On Sat, Aug 16, 2003 at 01:03:40AM +0200, Carsten wrote:
> Bernd Walter:
> > Nein - das Gateway macht keine Ports auf, obwohl es nach dem NAT so
> > aussieht, als ob es so wäre.
> > Das ist halt der Unterschied zwischen NAT und Proxy.
>
> Also wäre das nicht möglich das jemand eine offene Verbindung nutzen kann
> um an meine Netzinternen Rechner zu gelangen oder? Sowas kommt glaub ich schon
> mal durch verschiedene Bugs vor. Wie verhält sich das denn bei NAT?
Du hast grundsätzlich mehrere Wege in ein solches System zu gelangen.
1. Du hackst dich auf ein von außen ereichbares System.
Also dein Gateway oder einen der speziellen Services, wie dein
Gameserver.
Von dort hat man dann in der Regel bereits eine wesentlich bessere
Position, um durch sniffen und Co weiter zu gelangen.
Hier muss man ein gewisses Vertrauen zur Software haben.
Besser wäre es die Dienste nicht im internen Netz laufen zu lassen.
Stellt sich die Frage, ob das aleinige Risiko der Schutz der
Internen Systeme gilt, oder man Angst haben muss, daß der Firmen-
webserver böse Sachen verbreitet.
2. Ein Trojaner
Sicherlich eine der einfachsten Varianten sofern man gezielt
vorgehen möchte und sehr viele starten alles, was denen in die
Finger gerät.
Extrem kritische Sache, da man den Usern das einfach nicht
abgewöhnen kann.
Wohl dem, der sich erlauben kann Usern fremde Software zu sperren.
3. Ausnutzung eines Bugs in einer Clientsoftware.
Webbrowser oder Mailclients fallen ins Augenmerk.
Ich bin immer wieder erstaunt in wie vielen Firmen ein buntes
Spektrum an Browsern im Einsatz ist.
Damit steigt natürlich auch das Risiko, daß es mal einen erwischt.
4. Hijacken einer offenen Session.
Dagegen kann man mit einfachen Mittel gut absichern.
Verbindungen auf die ein Rückfall möglich ist sollte man eh nicht
zu unbekannten Zielsystemen machen und die sollten verschlüsselt
arbeiten.
Möglich wäre das z.B. bei ssh mit aktiven X oder Port forwarding.
Zu unbekannten Systemen sollte man nur mit vertrauenswürdiger
Software arbeiten - entspricht Fall 3.
5. ...
-- B.Walter BWCT http://www.bwct.de ticso(at)bwct.de info(at)bwct.de To Unsubscribe: send mail to majordomo.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Sat 16 Aug 2003 - 01:22:56 CEST