Security Professionals - ipfw add deny all from eindgebruikers to any

SOHO netwerk vraag

23-03-2010, 13:36 door Cerberos, 18 reacties
ik zou graag vanuit mijn werk een computer in mijn thuisnetwerk willen benaderen, maar aangezien na het modem een router is geplaatst, hebben alle computer non-routable IP adressen.

Hoe kan ik dit oplossen?

Moet ik met behulp van een hub of switch, de betreffende computer tussen het modem en de router plaatsen?

Is dit wel veilig? En komt er dan geen conflict met IP adressen aangezien de betreffende router als wel de computer hetzelfde routable IP adres hebben?

Ben benieuwd naar jullie reacties! Alvast bedankt!
Reacties (18)
23-03-2010, 13:43 door SirDice
Port forwarding op je router gebruiken. Wel een advies, zet RDP of VNC niet open voor de rest van de wereld. Of je moet 't leuk vinden om als zombie op het Internet te zitten.
23-03-2010, 13:58 door Cerberos
Okay, maar op de router zijn voor meerdere computer de ports voor peer-to-peer downloading (torrents) geforwarded. Hoe weet de router dan dat hij een betreffende computer moet hebben, aangezien ik vanuit het internet (werk) het initiele contact probeer te maken! Moet ik dan het MAC-adress van de betreffende computer ergens meegeven?
23-03-2010, 14:27 door Anoniem
Inderdaad, met port forwarding op je router kom je een heel eind.
Persoonlijk zou ik VNC gebruiken omdat dan je verbinding encrypted is.

VNC installeren op de host welke je wil benaderen.
Een portforward instellen op je router welke de poort waarop jij VNC op laat draaien door zet naar de host welke VNC draait.
(gebruik dus niet de standaard poort 5900!!!!! maar een willekeurige poort tussen 1024 en 65535)
Daarnaa zowel in VNC als je (windows?) firewall alleen het publieke IP toestaan waarvandaan je verbinding wil maken.

en klaar.
23-03-2010, 14:33 door Thasaidon
client (publiek ip) --> internet --> modem --> Publieke kant van router / Interne kant van router --> (intern ip) doel.

installeer op je doel systeem bv VNC en zorg dat dit als system service draait.
creeer een portforward op je router welke poort tcp 5900 forward naar het interne ip van je doel systeem.
zet nu een VNC sessie op vanaf je client systeem naar het publieke ip van je router op poort 5900

en klaar ben je.

Uiteraard raad ik je AAN! om VNC te gebruiken omdat dan je verbinding encrypted is
daarnaast raar ik je AF! om de standaard poort 5900 te gebruiken, want die kent iedereen.

Tenslotte zou je evt nog in VNC in kunnen stellen dat alleen het publieke ip van je client machine mag connecten.

Onthoud goed, iedere poort die je open zet of forward is een risico!
De veiligste verbinding is GEEN verbinding :)
23-03-2010, 14:48 door cpt_m_
Als je de mogelijkheid hebt om vanuit je werk een VPN (ipsec) verbinding te maken richting je router (bijv. zywall2WG van zyxel) dan zou ik hier persoonlijk voor kiezen. Je creeert hierdoor een virtuele tunnel die ervoor zorgt dat je kunt communiceren met al je apparaten in jouw prive netwerk. Tevens hoef je geen poorten open te zetten, zoals Thasaidon al aangeeft is dit het beste. Met behulp van client software, zoals de Greenbow VPN client die bijvoorbeeld op je laptop staat geinstalleerd kun je vanaf elke locatie mits toegestaan een connectie maken naar je prive netwerk.
Mocht dit mogelijk zijn, dan zou ik kiezen voor het RDP protocol van Microsoft om je werkstation vanuit het werk over te nemen. Succes, mocht je nog vragen hebben dan hoor ik dat graag van je.
23-03-2010, 14:55 door SirDice
Door Thasaidon: Uiteraard raad ik je AAN! om VNC te gebruiken omdat dan je verbinding encrypted is
daarnaast raar ik je AF! om de standaard poort 5900 te gebruiken, want die kent iedereen.
Ik raad aan om VNC helemaal niet open te zetten naar Internet. Het is niet het meest veilige protocol. Op een ander poortje draaien heeft minimaal effect. Gevonden word 't toch wel.

Onthoud goed, iedere poort die je open zet of forward is een risico!
Exact en met VNC maak je het risico wel heel erg groot.

Het beste is om alles te tunnelen over SSH of over een VPN.
23-03-2010, 19:16 door Thasaidon
Door SirDice:
Door Thasaidon: Uiteraard raad ik je AAN! om VNC te gebruiken omdat dan je verbinding encrypted is
daarnaast raar ik je AF! om de standaard poort 5900 te gebruiken, want die kent iedereen.
Ik raad aan om VNC helemaal niet open te zetten naar Internet. Het is niet het meest veilige protocol. Op een ander poortje draaien heeft minimaal effect. Gevonden word 't toch wel.

Onthoud goed, iedere poort die je open zet of forward is een risico!
Exact en met VNC maak je het risico wel heel erg groot.

Het beste is om alles te tunnelen over SSH of over een VPN.
Ik ben het helemaal met je eens, maar aangezien hij nu alleen een router heeft is mijn "oplossing" de meest simpele.
Niet de meest veilige.
Overigens kun je beter VNC draaien dan Remote Desktop (RDP), vandaar mijn keuze voor VNC.

Zelf draai ik een Linux router/firewall.
Op deze bak draai ik een SSH server welke alleen sessies toe staat van het publieke IP van mijn werk.
Op mijn werk zet ik een SSH sessie op naar deze server
en in deze SSH sessie tunnel ik vervolgens met VNC naar mijn host op mijn LAN.
24-03-2010, 10:06 door Anoniem
Gebruik Teamviewer
24-03-2010, 10:46 door cpt_m_
Wat voor modem/router combinatie heb je?
24-03-2010, 11:42 door SirDice
Door Thasaidon: Overigens kun je beter VNC draaien dan Remote Desktop (RDP), vandaar mijn keuze voor VNC.
Gezien het aantal bugs en bijbehorende exploits voor VNC ben ik het hier niet mee eens. Dan kun je echt nog beter RDP gebruiken aangezien die een betere 'trackrecord' heeft.
31-03-2010, 15:39 door voidnecron
*kuch* www.logmein.com *hoest*
ies voor gratisch (Free versie dan) en werkt prima.
SSL, dus aardig veilig, daarnaast door elke firewall heen omdat het gewoon port 443 naar buiten gebruikt, en niets inbound, dus je hoeft niets open te zetten op je modem/firewall/nat router.
En ik hou er van als er niets open hoeft :-)
31-03-2010, 16:06 door ej__
Openvpn. Tunnelen over poort 443. Houdt een bedrijfsfirewall niet tegen. :) Mag vast niet van de bedrijfsfilosofie...

Portforwarding op je router en klaar.

EJ
31-03-2010, 16:24 door voidnecron

Openvpn. Tunnelen over poort 443. Houdt een bedrijfsfirewall niet tegen. :) Mag vast niet van de bedrijfsfilosofie...

Portforwarding op je router en klaar.

EJ
Hiervoor moet je weer de OpenVPN client software installeren, wat mogelijk niet kan bij Cerberos.
Zoals Anoniem al zei Teamviewer.com of logmein.com hebben dat niet.
Met als bijkomend voordeel dat je geen poorten op je firewall open hoeft te zetten die mogelijk vulnerable zijn, want ook OpenVPN kan een keer een lek hebben.
31-03-2010, 16:44 door ej__
Door voidnecron:

Openvpn. Tunnelen over poort 443. Houdt een bedrijfsfirewall niet tegen. :) Mag vast niet van de bedrijfsfilosofie...

Portforwarding op je router en klaar.

EJ
Hiervoor moet je weer de OpenVPN client software installeren, wat mogelijk niet kan bij Cerberos.
Zoals Anoniem al zei Teamviewer.com of logmein.com hebben dat niet.
Met als bijkomend voordeel dat je geen poorten op je firewall open hoeft te zetten die mogelijk vulnerable zijn, want ook OpenVPN kan een keer een lek hebben.

Nee, teamviewer en logmein zijn veilig. Stukken veiliger dan OpenVPN. Not. Als ik die op een door mij beheerd netwerk vind dan volgt er een heel serieus gesprek... Ook bij OpenVPN trouwens hoor.

EJ
31-03-2010, 20:21 door voidnecron
2048bits RSA key, AES256-SHA. Niet veilig nee ;-)
En er word hier niet over een te beheren netwerk gesproken, maar een thuis PC, daar voldoen wat mij betreft (misschien ben ik niet paranoia genoeg..) iets soepelere maatregelen vergeleken met een productie/werk omgeving.
31-03-2010, 20:37 door ej__
Door voidnecron: 2048bits RSA key, AES256-SHA. Niet veilig nee ;-)
En er word hier niet over een te beheren netwerk gesproken, maar een thuis PC, daar voldoen wat mij betreft (misschien ben ik niet paranoia genoeg..) iets soepelere maatregelen vergeleken met een productie/werk omgeving.

En er wordt wel over paranoide beheerders gesproken: hoe vind je het als je een ongecontroleerde thuispc ineens met je zakelijke netwerk verbindt? En de gebruikte encryptie zegt hoegenaamd niets over de kwaliteit van de implementatie, nog afgezien van het feit dat een derde partij beschikt over de toegangscode, _en_ over netwerk toegang tot zowel je thuispc als de werkpc.

Jakkes, wat een nepoplossing. Ik bekijk het vanuit het standpunt van de netwerkbeheerder/security beheerder van het bedrijf waar de OP werkt. Voor wat mij betreft zijn dit soort oplossingen een reden voor ontslag als hij toegang tot vertrouwelijke documenten op zijn werk zou hebben.

Altijd een stapje verder dan het voor de hand liggende denken! Security is een proces. Niet een 256 bit encrypted verbinding.

EJ
01-04-2010, 09:19 door voidnecron
hoe vind je het als je een ongecontroleerde thuispc ineens met je zakelijke netwerk verbindt?
Bullshit? Je hebt namelijk geen verbinding met elkaar, je kan nieteens een file overzetten of een printer delen.
Met een VPN oplossing betrek je inderdaad de netwerken bij elkaar, mits je routing goed is opgezet, maar nu neem je gewoon een scherm over, en of dat nou via VNC of via een browser is doet hier niet toe, want je betrekt niets bij het netwerk.
Juist als de OpenVPN oplossing die jij aangeeft gebruikt zou worden MOET je er vanuit gaan dat je thuis PC secure is, want anders heb je in notime rommel in je productie netwerk.
In dit geval zou je (Ja inderdaad, een MS product, krijgt iedereen al kippevel?) WSHV moeten gebruiken om aan een minimaal aantal policies te voldoen voordat een PC verbinding mag maken.

Daarnaast trek jij het inderdaad erg door vanuit je beheerders oogpunt, en dat snap ik best :-)
01-04-2010, 10:57 door ej__
Door voidnecron:
hoe vind je het als je een ongecontroleerde thuispc ineens met je zakelijke netwerk verbindt?
Bullshit? Je hebt namelijk geen verbinding met elkaar, je kan nieteens een file overzetten of een printer delen.
Met een VPN oplossing betrek je inderdaad de netwerken bij elkaar, mits je routing goed is opgezet, maar nu neem je gewoon een scherm over, en of dat nou via VNC of via een browser is doet hier niet toe, want je betrekt niets bij het netwerk.
Juist als de OpenVPN oplossing die jij aangeeft gebruikt zou worden MOET je er vanuit gaan dat je thuis PC secure is, want anders heb je in notime rommel in je productie netwerk.
In dit geval zou je (Ja inderdaad, een MS product, krijgt iedereen al kippevel?) WSHV moeten gebruiken om aan een minimaal aantal policies te voldoen voordat een PC verbinding mag maken.

Daarnaast trek jij het inderdaad erg door vanuit je beheerders oogpunt, en dat snap ik best :-)


Je hangt 2 netwerken aan elkaar zonder dat je een idee hebt wat er precies gebeurt. Bij de openvpn oplossing _weet_ je tenminste wat er gebeurt. Niet dat dat mijn goedkeuring weg kan dragen, dat had ik al lang gezegd. Als je geen verbinding met ekaar maakt zoals jij stelt dan kun je ook niet communiceren met je thuisnetwerk.

Ik ga bij dit soort producten zeker niet af op de mooie blauwe ogen van de leverancier. Je deelt informatie en vooral wachtwoorden via het internet via een untrusted party. Lekker.

Inderdaad ontslag voor je als ik je betrap op mijn netwerk... :D

Thuisgebruikertjes denken nog te vaak dat ze het allemaal wel snappen, beter snappen dan de security experts en dus maar wat raak kunnen klooien. En dat de security policies er wel zijn maar niet van toepassing op hun.

EJ
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.