Sikkerhed og fast IP adresse
Max
Når man har en ADSL forbindelse er der så nogen
sikkerhedsmæssige forskelle på om man køre med
server tildelt IP eller fast IP adressse ?
Mvh Max
Christian E. Lysel
Hvis du kører med dynamisk IP, skal du typisk have
en DHCP klient kørende på maskinen. Denne kan
evt. indeholde fejl der kan udnyttes, og der set
eksempler på det.
Kører du evt. også ppoep, bliver det rigtigt interessant
da du kører med flere forskellige netværk.
Nogle vil mene at en fast ip er et problem
da en angriber vil kunne vende tilbage. I
min verden grunder det i et helt andet
problem.
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/
Max
> Nogle vil mene at en fast ip er et problem
> da en angriber vil kunne vende tilbage. I
> min verden grunder det i et helt andet
> problem.
Mit problem ligger i at jeg til mine klienter skal have
lavet en VPN løsning, og den løsning jeg har fået
tilbudt kræver at der bruges fast IP adresse.
Giver disse oplysninger bedre mulighed for
nogle konkrete ting at tænke på ?
Mvh Max
Christian E. Lysel
> Hej Christian
Hejsa Max
>> Nogle vil mene at en fast ip er et problem
>> da en angriber vil kunne vende tilbage. I
>> min verden grunder det i et helt andet
>> problem.
>
> Mit problem ligger i at jeg til mine klienter skal have
> lavet en VPN løsning, og den løsning jeg har fået
Ok, jeg troede det blot var den sevanlige diskution om
fast/dynamisk ip.
> tilbudt kræver at der bruges fast IP adresse.
> Giver disse oplysninger bedre mulighed for
> nogle konkrete ting at tænke på ?
Vi har nok brug for nogle flere information for at
kunne hjælpe.
Du kan godt lave IPsec løsninger hvor klienten
har dynamiske IP adresser. Om du kan lave det
modsatte er jeg usikker på da jeg har
set features nævnt men ikke selv testet det.
Alex Holst
Er ADSL eller kabelmodem usikkert?
http://a.area51.dk/sikkerhed/hjemme_pc#usikkert
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
Max
> Vi har nok brug for nogle flere information for at
> kunne hjælpe.
Med den omtalt løsning får jeg en ZyWALL 10W
Gateway og klienterne får en LINKSYS Cable/DSL
Firewall Router.
Mvh Max
Christian E. Lysel
Løsning?
Skal vi ikke først beskrive behovet, og
derefter designe en løsning?
Max
> > Med den omtalt løsning får jeg en ZyWALL 10W
> > Gateway og klienterne får en LINKSYS Cable/DSL
> > Firewall Router.
>
> Løsning?
>
> Skal vi ikke først beskrive behovet, og
> derefter designe en løsning?
OK, jeg tror vi taler lidt forbi hinanden. Jeg har nogle klienter
der skal kunne arbejde hjemmefra, d.v.s. de skal have
netværks adgang hjemmefra, ligeledes skal de være
istand til at fjernbetjene deres arbejdsstation via f.eks.
PCAnywhere. Jeg har ikke selv meget begrem om disse
ting og har bedet en leverandør om en løsning, han har
anbefalet den angivne løsning der så fordre at klienterne
har en fast IP adresse. Jeg spørger så om der er nogle
sikkerhedsproblemer i en sådan løsning jeg skal
tænke på.
Mvh Max
Svend Olaf Mikkelsen
<news.su...@spindelnet.dk> wrote:
>Nogle vil mene at en fast ip er et problem
>da en angriber vil kunne vende tilbage. I
>min verden grunder det i et helt andet
>problem.
Hvilket andet problem?
--
Svend Olaf
Christian E. Lysel
> har en fast IP adresse. Jeg spørger så om der er nogle
> sikkerhedsproblemer i en sådan løsning jeg skal
> tænke på.
Jeg aner ikke hvordan løsningen er strikket sammen
for det har du ikke fortalt.
Du har skrevet lidt om faste ip adresser og nævnt 2
producenter af nogle billige hardware bokse. Mener
du virkelig man sige noget om sikkerheden på dette
grundlag?
Hvis du virkelig vil have hjælp, må du give mere
information, eller få setup'et vurderet af en 3. part.
ZyWall er jeg personligt ikke særlig glad for, grunden
hertil ligger i en test jeg selv lavede, hvor jeg
efter 5 min, kunne downloade konfigurationsfilen fra
LAN'et (dette kan fx udnyttes af en "defekt" internet
explorer), efter 5 min havde jeg fundet et hul i IPsec
implementationen (VPN).
Da jeg så listen over rettet fejl, gad jeg ikke bruge
mere tid på den.
Christian E. Lysel
> Hvilket andet problem?
At man ikke har sikret sine systemmer ordenligt.
Henrik Rask Mortensen
> ZyWall er jeg personligt ikke særlig glad for, grunden
> hertil ligger i en test jeg selv lavede, hvor jeg
> efter 5 min, kunne downloade konfigurationsfilen fra
> LAN'et (dette kan fx udnyttes af en "defekt" internet
> explorer), efter 5 min havde jeg fundet et hul i IPsec
> implementationen (VPN).
Hmmm - kan du dokumentere din påstand ?
Mig bekendt er Zywall "certificeret" af ICSA labs på lige fod med f.eks.
Cisco Pix !!
Hvis du kan hive konfigurationen ud af min, har du hermed min tilladelse til
at prøve - det er en Zywall.
Og ja - jeg benytter den også til VPN så den del kan - og må du - også gerne
teste.
Min ip-adresse finder du jo nok i dette indlæg - resultatet af din test
sender du bare til mig, så skal jeg offentliggøre det.
Jeg skal understrege, at jeg IKKE er ansat hos Zyxel eller lignende - jeg
synes bare det er for billigt, at komme med sådanne påstande uden
dokumentation. Den har du så lejligheden til, at komme med nu !
Med venlig hilsen
Henrik Rask Mortensen
--
Dette indlæg er sendt som privatperson og afspejler ikke nødvendigvis
holdningen i det firma jeg arbejder for.
Indlægget er heller ikke på nogen måde sendt for at genere nogen eller bryde
nogens regler - skrevne eller uskrevne.
MN
"Henrik Rask Mortensen" <henri...@mail.dk> wrote in message
news:87pCb.57603$jf4.3...@news000.worldonline.dk...
> Christian E. Lysel skrev bl.a.:
>
> > ZyWall er jeg personligt ikke særlig glad for, grunden
> > hertil ligger i en test jeg selv lavede, hvor jeg
> > efter 5 min, kunne downloade konfigurationsfilen fra
> > LAN'et (dette kan fx udnyttes af en "defekt" internet
> > explorer), efter 5 min havde jeg fundet et hul i IPsec
> > implementationen (VPN).
>
>
> Hmmm - kan du dokumentere din påstand ?
>
> Mig bekendt er Zywall "certificeret" af ICSA labs på lige fod med f.eks.
> Cisco Pix !!
>
> Hvis du kan hive konfigurationen ud af min, har du hermed min tilladelse
til
> at prøve - det er en Zywall.
>
> Og ja - jeg benytter den også til VPN så den del kan - og må du - også
gerne
> teste.
>
> Min ip-adresse finder du jo nok i dette indlæg - resultatet af din test
> sender du bare til mig, så skal jeg offentliggøre det.
>
> Jeg skal understrege, at jeg IKKE er ansat hos Zyxel eller lignende - jeg
> synes bare det er for billigt, at komme med sådanne påstande uden
> dokumentation. Den har du så lejligheden til, at komme med nu !
>
Og så hører vi nok ikke mere til Christian.
Mogens
Christian E. Lysel
> Christian E. Lysel skrev bl.a.:
>
>> ZyWall er jeg personligt ikke særlig glad for, grunden
>> hertil ligger i en test jeg selv lavede, hvor jeg
>> efter 5 min, kunne downloade konfigurationsfilen fra
>> LAN'et (dette kan fx udnyttes af en "defekt" internet
>> explorer), efter 5 min havde jeg fundet et hul i IPsec
>> implementationen (VPN).
> Hmmm - kan du dokumentere din påstand ?
Hmmm, er du lidt blå øjet?
Prøv at kik i den dokumentation der følger med firmwaren, her er nogle
eksempler:
zywall1_V3.50(WD.5)C0_Standard.zip
[BUG FIXED] Sympton: The system will allow the packet with DF=1
and packet length > MTU to pass through the router without any
error message return to the sender.
[BUG FIXED] The IP address of the SNMP trap message is always
the LAN side IP address of ZW
[BUG FIXED] CI command, "sys syslog server ...." and
"sys syslog facility..." don't work.
[BUG FIXED] When the ZyWALL device receives the TCP datagram
with SYN and ACK bits, the corresponding remote managements
service would crash.
[BUG FIXED] Fixed the bug of the aggressive mode of IPSec IKE.
[BUG FIXED] The bug of remote management tunnel.
[BUG FIXED] NAT/SUA problem on PPPoE dynamic WAN IP situation.
[BUG FIXED] Fragment Packets(with DF flag) can not pass NAT.
[BUG FIXED] Turn on Remote Managements on WAN side will cause Firewall holes.
[ENHANCEMENT] VPN LOG is totally revised. Now it will show all
IKE packets information.
[ENHANCEMENT] IKE process in phase 2 will check ID information between
system and the peer. If they don't match, i.e. both sites have different
local / remote Addr setting, system will reject the connection and log
in the VPN LOG.
[BUG FIX] When two peers initiate connections at the same time in
some special cases, the two peers will reject each other and on
tunnel can be established.
[BUG FIX] When building the tunnel, sometimes system will crash.
[BUG FIXED] Continue pinging through VPN tunnel will cause the connection
unstable.
[BUG FIXED] When a SA time-out happened and reconnect, sometimes system
losts some memory
Der er flere fejl der er rettet i 3.50, men jeg gider ikke at liste dem.
> Mig bekendt er Zywall "certificeret" af ICSA labs på lige fod med f.eks.
> Cisco Pix !!
Har du læst certificeringen?
Den kommer ind på mange problemmer, men konklusionen siger bla.,
...ZyXEL generated several new firmware images during testing before
creating one that satisfied the criteria...
Sagt på dansk havde de problemmer med at få den godkendt!
Endvidere bør du kun holde firewallen i den version ICSA godkendte
hvis du skal bruge certificeringen til noget.
> Hvis du kan hive konfigurationen ud af min, har du hermed min tilladelse til
> at prøve - det er en Zywall.
Du misforstår mig, jeg sad med en pakke sniffer og administrerede boksen.
Herved kunne jeg se at konfigurationen kunne hentes fra
http://boks/config (tænkt eksempel, da det er 1 1/2 år siden). For
at kunne administere boksen krævede dette man loggede ind. Men
for at hente http://boks/config var der ikke noget krav til at
man var logget ind.
Dette er ikke hensigtsmæssigt, da man via din browser vil kunne få
din konfigurationsfil.
Jeg fejlmeldte problemmet, og fik at vide det var en kendt fejl de arbejde
på at løse. Derfor regner jeg med at problemmet er løst.
Du kan evt. prøve at skrive urlen ned når du downloader konfigurationen,
derefter lukke din browser og starte den igen, for at se
om du kan downloade konfigurationen direkte fra URLen uden at
skulle logge på.
> Og ja - jeg benytter den også til VPN så den del kan - og må du - også gerne
> teste.
Det vil jeg prøve på, men ikke nu, måske på lørdag eller søndag, er det
ok?
Sender du oplysninger så jeg kan etablere en VPN forbindelse?
> Min ip-adresse finder du jo nok i dette indlæg - resultatet af din test
> sender du bare til mig, så skal jeg offentliggøre det.
Jeg ved ikke hvad resultatet bliver, da jeg ikke kan se din boks.
> Jeg skal understrege, at jeg IKKE er ansat hos Zyxel eller lignende - jeg
> synes bare det er for billigt, at komme med sådanne påstande uden
> dokumentation. Den har du så lejligheden til, at komme med nu !
Ok.
Christian E. Lysel
> Og så hører vi nok ikke mere til Christian.
Hvorfor ikke?
Er folk herinde meget naive...har reklamer for stor
en effekt?
Christian E. Lysel
> at prøve - det er en Zywall.
Din header siger 217.20.59.34, whois siger "Nordit ApS", har du noget imod
jeg først ringer på mandag og spørger Poul Pedersen om lov?
> Jeg skal understrege, at jeg IKKE er ansat hos Zyxel eller lignende - jeg
http://www.nordit.dk/nyhed_zyxel.html
Det lyder jo helt rigtigt.
> synes bare det er for billigt, at komme med sådanne påstande uden
> dokumentation. Den har du så lejligheden til, at komme med nu !
Henrik Rask Mortensen
ICSAlabs, synes jeg nu mange af dem har måttet sende nyt software m.m. inden
de er godkendt. ????
Jeg siger ikke at jeg ville vælge en zywall til alle formål. Til mit brug
som privat er den super - en "Sidewinder" ville være fuldstændig overkill.
Hvis jeg var Nationlbanken ville en risikoanalyse nok indikere, at jeg
skulle have en Borderware i serie med en Cisco Pix eller hvad ved jeg.
Pointen er, som jeg ser den, at du ikke bare kan "dømme" en Zywall ud, når
du ikke kender den installation du forsøgte at rådgive om. Det KAN meget vel
være, at en Zywall var lige nøjagtigt det rigtige valg for dem og det KUNNE
også være, at de skulle have en Borderware eller et andet highend
sikkerhedsprodukt - det er der ikke nogen af os to der ved - med mindre du
ved mere end det jeg kunne læse i tråden !
Mvh
Peter Brodersen
<news.su...@spindelnet.dk> wrote:
>Din header siger 217.20.59.34, whois siger "Nordit ApS", har du noget imod
>jeg først ringer på mandag og spørger Poul Pedersen om lov?
Du vil kontakte admin-c for en netblock for at spørge om lov for
kontakt til en IP-adresse indenfor block'en?
--
- Peter Brodersen
Ugens sprogtip: jamen (og ikke jammen)
Henrik Rask Mortensen
"Christian E. Lysel" <news.su...@spindelnet.dk> wrote in message
news:slrnbtkgb...@weebo.dmz.spindelnet.dk...
Yeps - du behøves ikke spørge andre om lov - Jeg sender dig også gerne en
direkte mail signeret med mit TDC signatur. Det kunne jo være helt sjovt at
se hvad du kunne få ud af min Zywall.
Jeg sidder som bruger i Klokkerholm Antenneforening (www.klokkerholm.dk) og
ja vi køber ganske rigtig internet hos Nordit. At Nordit skriver noget om
Zyxel kan jeg ikke belastes for - og jo jeg har engang arbejdet sammen med
en af teknikerne hos Nordit - det gør mig ikke til mere Zyxel freak eller
hvad mener du ?
Mvh
Henrik Rask Mortensen
"Christian E. Lysel" <news.su...@spindelnet.dk> wrote in message
news:slrnbtkgb...@weebo.dmz.spindelnet.dk...
Jeg har "prikket" et lille hul i min firewall og sat en lidt primitiv
webside op internt - blot for at du kan se der også gemmer sig noget bagved
adressen.
Ip-adressen er som sagt ganske rigtig.
Så test bare løs - DoS kan jeg selvfølgelig ikke modstå - men hvem kan det
hvis overmagten er for stor. Så test bare løs. Jeg garanterer ikke for, at
jeg lader den køre i døgndrift, så hvis der er tidspunkter du hellere vil
lege end andre, må du sige til.
mvh
Christian E. Lysel
> Du vil kontakte admin-c for en netblock for at spørge om lov for
> kontakt til en IP-adresse indenfor block'en?
Hvem vil du ellers kontakte?
Christian E. Lysel
> Yeps - du behøves ikke spørge andre om lov - Jeg sender dig også gerne en
> direkte mail signeret med mit TDC signatur. Det kunne jo være helt sjovt at
> se hvad du kunne få ud af min Zywall.
Det siger ikke noget om du kan give mig lov eller ej. Jeg gider ikke
at ryge i spjælet.
Den rigtige at sprøge vil være Jeres adresse til bestyrelse på Jeres hjemmeside,
er det ok jeg sender en mail?
> Jeg sidder som bruger i Klokkerholm Antenneforening (www.klokkerholm.dk) og
> ja vi køber ganske rigtig internet hos Nordit. At Nordit skriver noget om
> Zyxel kan jeg ikke belastes for - og jo jeg har engang arbejdet sammen med
> en af teknikerne hos Nordit - det gør mig ikke til mere Zyxel freak eller
> hvad mener du ?
Det er min fejl, jeg havde ikke overvejet at du var kunde hos Nordit.
Peter Brodersen
<news.su...@spindelnet.dk> wrote:
>> Du vil kontakte admin-c for en netblock for at spørge om lov for
>> kontakt til en IP-adresse indenfor block'en?
>Hvem vil du ellers kontakte?
Hvis du ville have dit system testet, ville jeg fx ikke se det store
behov for at kontakte TDCs NOC, blot fordi de er angivet som admin-c i
den netblock, du tilfældigvis har IP-adresse hos.
Henrik Rask Mortensen
Hmm - jo send du bare en mail til bestyrelsen - den får jeg tilfældigvis da
jeg er med i bestyrelsen - det havde du nok gættet ;-)
Er vi ikke enige om, at jeg ikke på nogen måde har forged min ip-adresse i
headeren ?
Jeg kunne også sende din en helt officiel e-mail. Nå, men hvordan vil du
gerne jeg giver dig lov så du heller ikke får nogen efter dig ?
mvh
Henrik
Christian E. Lysel
>>> Du vil kontakte admin-c for en netblock for at spørge om lov for
>>> kontakt til en IP-adresse indenfor block'en?
>>Hvem vil du ellers kontakte?
> Hvis du ville have dit system testet, ville jeg fx ikke se det store
> behov for at kontakte TDCs NOC, blot fordi de er angivet som admin-c i
> den netblock, du tilfældigvis har IP-adresse hos.
Hvem vil du ellers kontakte?
--
Peter Brodersen
<news.su...@spindelnet.dk> wrote:
>> Hvis du ville have dit system testet, ville jeg fx ikke se det store
>> behov for at kontakte TDCs NOC, blot fordi de er angivet som admin-c i
>> den netblock, du tilfældigvis har IP-adresse hos.
>Hvem vil du ellers kontakte?
Kunden?
Eller lad mig spørge på den måde: Kontakter du altid admin-c for
relevante netblocks, når du laver tests?
Henrik Rask Mortensen
"Peter Brodersen" <use...@ter.dk> wrote in message
news:brdi38$cks$2...@dknews.tiscali.dk...
Det gør jeg ikke når jeg laver tests, det sted jeg arbejder. Det er alene
kunden der giver tilladelsen. Det svære kan dog være, at kontrollere om
kunden rent faktisk har råderetten over de adresser, hvortil de giver
tilladelsen ;-) Det kunne jeg nok fortælle en pudsig oplevelse om, hvilket
jeg dog ikke vil ...
mvh
Henrik
Christian E. Lysel
> Eller lad mig spørge på den måde: Kontakter du altid admin-c for
> relevante netblocks, når du laver tests?
Nej, i sin tid havde jeg en direkte personlig kontakt med
kunden. Jeg været ud for en styrelse der gav mig den forkerte
netblock, der blev jeg nervøs.
Men, hvis jeg ingen oplysninger har om kunden udover
et person navn og en gratis teledanmark epost adresse, er
der et par alarm klokker der ringer. Derfor ville jeg
bruge oplysninger i whois. ISPen vil evt. kunne fortælle
mig hvem jeg i virkeligheden skal kontakte.
Henrik Rask Mortensen
"Christian E. Lysel" <news.su...@spindelnet.dk> wrote in message
news:slrnbtkj9...@weebo.dmz.spindelnet.dk...
Vi har så kommunikeret direkte - håber det var ok !
Mht. ISP og udlevere oplysninger om brugerne af de nekelte ip-adresser, men
jeg at jeg lige har set en info fra Datatlsynet om, at sådanne oplysninger
kun må udleveres mod en dommerkendelse ! Det var et eller andet i forhold
til de ISP´s der udleverede oplysninger til antipiratgruppen uden en sådan
kendelse
mvh
Henrik
Christian E. Lysel
> Vi har så kommunikeret direkte - håber det var ok !
Selvfølgelig.
> Mht. ISP og udlevere oplysninger om brugerne af de nekelte ip-adresser, men
> jeg at jeg lige har set en info fra Datatlsynet om, at sådanne oplysninger
> kun må udleveres mod en dommerkendelse ! Det var et eller andet i forhold
Den har jeg fået flere gange uden dommerkendelse, senest 2 måneder siden.
Henrik Rask Mortensen
Jeg siger ikke, at man ikke kan få det - de MÅ bare ikke udlevere det.
Sådan læser jeg ial fald følgende:
mvh
Henrik Rask Mortensen