/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Source routing og PIX
Fra : Jens U. K.


Dato : 04-09-01 13:43

Jeg har erfaret at hvis man har et netværk med en forbindelse til
internettet via en (dårlig) router, er det muligt for en attacker vha.
source routing, at sende pakker ind i netværket selv om routeren udelukkende
gør brug af dynamisk NAT. Når man har en Cisco1600 router, hvor source
routning ikke kan slås fra, hvad gør man så?
!Kan man f.eks. sætte en PIX mellem netværket og routeren og få den til at
filtrere source routede pakker?

Kan source routing forresten slås fra på Cisco677 ADSL-routeren?

Et andet spørgsmål: Er det ikke således at hvis man har sniffet de pakker
hvor en attacker har brugt source routing til at nå ind i netværket, så kan
man se IP-addr. på attackeren i de pakker der bliver sendt tilbage som
svar?!

På forhånd tak
/Jens Ulrik



 
 
Christian Andersen (04-09-2001)
Kommentar
Fra : Christian Andersen


Dato : 04-09-01 14:34

Jens U. K. wrote:

>Jeg har erfaret at hvis man har et netværk med en forbindelse til
>internettet via en (dårlig) router, er det muligt for en attacker vha.
>source routing, at sende pakker ind i netværket selv om routeren udelukkende
>gør brug af dynamisk NAT. Når man har en Cisco1600 router, hvor source
>routning ikke kan slås fra, hvad gør man så?

Du kan opsætte en DMZ (DeMillitarized Zone) mellem internettet og resten
af netværket.

          --------DMZ----------

Internettet ---- Router 1 ---- Mailserver ---- Router 2 ---- LAN


På den måde er det let at beskytte et LAN mod uautoriseret trafik.

Router 2 tillader kun trafik fra LAN til DMZ til mailserveren med
dest.port 25 og 110, samt ingen trafik fra DMZ mod LAN.

Problem solved.

--
Nescafe - because your pets deserve the best!


Jens U. K. (04-09-2001)
Kommentar
Fra : Jens U. K.


Dato : 04-09-01 15:20

"Christian Andersen" <hypvxo28u85zyj001@sneakemail.com> skrev i en
meddelelse news:3b94d83b$0$259$edfadb0f@dspool01.news.tele.dk...
> Jens U. K. wrote:
>
> >Jeg har erfaret at hvis man har et netværk med en forbindelse til
> >internettet via en (dårlig) router, er det muligt for en attacker vha.
> >source routing, at sende pakker ind i netværket selv om routeren
udelukkende
> >gør brug af dynamisk NAT. Når man har en Cisco1600 router, hvor source
> >routning ikke kan slås fra, hvad gør man så?
>
> Du kan opsætte en DMZ (DeMillitarized Zone) mellem internettet og resten
> af netværket.
>
> --------DMZ----------
>
> Internettet ---- Router 1 ---- Mailserver ---- Router 2 ---- LAN
>
>
> På den måde er det let at beskytte et LAN mod uautoriseret trafik.
>
> Router 2 tillader kun trafik fra LAN til DMZ til mailserveren med
> dest.port 25 og 110, samt ingen trafik fra DMZ mod LAN.

Hvordan får LAN-computerne så adgang til internettet (f.eks. http)?

/Jens Ulrik



Asbjorn Hojmark (06-09-2001)
Kommentar
Fra : Asbjorn Hojmark


Dato : 06-09-01 00:13

On Tue, 4 Sep 2001 14:43:05 +0200, "Jens U. K."
<1jk2@3bsopatent4.dk> wrote:

> Når man har en Cisco1600 router, hvor source routning ikke kan slås fra,
> hvad gør man så?

Hvad får dig til at tro, at source-routing ikke kan slås fra på
en 1600-serie router?

> !Kan man f.eks. sætte en PIX mellem netværket og routeren og få den til at
> filtrere source routede pakker?

Ja. En PIX forwarder aldrig source-routede pakker.

> Kan source routing forresten slås fra på Cisco677 ADSL-routeren?

Jeg mener ikke, at en 677'er understøtter source-routing. Men jeg
kan huske galt.

> Et andet spørgsmål: Er det ikke således at hvis man har sniffet de pakker
> hvor en attacker har brugt source routing til at nå ind i netværket, så kan
> man se IP-addr. på attackeren i de pakker der bliver sendt tilbage som
> svar?!

Ikke nødvendigvis, fx. ikke hvis afsenderen har spoofet sin
adresse.

-A
--
http://www.hojmark.org/

Jens U. K. (06-09-2001)
Kommentar
Fra : Jens U. K.


Dato : 06-09-01 13:45

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:tvbdpt803bc79u1l5fqct4tskgvm6uk00c@news.worldonline.dk...
> On Tue, 4 Sep 2001 14:43:05 +0200, "Jens U. K."
> <1jk2@3bsopatent4.dk> wrote:
>
> > Når man har en Cisco1600 router, hvor source routning ikke kan slås fra,
> > hvad gør man så?
>
> Hvad får dig til at tro, at source-routing ikke kan slås fra på
> en 1600-serie router?
>

Et svar jeg fik i en tidligere tråd, som jeg nok har misfortolket
:(vedkommende svarede nok nej til at *vide* om 1600 kunne slå source-routing
fra, ikke til at 1600'eren *ikke kunne* slå det fra... Efterfølgende har
jeg set dit svar i den pågældende tråd)

> ...
> > Et andet spørgsmål: Er det ikke således at hvis man har sniffet de
pakker
> > hvor en attacker har brugt source routing til at nå ind i netværket, så
kan
> > man se IP-addr. på attackeren i de pakker der bliver sendt tilbage som
> > svar?!
>
> Ikke nødvendigvis, fx. ikke hvis afsenderen har spoofet sin
> adresse.

Hvis han har spoofet sin adresse, kan han vel ikke få nogen pakker retur og
altså heller ikke få noget at vide?

/Jens Ulrik



Asbjorn Hojmark (06-09-2001)
Kommentar
Fra : Asbjorn Hojmark


Dato : 06-09-01 23:31

On Thu, 6 Sep 2001 14:44:38 +0200, "Jens U. K."
<1jk2@3bsopatent4.dk> wrote:

> Hvis han har spoofet sin adresse, kan han vel ikke få nogen
> pakker retur og altså heller ikke få noget at vide?

Næ, men hvis det eneste man ønsker er at lave skade (denial of
service attacks), så er det langtfra altid nødvendigt at få noget
retur.

-A
--
http://www.hojmark.org/

Jens U. K. (07-09-2001)
Kommentar
Fra : Jens U. K.


Dato : 07-09-01 10:20

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:m6ufpto2qgevtpkmq3h0csponv0b755gl4@news.worldonline.dk...
> On Thu, 6 Sep 2001 14:44:38 +0200, "Jens U. K."
> <1jk2@3bsopatent4.dk> wrote:
>
> > Hvis han har spoofet sin adresse, kan han vel ikke få nogen
> > pakker retur og altså heller ikke få noget at vide?
>
> Næ, men hvis det eneste man ønsker er at lave skade (denial of
> service attacks), så er det langtfra altid nødvendigt at få noget
> retur.

Det er jeg enig i.

Og hvis vedkommende har haft succes med at placere en trojan, kan han/hun i
teorien starte den med en spoofet pakke?!

/Jens Ulrik



Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste