|
| Hvordan virker en VPN-tunnel Fra : Rasmus |
Dato : 08-12-02 12:09 |
|
Jeg kunne godt tænke mig at vide lidt om hvordan en VPN-tunnel virker.
Hvis nu jeg kontakter en server gennem VPN, men jeg har haft en hacker på
min pc, som har installeret et sniffer-program eller en bagdør, beskytter
VPN-tunlen så mod, at denne hacker kommer med ind på serveren?
Hilsen
Rasmus
| |
Karsten H. (08-12-2002)
| Kommentar Fra : Karsten H. |
Dato : 08-12-02 12:15 |
|
"Rasmus" <ccc21842@vip.cybercity.dk> wrote in news:asv98o$ll4$1@sunsite.dk:
> Jeg kunne godt tænke mig at vide lidt om hvordan en VPN-tunnel virker.
>
> Hvis nu jeg kontakter en server gennem VPN, men jeg har haft en hacker på
> min pc, som har installeret et sniffer-program eller en bagdør, beskytter
> VPN-tunlen så mod, at denne hacker kommer med ind på serveren?
Nej. Hvis han er inde på din maskine, og har infiltreret den så meget at
han har samme eller flere rettigheder end dig har han ganske givet adgang
til de samme datamængder, og tunneller, du har.
Det kan være at det er nødvendigt for dig at initialisere forbindelsen, men
hvis denne først er initialiseret, og forbindelsen til det eksisterende net
opretsholdes, så kan han bruge dig som springrampe ind i de netværk som du
har tunnelet til.
--
Karsten H.
Som har skrevet sin mail-adresse baglæns for at narre fjenden i Aalborg.
| |
Kent Friis (08-12-2002)
| Kommentar Fra : Kent Friis |
Dato : 08-12-02 12:19 |
|
Den Sun, 8 Dec 2002 12:09:21 +0100 skrev Rasmus:
>Jeg kunne godt tænke mig at vide lidt om hvordan en VPN-tunnel virker.
>
>Hvis nu jeg kontakter en server gennem VPN, men jeg har haft en hacker på
>min pc, som har installeret et sniffer-program eller en bagdør, beskytter
>VPN-tunlen så mod, at denne hacker kommer med ind på serveren?
Nope.
VPN betyder Virtual Private Network, forstås som et virtuelt (et
der ikke findes i virkeligheden) LAN-kabel imellem din PC og
serveren.
VPN beskytter mod pilfingre midt på "kablet", men hvad man putter ind
i den ene ende kommer uændret ud i den anden ende.
Det er derfor man ofte terminerer VPN på DMZ, eller på et separat ben
på firewall'en.
Mvh
Kent
--
Those who write "Optimized for Netscape" og "Best viewed with MSIE"
never figured out the difference between the WWW and a
Word Perfect 4.2 Document.
| |
Rasmus (08-12-2002)
| Kommentar Fra : Rasmus |
Dato : 08-12-02 12:22 |
|
Det vil altså sige, at man samtidig med installering af VPN skal stille krav
om at folk er en velfungerende firewall etableret på deres pc.
Hilsen
Rasmus
"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:asv9qa$j0u$2@sunsite.dk...
> Den Sun, 8 Dec 2002 12:09:21 +0100 skrev Rasmus:
> >Jeg kunne godt tænke mig at vide lidt om hvordan en VPN-tunnel virker.
> >
> >Hvis nu jeg kontakter en server gennem VPN, men jeg har haft en hacker på
> >min pc, som har installeret et sniffer-program eller en bagdør, beskytter
> >VPN-tunlen så mod, at denne hacker kommer med ind på serveren?
>
> Nope.
>
> VPN betyder Virtual Private Network, forstås som et virtuelt (et
> der ikke findes i virkeligheden) LAN-kabel imellem din PC og
> serveren.
>
> VPN beskytter mod pilfingre midt på "kablet", men hvad man putter ind
> i den ene ende kommer uændret ud i den anden ende.
>
> Det er derfor man ofte terminerer VPN på DMZ, eller på et separat ben
> på firewall'en.
>
> Mvh
> Kent
> --
> Those who write "Optimized for Netscape" og "Best viewed with MSIE"
> never figured out the difference between the WWW and a
> Word Perfect 4.2 Document.
| |
Kasper Dupont (08-12-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 08-12-02 12:58 |
|
Rasmus wrote:
>
> Det vil altså sige, at man samtidig med installering af VPN skal stille krav
> om at folk er en velfungerende firewall etableret på deres pc.
De skal have en sikker opsætning af deres PC. En firewall kan indgå som en
del af denne sikre opsætning, men det behøves ikke være tilfældet, en PC
kan også sikres uden firewall. Man må under ingen omstændigheder tro, at
en firewall på magisk vis løser alle problemer.
Det ville give god mening at have firewall og VPN i en samlet hardware
boks mellem PC'en og netforbindelsen. En software løsning er typisk
billigere. En hardware løsning kan være bedre end en software løsning.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Hvem er fjenden i Aalborg?
| |
Kent Friis (08-12-2002)
| Kommentar Fra : Kent Friis |
Dato : 08-12-02 13:27 |
|
Den Sun, 8 Dec 2002 12:22:21 +0100 skrev Rasmus:
>Det vil altså sige, at man samtidig med installering af VPN skal stille krav
>om at folk er en velfungerende firewall etableret på deres pc.
Du kan ikke sikre dig ved at installere software hos brugerne.
1. Brugere har en tendens til at få ting til ikke at virke. Specielt
ting der forhindrer dem i at spille, eller i at åbne "julekort.jpg.exe"
fra moster Oda.
2. En firewall beskytter ikke mod at brugeren downloader et "smart
program", der tilfældigvis indeholder en bagdør, som etableres
udad fra PC'en, fx. SSL-krypteret over port 443.
Sikkerhed skal laves centralt, hvor brugerne ikke har en chance for at
pille. Fx. ved at terminere VPN-tunnelen på et fjerde ben på firewall'en.
Mvh
Kent
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.
| |
Casper (20-12-2002)
| Kommentar Fra : Casper |
Dato : 20-12-02 07:43 |
|
leeloo@phreaker.net (Kent Friis) wrote in news:asvdr6$o4s$2@sunsite.dk:
> Fx. ved at terminere VPN-tunnelen på et fjerde ben på
> firewall'en.
Hvordan ?
--
Med Venlig hilsen
| |
Kent Friis (20-12-2002)
| Kommentar Fra : Kent Friis |
Dato : 20-12-02 16:41 |
|
Den Fri, 20 Dec 2002 06:43:03 +0000 (UTC) skrev Casper:
>leeloo@phreaker.net (Kent Friis) wrote in news:asvdr6$o4s$2@sunsite.dk:
>
>> Fx. ved at terminere VPN-tunnelen på et fjerde ben på
>> firewall'en.
>
>Hvordan ?
Ved at man forbinder LAN siden af VPN-maskinen med det fjerde netkort
i firewall'en (de tre man oftest bruger er LAN, WAN og DMZ). Fx. med et
krydset kabel.
Derved kan firewall'en styre hvilken trafik der er tilladt VPN <-> LAN.
Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side
| |
Alex Holst (08-12-2002)
| Kommentar Fra : Alex Holst |
Dato : 08-12-02 12:23 |
|
Rasmus <ccc21842@vip.cybercity.dk> wrote:
> Jeg kunne godt tænke mig at vide lidt om hvordan en VPN-tunnel virker.
>
> Hvis nu jeg kontakter en server gennem VPN, men jeg har haft en hacker på
> min pc, som har installeret et sniffer-program eller en bagdør, beskytter
> VPN-tunlen så mod, at denne hacker kommer med ind på serveren?
Det korte svar paa dit spoergsmaal er "nej". VPN tillader at data som
sendes over en netforbindelse krypteres, og at der skabes stor tiltro
til, at modtager og sender er hvem de giver sig ud for at vaere. Nogle
VPN implementationer kan saettes op saa der kun modtages netvaerksdata
fra den oenskede maskine.
Men VPN er ingen erstatning for systemintegritet, og isaer hvis en angriber
har haft mulighed for at installere vilkaarligt software paa din maskine
kan du ikke stole paa den.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
TVN (09-12-2002)
| Kommentar Fra : TVN |
Dato : 09-12-02 00:32 |
|
> Hvis nu jeg kontakter en server gennem VPN, men jeg har haft en hacker på
> min pc, som har installeret et sniffer-program eller en bagdør, beskytter
> VPN-tunlen så mod, at denne hacker kommer med ind på serveren?
Det kommer an på opsætningen i VPN termineringen på den centrale lokation,
hvis der tillades splittunneling så kommer hackeren med ind, hvis der ikke
tillades splittunneling så bliver alle andre aktive forbindelser til
Internettet lukket af, dermed kan en hacker ikke komme med.
Så sikkerheden kommer an på den centrale sikkerhed.
Når jeg sætter VPN op skal kunderne komme med meget gode argumenter for at
jeg tillader splittunneling, og jeg gør dem selvfølgelig klar over risikoen.
Mvh
Thomas
| |
Rasmus (09-12-2002)
| Kommentar Fra : Rasmus |
Dato : 09-12-02 01:19 |
|
Vil det sige, at man kan sætte en VPN tunnel op således at men sikre sig, at
kun brugeren har adgang, altså evt. hackerne ikke har adgang?
"TVN" <tvn@vandsted-fjern_dette.com> skrev i en meddelelse
news:at0kpg$f2c$1@sunsite.dk...
> > Hvis nu jeg kontakter en server gennem VPN, men jeg har haft en hacker
på
> > min pc, som har installeret et sniffer-program eller en bagdør,
beskytter
> > VPN-tunlen så mod, at denne hacker kommer med ind på serveren?
>
> Det kommer an på opsætningen i VPN termineringen på den centrale lokation,
> hvis der tillades splittunneling så kommer hackeren med ind, hvis der ikke
> tillades splittunneling så bliver alle andre aktive forbindelser til
> Internettet lukket af, dermed kan en hacker ikke komme med.
> Så sikkerheden kommer an på den centrale sikkerhed.
> Når jeg sætter VPN op skal kunderne komme med meget gode argumenter for at
> jeg tillader splittunneling, og jeg gør dem selvfølgelig klar over
risikoen.
>
> Mvh
> Thomas
>
>
| |
TVN (09-12-2002)
| Kommentar Fra : TVN |
Dato : 09-12-02 06:53 |
|
> Vil det sige, at man kan sætte en VPN tunnel op således at men sikre sig,
at
> kun brugeren har adgang, altså evt. hackerne ikke har adgang?
Jeps, i hvert fald hvis man bruger en cisco VPN concentrator, eller en cisco
PIX.
Mvh
Thomas
| |
Christian E. Lysel (09-12-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 09-12-02 16:41 |
|
TVN wrote:
> Jeps, i hvert fald hvis man bruger en cisco VPN concentrator, eller en cisco
> PIX.
Dette er fuldstændigt ligegyldig, hvis angriberen har magten over
maskinen. Hvad forhindre denne i at kopiere klient VPN-profilen og
sniffe passwordet via keyboardet?
Desuden er tunnelen endvidere afhændig om din klient har en firewall.
De først løsninger fra Cisco forhindrede ikke noget, andet end default
routes pakker blev smidt igennem VPN tunnellen, derved blev angriberens
retur pakker blot routet asymetrisk over Consentratoren.
--
Christian E. Lysel, http://www.spindelnet.dk/
Kunst? http://www.firewallmonkeys.com/songs/
| |
Allan Olesen (09-12-2002)
| Kommentar Fra : Allan Olesen |
Dato : 09-12-02 17:00 |
|
"TVN" <tvn@vandsted-fjern_dette.com> wrote:
>> Vil det sige, at man kan sætte en VPN tunnel op således at men sikre sig, at
>> kun brugeren har adgang, altså evt. hackerne ikke har adgang?
>Jeps,
Vroevl. Man kan allerhoejst forhindre en adgang i real time. Der
er intet som helst i dit koncept, som forhindrer, at et angreb
gennemfoeres i forskudt tid.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Anders Lund (09-12-2002)
| Kommentar Fra : Anders Lund |
Dato : 09-12-02 06:57 |
|
Rasmus <ccc21842@vip.cybercity.dk>, wrote in
<news:at0ni3$bhs$1@sunsite.dk>:
> Vil det sige, at man kan sætte en VPN tunnel op således at men sikre sig,
> at kun brugeren har adgang, altså evt. hackerne ikke har adgang?
Tja - men så må brugeren ikke have forbindelse til Internet eller være bag
en "streng" firewall, når han er forbundet med VPN. Ellers kan evt.
"hacker"-programmer bare lave forbindelse igennem din VPN tunnel og ud
igennem firmaets firewall.
--
Anders Lund - spam2002@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix
| |
Anders Lund (09-12-2002)
| Kommentar Fra : Anders Lund |
Dato : 09-12-02 07:06 |
|
Anders Lund <spam2002q4@andersonline.dk>, wrote in
<news:at1b8m$gg6$1@news.cybercity.dk>:
> Tja - men så må brugeren ikke have forbindelse til Internet eller være bag
> en "streng" firewall
Det skulle nok ha' været:
Tja - men så må brugeren ikke have forbindelse til Internet eller også være
bag en "streng" firewall
--
Anders Lund - spam2002@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix
| |
|
|