--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk
| |
Mathias Mejborn (02-11-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 02-11-05 17:04 |
|
Uffe S. Callesen wrote:
> Mathias Mejborn wrote:
>
>> Jeg mener så man både kan se proxy serverens ip adresse og klienten
>> bag proxyens ip adresse?
>>
>> Og hvordan kan dette løses, med hvilken funktion?
>
>
> Hvilken type proxy taler vi om ?? http, smtp ???
>
> En "ordentlig" proxy erstatter source IP adresser med din egen WAN IP -
> også i de protokoller der sender IP oplysninger som en del af data
> pakken - fx FTP protokollen.
>
Vi snakker om http, men ja det vil jeg også mene. Det er vist nok en
Squidproxy
| |
Martin Schultz (02-11-2005)
| Kommentar Fra : Martin Schultz |
Dato : 02-11-05 17:23 |
|
Mathias Mejborn <mathias@mejborn.net> skrev 2005-11-02:
> Hej Gruppe
>
> Har lige et spørgsmål, er det egentlig ikke en antagelig sikkerhedsbrist
> hvis en proxyserver sender den interne ip adresse (klient ip adressen)
> med ud på nettet når klienten laver forespørgsler, som han jo gør gennem
> proxyen.
>
> Jeg mener så man både kan se proxy serverens ip adresse og klienten bag
> proxyens ip adresse?
Tjaa det er ret normalt hos de fleste ISPer.
>
> Og hvordan kan dette løses, med hvilken funktion?
Er du administrator for serveren? Hvis du er så kommer det an på hvilken
du bruger. Er du bruger er der nok ikke noget at gøre.
Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel/Aethra routere.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.
| |
Mathias Mejborn (02-11-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 02-11-05 17:30 |
|
Martin Schultz wrote:
> Mathias Mejborn <mathias@mejborn.net> skrev 2005-11-02:
>
>>Hej Gruppe
>>
>>Har lige et spørgsmål, er det egentlig ikke en antagelig sikkerhedsbrist
>>hvis en proxyserver sender den interne ip adresse (klient ip adressen)
>>med ud på nettet når klienten laver forespørgsler, som han jo gør gennem
>>proxyen.
>>
>>Jeg mener så man både kan se proxy serverens ip adresse og klienten bag
>>proxyens ip adresse?
>
>
> Tjaa det er ret normalt hos de fleste ISPer.
>
>
>>Og hvordan kan dette løses, med hvilken funktion?
>
>
> Er du administrator for serveren? Hvis du er så kommer det an på hvilken
> du bruger. Er du bruger er der nok ikke noget at gøre.
>
> Martin
Ja det er vel klart nok at ISP'er bruger det.. Er ikke administrator for
proxyserveren og søger som sådan ikke en løsning, undrede mig bare over
at man ikke skjulte LAN ipadressen. Det er som før omtalt en squidproxy
Mathias
| |
Kent Friis (02-11-2005)
| Kommentar Fra : Kent Friis |
Dato : 02-11-05 20:38 |
|
Den Wed, 02 Nov 2005 15:37:28 +0100 skrev Mathias Mejborn:
> Hej Gruppe
>
> Har lige et spørgsmål, er det egentlig ikke en antagelig sikkerhedsbrist
> hvis en proxyserver sender den interne ip adresse (klient ip adressen)
> med ud på nettet når klienten laver forespørgsler, som han jo gør gennem
> proxyen.
Hvor ser du sikkerheds-problemet i at medsende klientens IP-nummer?
Er proxyens funktion at agere cache? I så fald er det helt normalt
at medsende IP-nummeret, hvordan skal man ellers finde ud af hvem man
skal have fat i hvis der viser sig et problem med det downloadede
(hvad så end det er "Øhm, pas lige på med at køre den fil der, der
er virus i", eller der er tale om noget ulovligt, så de flinke herrer
(eller damer) der kan klokken godt lige vil snakke med dem der har
downloadet den.
Er det derimod en sikkerheds-funktion, som en udvidet statefull
firewall, er IP-adresserne forhåbentlig ikke tilgængelige uden om
proxyen alligevel, og så kan det være ligegyldigt om folk kan se dem.
Personligt ville jeg vælge at beholde den, om ikke andet så for at
gøre det nemmere for førnævnte flinke herrer, hvis den skulle
blive brugt til noget ulovligt.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Mathias Mejborn (02-11-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 02-11-05 21:20 |
|
Kent Friis wrote:
> Den Wed, 02 Nov 2005 15:37:28 +0100 skrev Mathias Mejborn:
>
>>Hej Gruppe
>>
>>Har lige et spørgsmål, er det egentlig ikke en antagelig sikkerhedsbrist
>>hvis en proxyserver sender den interne ip adresse (klient ip adressen)
>>med ud på nettet når klienten laver forespørgsler, som han jo gør gennem
>>proxyen.
>
>
> Hvor ser du sikkerheds-problemet i at medsende klientens IP-nummer?
>
> Er proxyens funktion at agere cache? I så fald er det helt normalt
> at medsende IP-nummeret, hvordan skal man ellers finde ud af hvem man
> skal have fat i hvis der viser sig et problem med det downloadede
> (hvad så end det er "Øhm, pas lige på med at køre den fil der, der
> er virus i", eller der er tale om noget ulovligt, så de flinke herrer
> (eller damer) der kan klokken godt lige vil snakke med dem der har
> downloadet den.
>
> Er det derimod en sikkerheds-funktion, som en udvidet statefull
> firewall, er IP-adresserne forhåbentlig ikke tilgængelige uden om
> proxyen alligevel, og så kan det være ligegyldigt om folk kan se dem.
>
> Personligt ville jeg vælge at beholde den, om ikke andet så for at
> gøre det nemmere for førnævnte flinke herrer, hvis den skulle
> blive brugt til noget ulovligt.
>
> Mvh
> Kent
Kent selvfølgelig kan dem der administrerer proxyserveren se den interne
ip adresse, det kan jo bare være en logfil på serveren der holder den
information. Men ja som en anden i tråeden skriver, det ligger jo også i
headeren når man surfer rundt på nettet.
Men okay nok bare mig der synes man får informationer om for meget ved
at videregive de interne ip adresser også.
| |
Kent Friis (02-11-2005)
| Kommentar Fra : Kent Friis |
Dato : 02-11-05 21:33 |
|
Den Wed, 02 Nov 2005 21:20:11 +0100 skrev Mathias Mejborn:
> Kent Friis wrote:
>> Den Wed, 02 Nov 2005 15:37:28 +0100 skrev Mathias Mejborn:
>>
>> Hvor ser du sikkerheds-problemet i at medsende klientens IP-nummer?
>>
>> Er proxyens funktion at agere cache? I så fald er det helt normalt
>> at medsende IP-nummeret, hvordan skal man ellers finde ud af hvem man
>> skal have fat i hvis der viser sig et problem med det downloadede
>> (hvad så end det er "Øhm, pas lige på med at køre den fil der, der
>> er virus i", eller der er tale om noget ulovligt, så de flinke herrer
>> (eller damer) der kan klokken godt lige vil snakke med dem der har
>> downloadet den.
>>
>> Er det derimod en sikkerheds-funktion, som en udvidet statefull
>> firewall, er IP-adresserne forhåbentlig ikke tilgængelige uden om
>> proxyen alligevel, og så kan det være ligegyldigt om folk kan se dem.
>>
>> Personligt ville jeg vælge at beholde den, om ikke andet så for at
>> gøre det nemmere for førnævnte flinke herrer, hvis den skulle
>> blive brugt til noget ulovligt.
>
> Kent selvfølgelig kan dem der administrerer proxyserveren se den interne
> ip adresse, det kan jo bare være en logfil på serveren der holder den
> information.
Jeg skrev ikke på noget tidspunkt om administratoren af proxyserveren.
> Men ja som en anden i tråeden skriver, det ligger jo også i
> headeren når man surfer rundt på nettet.
Netop.
> Men okay nok bare mig der synes man får informationer om for meget ved
> at videregive de interne ip adresser også.
Hvor er problemet i det?
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Mathias Mejborn (03-11-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 03-11-05 08:33 |
|
Kent Friis wrote:
> Den Wed, 02 Nov 2005 21:20:11 +0100 skrev Mathias Mejborn:
>
>>Kent Friis wrote:
>>
>>>Den Wed, 02 Nov 2005 15:37:28 +0100 skrev Mathias Mejborn:
>>>
>>>Hvor ser du sikkerheds-problemet i at medsende klientens IP-nummer?
>>>
>>>Er proxyens funktion at agere cache? I så fald er det helt normalt
>>>at medsende IP-nummeret, hvordan skal man ellers finde ud af hvem man
>>>skal have fat i hvis der viser sig et problem med det downloadede
>>>(hvad så end det er "Øhm, pas lige på med at køre den fil der, der
>>>er virus i", eller der er tale om noget ulovligt, så de flinke herrer
>>>(eller damer) der kan klokken godt lige vil snakke med dem der har
>>>downloadet den.
>>>
>>>Er det derimod en sikkerheds-funktion, som en udvidet statefull
>>>firewall, er IP-adresserne forhåbentlig ikke tilgængelige uden om
>>>proxyen alligevel, og så kan det være ligegyldigt om folk kan se dem.
>>>
>>>Personligt ville jeg vælge at beholde den, om ikke andet så for at
>>>gøre det nemmere for førnævnte flinke herrer, hvis den skulle
>>>blive brugt til noget ulovligt.
>>
>>Kent selvfølgelig kan dem der administrerer proxyserveren se den interne
>>ip adresse, det kan jo bare være en logfil på serveren der holder den
>>information.
>
>
> Jeg skrev ikke på noget tidspunkt om administratoren af proxyserveren.
>
Du skrev: hvordan skal man ellers finde ud af hvem man
>> skal have fat i hvis der viser sig et problem med det downloadede
>> (hvad så end det er "Øhm, pas lige på med at køre den fil der, der
>> er virus i", eller der er tale om noget ulovligt, så de flinke herrer
>> (eller damer) der kan klokken godt lige vil snakke med dem der har
>> downloadet den.
jeg tolkede det som administratoren af proxyen, men du mente det nok som
proxyen, hvilket egentligt er ligemeget, det er det samme. Det kan jo
løses ved at proxyen kender den interne ipadresse. Og ikke andre
>
>>Men ja som en anden i tråeden skriver, det ligger jo også i
>>headeren når man surfer rundt på nettet.
>
>
> Netop.
>
>
>>Men okay nok bare mig der synes man får informationer om for meget ved
>>at videregive de interne ip adresser også.
>
>
> Hvor er problemet i det?
At man kan få en forståelse for hvordan ipadresserne er bygget op på
netværket. Men kan udfra subnetmaske og andre ting nogenlunde finde frem
til hvor mange maskiner der er på netværket (eller nogenlunde).
Hvorfor fortælle mere end der er nødvendigt.
men ja vi er uenige det er også fint nok, og det er nok kun mig der
ville sætte det op på den måde.
>
> Mvh
> Kent
| |
Kent Friis (03-11-2005)
| Kommentar Fra : Kent Friis |
Dato : 03-11-05 16:43 |
|
Den Thu, 03 Nov 2005 08:32:58 +0100 skrev Mathias Mejborn:
> Kent Friis wrote:
>> Den Wed, 02 Nov 2005 21:20:11 +0100 skrev Mathias Mejborn:
>>
>>>Kent Friis wrote:
>>>
>>>>Den Wed, 02 Nov 2005 15:37:28 +0100 skrev Mathias Mejborn:
>>>>
>>>>Hvor ser du sikkerheds-problemet i at medsende klientens IP-nummer?
>>>>
>>>>Er proxyens funktion at agere cache? I så fald er det helt normalt
>>>>at medsende IP-nummeret, hvordan skal man ellers finde ud af hvem man
>>>>skal have fat i hvis der viser sig et problem med det downloadede
>>>>(hvad så end det er "Øhm, pas lige på med at køre den fil der, der
>>>>er virus i", eller der er tale om noget ulovligt, så de flinke herrer
>>>>(eller damer) der kan klokken godt lige vil snakke med dem der har
>>>>downloadet den.
>>>>
>>>>Er det derimod en sikkerheds-funktion, som en udvidet statefull
>>>>firewall, er IP-adresserne forhåbentlig ikke tilgængelige uden om
>>>>proxyen alligevel, og så kan det være ligegyldigt om folk kan se dem.
>>>>
>>>>Personligt ville jeg vælge at beholde den, om ikke andet så for at
>>>>gøre det nemmere for førnævnte flinke herrer, hvis den skulle
>>>>blive brugt til noget ulovligt.
>>>
>>>Kent selvfølgelig kan dem der administrerer proxyserveren se den interne
>>>ip adresse, det kan jo bare være en logfil på serveren der holder den
>>>information.
>>
>>
>> Jeg skrev ikke på noget tidspunkt om administratoren af proxyserveren.
>>
> Du skrev: hvordan skal man ellers finde ud af hvem man
> >> skal have fat i hvis der viser sig et problem med det downloadede
> >> (hvad så end det er "Øhm, pas lige på med at køre den fil der, der
> >> er virus i", eller der er tale om noget ulovligt, så de flinke herrer
> >> (eller damer) der kan klokken godt lige vil snakke med dem der har
> >> downloadet den.
>
> jeg tolkede det som administratoren af proxyen, men du mente det nok som
> proxyen,
Nej da, man downloader jo ikke fra proxy'en, men fra en server et
eller andet sted på nettet.
Hvis der viser sig at være et problem med filerne på den server, der
gør det nødvendigt at kontakte den der har downloadet filerne, skal
de jo have en måde at finde ud af hvem de skal kontakte.
Fx skrev visse (funet? sunet? sunsite) FTP-servere i gamle dage at
man skulle huske at angive korrekt e-mail adresse, så de kunne
fortælle en hvis de fandt virus i en af de filer man havde downloadet.
Det er internettet nok i mellemtiden blevet for stort til, så det er
nok mere hvis der er foregået noget ulovligt, at det bliver relevant
at komme i kontakt med personen.
>>>Men okay nok bare mig der synes man får informationer om for meget ved
>>>at videregive de interne ip adresser også.
>>
>>
>> Hvor er problemet i det?
>
> At man kan få en forståelse for hvordan ipadresserne er bygget op på
> netværket. Men kan udfra subnetmaske og andre ting nogenlunde finde frem
> til hvor mange maskiner der er på netværket (eller nogenlunde).
Hvor i headerne ser du netmask'en?
> Hvorfor fortælle mere end der er nødvendigt.
For at gøre arbejdet nemmere for både sig selv (altså ejeren af proxyen,
da det er ham der sætter den op til at fortælle det), og eventuelle
andre der har brug for at finde ud af hvem der har downloadet noget.
> men ja vi er uenige det er også fint nok, og det er nok kun mig der
> ville sætte det op på den måde.
Nej, der findes sites der gør lige præcis det, de kaldes anonymizing
proxies, og bliver brugt af folk der (tror de) har noget at skjule.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Christian E. Lysel (02-11-2005)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-11-05 21:11 |
|
Mathias Mejborn wrote:
> Hej Gruppe
>
> Har lige et spørgsmål, er det egentlig ikke en antagelig sikkerhedsbrist
> hvis en proxyserver sender den interne ip adresse (klient ip adressen)
> med ud på nettet når klienten laver forespørgsler, som han jo gør gennem
> proxyen.
Hvis proxien skilter med at kunne skjule klienters IP adresser, jo.
Men ellers kan jeg ikke problemmet.
> Jeg mener så man både kan se proxy serverens ip adresse og klienten bag
> proxyens ip adresse?
Ja, der er specielle headers i http standarden til at ligge disse
informationer i.
> Og hvordan kan dette løses, med hvilken funktion?
Læse manualer til proxyserveren.
| |
|
|