image

Microsoft angst voor security problemen NAT-T onterecht?

zondag 10 juli 2005, 08:30 door Redactie, 13 reacties

Via Network Address Translation (NAT) kunnen meerdere computers met het internet verbonden worden, terwijl er maar één publiekelijk IP-adres gebruikt wordt. Zonder NAT zou het aantal beschikbare adressen van het IPv4 protocol waarschijnlijk snel op zijn. NAT heeft ook een ander voordeel. Het schermt de computers af die achter de NAT machine zitten. Alleen het apparaat waarmee verbinding wordt gemaakt is zichtbaar voor de buitenwereld.

NAT heeft ook een nadeel, het is niet compatible met Internet Protocol Security (IPSec), dat steeds vaker gebruikt wordt voor het beschermen van de betrouwbaarheid en integriteit van data. De oplossing is NAT Traversal, ook bekend als NAT-T. Er zouden echter security problemen met NAT-T zijn. Microsoft raadt gebruikers aan om IPSec/NAT-T niet te gebruiken om Windows XP clients met Windows VPN servers, die achter NAT zitten, verbinding te laten maken. Service Pack 2 voor XP maakt een aanpassing die "IPSec/NAT-T security associaties" voor VPN servers achter NAT voorkomt.

Microsoft maakte onlangs bekend dat vanwege de manier waarop IPSec en NAT-T werken, er een security probleem bestaat. IPSec verkeer voor een bepaalde computer kan in bepaalde omstandigheden, naar de verkeerde computer gestuurd worden. Volgens sommige experts zijn de gevaren alleen maar in theorie aanwezig en is men onnodig veel te voorzichtig. Dit artikel gaat in op de mogelijke gevaren en laat zien hoe in Windows XP SP2 IPSec/NAT-T weer aangezet kan worden.

Reacties (13)
10-07-2005, 09:15 door Anoniem
Microsoft TE voorzichting wauw
10-07-2005, 09:47 door Anoniem
Als MS opnieuw een OS zou bouwen zou dit waarschijnlijk tot de veiligste
van allemaal behoren.
10-07-2005, 10:10 door [Account Verwijderd]
[Verwijderd]
10-07-2005, 11:30 door Anoniem
Door Hugo
Door Anoniem
Als MS opnieuw een OS zou bouwen zou dit waarschijnlijk tot
de veiligste
van allemaal behoren.

Uhhhh.... dat hebben ze al een paar keer gedaan. Het is ze
nog steeds niet gelukt!

Niet specifiek met het doel om voor veiligheid te zorgen:

Win9x -> Niet gericht op veiligheid! Het doel was meer een
gebruiksvriendelijke en grafische interface dan echt
stabiliteit te garanderen 16-bits en 32-bits code werden
gemixed gevolg -> onstabiliteit! Denk ook aan het login
scherm van Win9x waar je je wachtwoord moest invoeren maar
deze simpelweg te bypassen was door op 'CANCEL' /
'ANNULEREN' te drukken!

WinNT -> Opnieuw gebouwd specifiek met het doel om voor
servers stabiliteit te garanderen door volledig code te
optimaliseren voor 32 bits processors en hierdoor werd de
boel ook sneller. + Lichtelijk gewerkt aan veiligheid

WinNT4 -> Snelheid- en stabiliteit improvements, Microsoft
begint zich steeds meer naast snelheid en stabiliteit te
richten op meer veiligheid.

WinNT5 (2000 - 2004) -> Weinig snelheids improvements, was
volgens mij ook niet echt nodig meer. Veel stabiliteit
improvements (+ WinXP 64 bits edition, voor specifieke
processor optimalisaties) . Veiligheid staat bovenaan op hun
agenda.

WinNT6 (Longhorn) -> Waarschijnlijk richten ze zich hier
extra op veiligheid, en optimaliseren ze de code voor
snelheid en stabiliteit voor zover dit nodig zal zijn.
Echter veiligheid is een 'top prioriteit' en er zal dan ook
zoveel mogelijk aan worden gewerkt om de boel veilig te maken.

Zoals je ziet was veiligheid nooit echt hun 'doel' geweest.
Na de harde BSOD's in Win9x, was eerder stabiliteit een
issue dan veiligheid. Echter naarmate steeds meer gebruik
werd gemaakt door thuisgebruikers van Internet, en de vele
virussen/hackers/spam/lekken/concurrentie begon MS zich
steeds meer te richten op veiligheid, lekken patchen enz.
10-07-2005, 15:02 door Anoniem
Windows 2003 en Windows 2003 R2 hebben een behoorlijke focus op
veiligheid. Kijk naar IIS 6 bijvoorbeeld.
11-07-2005, 10:25 door bustersnyvel
Goed dat Microsoft nu eens laat zien dat ze ook opletten als
er nog géén exploit voor is,

Zelf vond ik NAT traversal te veel een hack op een hack
(want NAT is ook gewoon een soort hack). Mijn oplossing:
[url=http://www.openvpn.org/]OpenVPN[/url]. Gebruikt SSL
over UDP of TCP om de verbinding te encrypten, en gaat dus
zonder aanpassing van de firewall dwars door NAT heen. Mijns
inziens een veel betere oplossing.

Nu nog maar wachten totdat IPv6 massaal gebruikt wordt.
11-07-2005, 13:42 door Anoniem
NAT heeft ook een ander voordeel. Het schermt de
computers af die achter de NAT machine
zitten.
Vergeet niet dat NAT-apparaten doorgaans een
ingebouwde firewall hebben. Indien deze gecompromitteerd
raakt, valt het wel mee met het afschermende.
11-07-2005, 16:20 door Anoniem
Door Anoniem
Windows 2003 en Windows 2003 R2 hebben een behoorlijke focus op
veiligheid. Kijk naar IIS 6 bijvoorbeeld.

Win2k3 en Win2k3R2 hebben nog steeds geen implementatie van
MAC, nog steeds geen labeled security, er is nog steeds geen
convert channel analysis gedaan, en er is nog steeds geen
geformaliseerd, geverifieerd ontwerp van het systeem
aanwezig dat door derde partijen alszodanig is aangemerkt.

Win2k3 en Win2k3R2 hebben nog steeds DAC, een all-powerfull
administrator account, hebben nog steeds geen CC evaluatie
ondergaan (Men schijnt bezig te zijn) en zijn grof gezegd
niet significant veiliger dan NT of 2K.
11-07-2005, 18:59 door Anoniem

Win2k3 en Win2k3R2 hebben nog steeds DAC, een all-powerfull
administrator account,
Ala root account bedoel je?


hebben nog steeds geen CC evaluatie
ondergaan (Men schijnt bezig te zijn) en zijn grof gezegd
niet significant veiliger dan NT of 2K.
Dat is onzin. Windows 2003 is zeker veiliger
11-07-2005, 19:12 door Anoniem

og steeds geen CC evaluatie

Oh Windows 2000 zit op EAL 4. Windows 2003 is vanzelfsprekend nog niet
af.
11-07-2005, 19:32 door Anoniem
Door Anoniem
Windows 2003 en Windows 2003 R2 hebben een behoorlijke focus op
veiligheid. Kijk naar IIS 6 bijvoorbeeld.


Ja tuurlijk, met de iss cache in de kernel
12-07-2005, 06:53 door Anoniem
Door Anoniem
Door Anoniem
Windows 2003 en Windows 2003 R2 hebben een behoorlijke focus op
veiligheid. Kijk naar IIS 6 bijvoorbeeld.


Ja tuurlijk, met de iss cache in de kernel
Ja en? Kijk naar het resultaat zou ik zeggen.
12-07-2005, 10:55 door sjonniev
l2tp?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.