Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Dubbele Nat

23-09-2018, 16:06 door Anoniem, 54 reacties
Ik heb gegoogled maar niet echt iets nuttigs tegen gekomen.
Een dubbele Nat is slecht voor de connectiviteit, maar zou een dubbele Nat je netwerk niet veiliger maken uiteindelijker omdat het het connecteren van services moeilijker maakt?
Reacties (54)
23-09-2018, 16:46 door Anoniem
NAT fungeert als een firewall met een "default deny" -beleid voor ongevraagde binnenkomende pakketten, maar geen andere regels.
Omdat de machines achter een NAT-box niet rechtstreeks adresseerbaar zijn (meestal omdat ze een eigen IP-adres hebben), kunnen machines geen IP-pakketten rechtstreeks naar hen verzenden. In plaats daarvan worden alle pakketten naar het adres van het NAT-vak verzonden en moet het pakket worden doorgestuurd. Als het pakket niet in antwoord op een uitgaand pakket is, is er geen overeenkomende record en verwijdert het NAT-veld het pakket.

Als de eerste Nat dit al gedaan heeft hoef de tweede dit niet nog een keer te doen.
Aan de andere kant als het twee anders ingestelde NAT's zijn kan het inderdaad extra bescherming bieden.
23-09-2018, 17:15 door Anoniem
NAT heeft weinig met veiligheid te maken, een dubbele nat maakt het niet meer of minder veilig.
Firewall is het sleutelwoord om jezelf te beschermen in deze context.
23-09-2018, 18:50 door Anoniem
Door Anoniem: NAT heeft weinig met veiligheid te maken, een dubbele nat maakt het niet meer of minder veilig.
Firewall is het sleutelwoord om jezelf te beschermen in deze context.

Is het hebben van twee firewalls extra veilig?
Ik heb een ingebouwde firewall in mijn modem/router en de router en modem
23-09-2018, 20:54 door Anoniem
Nee, je kunt beter één goed geconfigureerde firewall hebben dan 2 niet geconfigureerde firewalls
23-09-2018, 21:39 door Briolet
In elke router of Nat kunnen bugs zitten die nog niet bekend zijn. Als ze bij niemand bekend zijn, is er niets aan de hand, maar als ze bij insiders bekend zijn, heb je in elk geval een extra veiligheidsschil.

Het moeten natuurlijk wel nat's zijn van verschillende makelij anders hebben beide deze bug.

Een dubbele Nat is slecht voor de connectiviteit,
Ik heb nooit anders gehad dan dubbel Nat. Mailservers, Webservers, VoIP telefoons etc werken gewoon zonder speciale maatregelen. Forwarden moet natuurlijk op beiden gebeuren. En bij VoIP hangt het inderdaad van het gebruikte protocol van je provider af of dit zonder extra instellingen werkt.
24-09-2018, 05:28 door Bitwiper - Bijgewerkt: 24-09-2018, 05:37
Door Anoniem: NAT heeft weinig met veiligheid te maken, een dubbele nat maakt het niet meer of minder veilig.
Firewall is het sleutelwoord om jezelf te beschermen in deze context.
Een dubbele NAT is inderdaad net zoiets als een dubbele hor, weinig zinvol (tenzij er 1 of meer gaten in jouw enkele hor zitten)

Echter om NAT (meestal PNAT) te kunnen doen heb je gewoon een statefull firewall nodig en dat is wat er in elke modem/router zit die NAT ondersteunt.

De zeikdiscussie of een firewall "beter is dan NAT" gaat erover welke aanvullende functionaliteit beschikbaar is (er zijn modem/routers waar je ook gewoon uitgaand verkeer op poorten als 135 t/m139 en 445 kunt blokkeren), en dan blijkt "firewall" een zeer breed begrip te zijn waar iedereen een andere invulling aan geeft.

En sowieso zijn firewalls, net als antivirus, stompzinnig overhyped v.w.b. het blokkeren van malware en het voorkomen van ongewenste extrusions van vertrouwelijke informatie. Aangezien aanvallers poortnummers naar keuze kunnen gebruiken, kan een firewall (die niet op het endpoint zelf draait) bij versleuteld verkeer alleen discrimineren op externe IP-adressen. Die kun je black- of whitelisten, maar dat is een heel gedoe zonder garanties - vaak met boze mensen aan de telefoon als gevolg.

Last but not least, zodra een aanvaller "binnen is" helpt een perimeter firewall geen zier in het voorkomen van schade (ransomware al helemaal niet, en er is altijd wel een tunneltje naar buiten te vinden waarmee jouw klantendatabase kan worden gedeeld met een "trusted" extern endpoint zoals Dropbox, SharePoint, mail- of DNS server).
24-09-2018, 06:11 door Anoniem
Door Bitwiper:
Door Anoniem: NAT heeft weinig met veiligheid te maken, een dubbele nat maakt het niet meer of minder veilig.
Firewall is het sleutelwoord om jezelf te beschermen in deze context.
Een dubbele NAT is inderdaad net zoiets als een dubbele hor, weinig zinvol (tenzij er 1 of meer gaten in jouw enkele hor zitten)

Echter om NAT (meestal PNAT) te kunnen doen heb je gewoon een statefull firewall nodig en dat is wat er in elke modem/router zit die NAT ondersteunt.

De zeikdiscussie of een firewall "beter is dan NAT" gaat erover welke aanvullende functionaliteit beschikbaar is (er zijn modem/routers waar je ook gewoon uitgaand verkeer op poorten als 135 t/m139 en 445 kunt blokkeren), en dan blijkt "firewall" een zeer breed begrip te zijn waar iedereen een andere invulling aan geeft.

En sowieso zijn firewalls, net als antivirus, stompzinnig overhyped v.w.b. het blokkeren van malware en het voorkomen van ongewenste extrusions van vertrouwelijke informatie. Aangezien aanvallers poortnummers naar keuze kunnen gebruiken, kan een firewall (die niet op het endpoint zelf draait) bij versleuteld verkeer alleen discrimineren op externe IP-adressen. Die kun je black- of whitelisten, maar dat is een heel gedoe zonder garanties - vaak met boze mensen aan de telefoon als gevolg.

Last but not least, zodra een aanvaller "binnen is" helpt een perimeter firewall geen zier in het voorkomen van schade (ransomware al helemaal niet, en er is altijd wel een tunneltje naar buiten te vinden waarmee jouw klantendatabase kan worden gedeeld met een "trusted" extern endpoint zoals Dropbox, SharePoint, mail- of DNS server).
Hoe bescherm je je tegen DNS tunneling?
24-09-2018, 10:17 door Anoniem
Door Bitwiper:
Door Anoniem: NAT heeft weinig met veiligheid te maken, een dubbele nat maakt het niet meer of minder veilig.
Firewall is het sleutelwoord om jezelf te beschermen in deze context.
Een dubbele NAT is inderdaad net zoiets als een dubbele hor, weinig zinvol (tenzij er 1 of meer gaten in jouw enkele hor zitten)

Echter om NAT (meestal PNAT) te kunnen doen heb je gewoon een statefull firewall nodig en dat is wat er in elke modem/router zit die NAT ondersteunt.

De zeikdiscussie of een firewall "beter is dan NAT" gaat erover welke aanvullende functionaliteit beschikbaar is (er zijn modem/routers waar je ook gewoon uitgaand verkeer op poorten als 135 t/m139 en 445 kunt blokkeren), en dan blijkt "firewall" een zeer breed begrip te zijn waar iedereen een andere invulling aan geeft.

En sowieso zijn firewalls, net als antivirus, stompzinnig overhyped v.w.b. het blokkeren van malware en het voorkomen van ongewenste extrusions van vertrouwelijke informatie. Aangezien aanvallers poortnummers naar keuze kunnen gebruiken, kan een firewall (die niet op het endpoint zelf draait) bij versleuteld verkeer alleen discrimineren op externe IP-adressen. Die kun je black- of whitelisten, maar dat is een heel gedoe zonder garanties - vaak met boze mensen aan de telefoon als gevolg.

Last but not least, zodra een aanvaller "binnen is" helpt een perimeter firewall geen zier in het voorkomen van schade (ransomware al helemaal niet, en er is altijd wel een tunneltje naar buiten te vinden waarmee jouw klantendatabase kan worden gedeeld met een "trusted" extern endpoint zoals Dropbox, SharePoint, mail- of DNS server).

Hoe pak jij netwerk beveiliging dan thuis aan?
24-09-2018, 10:53 door MathFox
Bij een wat grotere organisatie is het nuttig om een gesegmenteerd netwerk te hebben met firewalls tussen de verschillende afdelingen, als extra toegangsbescherming en om verspreiding van malware binnen het LAN te beperken. In een thuissituatie heb je misschien iets aan een "gasten-netwerk", maar dat hangt af van wat je aan je LAN hebt hangen.
En eens dat het hebben van een goed geconfigureerde firewall/NAT beter is dan twee slecht geconfigureerde.
24-09-2018, 11:02 door Anoniem
Door MathFox: Bij een wat grotere organisatie is het nuttig om een gesegmenteerd netwerk te hebben met firewalls tussen de verschillende afdelingen, als extra toegangsbescherming en om verspreiding van malware binnen het LAN te beperken. In een thuissituatie heb je misschien iets aan een "gasten-netwerk", maar dat hangt af van wat je aan je LAN hebt hangen.
En eens dat het hebben van een goed geconfigureerde firewall/NAT beter is dan twee slecht geconfigureerde.

Waar beschermt de gasten netwerk dan tegen?
Kunnen mensen in de gasten netwerk mij dan nogsteeds zien en kan ik de gasten netwerk zien?

Ik ben psychiater en heb thuis een kleine adminstratie servertje.
24-09-2018, 14:25 door MathFox
Door Anoniem:
Door MathFox:In een thuissituatie heb je misschien iets aan een "gasten-netwerk", maar dat hangt af van wat je aan je LAN hebt hangen.

Waar beschermt de gasten netwerk dan tegen?
Kunnen mensen in de gasten netwerk mij dan nogsteeds zien en kan ik de gasten netwerk zien?

Ik ben psychiater en heb thuis een kleine adminstratie servertje.
Het "gasten-netwerk" is een apart LAN voor je bezoekers dat geen toegang heeft tot het LAN waaraan jouw server en thuiswerk-PC staan. Daarmee voorkom je dat een bezoeker jouw server, etc. kan benaderen en (mogelijk) hacken. Je kunt je IoT apparaten ook aan het gasten-netwerk houden als je de software daarin maar matig vertrouwt.

Als je thuis een werk-server hebt staan moet je wel even nadenken over de beveiliging daarvan. Denk ook aan backups!
24-09-2018, 14:46 door Anoniem
Een dubbele Nat is slecht voor de connectiviteit, maar zou een dubbele Nat je netwerk niet veiliger maken uiteindelijker omdat het het connecteren van services moeilijker maakt?

Net zo veilig als een enkele NAT. Network address translation is geen beveiligingstechniek.

Hoe pak jij netwerk beveiliging dan thuis aan?

Door een firewall bijvoorbeeld ?
24-09-2018, 14:47 door Anoniem
Denk ook aan backups!

Bij voorkeur offsite backup. Zodat niet indien je servers wordt gestolen, verloren gaat in brand, etc hetzelfde gebeurt met je backup. Veel mensen hebben backup device staan naast de server. Dat is onhandig.
24-09-2018, 19:50 door Bitwiper
Door Anoniem:
Door Bitwiper: ...
Hoe bescherm je je tegen DNS tunneling?
en
Door Anoniem:
Door Bitwiper: ...
Hoe pak jij netwerk beveiliging dan thuis aan?
Het is goed mogelijk dat jullie het niet met mij eens zijn en daarom mijn bijdrage aanhalen, maar waarom schrijf je dan niet wat je bestrijdt? Andersom, als jullie geïnteresseerd zijn in hoe ik dingen aanpak, waarom quoten jullie dan mijn hele bijdrage?

Ik wil best het e.e.a. toelichten, maar niet als ik het gevoel heb dat ik in de zeik genomen word.
24-09-2018, 21:03 door Anoniem
Door Bitwiper:
Door Anoniem:
Door Bitwiper: ...
Hoe bescherm je je tegen DNS tunneling?
en
Door Anoniem:
Door Bitwiper: ...
Hoe pak jij netwerk beveiliging dan thuis aan?
Het is goed mogelijk dat jullie het niet met mij eens zijn en daarom mijn bijdrage aanhalen, maar waarom schrijf je dan niet wat je bestrijdt? Andersom, als jullie geïnteresseerd zijn in hoe ik dingen aanpak, waarom quoten jullie dan mijn hele bijdrage?

Ik wil best het e.e.a. toelichten, maar niet als ik het gevoel heb dat ik in de zeik genomen word.

Ik ben serieus geintereseerd in jouw aanpak en als het niet goed is wil je nog steeds bedanken voor de moeite
25-09-2018, 01:18 door Bitwiper
Door Anoniem: Ik ben serieus geintereseerd in jouw aanpak en als het niet goed is wil je nog steeds bedanken voor de moeite
OK dan!

M.b.t. DNS tunneling
Het is erg lastig om je tegen tunneling (o.a. DNS) te beschermen. Vooral als je Windows 10, een recente MS Office versie, SharePoint/OneDrive en een virusscanner gebruikt, is je PC voortdurend met vele verschillende IP-adressen aan het communiceren, meestal via https. Ik geen idee welke informatie mijn PC allemaal verlaat (en dat vind ik een slechte zaak).

Voordat die https tunnelverbindingen worden geopend, vindt altijd een DNS request plaats, vaak naar domeinnamen waarin ergens wel een "lijkt op Microsoft" subdomein in terug te vinden is. Als ik cybercrimineel was zou ik zeker iets als mslive.whatever-cdn.com registreren en daar een Let's Encrypt certje opzetten om vertrouwelijke data vanaf computers met mijn malware naar te uploaden. Dat is veel minder zichtbaar dan via DNS (zodra we encrypted DNS hebben, kan dat "interessanter" worden, maar zodra megabytes via DNS vertrekken is er wel iets vreemds aan de hand)..

Tenzij je bereid bent om er veel tijd in te stoppen (ik niet), vrees ik dat er, vooral thuis, niks anders opzit dan software die je installeert te beperken tot die software van fabrikanten die je vertrouwt. En na download grondig vast te stellen dat die software daadwerkelijk afstamt van de bedoelde fabrikant (zonder dat daar "onderweg" ongewenste meuk aan is toegevoegd).

In "grotere omgevingen" dan thuissituaties is DNS verkeer (zeker zolang het nog onversleuteld is) een prima bron voor intrusion detection, alhoewel je dan voor false positives moet waken (er zijn overijverige webbrowsers die voor elke domeinnaam genoemd in bijv. een Google zoekresultaatpagina alvast het IP-adres opvragen, waardoor je lookups van foute sites voorbij kunt zien komen - zonder dat de gebruiker er verbinding mee maakt).

In https://isc.sans.edu/forums/diary/Using+RITA+for+Threat+Analysis/23926/ wordt "DNS Tunneling Detection" expliciet genoemd. Nb met genoemde tools heb ik zelf geen ervaring. Voor een ouder artikel over DNS traffic voor intrusion detection zie https://isc.sans.edu/forums/diary/A+Poor+Mans+DNS+Anomaly+Detection+Script/13918/.

M.b.t. NAT
In mijn Fritz!Box thuis heb ik uitgaand verkeer voor een aantal poorten geblokkeerd (Microsoft poorten en SNMP). Puristen mogen van mij "Network address translation is geen beveiligingstechniek" roepen, maar zonder NAT hadden heel veel meer thuiscomputers in botnets gezeten dan nu het geval is (of Microsoft had serieus moeten gaan beveiligen). Zoals ik eerder schreef, voor (P)NAT heb je statefull firewall-functionaliteit nodig.

Dat ik computers qua luisterende poorten (of WPAD en/of NBNS broadcasts verzenden en zo smeken om door tools als Responder te worden misleid) graag dichtgetimmer is dan ook niet omdat ik mijn NAT minder vertrouw dan een dedicated firewall (die ik, anders dan in diezelfde Fritz!Box, niet heb), maar omdat ik ervan uitga dat elk device aan een netwerk gecompromitteerd kan raken, en omdat ik mijn notebook ook wel eens aan andere netwerken koppel. Zie https://www.security.nl/posting/575928/Netwerken+kwetsbaar+door+automatische+dns-registratie en https://isc.sans.edu/forums/diary/Lets+Trade+You+Read+My+Email+Ill+Read+Your+Password/24062 voor recente waarschuwingen op dit vlak.

Kortom:
- NAT is niet ontworpen met beveiliging als doel, maar blokkeert verbindingen geïnitieerd op internet net zo goed als een "echte" firewall;
- NAT noch een firewall beschermt jouw PC tegen aanvallen van achter zo'n netwerkdevice (LAN/WLAN-zijde). Zeker notebooks die je aan andere netwerken knoopt horen zelf zo goed mogelijk beveiligd te zijn;
- Ga ervan uit dat alles gehacked is tenzij je er voldoende vertrouwen in opbouwt dat dit niet zo is;
- Installeer alleen software die je echt nodig hebt en check de authenticiteit. Zoek alternatieven als je e.e.a. niet vertrouwt;
- Ga ervan uit dat DNS antwoorden onbetrouwbaar zijn. Zorg dat jouw webbrowser up-to-date is, en gebruik zo mogelijk beschermende plugins als NoScript en https everywhere;
- Gebruik een non-privileged account tenzij je beheertaken moet uitvoeren die bijzondere privileges vereisen.
(Er zijn natuurlijk veel meer maatregelen die je kunt nemen).
25-09-2018, 06:43 door Anoniem
Door Bitwiper:
Door Anoniem: Ik ben serieus geintereseerd in jouw aanpak en als het niet goed is wil je nog steeds bedanken voor de moeite
OK dan!

M.b.t. DNS tunneling
Het is erg lastig om je tegen tunneling (o.a. DNS) te beschermen. Vooral als je Windows 10, een recente MS Office versie, SharePoint/OneDrive en een virusscanner gebruikt, is je PC voortdurend met vele verschillende IP-adressen aan het communiceren, meestal via https. Ik geen idee welke informatie mijn PC allemaal verlaat (en dat vind ik een slechte zaak).

Voordat die https tunnelverbindingen worden geopend, vindt altijd een DNS request plaats, vaak naar domeinnamen waarin ergens wel een "lijkt op Microsoft" subdomein in terug te vinden is. Als ik cybercrimineel was zou ik zeker iets als mslive.whatever-cdn.com registreren en daar een Let's Encrypt certje opzetten om vertrouwelijke data vanaf computers met mijn malware naar te uploaden. Dat is veel minder zichtbaar dan via DNS (zodra we encrypted DNS hebben, kan dat "interessanter" worden, maar zodra megabytes via DNS vertrekken is er wel iets vreemds aan de hand)..

Tenzij je bereid bent om er veel tijd in te stoppen (ik niet), vrees ik dat er, vooral thuis, niks anders opzit dan software die je installeert te beperken tot die software van fabrikanten die je vertrouwt. En na download grondig vast te stellen dat die software daadwerkelijk afstamt van de bedoelde fabrikant (zonder dat daar "onderweg" ongewenste meuk aan is toegevoegd).

In "grotere omgevingen" dan thuissituaties is DNS verkeer (zeker zolang het nog onversleuteld is) een prima bron voor intrusion detection, alhoewel je dan voor false positives moet waken (er zijn overijverige webbrowsers die voor elke domeinnaam genoemd in bijv. een Google zoekresultaatpagina alvast het IP-adres opvragen, waardoor je lookups van foute sites voorbij kunt zien komen - zonder dat de gebruiker er verbinding mee maakt).

In https://isc.sans.edu/forums/diary/Using+RITA+for+Threat+Analysis/23926/ wordt "DNS Tunneling Detection" expliciet genoemd. Nb met genoemde tools heb ik zelf geen ervaring. Voor een ouder artikel over DNS traffic voor intrusion detection zie https://isc.sans.edu/forums/diary/A+Poor+Mans+DNS+Anomaly+Detection+Script/13918/.

M.b.t. NAT
In mijn Fritz!Box thuis heb ik uitgaand verkeer voor een aantal poorten geblokkeerd (Microsoft poorten en SNMP). Puristen mogen van mij "Network address translation is geen beveiligingstechniek" roepen, maar zonder NAT hadden heel veel meer thuiscomputers in botnets gezeten dan nu het geval is (of Microsoft had serieus moeten gaan beveiligen). Zoals ik eerder schreef, voor (P)NAT heb je statefull firewall-functionaliteit nodig.

Dat ik computers qua luisterende poorten (of WPAD en/of NBNS broadcasts verzenden en zo smeken om door tools als Responder te worden misleid) graag dichtgetimmer is dan ook niet omdat ik mijn NAT minder vertrouw dan een dedicated firewall (die ik, anders dan in diezelfde Fritz!Box, niet heb), maar omdat ik ervan uitga dat elk device aan een netwerk gecompromitteerd kan raken, en omdat ik mijn notebook ook wel eens aan andere netwerken koppel. Zie https://www.security.nl/posting/575928/Netwerken+kwetsbaar+door+automatische+dns-registratie en https://isc.sans.edu/forums/diary/Lets+Trade+You+Read+My+Email+Ill+Read+Your+Password/24062 voor recente waarschuwingen op dit vlak.

Kortom:
- NAT is niet ontworpen met beveiliging als doel, maar blokkeert verbindingen geïnitieerd op internet net zo goed als een "echte" firewall;
- NAT noch een firewall beschermt jouw PC tegen aanvallen van achter zo'n netwerkdevice (LAN/WLAN-zijde). Zeker notebooks die je aan andere netwerken knoopt horen zelf zo goed mogelijk beveiligd te zijn;
- Ga ervan uit dat alles gehacked is tenzij je er voldoende vertrouwen in opbouwt dat dit niet zo is;
- Installeer alleen software die je echt nodig hebt en check de authenticiteit. Zoek alternatieven als je e.e.a. niet vertrouwt;
- Ga ervan uit dat DNS antwoorden onbetrouwbaar zijn. Zorg dat jouw webbrowser up-to-date is, en gebruik zo mogelijk beschermende plugins als NoScript en https everywhere;
- Gebruik een non-privileged account tenzij je beheertaken moet uitvoeren die bijzondere privileges vereisen.
(Er zijn natuurlijk veel meer maatregelen die je kunt nemen).

Nah je hebt heel deskundig advies gegeven en meen serieus dat ik hierover ga nadenke, dankjewel!
25-09-2018, 09:58 door MathFox
Bitwiper, goede adviezen. Ik zou me niet specifiek richten op het onderscheppen van een specifieke communicatietechniek, maar me concentreren op betrouwbare software op betrouwbare hardware.
Verstandig browsen en downloaden om geen rotzooi naar binnen te halen (pas ook op voor phishing mails) en een (goed geconfigureerde) firewall om ongewenste gasten buiten de deur te houden. Draai regelmatig een virusscanner (zodat je een alarm krijgt als er iets door de verdediging heengeglipt is) en haal regelmatig je software updates binnen en installeer ze.

Nah je hebt heel deskundig advies gegeven en meen serieus dat ik hierover ga nadenke, dankjewel!
Niet nadenken, DOEN. Jij bent aansprakelijk voor de zakelijke data die op je netwerk staat!
25-09-2018, 12:21 door Anoniem
Door Anoniem:
Denk ook aan backups!

Bij voorkeur offsite backup. Zodat niet indien je servers wordt gestolen, verloren gaat in brand, etc hetzelfde gebeurt met je backup. Veel mensen hebben backup device staan naast de server. Dat is onhandig.

Offsite backup is handig als het vervelend is als je zelf niet meer kunt beschikken over je gegevens en er een zeker
risico is van brand of inbraak.
Echter als je voornaamste risico is dat ANDEREN kunnen beschikken over je gegevens terwijl dat niet de bedoeling
is, dan is offsite backup juist weer een extra risico. Kijk maar naar al die artikelen op deze site waarin er ineens een
(meestal oude) database met klantgegevens gelekt blijkt te zijn omdat deze ergens te slecht beveiligd was opgeslagen.

Dus je moet altijd blijven opletten.
25-09-2018, 13:08 door Anoniem
Ja ik maak backups in de cloud.

Het is voor de zorgverzekeringen en zorgverzekeringen stellen ook allemaal zware beveiligingsmaatregelen maar zelfs sturen ze mails zonder PGP....
25-09-2018, 14:29 door beatnix
Een NAT functioneert als een soort transparent proxy maar dan op IP niveau, NAT betekend daarom Network Address Translation.

Het is niet zo dat er geen verbindigen mogelijk zijn, transparant lopen er vele bidirectionele verbindingen (meestal) via een NAT router. Overal waar een NAT router client een (meestal TCP) verbinding naar buiten kiepert, wordt aan de binnenkant geluisterd én geinterpreteerd, via address translation dwars door je NAT router heen.

Het verschil met een service is dat een service permanent luistert, en dat moet bij een NAT router als een permanente vaste route in de NAT tabel vemeld worden, meestal 'port forwarding' genoemd. Het wil niet zeggen dat bij andere verbindingen geen processen luisteren naar antwoorden op aanvragen, maar dat is meer 'on the fly'.
25-09-2018, 14:33 door Anoniem
Offsite backup is handig als het vervelend is als je zelf niet meer kunt beschikken over je gegevens en er een zeker
risico is van brand of inbraak.
Echter als je voornaamste risico is dat ANDEREN kunnen beschikken over je gegevens terwijl dat niet de bedoeling
is, dan is offsite backup juist weer een extra risico. Kijk maar naar al die artikelen op deze site waarin er ineens een
(meestal oude) database met klantgegevens gelekt blijkt te zijn omdat deze ergens te slecht beveiligd was opgeslagen.

Dus je moet altijd blijven opletten.

Offsite backup hoeft niet te betekenen, dat de data elders via het net bereikbaar zijn. Offsite is ook een backup tape, die regelmatig (dagelijks of uiterlijk wekelijks) elders wordt bewaard. Bij voorkeur in een kluis en bij voorkeur encrypted, waarbij je wel moet zorgen, dat je ook bij de sleutel kunt, anders wordt herstellen onmogelijk.
25-09-2018, 16:43 door Anoniem
Backups maak ik in de cloud bij Amazon en zij beveiligen dat.
De verantwoording van het beveiligen van de server ligt bij.

Nou verwacht ik geen grote aanvallen, maar ken een zorginstelling wat laatst gehacked is en hackers hun hebben gechanteerd te betalen anders zou de data online gepubliceerd worden.

De boetes vanuit de overheid zijn extreem hoog als je je onvoldoende hebt beveiligd en wil zoiets voorkomen. Om te voorkomen dat de overheid zich ermee zou bemoeien heeft de partij betaald.

Ik wil zulke apocalyptische scenario's voorkomen
27-09-2018, 11:42 door Anoniem
Dubbel NAT, wat is jouw netwerk architectuur? Thuis netwerkt met een standaard KPN modem, dan kan Dubbel NAT jouw wel helpen, daar die KPN Experiabox(en) meer als een open netwerk fungeren. En je kunt ze niet beheren en vertrouwen, en wie weet is de firmware zo lek als een mandje. Bij de mediamarkt een asus doosje halen en deze achter jouw KPN doos installeren. Dan jouw computer achter deze asus doos installeren. Daarna ook altijd jouw firewall goed configureren, op de asus doos als ook op de apparaten erachter (voor zover mogelijk).

Alle andere netwerken verdienen een andere aanpak.
27-09-2018, 11:59 door Anoniem
Door Anoniem: Dubbel NAT, wat is jouw netwerk architectuur? Thuis netwerkt met een standaard KPN modem, dan kan Dubbel NAT jouw wel helpen, daar die KPN Experiabox(en) meer als een open netwerk fungeren. En je kunt ze niet beheren en vertrouwen, en wie weet is de firmware zo lek als een mandje. Bij de mediamarkt een asus doosje halen en deze achter jouw KPN doos installeren. Dan jouw computer achter deze asus doos installeren. Daarna ook altijd jouw firewall goed configureren, op de asus doos als ook op de apparaten erachter (voor zover mogelijk).

Alle andere netwerken verdienen een andere aanpak.

De firewire van KPN is nog uit het jaar 2017. Er zijn zoveel vulnerabilities bekend over de zte h369a die KPN levered en nog niet geupdate zijn dat hackers waarschijnlijk ook in de modem kunnen hacken...
Dus ik ben het eens dat een router erachter hebben die goed ingesteld is voor de TS mogelijk vieliger zal zijn,
Wel knap dat een psychiater een server kan configureren.
27-09-2018, 12:15 door Anoniem
Is het hebben van twee firewalls extra veilig? Ik heb een ingebouwde firewall in mijn modem/router en de router en modem

Hangt af van je instellingen van je firewall natuurlijk. Als beide ingesteld zijn om alles toe te staan, om maar wat te noemen, dan zijn ze allebij nutteloos. Wat een extra voordeel is, is dat een hacker die je firewall wil hacken, twee verschillende types firewalls moet zien te hacken. En dat maakt het moeilijker.

Nee, je kunt beter één goed geconfigureerde firewall hebben dan 2 niet geconfigureerde firewalls

Ehm er werd niet gesteld slecht geconfigureerde firewalls hebben. Je kan ook 2 goed geconfigureerde, of 2 slecht geconfigureerde firewalls hebben. Natuurlijk is de configuratie van belang.
27-09-2018, 12:17 door Anoniem
Door Anoniem:

Echter als je voornaamste risico is dat ANDEREN kunnen beschikken over je gegevens terwijl dat niet de bedoeling
is, dan is offsite backup juist weer een extra risico. Kijk maar naar al die artikelen op deze site waarin er ineens een
(meestal oude) database met klantgegevens gelekt blijkt te zijn omdat deze ergens te slecht beveiligd was opgeslagen.

Offsite backup hoeft niet te betekenen, dat de data elders via het net bereikbaar zijn.

O gaan we weer pedant doen? Het HOEFT niet maar het IS wel een extra risico dat het mis gaat!
En het komt regelmatig voor dat het mis gaat gezien de regelmatig terugkerende rapporten op deze site, dus kennelijk zijn er veel situaties waarin het niet goed geregeld is.

Offsite is ook een backup tape, die regelmatig (dagelijks of uiterlijk wekelijks) elders wordt bewaard. Bij voorkeur in een kluis en bij voorkeur encrypted, waarbij je wel moet zorgen, dat je ook bij de sleutel kunt, anders wordt herstellen onmogelijk.
Ja daar heb je het al weer, extra maatregelen zijn nodig en er is een extra risico waartegen je je moet beveiligen.
27-09-2018, 12:39 door Anoniem
En je kunt ze niet beheren en vertrouwen,

LMFAO.

Thuis netwerkt met een standaard KPN modem, dan kan Dubbel NAT jouw wel helpen

Dubbele NAT biedt precies dezelfde veiligheid als enkele NAT. Daarnaast is NAT geen beveiligingstechniek.
27-09-2018, 12:40 door Anoniem
Backups maak ik in de cloud bij Amazon en zij beveiligen dat. De verantwoording van het beveiligen van de server ligt bij.

Hmm die verantwoordelijkheid ligt daar. Impliceert dat ook dat ze verantwoording aan je afleggen, en dat ze je schadeloos stellen als het mis gaat. Of bedoel je ''ik hoop dat ze het goed doen'' ? ;)
27-09-2018, 12:43 door Anoniem
Echter als je voornaamste risico is dat ANDEREN kunnen beschikken over je gegevens terwijl dat niet de bedoeling
is, dan is offsite backup juist weer een extra risico

Onzin. De veiligheid van je backup device hangt af van technische beveiligingsmaatregelen, en niet van de vraag of deze op lokatie A, danwel lokatie B, staat. De backup kan offline zijn, danwel online. Een tape in een kluis kan bijvoorbeeld ook een onsite/offsite backup zijn, om maar wat te noemen.
27-09-2018, 12:44 door Anoniem
Kijk maar naar al die artikelen op deze site waarin er ineens een (meestal oude) database met klantgegevens gelekt blijkt te zijn omdat deze ergens te slecht beveiligd was opgeslagen.

En wat nou als je onsite, i.p.v. offsite een oude database hebt staan met klantgegevens, welke slecht is beveiligd ? Wat is het verschil ? Is het dan veilig omdat de database ''onsite'' is ?
27-09-2018, 12:54 door Anoniem
Alle andere netwerken verdienen een andere aanpak.

LMFAO zeer deskundig advies ;)
27-09-2018, 12:58 door Anoniem
Ja daar heb je het al weer, extra maatregelen zijn nodig en er is een extra risico waartegen je je moet beveiligen.

Alsof je de backup, indien deze onsite is, niet hoeft te beveiligen. Verder is er niets op tegen dat je je IT infrastructuur moet beveiligen. Waarom zo dramatisch ?

O gaan we weer pedant doen? Het HOEFT niet maar het IS wel een extra risico dat het mis gaat!

Pff kan je alleen je punt maken door mensen persoonlijk aan te vallen, of door in hoofdletters te schrijven ? Zet je punt geen kracht bij.

Zowel backups kunnen inderdaad, of ze nou offsite of onsite staan, online of offline zijn. Je zal je zaken *altijd* moeten beveiligen. Onsite, danwel offsite.
27-09-2018, 13:32 door Anoniem
Door Anoniem:
Backups maak ik in de cloud bij Amazon en zij beveiligen dat. De verantwoording van het beveiligen van de server ligt bij.

Hmm die verantwoordelijkheid ligt daar. Impliceert dat ook dat ze verantwoording aan je afleggen, en dat ze je schadeloos stellen als het mis gaat. Of bedoel je ''ik hoop dat ze het goed doen'' ? ;)

Ik hoop dat ze het goed doen!
27-09-2018, 13:57 door Anoniem
Door Anoniem:
Ja daar heb je het al weer, extra maatregelen zijn nodig en er is een extra risico waartegen je je moet beveiligen.

Alsof je de backup, indien deze onsite is, niet hoeft te beveiligen. Verder is er niets op tegen dat je je IT infrastructuur moet beveiligen. Waarom zo dramatisch ?

O gaan we weer pedant doen? Het HOEFT niet maar het IS wel een extra risico dat het mis gaat!

Pff kan je alleen je punt maken door mensen persoonlijk aan te vallen, of door in hoofdletters te schrijven ? Zet je punt geen kracht bij.

Zowel backups kunnen inderdaad, of ze nou offsite of onsite staan, online of offline zijn. Je zal je zaken *altijd* moeten beveiligen. Onsite, danwel offsite.

Amazon zegt dat zij de beveiliging regelen...
27-09-2018, 18:20 door Anoniem
Ze bedoelen met dubbel nat vast 2 routers. Een buiten de scope van eigen beheer. En de andere binnen de scope van eigen beheer. Maar de configuratie zoals gegeven/gevraagd is dan een dubbel NAT.

maar zou een dubbele Nat je netwerk niet veiliger maken uiteindelijker omdat het het connecteren van services moeilijker maakt

Wel, ze kunnen dan niet direct met jouw computer verbinden. Met ze wordt dan bedoeld de hackers van het op het internet aangesloten router/modem.
27-09-2018, 19:34 door Anoniem
Door Anoniem: Ze bedoelen met dubbel nat vast 2 routers. Een buiten de scope van eigen beheer. En de andere binnen de scope van eigen beheer. Maar de configuratie zoals gegeven/gevraagd is dan een dubbel NAT.

maar zou een dubbele Nat je netwerk niet veiliger maken uiteindelijker omdat het het connecteren van services moeilijker maakt

Wel, ze kunnen dan niet direct met jouw computer verbinden. Met ze wordt dan bedoeld de hackers van het op het internet aangesloten router/modem.

Ik las in een forum dat je Linux gebaseerde routers de firewalls zelf kon instellen op een website.
Hoe kan ik de firewall van mijn Sitecom wlr-4100 instellen met iptables?
Of moet je daarvoor echt een speciale apparaat kopen?
Want ik kan geen poorten blokken met de interface van Sitecom wlr-4100
29-09-2018, 14:01 door Anoniem
Ik heb gegoogled maar niet echt iets nuttigs tegen gekomen.
Een dubbele Nat is slecht voor de connectiviteit, maar zou een dubbele Nat je netwerk niet veiliger maken uiteindelijker omdat het het connecteren van services moeilijker maakt?
Je kunt er een PC of een apart lokaal netwerk dat je af en toe gebruikt mee "isoleren" van een minder veilig lokaal netwerk. Ik bedoel dit:
stel het ene netwerk loopt besmettelijke malware op die zich over het lokale netwerk verspreidt,
dan kan een extra NAT-router voorkomen dat de hier op aangesloten PC of netwerkje ook wordt geïnfecteerd.
(als je vervolgens gaat communiceren met 1 van de besmette apparaten in het eerste netwerk ben je natuurlijk toch nog besmet).

Zie https://www.grc.com/nat/nat.htm

Where would TWO NAT routers be useful?

Completely isolating a router's DMZ network and servers.

Isolating an open or low-security wireless access point.

Protecting one "high-value" machine from the rest of the network.
29-09-2018, 17:15 door Anoniem
Je kunt er een PC of een apart lokaal netwerk dat je af en toe gebruikt mee "isoleren" van een minder veilig lokaal netwerk. Ik bedoel dit:
stel het ene netwerk loopt besmettelijke malware op die zich over het lokale netwerk verspreidt,
dan kan een extra NAT-router voorkomen dat de hier op aangesloten PC of netwerkje ook wordt geïnfecteerd.
(als je vervolgens gaat communiceren met 1 van de besmette apparaten in het eerste netwerk ben je natuurlijk toch nog besmet).

Bedankt dus in mijn geval is het wel verstandig om een dubbele Nat te draaien.
Ik laat iedereen in huis gebruik maken van de modem/router van KPN waar Nat aanstaat. Daar achter plaats ik mijn router waar de Server extra beveiliging dient te worden geïsoleerd van de rest van de netwerk is.
Moet ik daarvoor nog iets instellen of is dat standaard al het geval?
Mijn kinderen kunnen dan de Server niet bereiken toch(stel je voor ze krijgen ransom/virus)?
30-09-2018, 09:19 door Bitwiper
Door Anoniem: Ik laat iedereen in huis gebruik maken van de modem/router van KPN waar Nat aanstaat. Daar achter plaats ik mijn router waar de Server extra beveiliging dient te worden geïsoleerd van de rest van de netwerk is.
Moet ik daarvoor nog iets instellen of is dat standaard al het geval?
Mijn kinderen kunnen dan de Server niet bereiken toch(stel je voor ze krijgen ransom/virus)?
Dat is een prima low-budget oplossing, feitelijk segmentering van jouw netwerk. Bovendien is dit soort configs opzetten heel leerzaam.

Ik heb het zelf ook wel eens gebruikt in de situatie dat we met een klein team bij een klant aan het werk moesten en een bedrade "gasten internet" aansluiting kregen. Zo konden we onderling bestanden uitwisselen via een eigen LAN zonder dat admins van die klant daar iets van konden zien (als ze gekeken hadden).

Je hebt dus iets als volgt gemaakt:
Internet
|
| IP-dres is bijvoorbeeld 80.80.80.80
|
| WAN zijde
[KPN modem/router met eerste NAT]
| LAN zijde
|
| IP-adressen uitgegeven door DHCP service op KPN router
| bijv. 192.168.0.0/24 (dus 192.168.0.0 t/m 192.168.0.255 met subnetmask 255.255.255.0
| waarbij 192.168.0.0 zelden gebruikt wordt, 192.168.0.255 het lokale broadcast
| adres is, en er ook een adres voor de LAN interface van de router gereserveerd
| is, meestal is dat 192.168.0.1 of 192.168.0.254).
|
+- PC's van de kids
+- Smartphones
+- IoT devices
|
| LAN zijde - moet vrij IP-adres in 192.168.0.0/24 hebben (fixed of via DHCP verkregen)
[Binnenste NAT router]
| SLAN zijde (S voor Secure) bijv. 10.0.0.1
|
+- Server (bijv. 10.0.0.2)

Een server is natuurlijk zinloos als deze vanaf geen enkel device benaderd kan worden. Je zult dus in de "binnenste NAT router" 1 of meer "poorten moeten open zetten". Stel op jouw server draait een web service die luistert op poort 80, dan zal die binnenste NAT router netwerkverkeer geïnitieerd aan de LAN zijde, gestuurd naar poort 80 op het LAN IP-adres van die router, moeten doorlaten (daarbij het IP-adres vertalend naar 10.0.0.2) naar de server.

Als het om een SMB (ook bekend als Samba of CIFS) fileserver gaat, zul je minstens poort 445 open moeten zetten.

Als de binnenste router daarbij op IP-adressen aan de LAN zijde kan filteren, zou je toegang tot poort 445 wellicht kunnen bepereken tot LAN IP-adressen die daar echt bij moeten kunnen; als een eventueel gehacked IoT device, op basis van zijn IP-adres, de server niet kan bereiken, kunnen daarvandaan ook geen brute force password guess aanvallen worden uitgevoerd op jouw server. Als de DHCP service in de KPN modem/router steeds wijzigende IP-adressen aan LAN devices geeft, is dat onmogelijk. Maar in de praktijk krijgen devices vaak wel steeds hetzelfde adres.

Je zou zelfs voor elk device een NAT router kunnen zetten, vooral als deze niets "te serveren" hoort te hebben. Daarmee bescherm je zo'n device voor netwerk-gebaseerde aanvallen vanaf LAN. Als je in grotere netwerken puin moet ruimen terwijl er een worm rondgaat, kun je PC's/servers via een NAT routertje aansluiten en patchen/AV updaten zonder het risico te lopen dat dit systeem alweer gecompromiteerd raakt voordat je goed en wel begonnen bent. Simpel en goedkoop, maar zeer doeltrefend.
30-09-2018, 19:47 door Anoniem
Een server is natuurlijk zinloos als deze vanaf geen enkel device benaderd kan worden. Je zult dus in de "binnenste NAT router" 1 of meer "poorten moeten open zetten". Stel op jouw server draait een web service die luistert op poort 80, dan zal die binnenste NAT router netwerkverkeer geïnitieerd aan de LAN zijde, gestuurd naar poort 80 op het LAN IP-adres van die router, moeten doorlaten (daarbij het IP-adres vertalend naar 10.0.0.2) naar de server.
Poorten openzetten verzwakt volgens mij de bescherming van de server!
Als ik het zo hoor heeft topicstarter een bedrijfsPC of -terminal en een bedrijfsserver. (correct??)
Deze kan hij net zo goed bijzetten in hetzelfde netwerk als de server.
Mochten er andere apparaten zijn voor zakelijk gebruik dan zou ik ze allemaal in het extra beveiligde netwerk zetten.
Zo hou je het zakelijk gedeelte gescheiden van het speelgedeelte. Als het kan lijkt me dat het beste.

En deel je vanuit het zakelijk gedeelt bijv. een printer in het speelgedeelte dan hoeven er denk ik geen speciaal poorten worden open gezet, want dit gaat automatisch. Ik ben er niet helemaal zeker van of je nog ergens iets moet instellen, maar als dat het geval is zal het met routering te maken hebben en niet met openen van poorten.
En stel dat de printer die mogelijk ook door het speelgedeelte wordt gebruikt daardoor besmet is geraakt, dan kan ook het extra beveiligde netwerk eventueel worden besmet. Maar ik weet niet of deze situatie in deze case bestaat,
en als de printerfabrikant printerfirmware actief bijwerkt en de gebruiker zich ervan gevergewist dat deze in de printer is geladen, dan is er weinig kans dat er een infectie/besmetting zal plaatsvinden via de printer.

groetjes,
Anoniem 14:01
01-10-2018, 07:07 door Anoniem
Door Anoniem:
Een server is natuurlijk zinloos als deze vanaf geen enkel device benaderd kan worden. Je zult dus in de "binnenste NAT router" 1 of meer "poorten moeten open zetten". Stel op jouw server draait een web service die luistert op poort 80, dan zal die binnenste NAT router netwerkverkeer geïnitieerd aan de LAN zijde, gestuurd naar poort 80 op het LAN IP-adres van die router, moeten doorlaten (daarbij het IP-adres vertalend naar 10.0.0.2) naar de server.
Poorten openzetten verzwakt volgens mij de bescherming van de server!
Als ik het zo hoor heeft topicstarter een bedrijfsPC of -terminal en een bedrijfsserver. (correct??)
Deze kan hij net zo goed bijzetten in hetzelfde netwerk als de server.
Mochten er andere apparaten zijn voor zakelijk gebruik dan zou ik ze allemaal in het extra beveiligde netwerk zetten.
Zo hou je het zakelijk gedeelte gescheiden van het speelgedeelte. Als het kan lijkt me dat het beste.

En deel je vanuit het zakelijk gedeelt bijv. een printer in het speelgedeelte dan hoeven er denk ik geen speciaal poorten worden open gezet, want dit gaat automatisch. Ik ben er niet helemaal zeker van of je nog ergens iets moet instellen, maar als dat het geval is zal het met routering te maken hebben en niet met openen van poorten.
En stel dat de printer die mogelijk ook door het speelgedeelte wordt gebruikt daardoor besmet is geraakt, dan kan ook het extra beveiligde netwerk eventueel worden besmet. Maar ik weet niet of deze situatie in deze case bestaat,
en als de printerfabrikant printerfirmware actief bijwerkt en de gebruiker zich ervan gevergewist dat deze in de printer is geladen, dan is er weinig kans dat er een infectie/besmetting zal plaatsvinden via de printer.

groetjes,
Anoniem 14:01

Ik heb drie routers in huis
1de voor de kinderen en vrouw en persoonlijke laptop
2de voor de laptop waarop ik mijn zaken doen op
3de voor de server die ik heb draaien

Allemaal hebben ze Nat aanstaan en werken prima en heb geen poorten hoeven open te gooien.
01-10-2018, 07:11 door Bitwiper - Bijgewerkt: 01-10-2018, 07:17
Door Anoniem: Poorten openzetten verzwakt volgens mij de bescherming van de server!
Absoluut. Maar een onbereikbare server kun je net zo goed uitzetten, da's nog veiliger.

Door Anoniem: Als ik het zo hoor heeft topicstarter een bedrijfsPC of -terminal en een bedrijfsserver. (correct??)
Of Anoniem 29-09-2018, 17:15 de TS is, weet ik niet zeker, maar dat is de bijdrage waar ik op reageerde.

Door Anoniem: En deel je vanuit het zakelijk gedeelt bijv. een printer in het speelgedeelte dan hoeven er denk ik geen speciaal poorten worden open gezet, want dit gaat automatisch. Ik ben er niet helemaal zeker van of je nog ergens iets moet instellen, maar als dat het geval is zal het met routering te maken hebben en niet met openen van poorten.
De verwarring ontstaat mogelijk omdat je niet precies weet wat een "NAT router" doet.

In de basis is NAT (Network Address Translation) het, on-the-fly, wijzigen van IP-adressen in netwerkpakketjes (voor die basisfunctionaliteit heb je geen router nodig). Wat in de volksmond een NAT router heet is een veel complexer apparaat. Het doel daarvan is namelijk om een REEKS interne IP-adressen te "verstoppen" achter 1 publiek IP-adres.

Een bijwerking van deze techniek (ook bekend als masquerading, zie https://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/ipmasq-background2.1.html) is dat vanaf internet alleen pakketjes naar het publieke IP-adres van de router gestuurd kunnen worden. Vervolgens moet die router "weten" naar welk intern IP-adres die pakketjes moeten worden gestuurd. Daarvoor heeft zo'n router een NAT-tabel:
Internet
|
| WAN zijde met publiek IP-adres, bijv. 80.80.80.80
[NAT router met NAT tabel]
| LAN zijde - subnet bijv. 192.168.0.0/24
|
+- Device 1: 192.168.0.11
+- Device 2: 192.168.0.12
+- Device 3: 192.168.0.13
etc.
Na aanzetten van de NAT router is de NAT tabel leeg. Als er vanaf internet een pakketje naar 80.80.80.80 wordt gestuurd, heeft de router geen idee naar wel intern device dat pakketje doorgestuurd zou moeten worden (dat zou in de NAT tabel moeten staan, maar die is leeg). Als de router zelf op een bepaald poortnummer luistert, en het pakketje voor die poort bestemd is, wordt het pakketje aangenomen; anders zal het worden gedropt.

Zodra een intern device een pakketje naar een internet IP-adres stuurt, zal de router een regel voor de terugweg (voor antwoordpakketjes dus) in de NAT-tabel opnemen. Als device 2 verbinding maakt met https://www.security.nl/ (met IP-adres 82.94.191.109), komt de volgende regel in de tabel:
192.168.0.12:12345 <=> 80.80.80.80:12345 <=> 82.94.191.109:443
Daarbij kan de afzenderpoort 12345 in principe elke willekeurige waarde tussen 0 en 65536 hebben. Antwoordpakketjes van www.security.nl gaan via de omgekeerde route naar device 2.

Als meer dan 1 intern device verbinding maakt met www.security.nl en daarbij toevallig dezelfde afzenderpoorten worden gebruikt, zou de NAT router beide verbindingen niet meer uit elkaar kunnen houden. Daarom is in de praktijk altijd sprake van PNAT - er vindt ook port translation plaats:
192.168.0.12:12345 <=> 80.80.80.80:50000 <=> 82.94.191.109:443
192.168.0.13:12345 <=> 80.80.80.80:50001 <=> 82.94.191.109:443
Zo kan de (P)NAT router antwoordpakketjes naar het juiste device sturen.

Maar wat nu als het interne device 3 een webserver is die vanaf internet bereikbaar moet zijn? Daarvoor kun je een statische regel in de NAT tabel maken, als volgt:
192.168.0.13:80 <=> 80.80.80.80:80 <=> *:*
Bovenstaande regel zorgt ervoor dat pakketjes vanaf een willekeurig publiek IP-adres met een willekeurig afzenderpoortnummer gestuurd naar 80.80.80.80 met poortnummer 80 worden doorgezet naar de interne webserver. Op die manier kun je dus poorten openzetten in deze "NAT router", die effecief gewoon een firewall is - zonder zo'n "opengezette poort" kunnen interne devices niet vanaf internet worden bereikt, terwijl van binnenuit geïnitieerde verbindingen wel antwoord kunnen krijgen.

Kortom, wat in de volksmond een "NAT router" wordt genoemd is simpelweg een voorgeconfigureerde firewall die GEEN netwerkpakketjes van buiten naar binnen toestaat, tenzij het om antwoordpakketjes gaat - op van binnenuit geïnitieerde verbindingen. Met statische NAT-tabel regels kun je, indien nodig, poorten open zetten (vanaf WAN/internetzijde) voor 1 of meer specifieke interne IP-adressen. Met "dubbele NAT" kan dat op twee plaatsen, en kun je dus verder segmenteren (zie mijn vorige bijdrage).

Overigens raad dit soort low-budget oplossingen af voor professionele ongevingen, behoudens de voorbeelden die ik in mijn vorige hijdrage gaf. Maar voor thuis is dit m.i. prima: lekker goedkoop en eenvoudig te configureren.
01-10-2018, 08:34 door Anoniem

Overigens raad dit soort low-budget oplossingen af voor professionele ongevingen, behoudens de voorbeelden die ik in mijn vorige hijdrage gaf. Maar voor thuis is dit m.i. prima: lekker goedkoop en eenvoudig te configureren.


Wat raad jij mij dan aan om mijn infrastructuur te verdedigen?
Router 1 doen de kinderen en vrouw alles mee wat ze willen.
Router 2 moet het meest veilige zijn want daar doe ik alle zakkelijke dingen zoals gesprekken met patienten erin verwerken en kosten bij de zorgverzekeraar declaren.
Router 3 is een Server waar ik gencrypt de data verstuur.
Ik ben het meest kwetsbare achter mijn laptop denk ik die ik het meest gebruik, met name mijn zakkelijke laptop waarop ik zorg gegevens en financiele zaken doe. Deze staat
De Server is redelijk veilig die gebruik ik heel afentoe.
01-10-2018, 09:33 door -karma4 - Bijgewerkt: 01-10-2018, 09:46
Misschien is het voor de zakelijke toepassingen beter om die apparatuur helemaal niet aan het thuisnetwerk te verbinden. In plaats daarvan een dedicated data verbinding (mobiel netwerk) via een insteekdingetje waar een SIM-kaartje in kan. Ik weet niet hoeveel data je nodig hebt maar voor € 35,- p/m heb je al een 'onbeperkt' abonnement. Als je minder nodig hebt wordt het goedkoper. Bij verwerking van gevoelige persoonsgegevens kan je niet voorzichtig genoeg zijn. Met volledige fysieke scheiding van toegang tot internet en apparatuur daarvoor, heb je de meeste zekerheid. Consumentengebruik met consumentencomputers met consumentenbesturingssystemen combineert niet zo goed met zakelijke gebruik plus hoge eisen aan beveiliging.

En volledige schijfversleuteling voor je zakelijke laptop; in BIOS instellen dat alleen van de harde schijf kan worden opgestart; plus evt. een BIOS wachtwoord.
01-10-2018, 11:50 door Anoniem
Door The FOSS: Misschien is het voor de zakelijke toepassingen beter om die apparatuur helemaal niet aan het thuisnetwerk te verbinden. In plaats daarvan een dedicated data verbinding (mobiel netwerk) via een insteekdingetje waar een SIM-kaartje in kan. Ik weet niet hoeveel data je nodig hebt maar voor € 35,- p/m heb je al een 'onbeperkt' abonnement. Als je minder nodig hebt wordt het goedkoper. Bij verwerking van gevoelige persoonsgegevens kan je niet voorzichtig genoeg zijn. Met volledige fysieke scheiding van toegang tot internet en apparatuur daarvoor, heb je de meeste zekerheid. Consumentengebruik met consumentencomputers met consumentenbesturingssystemen combineert niet zo goed met zakelijke gebruik plus hoge eisen aan beveiliging.

En volledige schijfversleuteling voor je zakelijke laptop; in BIOS instellen dat alleen van de harde schijf kan worden opgestart; plus evt. een BIOS wachtwoord.

Ik vind je idee heel leuk en ga kijken naar de mogelijkheden!
Moet dan nogsteeds uitzoeken hoe ik mijn laptop en server dan veilig kan beveiligen en dan nogsteeds wil ik mijn zakkelijke laptop en server van elkaar scheiden (dat kan ook natuurlijk met 2 simkaarten)
01-10-2018, 13:04 door -karma4
Door Anoniem:
Door The FOSS: Misschien is het voor de zakelijke toepassingen beter om die apparatuur helemaal niet aan het thuisnetwerk te verbinden. In plaats daarvan een dedicated data verbinding (mobiel netwerk) via een insteekdingetje waar een SIM-kaartje in kan. Ik weet niet hoeveel data je nodig hebt maar voor € 35,- p/m heb je al een 'onbeperkt' abonnement. Als je minder nodig hebt wordt het goedkoper. Bij verwerking van gevoelige persoonsgegevens kan je niet voorzichtig genoeg zijn. Met volledige fysieke scheiding van toegang tot internet en apparatuur daarvoor, heb je de meeste zekerheid. Consumentengebruik met consumentencomputers met consumentenbesturingssystemen combineert niet zo goed met zakelijke gebruik plus hoge eisen aan beveiliging.

En volledige schijfversleuteling voor je zakelijke laptop; in BIOS instellen dat alleen van de harde schijf kan worden opgestart; plus evt. een BIOS wachtwoord.

Ik vind je idee heel leuk en ga kijken naar de mogelijkheden!
Moet dan nogsteeds uitzoeken hoe ik mijn laptop en server dan veilig kan beveiligen en dan nogsteeds wil ik mijn zakkelijke laptop en server van elkaar scheiden (dat kan ook natuurlijk met 2 simkaarten)

Sorry, ik had even over die server heengelezen. De (zakelijke?) server deelt dus een internetverbinding met het consumentengebruik? Of het wel zo handig is om een server via een SIM-kaart aan een mobiel netwerk te hangen? Als dat al mogelijk is (beperkingen uploadsnelheid; mag je een wel server draaien op een mobiel netwerk?)
01-10-2018, 13:15 door Anoniem
Door Anoniem: Nee, je kunt beter één goed geconfigureerde firewall hebben dan 2 niet geconfigureerde firewalls
Beetje kortzichtige reactie, immers alle niet goed/geconfigureerde componenten zijn eerder een gevaar dan een zegen... Twee (goed geconfigureerde) firewalls kunnen wel degelijk een betere bescherming bieden. Echter je moet dan denken aan firewalls obv een verschillend OS en firewall 'applicatie'. De kans dat een kwetsbaarheid in beide firewalls voorkomt is aanmerkelijk lager. Echter het beheer dient ook op orde te zijn. Wat in dergelijke situaties nog wel eens het geval wil zijn is matige kennis van een van de twee firewalls of OS-en.
01-10-2018, 18:33 door Anoniem
Door Anoniem:
Door Anoniem: Nee, je kunt beter één goed geconfigureerde firewall hebben dan 2 niet geconfigureerde firewalls
Beetje kortzichtige reactie, immers alle niet goed/geconfigureerde componenten zijn eerder een gevaar dan een zegen... Twee (goed geconfigureerde) firewalls kunnen wel degelijk een betere bescherming bieden. Echter je moet dan denken aan firewalls obv een verschillend OS en firewall 'applicatie'. De kans dat een kwetsbaarheid in beide firewalls voorkomt is aanmerkelijk lager. Echter het beheer dient ook op orde te zijn. Wat in dergelijke situaties nog wel eens het geval wil zijn is matige kennis van een van de twee firewalls of OS-en.

Firewallen is zowiezo een hele lastige klus en als je het niet beheerst kan je er beter niet aan zitten. Veel consumenten routers hebben maar een basic firewalls en DOS bescherming wat je niet echt veel meer beveiliging biedt dan de firewall in je OS.
01-10-2018, 20:05 door Anoniem
Door Bitwiper:
Door Anoniem: Poorten openzetten verzwakt volgens mij de bescherming van de server!
Absoluut. Maar een onbereikbare server kun je net zo goed uitzetten, da's nog veiliger.

Door Anoniem: Als ik het zo hoor heeft topicstarter een bedrijfsPC of -terminal en een bedrijfsserver. (correct??)
Of Anoniem 29-09-2018, 17:15 de TS is, weet ik niet zeker, maar dat is de bijdrage waar ik op reageerde.

Door Anoniem: En deel je vanuit het zakelijk gedeelt bijv. een printer in het speelgedeelte dan hoeven er denk ik geen speciaal poorten worden open gezet, want dit gaat automatisch. Ik ben er niet helemaal zeker van of je nog ergens iets moet instellen, maar als dat het geval is zal het met routering te maken hebben en niet met openen van poorten.
De verwarring ontstaat mogelijk omdat je niet precies weet wat een "NAT router" doet.

In de basis is NAT (Network Address Translation) het, on-the-fly, wijzigen van IP-adressen in netwerkpakketjes (voor die basisfunctionaliteit heb je geen router nodig). Wat in de volksmond een NAT router heet is een veel complexer apparaat. Het doel daarvan is namelijk om een REEKS interne IP-adressen te "verstoppen" achter 1 publiek IP-adres.

Een bijwerking van deze techniek (ook bekend als masquerading, zie https://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/ipmasq-background2.1.html) is dat vanaf internet alleen pakketjes naar het publieke IP-adres van de router gestuurd kunnen worden. Vervolgens moet die router "weten" naar welk intern IP-adres die pakketjes moeten worden gestuurd. Daarvoor heeft zo'n router een NAT-tabel:
Internet
|
| WAN zijde met publiek IP-adres, bijv. 80.80.80.80
[NAT router met NAT tabel]
| LAN zijde - subnet bijv. 192.168.0.0/24
|
+- Device 1: 192.168.0.11
+- Device 2: 192.168.0.12
+- Device 3: 192.168.0.13
etc.
Na aanzetten van de NAT router is de NAT tabel leeg. Als er vanaf internet een pakketje naar 80.80.80.80 wordt gestuurd, heeft de router geen idee naar wel intern device dat pakketje doorgestuurd zou moeten worden (dat zou in de NAT tabel moeten staan, maar die is leeg). Als de router zelf op een bepaald poortnummer luistert, en het pakketje voor die poort bestemd is, wordt het pakketje aangenomen; anders zal het worden gedropt.

Zodra een intern device een pakketje naar een internet IP-adres stuurt, zal de router een regel voor de terugweg (voor antwoordpakketjes dus) in de NAT-tabel opnemen. Als device 2 verbinding maakt met https://www.security.nl/ (met IP-adres 82.94.191.109), komt de volgende regel in de tabel:
192.168.0.12:12345 <=> 80.80.80.80:12345 <=> 82.94.191.109:443
Daarbij kan de afzenderpoort 12345 in principe elke willekeurige waarde tussen 0 en 65536 hebben. Antwoordpakketjes van www.security.nl gaan via de omgekeerde route naar device 2.

Als meer dan 1 intern device verbinding maakt met www.security.nl en daarbij toevallig dezelfde afzenderpoorten worden gebruikt, zou de NAT router beide verbindingen niet meer uit elkaar kunnen houden. Daarom is in de praktijk altijd sprake van PNAT - er vindt ook port translation plaats:
192.168.0.12:12345 <=> 80.80.80.80:50000 <=> 82.94.191.109:443
192.168.0.13:12345 <=> 80.80.80.80:50001 <=> 82.94.191.109:443
Zo kan de (P)NAT router antwoordpakketjes naar het juiste device sturen.

Maar wat nu als het interne device 3 een webserver is die vanaf internet bereikbaar moet zijn? Daarvoor kun je een statische regel in de NAT tabel maken, als volgt:
192.168.0.13:80 <=> 80.80.80.80:80 <=> *:*
Bovenstaande regel zorgt ervoor dat pakketjes vanaf een willekeurig publiek IP-adres met een willekeurig afzenderpoortnummer gestuurd naar 80.80.80.80 met poortnummer 80 worden doorgezet naar de interne webserver. Op die manier kun je dus poorten openzetten in deze "NAT router", die effecief gewoon een firewall is - zonder zo'n "opengezette poort" kunnen interne devices niet vanaf internet worden bereikt, terwijl van binnenuit geïnitieerde verbindingen wel antwoord kunnen krijgen.

Kortom, wat in de volksmond een "NAT router" wordt genoemd is simpelweg een voorgeconfigureerde firewall die GEEN netwerkpakketjes van buiten naar binnen toestaat, tenzij het om antwoordpakketjes gaat - op van binnenuit geïnitieerde verbindingen. Met statische NAT-tabel regels kun je, indien nodig, poorten open zetten (vanaf WAN/internetzijde) voor 1 of meer specifieke interne IP-adressen. Met "dubbele NAT" kan dat op twee plaatsen, en kun je dus verder segmenteren (zie mijn vorige bijdrage).

Overigens raad dit soort low-budget oplossingen af voor professionele ongevingen, behoudens de voorbeelden die ik in mijn vorige hijdrage gaf. Maar voor thuis is dit m.i. prima: lekker goedkoop en eenvoudig te configureren.
Weet ik. Maar het was niet gegeven dat de server bereikbaar moet zijn vanaf internet. Leek me juist dat dit niet de bedoeling is. Een bedrijfsPC hangen op hetzelfde netwerk waar de kinderen spelen had nog een reden kunnen zijn voor dat routeren (sorry, ik noem het dus routeren om van de WAN van een andere router bij een device op het LAN van die andere router te komen, in dit geval de server) maar het is sowieso niet handig dat een bedrijfsPC op hetzelfde netwerk zit als waar de kinderen spelen. Die kan je dan beter verplaatsen naar het lokale netwerk waar de server aan hangt. Dat scheelt dan bovendien dat stukje routeringsrompslomp. Snappu?
Maar ik zie nu dus dat men de bedrijfslaptop van de server wil scheiden, en ik begrijp even niet waar die server dan precies voor dient. Ik bedoel ik zie niet direct in waarom bedrijfslaptop en (bedrijfs?)server moeten worden gescheiden. Maar misschien heeft de server (ook?) een ander doel.
02-10-2018, 08:33 door Anoniem
Door Anoniem:
Door Bitwiper:
Door Anoniem: Poorten openzetten verzwakt volgens mij de bescherming van de server!
Absoluut. Maar een onbereikbare server kun je net zo goed uitzetten, da's nog veiliger.

Door Anoniem: Als ik het zo hoor heeft topicstarter een bedrijfsPC of -terminal en een bedrijfsserver. (correct??)
Of Anoniem 29-09-2018, 17:15 de TS is, weet ik niet zeker, maar dat is de bijdrage waar ik op reageerde.

Door Anoniem: En deel je vanuit het zakelijk gedeelt bijv. een printer in het speelgedeelte dan hoeven er denk ik geen speciaal poorten worden open gezet, want dit gaat automatisch. Ik ben er niet helemaal zeker van of je nog ergens iets moet instellen, maar als dat het geval is zal het met routering te maken hebben en niet met openen van poorten.
De verwarring ontstaat mogelijk omdat je niet precies weet wat een "NAT router" doet.

In de basis is NAT (Network Address Translation) het, on-the-fly, wijzigen van IP-adressen in netwerkpakketjes (voor die basisfunctionaliteit heb je geen router nodig). Wat in de volksmond een NAT router heet is een veel complexer apparaat. Het doel daarvan is namelijk om een REEKS interne IP-adressen te "verstoppen" achter 1 publiek IP-adres.

Een bijwerking van deze techniek (ook bekend als masquerading, zie https://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/ipmasq-background2.1.html) is dat vanaf internet alleen pakketjes naar het publieke IP-adres van de router gestuurd kunnen worden. Vervolgens moet die router "weten" naar welk intern IP-adres die pakketjes moeten worden gestuurd. Daarvoor heeft zo'n router een NAT-tabel:
Internet
|
| WAN zijde met publiek IP-adres, bijv. 80.80.80.80
[NAT router met NAT tabel]
| LAN zijde - subnet bijv. 192.168.0.0/24
|
+- Device 1: 192.168.0.11
+- Device 2: 192.168.0.12
+- Device 3: 192.168.0.13
etc.
Na aanzetten van de NAT router is de NAT tabel leeg. Als er vanaf internet een pakketje naar 80.80.80.80 wordt gestuurd, heeft de router geen idee naar wel intern device dat pakketje doorgestuurd zou moeten worden (dat zou in de NAT tabel moeten staan, maar die is leeg). Als de router zelf op een bepaald poortnummer luistert, en het pakketje voor die poort bestemd is, wordt het pakketje aangenomen; anders zal het worden gedropt.

Zodra een intern device een pakketje naar een internet IP-adres stuurt, zal de router een regel voor de terugweg (voor antwoordpakketjes dus) in de NAT-tabel opnemen. Als device 2 verbinding maakt met https://www.security.nl/ (met IP-adres 82.94.191.109), komt de volgende regel in de tabel:
192.168.0.12:12345 <=> 80.80.80.80:12345 <=> 82.94.191.109:443
Daarbij kan de afzenderpoort 12345 in principe elke willekeurige waarde tussen 0 en 65536 hebben. Antwoordpakketjes van www.security.nl gaan via de omgekeerde route naar device 2.

Als meer dan 1 intern device verbinding maakt met www.security.nl en daarbij toevallig dezelfde afzenderpoorten worden gebruikt, zou de NAT router beide verbindingen niet meer uit elkaar kunnen houden. Daarom is in de praktijk altijd sprake van PNAT - er vindt ook port translation plaats:
192.168.0.12:12345 <=> 80.80.80.80:50000 <=> 82.94.191.109:443
192.168.0.13:12345 <=> 80.80.80.80:50001 <=> 82.94.191.109:443
Zo kan de (P)NAT router antwoordpakketjes naar het juiste device sturen.

Maar wat nu als het interne device 3 een webserver is die vanaf internet bereikbaar moet zijn? Daarvoor kun je een statische regel in de NAT tabel maken, als volgt:
192.168.0.13:80 <=> 80.80.80.80:80 <=> *:*
Bovenstaande regel zorgt ervoor dat pakketjes vanaf een willekeurig publiek IP-adres met een willekeurig afzenderpoortnummer gestuurd naar 80.80.80.80 met poortnummer 80 worden doorgezet naar de interne webserver. Op die manier kun je dus poorten openzetten in deze "NAT router", die effecief gewoon een firewall is - zonder zo'n "opengezette poort" kunnen interne devices niet vanaf internet worden bereikt, terwijl van binnenuit geïnitieerde verbindingen wel antwoord kunnen krijgen.

Kortom, wat in de volksmond een "NAT router" wordt genoemd is simpelweg een voorgeconfigureerde firewall die GEEN netwerkpakketjes van buiten naar binnen toestaat, tenzij het om antwoordpakketjes gaat - op van binnenuit geïnitieerde verbindingen. Met statische NAT-tabel regels kun je, indien nodig, poorten open zetten (vanaf WAN/internetzijde) voor 1 of meer specifieke interne IP-adressen. Met "dubbele NAT" kan dat op twee plaatsen, en kun je dus verder segmenteren (zie mijn vorige bijdrage).

Overigens raad dit soort low-budget oplossingen af voor professionele ongevingen, behoudens de voorbeelden die ik in mijn vorige hijdrage gaf. Maar voor thuis is dit m.i. prima: lekker goedkoop en eenvoudig te configureren.
Weet ik. Maar het was niet gegeven dat de server bereikbaar moet zijn vanaf internet. Leek me juist dat dit niet de bedoeling is. Een bedrijfsPC hangen op hetzelfde netwerk waar de kinderen spelen had nog een reden kunnen zijn voor dat routeren (sorry, ik noem het dus routeren om van de WAN van een andere router bij een device op het LAN van die andere router te komen, in dit geval de server) maar het is sowieso niet handig dat een bedrijfsPC op hetzelfde netwerk zit als waar de kinderen spelen. Die kan je dan beter verplaatsen naar het lokale netwerk waar de server aan hangt. Dat scheelt dan bovendien dat stukje routeringsrompslomp. Snappu?
Maar ik zie nu dus dat men de bedrijfslaptop van de server wil scheiden, en ik begrijp even niet waar die server dan precies voor dient. Ik bedoel ik zie niet direct in waarom bedrijfslaptop en (bedrijfs?)server moeten worden gescheiden. Maar misschien heeft de server (ook?) een ander doel.

De Server hoeft ook niet bereikbaar te zijn vanaf het internet. Ik upload alleen dingen vanaf de Server naar de Cloud voor Backups!
02-10-2018, 18:59 door Bitwiper
Door Anoniem: Firewallen is zowiezo een hele lastige klus en als je het niet beheerst kan je er beter niet aan zitten.
Eens. Ik heb meerdere door "professionals" opgezette en "beheerde" firewalls gezien waarin allerlei poorten waren opengezet zonder dat was gedocumenteerd waarom, voor wie en sinds/tot wanneer. En als er geen verkeer te zien is, en je veiligheidshalve de poort maar dicht zet, er een maand later iemand komt klagen dat zijn applicatie "ineens" niet meer werkt. En firewalls waarbij niemand aan IPv6 gedacht heeft (dat gewoon open staat). En IPtables met een hele reeks regels gevolgd door ACCEPT.

Door Anoniem: Veel consumenten routers hebben maar een basic firewalls en DOS bescherming wat je niet echt veel meer beveiliging biedt dan de firewall in je OS.
Oneens. Op de meeste Windows consumenten PC's draaien de server-, RDP- en remote registry services en worden belachelijk simpele wachtwoorden gebruikt, met een OS firewall die open staat voor genoemde services. Zonder NAT routers zouden er nog véél meer zombie PC's aan internet hangen.
04-10-2018, 08:12 door Anoniem

Oneens. Op de meeste Windows consumenten PC's draaien de server-, RDP- en remote registry services en worden belachelijk simpele wachtwoorden gebruikt, met een OS firewall die open staat voor genoemde services. Zonder NAT routers zouden er nog véél meer zombie PC's aan internet hangen.

Ik suggereer ook niet dat je de firewall van de router moet uitschakelen..., de firewall van je OS heeft alleen weinig nut.
Het is de router die je moet beschermen grotendeels tegen het hacken!
04-10-2018, 11:05 door Anoniem
Door Bitwiper:
Eens. Ik heb meerdere door "professionals" opgezette en "beheerde" firewalls gezien waarin allerlei poorten waren opengezet zonder dat was gedocumenteerd waarom, voor wie en sinds/tot wanneer. En als er geen verkeer te zien is, en je veiligheidshalve de poort maar dicht zet, er een maand later iemand komt klagen dat zijn applicatie "ineens" niet meer werkt.

Probleem is ook dat de faciliteiten voor documentatie vaak bijna niet of helemaal niet aanwezig zijn. Je moet dan terugvallen op externe documentatie, wat in de praktijk niet zo goed werkt.
Bijvoorbeeld veel Linux systemen werken volgens het principe "klooi handmatig aan de firewall en doe dan iptables-save" en dan weet je helemaal niet waar al die rules voor zijn (veel mensen kennen de --comment optie ook niet).
Of ze hebben een complex systeem wat zelf de firewall rules genereert (bijv je zegt "webserver openzetten" en dan weet die tool wat ie moet doen), dan is het nog lastiger.

Dan zie je het voordeel van bijvoorbeeld de hier vaak verguisde MikroTik routers: daar kun je op ieder configuratie item een comment zetten, dus ook op firewall rules. En met een simpel scheduled scriptje kun je een bepaalde tekst in die comments, bijv "disable on 2018-10-10" matchen en dat item dan volautomatisch disablen als die datum aanbreekt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.