Jimmy wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:3F721E2C.1F93059D@daimi.au.dk...
> > Jimmy wrote:
> > >
>
> > > Er dette korrekt opfattet eller er verden mere nuanceret?
> >
> > Det lyder ikke som nogen god plan at åbne for port 139.
>
> Nej det er ofte en skidt port, men hvis der kun er åbnet for arbejdets IP er
> det vel ligemeget?
Der er stadig en lille risiko for aflytning og IP spoofing.
>
> > Hvis du endelig
> > vil bruge den, så overvej at sende den gennem en SSH tunnel.
>
> Spørgmsålet er så, hvordan man gør dette og om Windows XP kan tilgå et
> share, som er sendt på denne måde.
Jeg ved kun, hvordan man gør det på Linux. Jeg har selv brugt
kommandoer, der så nogenlunde sådan ud:
ssh -N -C -L 139:smbserver:139 -f kasperd@sshserver
smbmount '\\localhost\kasperd' /mnt/smb -o username=kasperd
smbserver og sshserver behøver ikke være samme maskine. Men
kommunikationen mellem dem foregår ukrypteret, så gør det kun
med forskellige maskiner, hvis de er på samme pålidelige
lokalnet.
Jeg kører smbmount kommandoen på samme maskine som ssh
klienten. Men hvis ssh blev startet med en -g option burde
det også virke med smbklienten på en anden maskine. Igen
skal de to klienter naturligvis være forbundet med et
pålideligt lokalnet.
Hvis Windows XP kun skal bruge port 139 for at mounte et
share, burde det virke. Det kan selvfølgelig godt være en
stor udfordring at få en ssh klient under Windows XP til at
lytte på lokal port nummer 139.
>
> Hmm ok - det problem vil jeg vel altid have, men det må være til at leve
> med.
> Det er trods alt de færreste der har kontrol med routere undervejs.
Du kan ikke gøre ret meget for at forhindre uvedkommende i at få
kontrol over din rute. Selvom risikoen for netop den type angreb
er lille, synes jeg stadig det er en god idé at sikre sig imod
dem. Hvis du kører alt over ssh, og i øvrigt checker host keys
og holder softwaren opdateret vil du ikke risikere noget selvom
en router skulle blive overtaget.
>
> > Hvor meget stoler du på Netcetera? Hvis man kan få kontrol over deres
> > maskine vil man også kunne opnå fuld kontrol over din ssh session
> > vidre derfra.
> > Du kan evt. køre SSH over SSH for at undgå det problem.
>
> Det er klart at der er et svagt link der, men nu er Netcetera blot et
> eksempel og sikkert ikke dem jeg ender med at vælge. Det vil derfor være
> uendeligt svært for en hacker at finde de tilladte IP'er med mindre han
> kender mig i forvejen.
Du vil være beskyttet mod næsten ethvert tilfældigt angreb. Man
skal være meget målrettet for at gå efter dig personligt. Men
forestil dig en orm, der f.eks. udnytter et lokalt root exploit
og derefter patcher ssh klienten til at lave angreb mod andre
maskiner ved ethvert login fra den inficerede maskine til en
anden maskine.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.