Toon posts:

Gaatje in Firewall maken

Pagina: 1
Acties:

woensdag 16 mei 2012 13:43

Acties:
  • Dr_Dirk
  • Registratie: December 2009
  • Laatst online: 17-10-2024

Dr_Dirk

Topicstarter
Beste Tweakers,

Ik heb hier een netwerk wat afgesloten is van het internet, voor intern gebruik van data verkeer. Ik wil binnen dit netwerk toegang hebben op 1 bepaalde website, maar niet naar de rest van de wereld.

Onze IT-er heeft voorgesteld om een tunnel te maken naar een proxy met putty, maar volgens mij open je dan het hele internet.

Zijn er alternatieven?

Curiousity is a bitch

woensdag 16 mei 2012 13:52

Acties:
  • ajw
  • Registratie: November 2007
  • Laatst online: 14-01 23:04

ajw

De meeste routers hebben de mogelijkheid om dit in te stellen in de web interface. Meestal kun je dan kiezen tussen een zwarte lijst en een witte lijst. Pak in jouw geval de witte lijst, en geef de website aan welke benaderbaar moet zijn.

woensdag 16 mei 2012 13:55

Acties:
  • Wceend
  • Registratie: Oktober 2000
  • Laatst online: 20-02 14:31

Wceend

rule aanmaken in de firewall met toegang tot poort 80 op het ip van de website.

woensdag 16 mei 2012 13:56

Acties:
  • Room42
  • Registratie: September 2001
  • Niet online

Room42

Het netwerk is dus wel verbonden met een apparaat dat aan het internet hangt? Firewall neem ik aan? Dan kun je gewoon een rule aanmaken naar het IP-adres van de website.

Via de proxy kan ook wel. Je kunt in de proxyserver adressen whitelisten. Dat moet wel een functionaliteit van die proxyserver zijn.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

woensdag 16 mei 2012 14:13

Acties:
  • Dr_Dirk
  • Registratie: December 2009
  • Laatst online: 17-10-2024

Dr_Dirk

Topicstarter
Ik vond hier misschien een betere manier nog, het openen van een poort in de firewall is misschien minder veilig dan een SSH proxy gebruiken. En als ik die proxy dan gebruik met devolgende configuratie:


JavaScript:
1
2
3
4
5
6
7
8

function FindProxyForURL(url, host)
{
    if (dnsDomainIs(host, ".domein.nl")) {
         return "PROXY localhost:8080";
    } else {
         return "DIRECT";
    }
}


Dan hebben we toch een veilige SSH alleen naar *.domein.nl?

Curiousity is a bitch

woensdag 16 mei 2012 16:29

Acties:
  • Room42
  • Registratie: September 2001
  • Niet online

Room42

Minder veilig in de zin van...? Hangt er vanaf wat er tussen zit. Als je connectie direct naar de firewall is, is het verschil niet zo groot.

Is die functie die jij daar schrijft trouwens niet client-side? [edit] Ja dus: Proxy auto-config (PAC).
Ik zie dan het verband niet met een SSH-tunnel.

Los daarvan: Jouw manier is weer afhankelijk van de veiligheid van de DNS lookup. Ik weet niet wat voor checks eraan hangen, maar voor hetzelfde geld kan ik in mijn host file een willekeurig IP-adres aan domein.nl hangen en zo toch toegang krijgen tot dat IP-adres.

[ Voor 51% gewijzigd door Room42 op 16-05-2012 16:51 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

donderdag 17 mei 2012 00:10

Acties:
  • Dr_Dirk
  • Registratie: December 2009
  • Laatst online: 17-10-2024

Dr_Dirk

Topicstarter
ja klopt, het is client-side. En het klopt dat een PAC niet een waterdichte oplossing is. Maar als mensen zo bijdehand zijn om een IP-adres in de hostfile te stoppen, kunnen ze ook het PAC bestand aanpassen om zo overal toegang tot te krijgen.

Wanneer men weet hoe een tunnel gemaakt wordt, is beveiligen tegen insiders vrij lastig. Ik dacht dat het maken van een tunnel wat veiliger is omdat dat eenrichtingsverkeer is. Als je gewoon een poort opent kunnen mensen er van buiten ook in dacht ik?

Curiousity is a bitch

donderdag 17 mei 2012 00:14

Acties:
  • Freeaqingme
  • Registratie: April 2006
  • Laatst online: 20-02 16:44

Freeaqingme

Je zou eens kunnen zoeken op DMZ's, Dat is _de_ manier om een publiek deel af te schermen van een privaat deel.Mogelijkerwijs wel overkill voor jouw situatie ;)

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

donderdag 17 mei 2012 02:02

Acties:
  • Room42
  • Registratie: September 2001
  • Niet online

Room42

Dr_Dirk schreef op donderdag 17 mei 2012 @ 00:10:
ja klopt, het is client-side. En het klopt dat een PAC niet een waterdichte oplossing is. Maar als mensen zo bijdehand zijn om een IP-adres in de hostfile te stoppen, kunnen ze ook het PAC bestand aanpassen om zo overal toegang tot te krijgen.
Daarom laat je je beveiliging ook niet van de client afhangen. Er vanuit gaan dat mensen niet bijdehand zijn is Security through obscurity. Kansloos dus ;)

Daarom zet je ook op de firewall een rule die bepaald dat je van één intern ip-adres naar één extern adres over één poort mag. Dat kun je niet omzeilen. Enkel door inter dat bewuste interne adres te nemen, maar dan nog kom je alleen over die éne poort naar dat éne adres.
Dat lijkt mij de veiligste weg.

Voorbeeld: 192.168.1.57 mag, via poort 80, naar 173.194.65.103 (www.google.com). Verder mag er niets.
Wanneer men weet hoe een tunnel gemaakt wordt, is beveiligen tegen insiders vrij lastig. Ik dacht dat het maken van een tunnel wat veiliger is omdat dat eenrichtingsverkeer is.
Een tunnel draaft door alle beveiliging heen. Het is namelijk een tunnel. Je graaft namelijk letterlijk een tunnel door je firewall. De Firewall zelf kan niet zien wat er door de tunnel gaat. Je kunt natuurlijk wel een firewall op de tunnel zetten. Je kunt ook de firewall zelf een tunnel op laten zetten. Maar dat doe je vaak tussen twee WAN end-points. Extern dus.
Daarom wil je normaal, zeker niet vanaf je client netwerk, een tunnel door de firewall hebben.
Als je gewoon een poort opent kunnen mensen er van buiten ook in dacht ik?
Nee, dat is onzin. Een firewall rule is normaal gesproken één richting op.

[ Voor 47% gewijzigd door Room42 op 17-05-2012 02:13 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

donderdag 17 mei 2012 02:49

Acties:
  • Keypunchie
  • Registratie: November 2002
  • Niet online

Keypunchie

Nee, dat is onzin. Een firewall rule is normaal gesproken één richting op.
Helemaal waar. Je kunt op de meeste firewalls gewoon onderscheid maken tussen inbound of outbound connecties. Let op dat TCP-verkeer (zoals HTTP) om sessies gaat. Er is op de lijn wel communicatie twee kanten op (requests naar de webserver toe en responses terug), maar het gaat over een sessie die vanuit binnen is opgezet, dus je hoeft alleen maar "outbound" connecties toe te staan.

Maar, zelfs al zette je op die firewall de poort beiden kanten open. Wat luistert er dan op poort 80 op jouw eigen IP-adres? Aangezien het een intern netwerk betreft, neem ik sowieso aan dat alle clients geen publiek IP-adres hebben, maar geNAT worden. Daardoor wordt het nog extreem lastig om van buiten binnen te komen op clients zonder port-forwarding.

En dan nog zou alleen iets dat komt van het doel-IP adres een verbinding op poort 80 kunnen opzetten...

Al met al, gewoon de firewall van binnen naar buiten openen op de manier zoals Sjaak aangeeft. Maarreh, DNS lookup is nog wel belangrijk, dus je zult of aan de interne DNS hiervoor een A-record moeten toevoegen, of aan alle hosts, via de hosts-file.

[ Voor 14% gewijzigd door Keypunchie op 17-05-2012 03:13 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq