Microsoft angst voor security problemen NAT-T onterecht?
Via Network Address Translation (NAT) kunnen meerdere computers met het internet verbonden worden, terwijl er maar één publiekelijk IP-adres gebruikt wordt. Zonder NAT zou het aantal beschikbare adressen van het IPv4 protocol waarschijnlijk snel op zijn. NAT heeft ook een ander voordeel. Het schermt de computers af die achter de NAT machine zitten. Alleen het apparaat waarmee verbinding wordt gemaakt is zichtbaar voor de buitenwereld.
NAT heeft ook een nadeel, het is niet compatible met Internet Protocol Security (IPSec), dat steeds vaker gebruikt wordt voor het beschermen van de betrouwbaarheid en integriteit van data. De oplossing is NAT Traversal, ook bekend als NAT-T. Er zouden echter security problemen met NAT-T zijn. Microsoft raadt gebruikers aan om IPSec/NAT-T niet te gebruiken om Windows XP clients met Windows VPN servers, die achter NAT zitten, verbinding te laten maken. Service Pack 2 voor XP maakt een aanpassing die "IPSec/NAT-T security associaties" voor VPN servers achter NAT voorkomt.
Microsoft maakte onlangs bekend dat vanwege de manier waarop IPSec en NAT-T werken, er een security probleem bestaat. IPSec verkeer voor een bepaalde computer kan in bepaalde omstandigheden, naar de verkeerde computer gestuurd worden. Volgens sommige experts zijn de gevaren alleen maar in theorie aanwezig en is men onnodig veel te voorzichtig. Dit artikel gaat in op de mogelijke gevaren en laat zien hoe in Windows XP SP2 IPSec/NAT-T weer aangezet kan worden.
van allemaal behoren.
Als MS opnieuw een OS zou bouwen zou dit waarschijnlijk tot
de veiligste
van allemaal behoren.
Uhhhh.... dat hebben ze al een paar keer gedaan. Het is ze
nog steeds niet gelukt!
Niet specifiek met het doel om voor veiligheid te zorgen:
Win9x -> Niet gericht op veiligheid! Het doel was meer een
gebruiksvriendelijke en grafische interface dan echt
stabiliteit te garanderen 16-bits en 32-bits code werden
gemixed gevolg -> onstabiliteit! Denk ook aan het login
scherm van Win9x waar je je wachtwoord moest invoeren maar
deze simpelweg te bypassen was door op 'CANCEL' /
'ANNULEREN' te drukken!
WinNT -> Opnieuw gebouwd specifiek met het doel om voor
servers stabiliteit te garanderen door volledig code te
optimaliseren voor 32 bits processors en hierdoor werd de
boel ook sneller. + Lichtelijk gewerkt aan veiligheid
WinNT4 -> Snelheid- en stabiliteit improvements, Microsoft
begint zich steeds meer naast snelheid en stabiliteit te
richten op meer veiligheid.
WinNT5 (2000 - 2004) -> Weinig snelheids improvements, was
volgens mij ook niet echt nodig meer. Veel stabiliteit
improvements (+ WinXP 64 bits edition, voor specifieke
processor optimalisaties) . Veiligheid staat bovenaan op hun
agenda.
WinNT6 (Longhorn) -> Waarschijnlijk richten ze zich hier
extra op veiligheid, en optimaliseren ze de code voor
snelheid en stabiliteit voor zover dit nodig zal zijn.
Echter veiligheid is een 'top prioriteit' en er zal dan ook
zoveel mogelijk aan worden gewerkt om de boel veilig te maken.
Zoals je ziet was veiligheid nooit echt hun 'doel' geweest.
Na de harde BSOD's in Win9x, was eerder stabiliteit een
issue dan veiligheid. Echter naarmate steeds meer gebruik
werd gemaakt door thuisgebruikers van Internet, en de vele
virussen/hackers/spam/lekken/concurrentie begon MS zich
steeds meer te richten op veiligheid, lekken patchen enz.
veiligheid. Kijk naar IIS 6 bijvoorbeeld.
er nog géén exploit voor is,
Zelf vond ik NAT traversal te veel een hack op een hack
(want NAT is ook gewoon een soort hack). Mijn oplossing:
[url=http://www.openvpn.org/]OpenVPN[/url]. Gebruikt SSL
over UDP of TCP om de verbinding te encrypten, en gaat dus
zonder aanpassing van de firewall dwars door NAT heen. Mijns
inziens een veel betere oplossing.
Nu nog maar wachten totdat IPv6 massaal gebruikt wordt.
computers af die achter de NAT machine
zitten.
ingebouwde firewall hebben. Indien deze gecompromitteerd
raakt, valt het wel mee met het afschermende.
Windows 2003 en Windows 2003 R2 hebben een behoorlijke focus op
veiligheid. Kijk naar IIS 6 bijvoorbeeld.
Win2k3 en Win2k3R2 hebben nog steeds geen implementatie van
MAC, nog steeds geen labeled security, er is nog steeds geen
convert channel analysis gedaan, en er is nog steeds geen
geformaliseerd, geverifieerd ontwerp van het systeem
aanwezig dat door derde partijen alszodanig is aangemerkt.
Win2k3 en Win2k3R2 hebben nog steeds DAC, een all-powerfull
administrator account, hebben nog steeds geen CC evaluatie
ondergaan (Men schijnt bezig te zijn) en zijn grof gezegd
niet significant veiliger dan NT of 2K.
Win2k3 en Win2k3R2 hebben nog steeds DAC, een all-powerfull
administrator account,
hebben nog steeds geen CC evaluatie
ondergaan (Men schijnt bezig te zijn) en zijn grof gezegd
niet significant veiliger dan NT of 2K.
og steeds geen CC evaluatie
Oh Windows 2000 zit op EAL 4. Windows 2003 is vanzelfsprekend nog niet
af.
Windows 2003 en Windows 2003 R2 hebben een behoorlijke focus op
veiligheid. Kijk naar IIS 6 bijvoorbeeld.
Ja tuurlijk, met de iss cache in de kernel
Windows 2003 en Windows 2003 R2 hebben een behoorlijke focus op
veiligheid. Kijk naar IIS 6 bijvoorbeeld.
Ja tuurlijk, met de iss cache in de kernel
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
