|
| Spoofe ip adresse på internet? Fra : Stig Meyer Jensen |
Dato : 11-04-03 10:25 |
|
Jeg har forskellige løsninger, hvis sikkerhed delvist bygger på at jeg
godkender en klients ip adresse, men er lidt i tvivl om hvad der er teknisk
muligt.
Jeg er ikke så teknisk, vedr. tcp/ip, så bær over med mig, hvis jeg
udtrykker mig forkert ;)
Så vidt jeg kan forstå indeholder alle ip pakker en "source ip adresse" -
kan det lade sig gøre at ændre denne adresse så fx. IIS eller asp engine
tolker det som om at brugeren fx. sidder på netværket 192.168.1.0/24, selv
om han virkelig sidder på internettet? I så fald kan den vel ikke finde ud
af at svare ham?
Findes der andre måder[1] hvorpå man kan foregive at have en bestemt ip
adresse (overfor fx. IIS) end man rent faktisk har?
[1] Man kan jo bruge en proxy, men jeg tænker på at man skal lade som om man
har en ip adresse som man ved er godkendt og ikke bare en tilfældig proxy i
østen ;)
Håber det var forståeligt....
--
Stig Meyer Jensen
stig@mine_3_initialer.dk
| |
Asbjorn Hojmark (11-04-2003)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 11-04-03 10:32 |
|
On Fri, 11 Apr 2003 11:24:42 +0200, "Stig Meyer Jensen"
<stig@mine_3_initialer.dk> wrote:
> Så vidt jeg kan forstå indeholder alle ip pakker en "source ip adresse" -
Ja.
> kan det lade sig gøre at ændre denne adresse så fx. IIS eller asp engine
> tolker det som om at brugeren fx. sidder på netværket 192.168.1.0/24, selv
> om han virkelig sidder på internettet?
Ja, hvis diverse netværksudstyr undervejs ikke er konfigureret
til at forhindre det, så kan man. Men hvis man fx. har en fire-
wall foran webserveren, så vil firewallen lukke af for trafik
udefra, hvis det har en indersideadresse som source.
> I så fald kan den vel ikke finde ud af at svare ham?
Nej.
-A
| |
Andreas Plesner Jaco~ (11-04-2003)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 11-04-03 10:36 |
|
In article <an2d9vob5bhh8o98j4a1sbfvs805fuhd5k@news.sunsite.dk>, Asbjorn Hojmark wrote:
>
>> I så fald kan den vel ikke finde ud af at svare ham?
>
> Nej.
Men det er ikke en sund sikkerhedsmæssig beslutning at tage at gå ud fra
det, det har kostet mange mennesker indbrud.
--
Andreas Plesner Jacobsen | Facts are the enemy of truth.
| -- Don Quixote
| |
Asbjorn Hojmark (11-04-2003)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 11-04-03 10:56 |
|
On Fri, 11 Apr 2003 09:35:33 +0000 (UTC), Andreas Plesner
Jacobsen <apj@daarligstil.dk> wrote:
>>> I så fald kan den vel ikke finde ud af at svare ham?
>> Nej.
> Men det er ikke en sund sikkerhedsmæssig beslutning at tage
> at gå ud fra det, det har kostet mange mennesker indbrud.
Er du uenig i svaret? (At serveren ikke kan sende et svar til en
remote host, der har spoofet en adresse, der 'bor' på serverens
lokale LAN).
-A
| |
Andreas Plesner Jaco~ (11-04-2003)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 11-04-03 11:34 |
|
In article <u44d9v82eh9puirpibc1al6797ioarnrs2@news.sunsite.dk>, Asbjorn Hojmark wrote:
>
>>>> I så fald kan den vel ikke finde ud af at svare ham?
>
>>> Nej.
>
>> Men det er ikke en sund sikkerhedsmæssig beslutning at tage
>> at gå ud fra det, det har kostet mange mennesker indbrud.
>
> Er du uenig i svaret? (At serveren ikke kan sende et svar til en
> remote host, der har spoofet en adresse, der 'bor' på serverens
> lokale LAN).
Det kan den ikke som udgangspunkt, men jeg ville stadig ikke forlade min
sikerhed på det.
--
Andreas Plesner Jacobsen | Poverty begins at home.
| |
Asbjorn Hojmark (11-04-2003)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 11-04-03 11:44 |
|
On Fri, 11 Apr 2003 10:34:17 +0000 (UTC), Andreas Plesner
Jacobsen <apj@daarligstil.dk> wrote:
>> Er du uenig i svaret? (At serveren ikke kan sende et svar til en
>> remote host, der har spoofet en adresse, der 'bor' på serverens
>> lokale LAN).
> Det kan den ikke som udgangspunkt
Nej.
> men jeg ville stadig ikke forlade min sikerhed på det.
Det var heller ikke, hvad jeg skrev. At serveren ikke kan svare
på det forhindrer naturligvis ikke, at man kan lave skade på den
med det man kan sende til den (uden svar).
-A
| |
Stig Meyer Jensen (11-04-2003)
| Kommentar Fra : Stig Meyer Jensen |
Dato : 11-04-03 13:02 |
|
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:an2d9vob5bhh8o98j4a1sbfvs805fuhd5k@news.sunsite.dk...
> On Fri, 11 Apr 2003 11:24:42 +0200, "Stig Meyer Jensen"
> <stig@mine_3_initialer.dk> wrote:
>
> > Så vidt jeg kan forstå indeholder alle ip pakker en "source ip
adresse" -
[SNIP .. hvis pakken har en lokal ip]
> > I så fald kan den vel ikke finde ud af at svare ham?
>
> Nej.
Nu bliver jeg vel nysgerrig: hvis nu jeg har givet en bruge på et netværk
(fx. 212.242.0.0/17) og det netværks administrator ved at jeg fx. har giver
212.242.158.73 adgang på ip, kan han vel spoofe den ip adresse og selv få
pakkerne med svaret tilbage (altså hvis han har kontrol over en router, som
er mellem serveren og 212.242.158.73)?
(Uden at jeg anklager CC for noget, jeg havde bare lige selv en ip i det
netværk ;) )
--
Stig Meyer Jensen
stig@mine_3_initialer.dk
| |
Kasper Pedersen (11-04-2003)
| Kommentar Fra : Kasper Pedersen |
Dato : 11-04-03 16:36 |
|
"Stig Meyer Jensen" <stig@mine_3_initialer.dk> wrote in message
news:3e96aef7$0$126$edfadb0f@dtext02.news.tele.dk...
>
> Nu bliver jeg vel nysgerrig: hvis nu jeg har givet en bruge på et
netværk
> (fx. 212.242.0.0/17) og det netværks administrator ved at jeg fx. har
giver
> 212.242.158.73 adgang på ip, kan han vel spoofe den ip adresse og selv
få
> pakkerne med svaret tilbage (altså hvis han har kontrol over en
router, som
> er mellem serveren og 212.242.158.73)?
>
Hvis person T ejer en maskine (/router) pakkerne skal igennem for at
komme fra
A til B, så kan T route pakkerne som han har lyst til, og snakke med A
ved at
udgive sig for B, uden at A eller B kan se noget galt.
Hvis T ejer en maskine tilsluttet et net pakkerne passerer under vejs,
men ikke
nødvendigvis skal igennem, ex. det net B sidder på, så afhænger det lidt
af nettets
opbygning/teknologi. For ethernet vil det være ganske nemt at route alle
pakkerne
til B igennem T's maskine, og hverken A eller B vil se noget galt.
/Kasper
| |
|
|