---

Er der nogen der kan forklare mig hvad det er der gør en SPI firewall bedre
end en standard NA(P)T router rent sikkerhedsmæssigt.

Jeg er klar over at SPI firewalls kan operere højere oppe end lag 3 men ud
over det hvad er det så lige man vinder ved en SPI firewall ??

NA(P)T sørger for at sessioner ikke kan etableres ude fra internettet - det
samme opnår man med SPI - men hvad ellers ?!?!?

---

Uffe S. Callesen <anon@anon.com> wrote:
> NA(P)T sørger for at sessioner ikke kan etableres ude fra internettet - det
> samme opnår man med SPI - men hvad ellers ?!?!?

NAT har faktisk slet ikke den slags filtre. NAT oversaetter headere i
pakker frem og tilbage mellem to angivne interfaces. Hvis der ikke er et
stateful inspection lag paa ydersiden, er der kun routing
besvaerligheder der forhindrer at en angriber faar din NAT enhed til at
oversaette headerne i de pakker han sender til dig.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
>
> Uffe S. Callesen <anon@anon.com> wrote:
> > NA(P)T sørger for at sessioner ikke kan etableres ude fra internettet - det
> > samme opnår man med SPI - men hvad ellers ?!?!?
>
> NAT har faktisk slet ikke den slags filtre. NAT oversaetter headere i
> pakker frem og tilbage mellem to angivne interfaces. Hvis der ikke er et
> stateful inspection lag paa ydersiden, er der kun routing
> besvaerligheder der forhindrer at en angriber faar din NAT enhed til at
> oversaette headerne i de pakker han sender til dig.

En pakke skal vel matche en indgang i NAT routerens
tabeller for at kunne komme ind.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <3FCB9A7A.7969478@daimi.au.dk>, Kasper Dupont wrote:
> En pakke skal vel matche en indgang i NAT routerens
> tabeller for at kunne komme ind.

Ikke på en router, den router jo pakkerne.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Alex Holst <a@mongers.org> wrote:

>> NA(P)T sørger for at sessioner ikke kan etableres ude fra internettet - det
>> samme opnår man med SPI - men hvad ellers ?!?!?
>
>NAT har faktisk slet ikke den slags filtre. NAT oversaetter headere i
>pakker frem og tilbage mellem to angivne interfaces. Hvis der ikke er et
>stateful inspection lag paa ydersiden, er der kun routing
>besvaerligheder der forhindrer at en angriber faar din NAT enhed til at
>oversaette headerne i de pakker han sender til dig.

Routing besværligheder?

--
Lars Kim Lund
http://www.net-faq.dk/

---

In article <vqansvsg279luh2d1o64uebeeu1nc6amhm@dtext.news.tele.dk>, Lars Kim Lund wrote:
> Routing besværligheder?

Ja, citat fra nudansk ordbog... "routning fra et offentlig IP adresserum
til et rfc1918 adresserum, igennem en ISPs net." :)


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

In article <jm7s91-mo2.ln1@miracle.mongers.org>, Alex Holst wrote:
> NAT har faktisk slet ikke den slags filtre. NAT oversaetter headere i
> pakker frem og tilbage mellem to angivne interfaces. Hvis der ikke er et

Og evt. i payloads ved fx ftp sessioner.

> stateful inspection lag paa ydersiden, er der kun routing

Hmmm, hvis man skal gå op de små detailer bliver SPI brugt af et filter,
ikke omvendt.

Så SPI alene kan ikke bruges til segmentering, blot til at
pakkerne overholder inspicerings kriterne.

Dette kan fx være at TCP service modellen bliver overholdt, fx
at headeren er rigtigt udfyldt, handshaking, windows managment, etcetera.

> besvaerligheder der forhindrer at en angriber faar din NAT enhed til at
> oversaette headerne i de pakker han sender til dig.

Ja.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Tak for svarene allesammen - dog lige et par spørgsmål..

Når en IP pakke rammer NAT routeren på WAN siden bliver den vel kun routet
hvis der iforvejen findes et entry for den i NAT tabellen... Det vil der jo
typisk ikke gøre med mindre sessionen er etableret indefra (NAT routerens
LAN interface) .... eller hvad ?!?

Grunden til at jeg spørger er at jeg faktisk ikke kan gennemskue hvad SPI i
dets helt basale form (overvågning af om indkommende trafik er svar på
tidligere udgående trafik) tilbyder rent sikkerhedsmæssigt iforhold til NAT.

Hvis sikkerheden i en NAT løsning er nemmere at 'omgåes' hvordan vil en evt.
angriber så bære sig ad med dette - han kan vel ikke udefra påvirke NAT
tabellen i routeren ?!?!

---

In article <3fcc4ab6$0$159$edfadb0f@dtext02.news.tele.dk>, Uffe S. Callesen wrote:
> Tak for svarene allesammen - dog lige et par spørgsmål..
>
> Når en IP pakke rammer NAT routeren på WAN siden bliver den vel kun routet
> hvis der iforvejen findes et entry for den i NAT tabellen... Det vil der jo
> typisk ikke gøre med mindre sessionen er etableret indefra (NAT routerens
> LAN interface) .... eller hvad ?!?

Nej.

>
> Grunden til at jeg spørger er at jeg faktisk ikke kan gennemskue hvad SPI i
> dets helt basale form (overvågning af om indkommende trafik er svar på
> tidligere udgående trafik) tilbyder rent sikkerhedsmæssigt iforhold til NAT.

Det forstår jeg godt.

SPI kan godt være mere end blot at se om pakker er allerede etableret sessioner.
Det kan i teorien også bruges til at se om der virus i mails!

> Hvis sikkerheden i en NAT løsning er nemmere at 'omgåes' hvordan vil en evt.
> angriber så bære sig ad med dette - han kan vel ikke udefra påvirke NAT
> tabellen i routeren ?!?!

Du stiller dit spørgsmål forkert...typisk er en NAT router meget andet
end blot en router der understøtter NAT.

Normalt er der nogle standard regler, der forbyder trafik fra ISP (Jeg
skriver aldrig WAN, da det nemt kan blive til LAN, ved en skrivefejl)
til LAN. Disse regler kan så evt. benytte sig af SPI.

SPI er et diffust begreb, og giver ikke mening at bruge uden at fortælle
på hvilke lag. Man producenter bruger det desværrer som et salgsarugment,
uden at fortælle hvilke lag de arbejder på, og hvordan de arbejder.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Ja tak det er jeg - og vel også alle andre - udemærket klar over - lad mig
omformulere....

Hvis sikkerheden i en LAN <> WAN adskillelse, udelukkende er baseret på NAT,
hvordan vil en evt. angriber så bære sig ad med at få adgang til lokalnettet
???



<snip>
> Hvis sikkerheden i en NAT løsning er nemmere at 'omgåes' hvordan vil en
evt.
> angriber så bære sig ad med dette - han kan vel ikke udefra påvirke NAT
> tabellen i routeren ?!?!

Du stiller dit spørgsmål forkert...typisk er en NAT router meget andet
end blot en router der understøtter NAT.
</snip>

---

In article <3fcc845f$0$153$edfadb0f@dtext02.news.tele.dk>, Uffe S. Callesen wrote:
> Hvis sikkerheden i en LAN <> WAN adskillelse, udelukkende er baseret på NAT,
> hvordan vil en evt. angriber så bære sig ad med at få adgang til lokalnettet

Hvis LAN'et bruger officielle adresser der er routebar, er det
selvfølgelig trivielt at tilgå dem. Du tænker nok på
rfc1918 adresserummet.

ICMP redirect kan bruges til at ændre routerens routningstabel.

Har routeren flere officielle adresser til rådighed, kan man
fx route en af disse til en intern maskine.


Sidder der andre enheder på WAN sidens ethernet segment, kan disse
måske bruges til at bygge specielt designet pakker til at komme
igennem routeren.

Se evt. tråden fra
http://groups.google.dk/groups?selm=3CD055FA.4000003%40example.net


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Kik evt. også efter "strict source route" i
http://rfc.sunsite.dk/rfc/rfc791.html

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/