Archief
- De topics van lang geleden
Reacties (6)
18-06-2008, 23:18 door
Bitwiper
NAT en firewall zijn twee verschillende dingen.
Bij Network Address Translation (de naam zegt het al) wijzigt de router in pakketten van LAN naar WAN het afzender IP-adres (bijv. 192.168.0.10) in het WAN IP-adres (bijv. 80.1.2.3), en de andere kant op gebeurt het omgekeerde met het bestemmings IP-adres (meestal is er sprake van NAPT en wordt ook de source port aangepast en vice versa).
Stel jouw PC start een http (dus TCP) sessie met security.nl, dan kunnen adressen en poorten in het eerste pakket er als volgt uitzien (telkens IP-adres:poort):
Jouw PC: van 192.168.0.10:1234 naar 213.156.1.80:80
NAT wijzigt dit in bijv. 80.1.2.3:50000 naar 213.156.1.80:80
Bovendien slaat de router alle drie die adres:poort combinaties op in een tabel, en bewaart die regel een bepaalde tijd. Als er binnen die tijd een antwoord komt van 213.156.1.80:80 naar 80.1.2.3:50000, dan zal de router het bestemmings-adres en poort wijzigen van 80.1.2.3:50000 in 192.168.0.10:1234, en dat pakket bij jouw PC afleveren.
Belangrijk: de NAT router stuurt alleen pakketten van buiten naar binnen als hij een bijbehorende associatie in z'n NAT-tabel vindt; alle andere pakketten worden gedropped (tenzij je een "server" hebt ingesteld in je router, dan gaan daar alle niet afleverbare pakketten naar toe).
Bij TCP is sprake van (virtuele) verbindingen: er zijn speciale vlaggetjes in TCP pakketten gedefinieerd waarmee wordt aangegeven dat een verbinding wordt beëindigd. Als de NAT router dat ziet kan hij meteen de tabel-entry verwijderen.
Bij UDP bestaan die vlaggetjes niet, dus blijft een tabel-entry vaak langer bestaan (bijv. 5 minuten). Dat is prima, want bijv. een DNS server kan er best lang over doen voordat deze een antwoord stuurt.
Kortom, bij NAT (NAPT) verbindingen maak je een tijdelijk tunneltje voor retourpakketten (die aan strikte eisen moeten voldoen) van buiten naar binnen.
De basisfunctie van een firewall is pakketten aan de hand van allerlei criteria wel of niet doorlaten, niet het wijzigen van waarden daarin zoals NAT doet. Overigens houdt een stateful firewall een vergelijkbare tabel bij als NAT, enige overlap in functionaliteit is er dus wel.
Terug naar je vraag, wat bedoel je precies met dat je router niet 'filtert' op UDP pakketten? Zie je iets in een sniffer dat je niet kunt verklaren o.i.d.?
Bij Network Address Translation (de naam zegt het al) wijzigt de router in pakketten van LAN naar WAN het afzender IP-adres (bijv. 192.168.0.10) in het WAN IP-adres (bijv. 80.1.2.3), en de andere kant op gebeurt het omgekeerde met het bestemmings IP-adres (meestal is er sprake van NAPT en wordt ook de source port aangepast en vice versa).
Stel jouw PC start een http (dus TCP) sessie met security.nl, dan kunnen adressen en poorten in het eerste pakket er als volgt uitzien (telkens IP-adres:poort):
Jouw PC: van 192.168.0.10:1234 naar 213.156.1.80:80
NAT wijzigt dit in bijv. 80.1.2.3:50000 naar 213.156.1.80:80
Bovendien slaat de router alle drie die adres:poort combinaties op in een tabel, en bewaart die regel een bepaalde tijd. Als er binnen die tijd een antwoord komt van 213.156.1.80:80 naar 80.1.2.3:50000, dan zal de router het bestemmings-adres en poort wijzigen van 80.1.2.3:50000 in 192.168.0.10:1234, en dat pakket bij jouw PC afleveren.
Belangrijk: de NAT router stuurt alleen pakketten van buiten naar binnen als hij een bijbehorende associatie in z'n NAT-tabel vindt; alle andere pakketten worden gedropped (tenzij je een "server" hebt ingesteld in je router, dan gaan daar alle niet afleverbare pakketten naar toe).
Bij TCP is sprake van (virtuele) verbindingen: er zijn speciale vlaggetjes in TCP pakketten gedefinieerd waarmee wordt aangegeven dat een verbinding wordt beëindigd. Als de NAT router dat ziet kan hij meteen de tabel-entry verwijderen.
Bij UDP bestaan die vlaggetjes niet, dus blijft een tabel-entry vaak langer bestaan (bijv. 5 minuten). Dat is prima, want bijv. een DNS server kan er best lang over doen voordat deze een antwoord stuurt.
Kortom, bij NAT (NAPT) verbindingen maak je een tijdelijk tunneltje voor retourpakketten (die aan strikte eisen moeten voldoen) van buiten naar binnen.
De basisfunctie van een firewall is pakketten aan de hand van allerlei criteria wel of niet doorlaten, niet het wijzigen van waarden daarin zoals NAT doet. Overigens houdt een stateful firewall een vergelijkbare tabel bij als NAT, enige overlap in functionaliteit is er dus wel.
Terug naar je vraag, wat bedoel je precies met dat je router niet 'filtert' op UDP pakketten? Zie je iets in een sniffer dat je niet kunt verklaren o.i.d.?
19-06-2008, 15:42 door
[Account Verwijderd]
[Verwijderd]
19-06-2008, 16:09 door
Bitwiper
Door joey van hummel
dus als ik het goed begrijp beschermt mijn NAT mij helemaal neit? (dat staat wel in het boekje)
NAT beschermt je juist wel, in die zin dat het niet mogelijk is om vanaf Internet (de WAN zijde van je NAT router) een verbinding te openen naar een PC in jouw LAN, doodeenvoudig omdat de router niet weet waar hij het eerste pakket naar toe moet sturen.dus als ik het goed begrijp beschermt mijn NAT mij helemaal neit? (dat staat wel in het boekje)
Zodra je vanuit je LAN een verbinding naar buiten opent (het eerste pakket) wil je natuurlijk wel retourpakketjes ontvangen, maar alleen voor die specifieke verbinding.
Nee, ik was een keer een verbindignstest aan eht doen voor een downloadprogramma en daarin stond dat mijn tcp packets wel geblokkeerd waren, maar dat udp gewoon open stond, terwijl ik dat neit heb ingesteld.
Ah, het is van een UDP poort veel lastiger vast te stellen of daarop iets staat te luisteren dan van een TCP poort.udp wordt vaak gebruikt voor remote desktop enzo, dus ik ben bang dat een hacker ofzo mijn systeem over kan nemen..
Vanaf Internet komen ze niet door jouw router heen. Iets anders is het als je een draadloos netwerk hebt aan de LAN kant.Is het nodig dta ik nu toch nog een firewall installeer? ik weet neit zo goed welke ik zou nemen en meestal moet je er ook nog voor betalen :S
Als de firewall in je router dit ondersteunt kun je alle verkeer op de poorten 135 t/m 139 en 445, beide richtingen, zowel TCP als UDP, blokkeren. Daarmee voorkom je dat evt. malware in jouw LAN via Microsoft protocollen files uitwisselt of wachtwoorden lekt.Voor op PC's vind ik zelf de ingebouwde XP SP2 firewall goed genoeg om me, op m'n LAN, tegen wormen e.d. te beschermen (d.w.z. tegen ongepatchte lekken in luisterende services voor zover de XP firewall die blokkeert).
Als je ook gewaarschuwd wilt worden dat een applicatie op jouw PC onverwacht een verbinding maakt met Internet, dan heb je een personal firewall nodig die checkt op uitgaande verbindingen (egress). Voor zover ik weet is Comodo gratis, maar adviezen daarover laat ik aan anderen over op dit forum.
19-06-2008, 21:31 door
[Account Verwijderd]
[Verwijderd]
20-06-2008, 09:53 door
SirDice
Door joey van hummel
wel vond ik een optie om alle ICMP pings te blokkeren, wat
houdt dit in?
het heeft iets t emaken met het pingen naar de router van
buitenaf ofzo, maar ikw eet het niet zeker.
Helemaal correct.wel vond ik een optie om alle ICMP pings te blokkeren, wat
houdt dit in?
het heeft iets t emaken met het pingen naar de router van
buitenaf ofzo, maar ikw eet het niet zeker.
21-06-2008, 00:30 door
Bitwiper
Door joey van hummel
wel vond ik een optie om alle ICMP pings te blokkeren, wat houdt dit in?
het heeft iets t emaken met het pingen naar de router van buitenaf ofzo, maar ikw eet het niet zeker.
Aanvulling op antwoord van SirDice: [url=http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol]ICMP[/url] wordt voor verschillende doeleinden gebruikt, o.a. diagnostiek waaronder ping, maar ook voor ondersteuning van TCP en UDP.wel vond ik een optie om alle ICMP pings te blokkeren, wat houdt dit in?
het heeft iets t emaken met het pingen naar de router van buitenaf ofzo, maar ikw eet het niet zeker.
In principe kun je alle ICMP blokkeren behalve type 3: [url=http://en.wikipedia.org/wiki/ICMP_Destination_Unreachable]Destination Unreachable[/url]. Daarvan is code 4 (datagram too big) de belangrijkste. Zie [url=http://en.wikipedia.org/wiki/Path_MTU_discovery]Path MTU Discovery[/url] en [url=http://en.wikipedia.org/wiki/Maximum_transmission_unit]MTU[/url] voor meer info.
Als je ICMP type 3 codes 0 en 1 niet blokkeert, en de bestemming (of iets onderweg) stuurt deze, hoef je niet op een timeout te wachten als de bestemming niet bereikbaar is.
Als je traceroute wilt gebruiken (tracert in een windows command prompt venster) dan zul je ook ICMP type 11 moeten toelaten. Met de meeste andere ICMP messages is misbruik mogelijk. Deze kun je, zomogelijk, het beste blokkeren. Google naar block icmp geeft een hoop info mocht het je interesseren.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
