On 2004-07-21, Thomas Eriksen <thomas@hardwareonline.dk> wrote:
>> En firewall hjælper ikke på usikre applikationer, ej hjælper 128 bits
> kryptering.
>
> Har du svært ved at se hvorfor? for at forbedre sikkerheden hvad tror du?
Hvad vil du forbedre?
Hvis du vil forbedre at Internet ikke skal tilgå dine filer du deler, så
slå servicen fra, etcetera. Slå det fra du ikke bruger.
>> Hvad snakker du om?
>
> Hvad har jeg snakket om heletiden? jeg vil have en software firewall og
> stadig have mulighed for at bruge fjernadministration af min server.
Hvilken software firewall kan ikke det?
Men for at vende tilbage til mit oprindelige spørgsmål, "hvad skal
firewallen beskytte imod"?
>> Jeg snakker om protokollen RDP.
>
> Ja det kan jeg se men kan du ikke prøve og forklare hvad du mener med det
> istedet for at blive ved med at sige at det er usikkert og så ikke forklare
> hvad du mener. Er det fordi du mener at man kan forbinde fra alle maskiner
> til serveren og derefter begynde at køre kodebrydningsprogrammer på windows
> logins? Eller mener du at alt det kræver er at sniffe tingene under vejs?
> ellers hvad?
Siger man-in-middle dig ikke noget?
Kik evt. på
http://groups.google.com/groups?selm=slrncfqook.lj5.chel%40weebo.spindelnet.dk
Som jeg ser det er der følgende problemmer:
1) Klienten kan ikke identificere serveren.
2) Serveren kan ikke identificere klienten.
3) En anbriber imellem klient og server, vil kunne aflytte alt, også
selvom der benyttes kryptering, pga. punkt 1 og 2.
4) Når punkt 3 benyttes kan angriberen også læse filer på klientens maskine
og dennes clipboard.
5) De har før lavet grove fejl i protokollen, så man har kunne genafspille, fx
login sekvensen. Endvidere er protokollen ikke offentlig tilgændelig, så
man kan ikke tage stilling til om designet er hullet. Koden er ej offentligt
tilgændelig, så man kan ikke tage stilling til om implementationen er hullet.
6) Identifikation sker på et højrer lag.
Og til sidst har jeg det selv dårligt med at give adgang til terminal servicen,
før man validere brugeren.
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/