[Rika]

1. Daß es grundsätzlich gehen kann kann man sich auch rein logisch ableiten, von daher NACK.
2. Mit richtiger Unterstützung meine ich genau das - erfüllt Funktionen von Firewall und hostbasierendem Paketfilter. Dank NATP geht das aber leider nicht, wenn er nicht direkt mit der Routing-Software kommunizieren kann. Kann Sygate nicht.
3. Denke doch mal bitte über die Routing-Fähigkeit von ESP im Internet und die Fähigkeiten von AH nach... Nebenbei ist IPsec für einen MitM, wie ihn das Gateway darstellt, durchaus einfach zu knacken. (mirror attack auf die auth-messages).
4. Eher spinnt der RADIUS-Server und teilt bei der PPPoE-Einwahl dem Gateway keinen oder den falschen DNS-Server mit, dann sitzen ebenfalls beide auf dem Schlauch - es sei denn sie haben ihn halt eben fest eingetragen. Außerdem gibt es auch noch sowas wie sekundären und tertiären DNS-Server.
5. Nein, wir sprechen hier von einer Sicherheitsmaßnahme die funktionieren soll. Ein korrektes Regelsystem ist durchaus komplex und über lange Zeit gewachsen - entschuldige bitte daß ich davon ausginge daß ein User mit diesem Spielzeug etwas Sinnvolles produzieren könnte...

Dieser Beitrag wurde von Rika bearbeitet: 05. September 2004 - 13:13

[nuts]

Warum ärgerst Du dich hier die ganze Zeit mit den Besserwissern herum, hast Du soviel kostbare Zeit zu verschenken?
Deine Antworten sind stets gut strukturiert und inhaltlich korrekt, wenn die Hilfebedürftigen Personen dies aber nicht als "netten" Service ansehen, sondern mehr als Grund sich dann letztendlich gegen Dich zu stellen, dann würde ich erst recht nichtmehr mit solchen Hilfestellungen dienen, dafür wäre MIR dann meine Zeit viel zu kostbar ... ist doch alles ein Kampf gegen Mühlen.

[bloodygod]

Hallo Rika,

rein grundsätzlich hast du absolut recht. Nur welcher "normale User" versteht es schon IPSec zu verwenden? Dieses Problem hat ein normaler User gar nicht, also kann es für den schon Sinn machen ICS und Firewall zu verwenden. Du gehst vom Optimum aus, das ist ein schönes Ziel. Wenn nur jeder User so denken würde

Gruß

[Rika]

Ähm... das eine hat mit dem anderen arg wenig zu tun. Worauf willst du hinaus? Ich habe doch schon erklärt daß du wegen dem NATP maximal den Client, aber nicht das Gateway schützen kannst. Für sowas bräuchtest du einen Proxy oder eine bessere Routing-Software (wie z.B. Kerio WinRoute oder besser gleich Linux mit iptables -> modul masquerade). Und selbst das ist für den normalen User viel zu schwierig, aber ohne eine ordentliches Regelwerk taugt das alles doch gar nicht als Sicherheitsmaßnahme...

Dieser Beitrag wurde von Rika bearbeitet: 06. September 2004 - 12:23

[bloodygod]

moment verstehe ich das richtig, wenn ich kein IPSec verwende und auf meinem Gateway ICS und eine Firewall laufen habe, dann ist mein Gateway verwundbar?

Also wenn ich einen Portscan mit shields up von grc machen lasse scheint jeder Port nicht sichtbar zu sein.

[Rika]

1. Ja.
2. Ist ja auch ein mieser Portscan...
3. Das liegt aber nicht an der Firewall, sonderm am ICS. Aber auch das ist unzuverlässig.

[bloodygod]

worin besteht denn diese Sicherheitslücke genau? gibt es einen offenen Port?

[Rika]

http://www.iks-jena....rewall.html#NAT

[bloodygod]

auf dieser Seite ist kein Hinweis auf eine Sicherheitslücke wenn ICS und eine Desktop Firewall verwendet wird... worin begründest du deine Aussage?

[Rika]

ICS = NAT-Routing.
Mit der Firewall selber hat das gar nix zu tun, denn die kann man schlecht vor dem Gateway platzieren, weil sich sonst durch das NATP die effektiven Regeln für den Client hinter dem Gateway ständig ändern, d.h. auch Erwünschtes blockiert und Unerwünschtes erlaubt wird.

[bloodygod]

Also bei Sygate wird mit diesem Satz geworben: "New features include full-ICS support" Frag mich nicht wie sie es genau machen. Aber grundsätzlich könnte doch die Firewall sehr wohl vor dem Gateway stehen, die NAT Pakete öffnen und nach Regeln entscheiden. Nur wenn das Bestimmungsziel nicht klar ist dann wirds schwierig ob die Firwall dann blockt oder wie sie vorgeht entzieht sich meiner Kenntnis.

[Rika]

Zitat

Also bei Sygate wird [...] geworben [...] Frag mich nicht wie sie es genau machen.

Uijuijui... auch schon mal gefragt wie der Schutz vor IP- und ARP-Spoofing tatsächlich aussieht? Oder der Treiberschutz? Oder inwiefern die Tabelle mit den Standardausnahmen an DLLs gegen DLL Injection wirklich sicher ist oder warum nur SetWindowHookEx() und CreateRemotThread() überwacht werden?

Ansonsten: Nein, es sei denn der Client darf praktisch gar nix und du legst statitische Mappings an. In allen anderen Fällen verwendet man Proxies. Wie ich schon schrieb werden durch das NATP die Regeln dynamisch geändert (wenn der Browser am Gateway bereits Daten auf Port 1234 erwartet und der Client ebenfalls was auf 1234 will, dann wird's halt nach 1235 gemappt - so ändern sich die Mappings ständig...) und damit auch die effektiven Regeln für den Client (wird Port 1235 gesperrt, dann ist auf dem Client Port 1234 unerreichbar - aber auch auf dem Gateway, was wiederum nicht erwünscht sein kann usw.). Deshalb stellt man ja Proxies auf und maskiert die Zugriffe aller Clients in Anfragen von einem einzigen Rechner.

[bloodygod]

Ja gefragt habe ich mich das schon. Aber welche Firewall kann da schon was ausrichten? Man braucht auf jeden Fall noch gleichzeitig einen Virenscanner. Aber gegen unbekannte Viren bringt das wenig.

Der ICS wirkt doch wie ein Proxy! Er maskiert alle Clientzugriffe so dass zum Internet hin es so aussieht als ob nur ein Rechner zugreift (NAT). ICS weiss auch welcher Client eine Anfoderung geschickt hat und sendet die Antwort an den richtigen Client zurück. Das funktioniert auch mit Sygate Firewall vor dem ICS.

Und das Port-Problem habe ich nicht, da mein Client von meinem Server auf jedem Port Daten annimmt (Ausnahme-Definition für Vollzugriff ). Der Client ist ja durch den Server zum Internet hin geschützt. Auf dem Client wird die Firewall dazu benutzt um bestimmten Programmen Internetzugriff zu verbieten. Aber zum lokalen Netzwerk ist eine Ausnahme definiert, von dort darf alles rein und raus.

[Rika]

>Ausnahme-Definition für Vollzugriff
Sehr gut. Und damit willst du etwa sicher bekommen?

>Der ICS wirkt doch wie ein Proxy!
Falsch. Ein Proxy arbeitet auf Layer 7, ein Router auf Layer 3 und NAT auf Layer 4. Ein Proxy hat den Vorteile daß er sämtliche Anfragen auf Layer 7 in einer auf Layer 4 einheitliche Anfragestruktur umsetzen kann, während NAT(-P) ständig die Anfragen ändert.

Jedenfalls ist das, was du da betreibst, nur ein Screened Host, d.h. ein Firewalling-Konstrukt bei dem vor allem der SH, das Gateway, anfällig ist, weil du ihn für mehrere Sachen gleichzeitig verwendest.