---

Jeg har erfaret at hvis man har et netværk med en forbindelse til
internettet via en (dårlig) router, er det muligt for en attacker vha.
source routing, at sende pakker ind i netværket selv om routeren udelukkende
gør brug af dynamisk NAT. Når man har en Cisco1600 router, hvor source
routning ikke kan slås fra, hvad gør man så?
!Kan man f.eks. sætte en PIX mellem netværket og routeren og få den til at
filtrere source routede pakker?

Kan source routing forresten slås fra på Cisco677 ADSL-routeren?

Et andet spørgsmål: Er det ikke således at hvis man har sniffet de pakker
hvor en attacker har brugt source routing til at nå ind i netværket, så kan
man se IP-addr. på attackeren i de pakker der bliver sendt tilbage som
svar?!

På forhånd tak
/Jens Ulrik

---

Jens U. K. wrote:

>Jeg har erfaret at hvis man har et netværk med en forbindelse til
>internettet via en (dårlig) router, er det muligt for en attacker vha.
>source routing, at sende pakker ind i netværket selv om routeren udelukkende
>gør brug af dynamisk NAT. Når man har en Cisco1600 router, hvor source
>routning ikke kan slås fra, hvad gør man så?

Du kan opsætte en DMZ (DeMillitarized Zone) mellem internettet og resten
af netværket.

          --------DMZ----------

Internettet ---- Router 1 ---- Mailserver ---- Router 2 ---- LAN


På den måde er det let at beskytte et LAN mod uautoriseret trafik.

Router 2 tillader kun trafik fra LAN til DMZ til mailserveren med
dest.port 25 og 110, samt ingen trafik fra DMZ mod LAN.

Problem solved.

--
Nescafe - because your pets deserve the best!

---

"Christian Andersen" <hypvxo28u85zyj001@sneakemail.com> skrev i en
meddelelse news:3b94d83b$0$259$edfadb0f@dspool01.news.tele.dk...
> Jens U. K. wrote:
>
> >Jeg har erfaret at hvis man har et netværk med en forbindelse til
> >internettet via en (dårlig) router, er det muligt for en attacker vha.
> >source routing, at sende pakker ind i netværket selv om routeren
udelukkende
> >gør brug af dynamisk NAT. Når man har en Cisco1600 router, hvor source
> >routning ikke kan slås fra, hvad gør man så?
>
> Du kan opsætte en DMZ (DeMillitarized Zone) mellem internettet og resten
> af netværket.
>
> --------DMZ----------
>
> Internettet ---- Router 1 ---- Mailserver ---- Router 2 ---- LAN
>
>
> På den måde er det let at beskytte et LAN mod uautoriseret trafik.
>
> Router 2 tillader kun trafik fra LAN til DMZ til mailserveren med
> dest.port 25 og 110, samt ingen trafik fra DMZ mod LAN.

Hvordan får LAN-computerne så adgang til internettet (f.eks. http)?

/Jens Ulrik

---

On Tue, 4 Sep 2001 14:43:05 +0200, "Jens U. K."
<1jk2@3bsopatent4.dk> wrote:

> Når man har en Cisco1600 router, hvor source routning ikke kan slås fra,
> hvad gør man så?

Hvad får dig til at tro, at source-routing ikke kan slås fra på
en 1600-serie router?

> !Kan man f.eks. sætte en PIX mellem netværket og routeren og få den til at
> filtrere source routede pakker?

Ja. En PIX forwarder aldrig source-routede pakker.

> Kan source routing forresten slås fra på Cisco677 ADSL-routeren?

Jeg mener ikke, at en 677'er understøtter source-routing. Men jeg
kan huske galt.

> Et andet spørgsmål: Er det ikke således at hvis man har sniffet de pakker
> hvor en attacker har brugt source routing til at nå ind i netværket, så kan
> man se IP-addr. på attackeren i de pakker der bliver sendt tilbage som
> svar?!

Ikke nødvendigvis, fx. ikke hvis afsenderen har spoofet sin
adresse.

-A
--
http://www.hojmark.org/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:tvbdpt803bc79u1l5fqct4tskgvm6uk00c@news.worldonline.dk...
> On Tue, 4 Sep 2001 14:43:05 +0200, "Jens U. K."
> <1jk2@3bsopatent4.dk> wrote:
>
> > Når man har en Cisco1600 router, hvor source routning ikke kan slås fra,
> > hvad gør man så?
>
> Hvad får dig til at tro, at source-routing ikke kan slås fra på
> en 1600-serie router?
>

Et svar jeg fik i en tidligere tråd, som jeg nok har misfortolket
:(vedkommende svarede nok nej til at *vide* om 1600 kunne slå source-routing
fra, ikke til at 1600'eren *ikke kunne* slå det fra... Efterfølgende har
jeg set dit svar i den pågældende tråd)

> ...
> > Et andet spørgsmål: Er det ikke således at hvis man har sniffet de
pakker
> > hvor en attacker har brugt source routing til at nå ind i netværket, så
kan
> > man se IP-addr. på attackeren i de pakker der bliver sendt tilbage som
> > svar?!
>
> Ikke nødvendigvis, fx. ikke hvis afsenderen har spoofet sin
> adresse.

Hvis han har spoofet sin adresse, kan han vel ikke få nogen pakker retur og
altså heller ikke få noget at vide?

/Jens Ulrik

---

On Thu, 6 Sep 2001 14:44:38 +0200, "Jens U. K."
<1jk2@3bsopatent4.dk> wrote:

> Hvis han har spoofet sin adresse, kan han vel ikke få nogen
> pakker retur og altså heller ikke få noget at vide?

Næ, men hvis det eneste man ønsker er at lave skade (denial of
service attacks), så er det langtfra altid nødvendigt at få noget
retur.

-A
--
http://www.hojmark.org/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:m6ufpto2qgevtpkmq3h0csponv0b755gl4@news.worldonline.dk...
> On Thu, 6 Sep 2001 14:44:38 +0200, "Jens U. K."
> <1jk2@3bsopatent4.dk> wrote:
>
> > Hvis han har spoofet sin adresse, kan han vel ikke få nogen
> > pakker retur og altså heller ikke få noget at vide?
>
> Næ, men hvis det eneste man ønsker er at lave skade (denial of
> service attacks), så er det langtfra altid nødvendigt at få noget
> retur.

Det er jeg enig i.

Og hvis vedkommende har haft succes med at placere en trojan, kan han/hun i
teorien starte den med en spoofet pakke?!

/Jens Ulrik