/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Sikkerhedsspørgsmål - telnetd på Linux
Fra : Henrik Lauridsen


Dato : 25-11-03 12:51

Jeg har netop installeret Linux på en af pc'erne i mit netværk derhjemme. Da
jeg gerne vil have mulighed for remote access, har jeg enablet telenetd på
linuxmaskinen. PC'en er via en router (NAT) tilsluttet internettet. Jeg er
nu i tvivl om hvorvidt linux maskinen kan tilgås fra internettet, eller om
routeren er i vejen. PC'en har en 192.168.1.* adresse, så umiddelbart kan
den jo ikke tilgås, men er der en sikkerhedsbrist jeg har overset?

Mvh
Henrik



 
 
Rasmus Bøg Hansen (25-11-2003)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 25-11-03 13:04

"Henrik Lauridsen" <hlau@beethoven.com> writes:

> Jeg har netop installeret Linux på en af pc'erne i mit netværk derhjemme. Da
> jeg gerne vil have mulighed for remote access, har jeg enablet telenetd på
> linuxmaskinen. PC'en er via en router (NAT) tilsluttet internettet. Jeg er
> nu i tvivl om hvorvidt linux maskinen kan tilgås fra internettet, eller om
> routeren er i vejen. PC'en har en 192.168.1.* adresse, så umiddelbart kan
> den jo ikke tilgås, men er der en sikkerhedsbrist jeg har overset?

Du har i hvert fald overset, at ssh er klart anbefalelsesværdigt
fremfor telnet i stort set alle situationer.

Desuden skal du i din router forwarde port 22(ssh) eller 23(telnet)
til din Linux-boks.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
God, root, what is difference?
God is more forgiving.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Christian E. Lysel (25-11-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 25-11-03 16:44

In article <87isl8mz87.fsf@grignard.amagerkollegiet.dk>, Rasmus Bøg Hansen wrote:
> Du har i hvert fald overset, at ssh er klart anbefalelsesværdigt
> fremfor telnet i stort set alle situationer.

I designet tager ssh højde for mange flere ting.

Men kikker du på antallet af publiceret sårbarheder til telnet, er de
sværer at finde inden for det sidste års tid.

Telnet kan evt. kombineres med IPsec.



Hans Joergensen (25-11-2003)
Kommentar
Fra : Hans Joergensen


Dato : 25-11-03 19:53

Christian E. Lysel wrote:
> Men kikker du på antallet af publiceret sårbarheder til telnet, er de
> sværer at finde inden for det sidste års tid.

Måske fordi ingen bruger det ?

// Hans
--
Fantastiske pandekager: http://www.ph33r.dk/pancakes.shtml
UNIX Admin søger arbejde, http://nathue.dk/?page=cv

Kasper Dupont (25-11-2003)
Kommentar
Fra : Kasper Dupont


Dato : 25-11-03 13:39

Henrik Lauridsen wrote:
>
> Jeg har netop installeret Linux på en af pc'erne i mit netværk derhjemme. Da
> jeg gerne vil have mulighed for remote access, har jeg enablet telenetd på
> linuxmaskinen. PC'en er via en router (NAT) tilsluttet internettet. Jeg er
> nu i tvivl om hvorvidt linux maskinen kan tilgås fra internettet, eller om
> routeren er i vejen. PC'en har en 192.168.1.* adresse, så umiddelbart kan
> den jo ikke tilgås, men er der en sikkerhedsbrist jeg har overset?

Jeg er ikke helt klar over, hvad du ønsker at opnå?

Ønsker du at opnå, at Linux maskinen kan tilgås fra
andre maskiner på lokalnettet, men ikke fra maskiner
udenfor lokalnettet?

Eller ønsker du at opnå, at Linux maskinen kan tilgås
fra maskiner andre stedder på internettet?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Henrik Lauridsen (27-11-2003)
Kommentar
Fra : Henrik Lauridsen


Dato : 27-11-03 09:14


"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3FC34D63.56EBC2D1@daimi.au.dk...
> Henrik Lauridsen wrote:

> Ønsker du at opnå, at Linux maskinen kan tilgås fra
> andre maskiner på lokalnettet, men ikke fra maskiner
> udenfor lokalnettet?

Ja, det var tanken. Så kan jeg nemlig sidde i min foretrukne lænestol med
den bærbare og øve mig på Linux

Henrik



Kasper Dupont (27-11-2003)
Kommentar
Fra : Kasper Dupont


Dato : 27-11-03 17:02

Henrik Lauridsen wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:3FC34D63.56EBC2D1@daimi.au.dk...
> > Henrik Lauridsen wrote:
>
> > Ønsker du at opnå, at Linux maskinen kan tilgås fra
> > andre maskiner på lokalnettet, men ikke fra maskiner
> > udenfor lokalnettet?
>
> Ja, det var tanken.

OK, så behøver du sandsynligvis ikke ændre noget i
routerens opsætning. Det vil selvfølgelig være en god
idé at checke fra en maskine udenfor lokalnettet, om
port 23 på routerens eksterne IP adresse giver adgang
til maskinen, men det gør den næppe.

En åben telnet server er næppe den største risiko, det
er væsentligt simplere en ssh og dermed er der færre
muligheder for fejl. Det udelukker dog ikke, at der
vist har været fejl, så som med alt andet skal serveren
holdes opdateret. Den største risiko ved telnet opstår
dog først når nogen med et gyldigt login begynder at
bruge den.

Hvad angår ssh vs. telnet, så vil jeg sige at
risikoen ved at bruge telnet over lokalnettet er
minimal. Der er til gengæld ikke megen pointe i at
bruge telnet over lokalnettet. Mængden af trafik man
sender over telnet er normalt så lille, at kryptering
og MAC med ssh ikke ville medføre nogen betydelig
nedsættelse af performance. Til kopiering af filer og
port forwarding kan ssh godt være for langsom til et
lokalnet, men disse features har telnet jo slet ikke.

> Så kan jeg nemlig sidde i min foretrukne lænestol med
> den bærbare og øve mig på Linux

Aha, en bærbar. Bruger du trådløst netværk? Hvis du
faktisk bruger trådløst netværk er der jo pludslig
mulighed for uautoriseret adgang til lokalnettet. Så
er det pludslig ikke nogen god idé med telnet.

Der er forskellige måder at håndtere problemerne ved
et trådløst netværk. WEP er næsten standardiseret, men
så vidt jeg har forstået ikke særlig godt. Flere vælger
i stedet at bruge en konventionel VPN løsning over det
trådløse netværk. Endelig kan man også vælge at bare
holde sig til ssh over sit trådløse netværk. Om man
vælger den ene eller den anden software løsning ændrer
næppe ret meget på performance.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Michael Knudsen (25-11-2003)
Kommentar
Fra : Michael Knudsen


Dato : 25-11-03 16:34



Henrik Lauridsen (27-11-2003)
Kommentar
Fra : Henrik Lauridsen


Dato : 27-11-03 09:18


"Michael Knudsen" <ether@cs.auc.dk> wrote in message
news:Pine.GSO.4.50.0311251616110.20170-100000@fire2.cs.auc.dk...
On Tue, 25 Nov 2003, Henrik Lauridsen wrote:

[en del gode råd omkring sikkerhed på routeren]

Tak, jeg vil checke hvordan routeren er sat op. Umiddelbart tror jeg der er
lukket af (et check på grc.com fortalte at alle undersøgte porte var
lukkede), men jeg vil checke det igen. Og så tager jeg i øvrigt fat i SSH i
stedet for telnet.

Tak for hjælpen
Henrik



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste