Re: Bestimmte Ports mit ipfw blocken

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Sat, 16 Aug 2003 01:22:26 +0200

On Sat, Aug 16, 2003 at 01:03:40AM +0200, Carsten wrote:
> Bernd Walter:
> > Nein - das Gateway macht keine Ports auf, obwohl es nach dem NAT so
> > aussieht, als ob es so wäre.
> > Das ist halt der Unterschied zwischen NAT und Proxy.
>
> Also wäre das nicht möglich das jemand eine offene Verbindung nutzen kann
> um an meine Netzinternen Rechner zu gelangen oder? Sowas kommt glaub ich schon
> mal durch verschiedene Bugs vor. Wie verhält sich das denn bei NAT?

Du hast grundsätzlich mehrere Wege in ein solches System zu gelangen.
1. Du hackst dich auf ein von außen ereichbares System.
   Also dein Gateway oder einen der speziellen Services, wie dein
   Gameserver.
   Von dort hat man dann in der Regel bereits eine wesentlich bessere
   Position, um durch sniffen und Co weiter zu gelangen.
   Hier muss man ein gewisses Vertrauen zur Software haben.
   Besser wäre es die Dienste nicht im internen Netz laufen zu lassen.
   Stellt sich die Frage, ob das aleinige Risiko der Schutz der
   Internen Systeme gilt, oder man Angst haben muss, daß der Firmen-
   webserver böse Sachen verbreitet.
2. Ein Trojaner
   Sicherlich eine der einfachsten Varianten sofern man gezielt
   vorgehen möchte und sehr viele starten alles, was denen in die
   Finger gerät.
   Extrem kritische Sache, da man den Usern das einfach nicht
   abgewöhnen kann.
   Wohl dem, der sich erlauben kann Usern fremde Software zu sperren.
3. Ausnutzung eines Bugs in einer Clientsoftware.
   Webbrowser oder Mailclients fallen ins Augenmerk.
   Ich bin immer wieder erstaunt in wie vielen Firmen ein buntes
   Spektrum an Browsern im Einsatz ist.
   Damit steigt natürlich auch das Risiko, daß es mal einen erwischt.
4. Hijacken einer offenen Session.
   Dagegen kann man mit einfachen Mittel gut absichern.
   Verbindungen auf die ein Rückfall möglich ist sollte man eh nicht
   zu unbekannten Zielsystemen machen und die sollten verschlüsselt
   arbeiten.
   Möglich wäre das z.B. bei ssh mit aktiven X oder Port forwarding.
   Zu unbekannten Systemen sollte man nur mit vertrauenswürdiger
   Software arbeiten - entspricht Fall 3.
5. ...

-- 
B.Walter                   BWCT                http://www.bwct.de
ticso(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 16 Aug 2003 - 01:22:56 CEST

search this site