|
| Kazaa Fra : Jimmy |
Dato : 16-09-03 19:42 |
|
Hej
Jeg har et problem med at folk på kollegiet anvender Kazaa til at uploade
filer med selvom firewallen er sat op til at blokere al indgående trafik,
som ikke er påbegyndt indefra (stateful inspection).
Dette anser jeg for at være et sikkerhedsproblem, da jeg ikke ønsker at folk
udefra kan kontakte folk på indersiden uden at indersiden har anmodet om
kontakt først.
Jeg ønsker ikke at løse problemet ved at blokere for 1214, da de så enten
skifter port eller finder et andet program der kan uploade filer.
Jeg kan forstå hvordan Kazaa kommer igennem, hvis alle brugere tilgår en
server, og serveren beder om en fil fra mig, jeg sender den til serveren, og
den sender den til modtageren.
Men dette anser jeg for at være urealistisk, da det ikke virker rimeligt at
der står en server der betaler for ind- og udgående trafik for en stor bunke
mennesker i verden, samt at den burde blive overbelastet undertiden.
Hvordan kan brugere udenfor firewallen kontakte mine brugere indenfor og få
Kazaa sende filer?
(Humlen er at det kan lade sig gøre selvom både afsender og modtager er bag
hver deres firewall, så mindst een af firewallerne burde blokere den
uanmodede indgående trafik)
Beklager det rodede indlæg.
mvh
Jimmy
| |
Peter Brodersen (16-09-2003)
| Kommentar Fra : Peter Brodersen |
Dato : 16-09-03 19:48 |
|
On Tue, 16 Sep 2003 20:41:48 +0200, "Jimmy" <nyhedsgruppe@get2net.dk>
wrote:
>Hvordan kan brugere udenfor firewallen kontakte mine brugere indenfor og få
>Kazaa sende filer?
Et rent gæt, uden at have forstand på Kazaas opbygning, men på
hvordan, det i teorien kunne virke:
1. Bruger 1 (i dit net) forbinder til en Kazaa-server og annoncerer
nogle filer.
2. Bruger 2 (udefra) søger efter en fil, og får at vide, at bruger 1
har dem.
3. Bruger 2 prøver at forbinde til bruger 1, uden held.
4. Bruger 2 fortæller så Kazaa-serveren, at bruger 1 altså godt må
kontakte ham.
5. Bruger 1 får af Kazaa-serveren (som han selv har oprettet
forbindelse til), at han skal kontante bruger 2.
6. Bruger 1 forbinder til bruger 2.
7. Bruger 2 anmoder om en fil, som bruger 1 så sender.
I ovenstående gætværk har din bruger således både oprettet
forbindelsen til Kazaa-serveren, og til bruger 2.
--
- Peter Brodersen
Ugens sprogtip: PHP (og ikke PhP)
| |
Jimmy (16-09-2003)
| Kommentar Fra : Jimmy |
Dato : 16-09-03 20:21 |
|
"Peter Brodersen" <usenet@ter.dk> wrote in message
news:bk7lps$rn$1@dknews.tiscali.dk...
> On Tue, 16 Sep 2003 20:41:48 +0200, "Jimmy" <nyhedsgruppe@get2net.dk>
> wrote:
>
> >Hvordan kan brugere udenfor firewallen kontakte mine brugere indenfor og
få
> >Kazaa sende filer?
>
> Et rent gæt, uden at have forstand på Kazaas opbygning, men på
> hvordan, det i teorien kunne virke:
>
> 1. Bruger 1 (i dit net) forbinder til en Kazaa-server og annoncerer
> nogle filer.
>
> 2. Bruger 2 (udefra) søger efter en fil, og får at vide, at bruger 1
> har dem.
>
> 3. Bruger 2 prøver at forbinde til bruger 1, uden held.
>
> 4. Bruger 2 fortæller så Kazaa-serveren, at bruger 1 altså godt må
> kontakte ham.
>
> 5. Bruger 1 får af Kazaa-serveren (som han selv har oprettet
> forbindelse til), at han skal kontante bruger 2.
>
> 6. Bruger 1 forbinder til bruger 2.
Jeg er 100% enig i 1-5, men hvordan pokker kan det lade sig gøre, hvis begge
brugere er bag restriktive firewalls med stateful inspection?
Så burde Bruger 1's henvendelse til bruger 2 ses som et uvelkomment forsøg
på at komme ind.
Mvh
Jimmy
| |
Peter Brodersen (16-09-2003)
| Kommentar Fra : Peter Brodersen |
Dato : 16-09-03 20:32 |
|
On Tue, 16 Sep 2003 21:20:50 +0200, "Jimmy" <nyhedsgruppe@get2net.dk>
wrote:
>Jeg er 100% enig i 1-5, men hvordan pokker kan det lade sig gøre, hvis begge
>brugere er bag restriktive firewalls med stateful inspection?
Er begge brugere da bag restriktive firewalls?
Jeg troede, "bruger 2" blot var "én (helt) udefra", der ikke
nødvendigvis sidder bag firewall eller nat.
--
- Peter Brodersen
Ugens sprogtip: PHP (og ikke PhP)
| |
Jimmy (16-09-2003)
| Kommentar Fra : Jimmy |
Dato : 16-09-03 20:54 |
|
"Peter Brodersen" <usenet@ter.dk> wrote in message
news:bk7odh$21l$1@dknews.tiscali.dk...
> On Tue, 16 Sep 2003 21:20:50 +0200, "Jimmy" <nyhedsgruppe@get2net.dk>
> wrote:
>
> >Jeg er 100% enig i 1-5, men hvordan pokker kan det lade sig gøre, hvis
begge
> >brugere er bag restriktive firewalls med stateful inspection?
>
> Er begge brugere da bag restriktive firewalls?
Ikke altid, men det er min erfaring, at folk på deres arbejdspladser med
stateful firewalls har kunnet hente filer fra vores brugere.
Dette kan jeg slet ikke få til at gå op med min, dog begrænsede, viden
omkring firewalls.
Mvh
Jimmy
| |
Kasper Dupont (16-09-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 16-09-03 22:58 |
|
Jimmy wrote:
>
> Jeg er 100% enig i 1-5, men hvordan pokker kan det lade sig gøre, hvis begge
> brugere er bag restriktive firewalls med stateful inspection?
TCP standarden tillader at de kontakter hinanden samtidig. Så I teorien
kan SYN pakkerne passere hinanden mellem firewallene, og begge vil se
det som en forbindelse oprettet indefra. Jeg siger i teorien, fordi jeg
ikke har kendskab til konkrette implementationer, der understøtter det.
Men jeg har dog aldrig prøvet om det virker med de typiske TCP
implementationer. Firewallen vil vist godt kunne se forskel på SYN
pakker sendt hhv før og efter modparten har modtaget den udgående SYN
pakke, og da firewalls har det med at smide pakker væk som afviger det
mindste fra typisk trafik selvom det stadig er fuldt lovlige pakker,
vil det ikke være usandsynligt, at en firewall vil blokere denne type
TCP forbindelser. Endeligt er der nogle praktiske problemer omkring
timing ved oprettelse af forbindelsen, og hvis masquerading er
involveret får man nok også brug for at gætte portnumre.
En metode til at få begge firewalls til at se trafikken som udgående
vil givetvis være nemmere med UDP, hvor pakkerne ikke kan skelnes på
samme måde. Og hvis samme socket bruges til at først kommunikere med
sereveren er det heller ikke nødvendigt at gætte portnumre i tilfælde
af masquerading.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.
| |
Christoffer Olsen (16-09-2003)
| Kommentar Fra : Christoffer Olsen |
Dato : 16-09-03 20:46 |
|
"Jimmy" <nyhedsgruppe@get2net.dk> writes:
> Jeg ønsker ikke at løse problemet ved at blokere for 1214, da de så enten
> skifter port eller finder et andet program der kan uploade filer.
Jeg har hørt at man kan sætte snort til at lave regler til
iptables. Er der nogen her i gruppen der har prøvet det? Virker det
godt? Det ser umiddelbart ud til at alle Kazaa's pakker indeholder en
X-Kazaa-streng
--
There is some anti-Linux protection in the Xbox, Microsoft does not
seem to want you to run Linux on the Xbox, although the Xbox would be
an ideal Linux PC.
- http://xbox-linux.sourceforge.net/
| |
Martin (16-09-2003)
| Kommentar Fra : Martin |
Dato : 16-09-03 22:37 |
|
"Christoffer Olsen" <christofferolsen@ninja.dk> wrote in message
news:ts5k31-863.ln1@dtext.news.tele.dk...
> Jeg har hørt at man kan sætte snort til at lave regler til
> iptables. Er der nogen her i gruppen der har prøvet det? Virker det
> godt? Det ser umiddelbart ud til at alle Kazaa's pakker indeholder en
> X-Kazaa-streng
Eller prøve http://l7-filter.sourceforge.net
Har ikke selv prøvet det, men det ser ´dælme lovende ud!
MVH
Martin
| |
Jimmy (16-09-2003)
| Kommentar Fra : Jimmy |
Dato : 16-09-03 22:56 |
|
"Martin" <no@mail.invalid> wrote in message news:bk7vpq$gk0$1@sunsite.dk...
> "Christoffer Olsen" <christofferolsen@ninja.dk> wrote in message
> news:ts5k31-863.ln1@dtext.news.tele.dk...
> > Jeg har hørt at man kan sætte snort til at lave regler til
> > iptables. Er der nogen her i gruppen der har prøvet det? Virker det
> > godt? Det ser umiddelbart ud til at alle Kazaa's pakker indeholder en
> > X-Kazaa-streng
>
> Eller prøve http://l7-filter.sourceforge.net
> Har ikke selv prøvet det, men det ser ´dælme lovende ud!
Det ser sq sejt ud!
Det skal nok blive populært på kollegiet
Hvis nogen har konkrete erfaringer hører jeg gerne om dem.
Mvh
Jimmy
| |
Christian E. Lysel (17-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 17-09-03 00:01 |
|
In article <wGL9b.5921$od2.2937@news.get2net.dk>, Jimmy wrote:
> Det ser sq sejt ud!
> Det skal nok blive populært på kollegiet
>
>
> Hvis nogen har konkrete erfaringer hører jeg gerne om dem.
Hvordan bliver kaaza genkendt?
Matcher vi følgende http klient header, er det kaaza *suk*,
get /.hash=.* http/1.1|user-agent: kazaa
For ftp vil de fx ikke fange publicfile da den ikke
beder om password.
| |
Kasper Dupont (17-09-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 17-09-03 09:13 |
|
"Christian E. Lysel" wrote:
>
> In article <wGL9b.5921$od2.2937@news.get2net.dk>, Jimmy wrote:
> > Det ser sq sejt ud!
> > Det skal nok blive populært på kollegiet
> >
> >
> > Hvis nogen har konkrete erfaringer hører jeg gerne om dem.
>
> Hvordan bliver kaaza genkendt?
>
> Matcher vi følgende http klient header, er det kaaza *suk*,
>
> get /.hash=.* http/1.1|user-agent: kazaa
Kazaa ville nok stadig virke selvom man ændrede user-agent.
Men "get /.hash=" delen er vist absolut nødvendig for at
kunne bruge Kazaa. Om man så ville frasortere for meget er
et andet spørgsmål, jeg ved ikke nok om, hvordan
filtreringen foregår til at besvare det.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.
| |
Thomas K. (20-09-2003)
| Kommentar Fra : Thomas K. |
Dato : 20-09-03 11:14 |
|
> Men dette anser jeg for at være urealistisk, da det ikke virker rimeligt
at
> der står en server der betaler for ind- og udgående trafik for en stor
bunke
Der er vist heller ikke EN decideret server, men kunne man ikke forestille
sig at alle maskiner i kazaa nettet fungerer som servere for de brugere som
sidder bag sådanne firewalls. Jeg mener at huske at der er en option man kan
slå til som hedder 'do not function as a supernode'.
mvh
Thomas K.
| |
Jimmy (20-09-2003)
| Kommentar Fra : Jimmy |
Dato : 20-09-03 11:18 |
|
"Thomas K." <Kirtsine.Hojwdwdde@mail.dk> wrote in message
news:3f6c2884$0$54849$edfadb0f@dread11.news.tele.dk...
> > Men dette anser jeg for at være urealistisk, da det ikke virker rimeligt
> at
> > der står en server der betaler for ind- og udgående trafik for en stor
> bunke
>
> Der er vist heller ikke EN decideret server, men kunne man ikke forestille
> sig at alle maskiner i kazaa nettet fungerer som servere for de brugere
som
> sidder bag sådanne firewalls. Jeg mener at huske at der er en option man
kan
> slå til som hedder 'do not function as a supernode'.
Jo - Jeg læste om Skype idag og den gør også brug af supernode's.
Det er faktisk en smart måde at omgås firewalls på.
Mvh
Jimmy
| |
|
|