---

I vores lille biks er vi ved at lægge noget web om. I den forbindelse har
jeg fået et forslag, som jeg har vedlagt link til. Det er radikalt noget
andet end den konfig. vi har idag, som jeg ikke kan fortælle noget om. Det
betyder dog ikke, at jeg afviser ideen, men jeg synes at den kræver noget
omtanke.

http://www.carstenovergaard.dk/images/firewallkonfig.gif

Den største svaghed må være filter-PC'en. Hvis den hackes tilstrækkelig til
at hackeren kan trænge igennem til LAN'et, så er spillet ude.

Men kræver det ikke også en hel del af de applikationer, vi har ikke så få
af kørende på Web-serverene? Idag har vi klonnede web-servere, som vi kaster
ind, hvis driftsatte går ned. Det har vi fordi at applicationerne ikke alle
er hjemmelavet. Selvom vi kontraktlig har betinget os sikkerhed i
applikationerne, så er det ikke en garanti, selvom at vi indenfor branchen
betragtes med vantro over de beløb vi har investeret i disse applikationer.
Kan en hacker udnytte en svaghed i applikationerne via denne skitserede
løsning til at komme videre?

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm

---

"Carsten Overgaard" <info@carstenovergaard.dk> writes:

> http://www.carstenovergaard.dk/images/firewallkonfig.gif
>
> Den største svaghed må være filter-PC'en. Hvis den hackes tilstrækkelig til
> at hackeren kan trænge igennem til LAN'et, så er spillet ude.

Lad mig forstå dette rigtigt: Den specielle sikkerhed består i at
anvende en ikke-IP-protokol samt at anvende at ind og udgående traffik
benytter forskellige ruter?

Det første fatter jeg simpelthen ikke pointen med.

--
Peter Makholm | What if:
peter@makholm.net | IBM bought Xenix from Microsoft instead of buying
http://hacking.dk | DOS?

---

"Carsten Overgaard" <info@carstenovergaard.dk> writes:

> Kan en hacker udnytte en svaghed i applikationerne via denne skitserede
> løsning til at komme videre?

Med mindre I laver noget hårdt Layer-7 filtrering så vil en
indtrængende altid kunne udnytte svagheder i applikationslaget til at
komme videre.

Det er de færeste firewalls der leverer beskyttelse imod
sikkerhedshuller i kode det er meningen der skal være adgang til.

--
Peter Makholm | Have you ever felt trapped inside a Klein bottle?
peter@makholm.net |
http://hacking.dk |

---

"Carsten Overgaard" <info@carstenovergaard.dk> wrote in message
news:rDLlb.94$B75.50@news.get2net.dk...
> I vores lille biks er vi ved at lægge noget web om. I den forbindelse
har
> jeg fået et forslag, som jeg har vedlagt link til. Det er radikalt
noget
> andet end den konfig. vi har idag, som jeg ikke kan fortælle noget om.
Det
> betyder dog ikke, at jeg afviser ideen, men jeg synes at den kræver
noget
> omtanke.
>
> http://www.carstenovergaard.dk/images/firewallkonfig.gif
>

Nyt teoretisk forslag:

http://www.lolle.org/images/ids.jpg

Proben kører Promiscuous Mode, d.v.s. den har ikke nogen IP adresse og
kan dermed IKKE hackes til forskel for den løsning du viser. Proben
kigger på alle pakker og hvis der kommer en pakke forbi som passer med
et filter ( som du sætter op ) så skal den kontakte firewall'en ( evt.
via konsollen ) og blokere den pågældende IP adresse. Tricket er at den
process der overvåger nettet og tager beslutningerne ikke kan tilgås på
anden måde end fysisk kontakt, noget hackere sjældent har.

Som en ekstra sikkerhedsforanstaltning kan proben have et ekstra "link"
til routeren som man derved kan lukke ned hvis firewall'en skulle blive
kompromitteret.

Afhængigt af hvor god man er til programmering kan man så "løslade" den
pågældende adresse igen efter et stykke tid ud fra betragningen at det
jo kan være en dynamisk tildeling og man vil jo ikke gerne ende med at
blokere hele Internettet...

Mail skal have en proxy (indad) på DMZ så eksterne MX'ere ikke snakker
direkte med postserveren der står på Intranettet... (er ikke på
tegningen) ...her foretages også Virus og UCE scanning før mail bliver
afleveret til den interne postserver.

Firewall'en skal selvfølgelig konfigureres til kun at tillade "udgående"
kommunikation fra Intranettet og evt. begrænses til FTP, HTTP/HTTPS for
klienter og SMTP for mailserveren.

Sikkerhed koster penge, meget sikkerhed koster mange penge og man skal
gøre op med sig selv (og evt. kunder) hvor meget man vil ofre og hvor
vigtige ens data er. Typisk er faren at man mister data og her vil selv
4 lags firewalls, IDS'er og lignende, ikke kunne opveje en god backup
politik. Hvis emnet er sensitive data så er det spørgsmålet om de
overhovedet har noget at gøre på et "offentligt" netværk.

Ovenstående løsning er noget jeg "leger med" på mit hjemme netværk p.t.,
desværre er jeg løbet ind i en mur m.h.t. firewall idet Kerio Winroute
Pro ikke tillader mig at lave ændringer via API... Den har ikke nogen
API...

-- Søren

"The difference between theory and practice is that in theory there is
no difference between theory and practice, but in practice there is."

---

Soren Rathje wrote:
>
> Nyt teoretisk forslag:
>
> http://www.lolle.org/images/ids.jpg

Jeg forstår ikke helt figuren, hvad betyder
de to stiplede linier til snort maskinen?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3F97A3D9.AEF2DAF0@daimi.au.dk...
> Soren Rathje wrote:
> >
> > Nyt teoretisk forslag:
> >
> > http://www.lolle.org/images/ids.jpg
>
> Jeg forstår ikke helt figuren, hvad betyder
> de to stiplede linier til snort maskinen?
>

Anden forbindelse end LAN, f.eks. seriel...

-- Søren

---

In article <3f979b2b$0$29417$edfadb0f@dread15.news.tele.dk>, Soren Rathje wrote:
> Proben kører Promiscuous Mode, d.v.s. den har ikke nogen IP adresse og
> kan dermed IKKE hackes til forskel for den løsning du viser. Proben

Selv i teorien kan en probe angribes!

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbpft05.6jp.chel@weebo.dmz.spindelnet.dk...
> In article <3f979b2b$0$29417$edfadb0f@dread15.news.tele.dk>, Soren
Rathje wrote:
> > Proben kører Promiscuous Mode, d.v.s. den har ikke nogen IP adresse
og
> > kan dermed IKKE hackes til forskel for den løsning du viser. Proben
>
> Selv i teorien kan en probe angribes!
>

Deraf min signatur...

-- Søren

"The difference between theory and practice is that in theory there is
no difference between theory and practice, but in practice there is."

---

In article <3f98029f$0$29402$edfadb0f@dread15.news.tele.dk>, Soren Rathje wrote:
>> > Proben kører Promiscuous Mode, d.v.s. den har ikke nogen IP adresse
> og
>> > kan dermed IKKE hackes til forskel for den løsning du viser. Proben
>> Selv i teorien kan en probe angribes!
>
> Deraf min signatur...

Kan du så ikke lade vær med at mene at en probe uden en IP adresse, ikke
kan angribes.

Følgende er eksempler på applikationerne der kan udfører kode, på
maskiner uden ip en adresse,

tcpdump, snoop (solaris) og snort.

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
>
> Kan du så ikke lade vær med at mene at en probe uden en IP adresse,
ikke
> kan angribes.
>
> Følgende er eksempler på applikationerne der kan udfører kode, på
> maskiner uden ip en adresse,
>
> tcpdump, snoop (solaris) og snort.
>

Fint nok, men det betyder jo så at ALT kan hackes - det er bare et
spørgsmål om Hackeren er klog nok...

The ULTIMATELY Secure Firewall
(Stateful Adaptive Packet Destruction Enterprise-Class Gigabit Intrusion
Prevention System)

http://www.ranum.com/security/computer_security/papers/a1-firewall/index.html

-- Søren

---

In article <3f98090c$0$29419$edfadb0f@dread15.news.tele.dk>, Soren Rathje wrote:
> Fint nok, men det betyder jo så at ALT kan hackes - det er bare et
> spørgsmål om Hackeren er klog nok...

Eller ofret er dum nok, til at mene man har noget der ikke kan angribes.
Hvilken man sjovt nok hører mange påstå, "vi har købt denne nye
dyre ting, fordi den er dyr er der ingen sårbarheder".

> The ULTIMATELY Secure Firewall
> (Stateful Adaptive Packet Destruction Enterprise-Class Gigabit Intrusion
> Prevention System)
>
> http://www.ranum.com/security/computer_security/papers/a1-firewall/index.html

Hvis den også virker på strøm kablet, har vi noget der ligner, ellers
kan aflytning fortages på radio udstrålingen. :)

---

"Christian E. Lysel" wrote:
>
> In article <3f979b2b$0$29417$edfadb0f@dread15.news.tele.dk>, Soren Rathje wrote:
> > Proben kører Promiscuous Mode, d.v.s. den har ikke nogen IP adresse og
> > kan dermed IKKE hackes til forskel for den løsning du viser. Proben
>
> Selv i teorien kan en probe angribes!

Det er vist mere end bare teori. Jeg har da engang læst om et hul i tcpdump
som kunne udnyttes uden nødvendigvis at sende en pakke til maskinen. Det
var nok at sende pakken over et segment som tcpdump overvågede. Så vidt jeg
husker lå hullet i noget dekodning af protokoller, som dog ikke var slået
til som default. Man skulle bruge en option på kommandolinien for at slå
den feature til, hvor hullet lå i. Måske er her nogen, som kan huske flere
detaljer? Det er altså ikke uden grund, at tcpdump kan droppe root
privelegier efter den er blevet startet op.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <3F983132.5BA365A8@daimi.au.dk>, Kasper Dupont wrote:
> Det er vist mere end bare teori. Jeg har da engang læst om et hul i tcpdump
> som kunne udnyttes uden nødvendigvis at sende en pakke til maskinen. Det

Der har været flere huller i tcpdump.

> var nok at sende pakken over et segment som tcpdump overvågede. Så vidt jeg
> husker lå hullet i noget dekodning af protokoller, som dog ikke var slået
> til som default. Man skulle bruge en option på kommandolinien for at slå

Det sidste hul, var i NFS dekodningen, som er slået til.

> den feature til, hvor hullet lå i. Måske er her nogen, som kan huske flere
> detaljer? Det er altså ikke uden grund, at tcpdump kan droppe root
> privelegier efter den er blevet startet op.

snoop og snort har også haft problemmer

---

Den Thu, 23 Oct 2003 11:11:07 +0200 skrev Soren Rathje:
>"Carsten Overgaard" <info@carstenovergaard.dk> wrote in message
>news:rDLlb.94$B75.50@news.get2net.dk...
>> I vores lille biks er vi ved at lægge noget web om. I den forbindelse
>har
>> jeg fået et forslag, som jeg har vedlagt link til. Det er radikalt
>noget
>> andet end den konfig. vi har idag, som jeg ikke kan fortælle noget om.
>Det
>> betyder dog ikke, at jeg afviser ideen, men jeg synes at den kræver
>noget
>> omtanke.
>>
>> http://www.carstenovergaard.dk/images/firewallkonfig.gif
>>
>
>Nyt teoretisk forslag:
>
>http://www.lolle.org/images/ids.jpg
>
>Proben kører Promiscuous Mode, d.v.s. den har ikke nogen IP adresse og
>kan dermed IKKE hackes

"kan ikke" er et meget dårligt ordvalg, når vi snakker sikkerhed.

Var der ikke for nylig et sikkerhedshul i TCP-dump, hvor den netop
kunne crackes vha. pakker sendt til en helt anden maskine?

Og husk så lige at switche og promiscuous mode modarbejder hinanden.

Mvh
Kent
--
If I wanted a blue screen, I would type "xsetroot -solid blue"
- not c:\I386\WINNT.EXE

---

"Kent Friis" <leeloo@phreaker.net> wrote in message
news:bn8sho$o35$4@sunsite.dk...
>
>
> Og husk så lige at switche og promiscuous mode modarbejder hinanden.
>

Derfor er proben ikke sat til switchen, jeg burde måske have illustreret
en 2 ports HUB eller en tingest som denne...

Full-Duplex Tap Splitter for Ethernet Networks at 10/100Mbs Speed.
http://www.netoptics.com/10-100-tap.html

-- Søren

---

Carsten Overgaard <info@carstenovergaard.dk> wrote:
> Kan en hacker udnytte en svaghed i applikationerne via denne skitserede
> løsning til at komme videre?

Ja, uden de store problemer. Jeg forstaar ikke helt formaalet med
forslaget. Hvad skal beskyttes, og hvis det kun er webserverene, hvorfor
ikke blot smid dem ud på den anden side af jeres firewall?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Alex Holst" <a@mongers.org> skrev i en meddelelse
news:nbmk61-m7o.ln1@miracle.mongers.org...
> Carsten Overgaard <info@carstenovergaard.dk> wrote:
> > Kan en hacker udnytte en svaghed i applikationerne via denne skitserede
> > løsning til at komme videre?
>
> Ja, uden de store problemer. Jeg forstaar ikke helt formaalet med
> forslaget. Hvad skal beskyttes, og hvis det kun er webserverene, hvorfor
> ikke blot smid dem ud på den anden side af jeres firewall?
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.mongers.org

Formålet skulle være at spære noget åbne porte direkte ind til
mail-serveren. Såfremt man forestillede sig at man havde en mail-server på
LAN, så ville der være åbnet for 2-3 porte, som man på den måde kunne lukke
for.

Man ville også gerne have en eller anden form for Web-mail med direkte
adgang til mødebooking osv.

Så der er tale om lidt mere end kun web-servere.
--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm

---

Carsten Overgaard <info@carstenovergaard.dk> wrote:
> Formålet skulle være at spære noget åbne porte direkte ind til
> mail-serveren.

Det er nok nærmere metoden til at opnå formålet. Jeg har svært ved at
finde nogen sammenhæng i både det du har tegnet og det du skriver. Jeg
vil anbefale at du ringer til din sikkerhedsrådgiver og gennemgår dine
ønsker og muligheder med ham eller hende.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

In article <5DOlb.198$fP6.43@news.get2net.dk>, Carsten Overgaard wrote:
> "Alex Holst" <a@mongers.org> skrev i en meddelelse
> Formålet skulle være at spære noget åbne porte direkte ind til
> mail-serveren. Såfremt man forestillede sig at man havde en mail-server på
> LAN, så ville der være åbnet for 2-3 porte, som man på den måde kunne lukke
> for.

Hvorfor?

Hvis du smider webserverne direkte på Internettet, og konfigurere dem
så kun http lytter på tcp-stakken, kan jeg ikke se nogle forskel i sikring
af disse, bortset fra en komprimiteret webserver ikke ville kunne bruge
til at angribe Jeres LAN.

> Man ville også gerne have en eller anden form for Web-mail med direkte
> adgang til mødebooking osv.

Smid mailserveren på sit eget segment, og styr adgangen fra Internet og LAN.

> Så der er tale om lidt mere end kun web-servere.

Nej, hold tingene adskildt, ellers laver du dine egne problemmer.

---

"Christian E. Lysel" wrote:
>
> Hvis du smider webserverne direkte på Internettet, og konfigurere dem
> så kun http lytter på tcp-stakken, kan jeg ikke se nogle forskel i sikring
> af disse, bortset fra en komprimiteret webserver ikke ville kunne bruge
> til at angribe Jeres LAN.

Formålet med at sætte en webserver bag en firewall er selvfølgelig at
forhindre den i at blive brugt til angreb mod resten af internettet,
når den er blevet kompromitteret.

Helt seriøst, så ville orme få det svært, hvis alle maskiner på nettet
enten sad bagved en firewall, der lukker for udgående forbindelser
eller en firewall, der lukker for indgående forbindelser.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <3F9832A0.B082C323@daimi.au.dk>, Kasper Dupont wrote:
> Formålet med at sætte en webserver bag en firewall er selvfølgelig at
> forhindre den i at blive brugt til angreb mod resten af internettet,
> når den er blevet kompromitteret.

Og i hans tilfælde er dette ikke primært, men at beskytte sit
interne netværk.

> Helt seriøst, så ville orme få det svært, hvis alle maskiner på nettet
> enten sad bagved en firewall, der lukker for udgående forbindelser

Man kan også købe følgende netværkskort :)
http://www.snapgear.com/pci630.html

> eller en firewall, der lukker for indgående forbindelser.

Enig, ingen af mine firewalls jeg har sat op igennem tiden, har
har givet webservere adgang til internettet. Til stor irretation
for de andre konsulenter, der ikke kan downloade alt hvad
de har brug for, fra tilfældige hjemmesider.

I nogle tilfælde får de adgang til windowsupdate.microsoft.com
(eller hvad det nu hedder).

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote:

>I nogle tilfælde får de adgang til windowsupdate.microsoft.com

$ cat /etc/apt/sources.list
deb http://windowsupdate.microsoft.com/ sarge/updates main contrib non-free
deb http://windowsupdate.microsoft.com/debian/ testing main non-free contrib
deb-src http://windowsupdate.microsoft.com/debian/ testing main non-free contrib
$

Gad vide...


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

On 2003-10-23,
Carsten Overgaard <info@carstenovergaard.dk> wrote:
> I vores lille biks er vi ved at lægge noget web om. I den forbindelse har
> jeg fået et forslag, som jeg har vedlagt link til. Det er radikalt noget
> andet end den konfig. vi har idag, som jeg ikke kan fortælle noget om. Det
> betyder dog ikke, at jeg afviser ideen, men jeg synes at den kræver noget
> omtanke.

Jeg vil anbefale at du i stedet laver folgende:

Firewall yderst,
Så en PC med Linux som også bare router trafik/natter og
hvad den nu ellers skal. Denne skal have 3 netkort.
Et mod Fwall, et til en DMZ, og et indadtil.

I din DMZ bruger de en fornuftig switch med support for VLAN.
Du smider samtlige dine servere på hver sit VLAN. Din Linux
box er medlem af alle VLAN, men må som udgangspunkt ikke route
mellem dem. Dvs en kompromiteret server giver ikke adgang til
de andre.

Du kan eventuelt smide din mailserver i en DMZ. Men generelt
er det en dårlig ide at lade al mail ligge derude. Der bor ikke
være adgang til internet server udefra. Du bor som minimum bruge
SecurID tokens eller lign. 2-faktor authentication.

---

"Povl H. Pedersen" wrote:
>
> On 2003-10-23,
> Carsten Overgaard <info@carstenovergaard.dk> wrote:
> > I vores lille biks er vi ved at lægge noget web om. I den forbindelse har
> > jeg fået et forslag, som jeg har vedlagt link til. Det er radikalt noget
> > andet end den konfig. vi har idag, som jeg ikke kan fortælle noget om. Det
> > betyder dog ikke, at jeg afviser ideen, men jeg synes at den kræver noget
> > omtanke.
>
> Jeg vil anbefale at du i stedet laver folgende:
>
> Firewall yderst,
> Så en PC med Linux som også bare router trafik/natter og
> hvad den nu ellers skal. Denne skal have 3 netkort.
> Et mod Fwall, et til en DMZ, og et indadtil.

Afhængig af hvor mange IP adresser man har at gøre godt med
kan det måske være en fordel at sætte NAT boksen yderst.

I øvrigt kunne jeg godt se en pointe i at bruge en seperat
boks til NAT. NAT i sig selv er ikke kritisk for sikkerheden,
og en firewall men en feature mindre burde have mindre risiko
for sikkerhedshuller. Endelig vil en NAT boks foran
firewallen betyde, at man aldrig behøver gå på kompromis
mellem sikkerhed og standarder. NAT boksen er ikke en del af
sikkerhedsforanstaltningerne og kan konfigureres til at
overholde standarderne uden at udgøre en risiko.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

On Thu, 23 Oct 2003 20:10:10 +0000 (UTC),
Povl H. Pedersen <pope@home.terminal.dk> wrote:

> Firewall yderst,
> Så en PC med Linux som også bare router trafik/natter og
> hvad den nu ellers skal. Denne skal have 3 netkort.
> Et mod Fwall, et til en DMZ, og et indadtil.

Saa, naar firewallen bliver hacket, saa er der frit spil?

Maa jeg foreslaa:

FW1 --- DMZ --- FW2 --- Intranet

FW1 og FW2 kunne vaere forskellige loesninger. Vi har dog stadig ikke
hoert noget om krav i forbindelse med sikkerhed, saa vi boer egentlig
ikke diskutere teknik.

--
Jesper

---

"Jesper Louis Andersen" <jlouis@brok.diku.dk> wrote in message
news:slrnbpignt.qks.jlouis@brok.diku.dk...
> On Thu, 23 Oct 2003 20:10:10 +0000 (UTC),
> Povl H. Pedersen <pope@home.terminal.dk> wrote:
>
> > Firewall yderst,
> > Så en PC med Linux som også bare router trafik/natter og
> > hvad den nu ellers skal. Denne skal have 3 netkort.
> > Et mod Fwall, et til en DMZ, og et indadtil.
>
> Saa, naar firewallen bliver hacket, saa er der frit spil?
>
> Maa jeg foreslaa:
>
> FW1 --- DMZ --- FW2 --- Intranet
>
> FW1 og FW2 kunne vaere forskellige loesninger. Vi har dog stadig ikke
> hoert noget om krav i forbindelse med sikkerhed, saa vi boer egentlig
> ikke diskutere teknik.
>
> --
> Jesper

Jesper skriver til sidst:

"Vi har dog stadig ikke hoert noget om krav i forbindelse med sikkerhed, saa
vi boer egentlig ikke diskutere teknik."

YES YES hvor er det godt - der er alt for mange der springer ud i løsninger
uden at vide, hvilken problemstilling de egentlig skal løse

Go ´weekend

Henrik


--
Dette indlæg er sendt som privatperson og afspejler ikke nødvendigvis
holdningen i det firma jeg arbejder for.

Indlægget er heller ikke på nogen måde sendt for at genere nogen eller bryde
nogens regler - skrevne eller uskrevne.

---

On 2003-10-24,
Henrik Rask Mortensen <henrikrask@mail.dk> wrote:
>
> "Jesper Louis Andersen" <jlouis@brok.diku.dk> wrote in message
> news:slrnbpignt.qks.jlouis@brok.diku.dk...
>> On Thu, 23 Oct 2003 20:10:10 +0000 (UTC),
>> Povl H. Pedersen <pope@home.terminal.dk> wrote:
>>
>> > Firewall yderst,
>> > Så en PC med Linux som også bare router trafik/natter og
>> > hvad den nu ellers skal. Denne skal have 3 netkort.
>> > Et mod Fwall, et til en DMZ, og et indadtil.
>>
>> Saa, naar firewallen bliver hacket, saa er der frit spil?
>>
>> Maa jeg foreslaa:
>>
>> FW1 --- DMZ --- FW2 --- Intranet
>>
>> FW1 og FW2 kunne vaere forskellige loesninger. Vi har dog stadig ikke
>> hoert noget om krav i forbindelse med sikkerhed, saa vi boer egentlig
>> ikke diskutere teknik.
>>
>> --
>> Jesper
>
> Jesper skriver til sidst:
>
> "Vi har dog stadig ikke hoert noget om krav i forbindelse med sikkerhed, saa
> vi boer egentlig ikke diskutere teknik."
>
> YES YES hvor er det godt - der er alt for mange der springer ud i løsninger
> uden at vide, hvilken problemstilling de egentlig skal løse

Problemet der skal loses er at sikre en række offentlig tilgængeligt
webservere, ligesom der skal implementeres en losning så den interne
mail kan tilgås udefra, uden risiko for kompromitering af det interne
netværk.

Det synes jeg var relativt tydeligt.

---

In article <slrnbpj2e2.k93.pope@mail.home.terminal.dk>,
Povl H. Pedersen wrote:

> Problemet der skal loses er at sikre en række offentlig tilgængeligt
> webservere, ligesom der skal implementeres en losning så den interne
> mail kan tilgås udefra, uden risiko for kompromitering af det interne
> netværk.

Det er det tekniske problem der skal loeses ja. Det interessante er
derimod _hvorfor_ det problem skal loeses. Jeg forventer at jeres
forrentning er afhaengige af den her raekke af offentlige webservere.
Hvis ikke havde man nok ikke stillet dem op offentligt. Foer vi
overhovedet taenker firewalls skal vi have bestemt det minimale
featureset vi kan koere de servere med. Det hjaelper nemlig floejtende
med en firewall hvis man har dynamik paa webserveren men kunne have
klaret sig uden eksempeltvist og det saa viser sig at $SCRIPTING_LANG
har et sikkerhedshul der er blevet udnyttet.

Har i overvejet hvad konsekvenserne ved et eventuelt inbrud er og hvad ricisi er
for at der for eksempel kommer en tyv forbi og stjaeler maskinerne
bagved.

Indtil videre daekker jeres minimale featureset:

* Webserver, koblet til internet
* Mail skal vaere tilgaengeligt paa LAN

Hvad med for eksempel at kopiere alle mails til en diskette og
flytte den fysisk og ikke have LAN paa nettet?

Ja, det er provokorende ment. Men det loeser alle de problemer som
i har lige nu. Det er muligt at det ikke er en acceptabel loesning,
men saa maa i tilfoeje mere til det minimale featureset. Behoever i
at NAT'e LAN? Kan en proxy goere det? Saa kunne man koere med
proxyen og en mailserver som bastion hosts paa LAN. Hvis det er en
Exchange-bastard skal man nok overveje qmail eller postfix paa en
unix-maskine foran, saa exchange-serveren ikke eksponeres paa nettet.

Saa jeres DMZ indeholder nu en proxy, en mailsver og en webserver. Intet
af LAN ekponeres. Og ingen maskine i LAN har en default route.
Med det setup er en firewall naeppe noedvendig. Det kan hoejest
vaere interessant med normalisering af trafikken. Det kraever
selvfoelgeligt at alle services der ikke skal anvendes er slaaet
fra paa bastion hosts.

Pointen er stadig den samme. Hvad har i egentlig brug for? Kan i klare
jer med mindre og derved undgaa en masse problemer? Hvad er konse-
kvensen ved et eventuelt indbrud? Hvad har i af backup hvis huset
braender ned for et par anarkister synes at det skulle braende?
Hvad er det helt praecist i forsoeger at beskytte? Hvis i ikke har
identificeret det, hvordan ved i saa at jeres loesning yder den
sikkerhed i forventer?

Det er meget lettere at foretage fornuftige valg naar man har viden
om det domaene man arbejder i. Hvis man har valgt teknisk loesning
vil diskussionen kun handle om diskussionen af implementationen
restrigeret under loesningen. Hvis man derimod foerer en diskussion
om hvad det er man forsoeger at beskytte og mod hvem saa er
man ikke begraenset af en bestemt loesning.


--
j.

---

On 2003-10-24,
Jesper Louis Andersen <jlouis@miracle.mongers.org> wrote:
> In article <slrnbpj2e2.k93.pope@mail.home.terminal.dk>,
> Povl H. Pedersen wrote:
>
>> Problemet der skal loses er at sikre en række offentlig tilgængeligt
>> webservere, ligesom der skal implementeres en losning så den interne
>> mail kan tilgås udefra, uden risiko for kompromitering af det interne
>> netværk.
>
> Det er det tekniske problem der skal loeses ja. Det interessante er
> derimod _hvorfor_ det problem skal loeses. Jeg forventer at jeres
> forrentning er afhaengige af den her raekke af offentlige webservere.
> Hvis ikke havde man nok ikke stillet dem op offentligt. Foer vi
> overhovedet taenker firewalls skal vi have bestemt det minimale
> featureset vi kan koere de servere med. Det hjaelper nemlig floejtende
> med en firewall hvis man har dynamik paa webserveren men kunne have
> klaret sig uden eksempeltvist og det saa viser sig at $SCRIPTING_LANG
> har et sikkerhedshul der er blevet udnyttet.

Nu var det ikke mig der var fra firmaet.

Men jeg er grundlæggende enig i, at der ikke er grund til
at eksponere den interne mailserver, da konsekvenserne af en
kompromittering er hoj, og sandsynligheden er ligeså hvis den
er på Internet.

Webserverne er nok en del af levebrodet, så her er konsekvenserne
ved ikke at eksponere dem, at de er utilgængelige med utilfredse
kunder.

Hele hostingbranchen går vel ud på at finde balancen mellem at
tilbyde features, holde maskinen sikker, og have den rigtige pris.

Der har været flere webhotel for en krone der ikke var patchede,
fik hærget hjemmesider, og som ikke havde backup.

> Har i overvejet hvad konsekvenserne ved et eventuelt inbrud er og hvad ricisi er
> for at der for eksempel kommer en tyv forbi og stjaeler maskinerne
> bagved.

Dette samt hærværk brand m.m. vil muligvis lukke virksomheden.
Så meget store konsekvenser. Det burde der være fokus på.
>
> Indtil videre daekker jeres minimale featureset:
>
> * Webserver, koblet til internet
> * Mail skal vaere tilgaengeligt paa LAN
>
> Hvad med for eksempel at kopiere alle mails til en diskette og
> flytte den fysisk og ikke have LAN paa nettet?

Det så ud til, at deres mailserver direkte på var nice-to-have.

> Ja, det er provokorende ment. Men det loeser alle de problemer som
> i har lige nu. Det er muligt at det ikke er en acceptabel loesning,
> men saa maa i tilfoeje mere til det minimale featureset. Behoever i
> at NAT'e LAN? Kan en proxy goere det? Saa kunne man koere med
> proxyen og en mailserver som bastion hosts paa LAN. Hvis det er en
> Exchange-bastard skal man nok overveje qmail eller postfix paa en
> unix-maskine foran, saa exchange-serveren ikke eksponeres paa nettet.

Så er du teknisk :)
>
....
> Pointen er stadig den samme. Hvad har i egentlig brug for? Kan i klare
> jer med mindre og derved undgaa en masse problemer? Hvad er konse-
> kvensen ved et eventuelt indbrud? Hvad har i af backup hvis huset
> braender ned for et par anarkister synes at det skulle braende?
> Hvad er det helt praecist i forsoeger at beskytte? Hvis i ikke har
> identificeret det, hvordan ved i saa at jeres loesning yder den
> sikkerhed i forventer?

Jeg tror problemet er nice-to-have mod at ofre sikkerhed. Det kan
være sikkerhed mod Internet bare skal bringes ned på niveau
med den fysiske sikkerhed :)
>
> Det er meget lettere at foretage fornuftige valg naar man har viden
> om det domaene man arbejder i. Hvis man har valgt teknisk loesning
> vil diskussionen kun handle om diskussionen af implementationen
> restrigeret under loesningen. Hvis man derimod foerer en diskussion
> om hvad det er man forsoeger at beskytte og mod hvem saa er
> man ikke begraenset af en bestemt loesning.

Jeg har teknisk kendskab, men arbejder med det på et lidt mere
konceptuelt niveau. På usenet er jeg dog i nord mode.

---

"Jesper Louis Andersen" <jlouis@miracle.mongers.org> skrev i en meddelelse
news:slrnbpj625.pan.jlouis@miracle.mongers.org...
> In article <slrnbpj2e2.k93.pope@mail.home.terminal.dk>,
> Povl H. Pedersen wrote:
>
> > Problemet der skal loses er at sikre en række offentlig tilgængeligt
> > webservere, ligesom der skal implementeres en losning så den interne
> > mail kan tilgås udefra, uden risiko for kompromitering af det interne
> > netværk.
>
> Det er det tekniske problem der skal loeses ja. Det interessante er
> derimod _hvorfor_ det problem skal loeses. Jeg forventer at jeres
> forrentning er afhaengige af den her raekke af offentlige webservere.
> Hvis ikke havde man nok ikke stillet dem op offentligt. Foer vi
> overhovedet taenker firewalls skal vi have bestemt det minimale
> featureset vi kan koere de servere med. Det hjaelper nemlig floejtende
> med en firewall hvis man har dynamik paa webserveren men kunne have
> klaret sig uden eksempeltvist og det saa viser sig at $SCRIPTING_LANG
> har et sikkerhedshul der er blevet udnyttet.
>
> Har i overvejet hvad konsekvenserne ved et eventuelt inbrud er og hvad
ricisi er
> for at der for eksempel kommer en tyv forbi og stjaeler maskinerne
> bagved.

Nu var det mig, som var fra firmaet. Ja, vi har tænkt på konsekvenserne af
et indbrud. Firmaet er inddelt i to sikkerhedszoner. Fordi at man har
nedbrudt 1. skal, har man ikke access til server-rummet. Det kræver en
sekundær nøgle eller en truck kørt til det niveau, hvor serverrummet er.
(Døren og væggene er speciel).

> Indtil videre daekker jeres minimale featureset:
>
> * Webserver, koblet til internet
> * Mail skal vaere tilgaengeligt paa LAN
>
> Hvad med for eksempel at kopiere alle mails til en diskette og
> flytte den fysisk og ikke have LAN paa nettet?
>
> Ja, det er provokorende ment. Men det loeser alle de problemer som
> i har lige nu. Det er muligt at det ikke er en acceptabel loesning,
> men saa maa i tilfoeje mere til det minimale featureset. Behoever i
> at NAT'e LAN? Kan en proxy goere det? Saa kunne man koere med
> proxyen og en mailserver som bastion hosts paa LAN. Hvis det er en
> Exchange-bastard skal man nok overveje qmail eller postfix paa en
> unix-maskine foran, saa exchange-serveren ikke eksponeres paa nettet.
>
> Saa jeres DMZ indeholder nu en proxy, en mailsver og en webserver. Intet
> af LAN ekponeres. Og ingen maskine i LAN har en default route.
> Med det setup er en firewall naeppe noedvendig. Det kan hoejest
> vaere interessant med normalisering af trafikken. Det kraever
> selvfoelgeligt at alle services der ikke skal anvendes er slaaet
> fra paa bastion hosts.
>
> Pointen er stadig den samme. Hvad har i egentlig brug for? Kan i klare
> jer med mindre og derved undgaa en masse problemer? Hvad er konse-
> kvensen ved et eventuelt indbrud? Hvad har i af backup hvis huset
> braender ned for et par anarkister synes at det skulle braende?
> Hvad er det helt praecist i forsoeger at beskytte? Hvis i ikke har
> identificeret det, hvordan ved i saa at jeres loesning yder den
> sikkerhed i forventer?
>
> Det er meget lettere at foretage fornuftige valg naar man har viden
> om det domaene man arbejder i. Hvis man har valgt teknisk loesning
> vil diskussionen kun handle om diskussionen af implementationen
> restrigeret under loesningen. Hvis man derimod foerer en diskussion
> om hvad det er man forsoeger at beskytte og mod hvem saa er
> man ikke begraenset af en bestemt loesning.

Problemet er at fortælle, hvad vi laver uden at kompromittere den løsning,
som allerede er i drift og hvor vi i en fortsat proces fra tid til anden
diskuterer, som sikkerheden kan forbedres inden for de meget begræsede
økonomiske rammer, som branchen dikterer.

Egentlig burde vi slet ikke udbyde web-services. Vi har ikke selv bygget
alle løsningerne og uanset hvor mange forbehold, man kan lave i en kontrakt
med et web-firma, så kan en kontrakt ikke garantere, at produktet ikke
rummer en script-fejl, som kan kompromittere data. Og ud fra devisen at alt
som man ikke selv har sikret, er usikker, så lever vi med en konstant
risiko.

Men vi havde ikke viden i huset til at bygge vores største web-service inden
for de tidsfrister, som ledelsen har udstukket. Derfor har vi investeret et
beløb i en web-løsning i en prisklasse, som har vækket forundring og
ærefrygt i branchen. Vi har bedt om et angreb-forsøg fra en af de firmaer,
som lever af at teste web-services og de har ikke fundet huller på denne
løsning. Men det er ikke nogen garanti.

Vores sikkerhedspolitik er i mange henseende drevet af, at vores forretning
simpelhen ikke ville kunne fortsætte uden vores hovedkvarter. Ja, vi har en
backupplan, hvor at vores data inden for 1-3 døgn vil kunne bringe til at
køre på en af vore andre lokationer. Den nødvendige hardware findes ikke på
det pågældende sted, så den anskaffes først. Vi udfører periodisk
tilbagelæsningskontrol på dubletter af vores backup-udstyr, men tilbage på
maskiner, som godt nok kan afvikle programmerne, men slet med den
brugerbelastningsgrad, som vi har på vores driftudstyr.

Funktionerne ville i hvert fald ikke kunne udføres af de mennesker, der
udfører det idag eftersom at den nærmeste lokation ligger i en anden
landsdel. Endvidere er meget af vores data baseret på dokumentation, som
vanskelig ville kunne genskabes uanset for nemt selve dataene ville kunne
genskabes.

Jeg kan som eksempel nævne at vores bilagsmateriale for et års fylder 30
reoler. Alene at ringe rundt til kunder/leverandører for at få kopier vil
tage flere måneder. Vi lever endvidere af at have trykprøver/film og alle
gamle sager har deres egen papirmappe.

Vi har overvejet at scanne denne dokumentation, men vi lever også af
farveægthed, så det ville kræve en speciel teknik.

Når jeg har valgt at poste det forslag, jeg har fået så hvar det fordi at
jeg fandte forslaget så banebrydende i forhold til den hemmelige opsætning,
vi har idag, at jeg måtte have et sekundær input i overvejelserne omkring
hvorvidt vi i det hele taget skal lave noget om.

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm

---

Carsten Overgaard <info@carstenovergaard.dk> wrote:
> Når jeg har valgt at poste det forslag, jeg har fået så hvar det fordi at
> jeg fandte forslaget så banebrydende i forhold til den hemmelige opsætning,
> vi har idag, at jeg måtte have et sekundær input i overvejelserne omkring
> hvorvidt vi i det hele taget skal lave noget om.

Jeg må indrømme at være lettere skræmt nu. Jeg forstår ikke at du finder
forslaget banebrydende, men det kommer naturligvis an på jeres nuværende
opsætning. Den må godt nok være ringe, hvis du finder det fremlagte
forslag "banebrydende."

Som sagt, tag fat i jeres leverandør af sikkerhedsydelser og få dem til
at evaluere jeres nuværende setup eller designe et nyt.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Alex Holst" <a@mongers.org> skrev i en meddelelse
news:9m7v61-kb7.ln1@miracle.mongers.org...
> Carsten Overgaard <info@carstenovergaard.dk> wrote:
> > Når jeg har valgt at poste det forslag, jeg har fået så hvar det fordi
at
> > jeg fandte forslaget så banebrydende i forhold til den hemmelige
opsætning,
> > vi har idag, at jeg måtte have et sekundær input i overvejelserne
omkring
> > hvorvidt vi i det hele taget skal lave noget om.
>
> Jeg må indrømme at være lettere skræmt nu. Jeg forstår ikke at du finder
> forslaget banebrydende, men det kommer naturligvis an på jeres nuværende
> opsætning. Den må godt nok være ringe, hvis du finder det fremlagte
> forslag "banebrydende."
>
> Som sagt, tag fat i jeres leverandør af sikkerhedsydelser og få dem til
> at evaluere jeres nuværende setup eller designe et nyt.

Jeg finder banebrydende fordi at det afviger temmelig meget fra det setup,
som vores leverandør af sikkerhedsydelser satte op, da vi installerede den
firewall, vi anvender idag.

Alle opsæt rummer svagheder. Hvis virksomheden havde råd, bad vi om to
rapporter, både fra den nuværende rådgiver og fra forslagsstilleren og satte
dem op imod hinanden. Men virkeligheden er at vi har købt firewall og at vi
fik overset at de at de imodsætning til andre firewall leverandører tager
penge for deres firmware. Vi er således udpint p.gr. af udgifter til
opdateringer.

Så der bliver ingen konsultation hos nogen sikkerhedsleverandør, før at vi
også har økonomi til at komme ud af båndene med hensyn til
firmware-opdateringer til firewallen.

Nu har vi i de sidste år udrangeret servere, som nu står og samler støv. Dem
kunne man købe ny software til og sætte i drift i forbindelse med det nye
opsæt, hvis vi overhovedet vælger det.

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm