Internet Security achter NAT-Router

op elke plek waar het verkeer naar buiten (= richting Internet) gaat kun je natuurlijk filteren. Dwz als je daarvoor de software/gateway/router/firewall hebt die dat kan en je genoeg firewall-kennis hebt. Je hebt dus een gateway nodig die ook uitgaand verkeer kan filteren. Filteren kan blokkeren en/of loggen inhouden.

Een NAT router met passieve firewall (ik weet niet wat die "firewall" is die in routers wordt meegeleverd) en verstandig gebruik zijn IMO wel voldoende .

Heel strikt gezien zit in een zo'n hardware-routertje geen firewall maar een portfilter. Dit is echter in de meeste gevallen afdoende.
Dingen die jij noemt; dialers, spyware, adware, etc. is niet te voorkomen met een firewall. Een "personal firewall" als ZoneAlarm doet in feite ook niets tegen dat soort software, het enige dat ZoneAlarm doet is vragen of je de software toestaat een verbinding naar internet toe te leggen. Een portfilter/firewall die ook uitgaand verkeer aan restricties onderwerpt kan exact hetzelfde doen. Dit tref je echter niet zomaar aan in een hardware-router omdat dit (veel) configuratie vereist. In softwarepakketten als Microsoft Proxy Server en ISA Server behoort dit wel tot de mogelijkheden.

Tegen malafide software als de genoemde dialers en spyware kun je in principe alleen iets doen met behulp van bijvoorbeeld virusscanners en programma's als AdAware. Dít soort software biedt écht bescherming. Firewalls doen alleen maar waar ze voor geschreven zijn: connectiviteit beperken. Dat hierdoor rommel als spyware zijn doel niet kan bereiken is puur toeval

Ik moet zeggen dat een hardware matige firewall goed werkt, mits je er maar kennis van hebt en 'm zo goed mogelijk dicht zet.

Wat je ook kunt doen is, indien je geen server hebt staan die van buitenaf zichtbaar moet zijn, is een dmz aanmaken en laten verwijzen naar een niet bestaand ip adres, met bijvoorbeeld de configuratie in je adsl router/modem.

Wij hadden op het werk een software matige firewall en die had trouwens minder problemen dan de net geleverde hardware matige firewall, maar dat kwam door het niet goed configureren van de hardware matige firewall door het betreffende bedrijf. Heb me nu in dat ding verdiept en nu staat ie lekker dicht.

Roland

Anoniem: 29769 schreef op 11 januari 2004 @ 13:59:
[..]

Daarnaast zijn er op veel websites ook nog allerlei scripts die op een of andere manier dialers of spyware installeren (ik heb het serieus meegemaakt dat ik minstens drie van die programma's op mijn computer geinstalleerd kreeg door slechts een pagina te openen).

Hoe kun je je het beste beschermen tegen veel van dit soort onzin? Is dit op te lossen zonder op iedere pc een personal firewall te installeren?

Spyware en andere troep die via websites geïnstalleerd kan worden, kan je volgens weinig aan doen. Programma's als Adaware en Spybot helpen wel, maar dat is meer om de troep achteraf op te ruimen.

Hoewel, zou je onder NT/XP/2000 geen account aan kunnen maken met alleen 'user rechten', zodat er niets geïnstalleerd kan worden?

zolang je niet op "ja" klikt, wordt er volgens mij ook helemal niets geinstalleerd hoor. ActiveX is wel vervelend, maar je moet het echt zelf activeren

JvS schreef op 12 januari 2004 @ 01:19:
zolang je niet op "ja" klikt, wordt er volgens mij ook helemal niets geinstalleerd hoor. ActiveX is wel vervelend, maar je moet het echt zelf activeren

Ja, bedoel ik. Beetje onduidelijk misschien. Als je op No drukt wordt er idd niets geïnstalleerd. Maar mensen klikken desondanks toch zo vaak op ja, omdat ze niet weten waar ze ja op zeggen. Zou een Windows account met beperkte rechten geen uitkomst zijn?

Zo'n account is meestal de basis van beveiliging. Voor mensen die niet weten waarop je 'Ja' zeggen zou ik dat sowieso aanraden. Toch wel een belangrijke factor IMO.

Roland: kennis voor een hardwarematige firewall? Hebben we het nu over dezelfde kleine routerkastjes die bij iedere Henk-om-de-hoek staan Daar heb je juist geen kennis voor nodig omdat die standaard een Deny-all policy hebben. Dingen die veel configuratie vereisen zijn juist de geavanceerdere hardwarematige firewalls (ik noem Cisco PIX, 3Com's) en de softwarematige Enterprise-pakketten.

tja je bent er idd niet alleen met een firewall als je goed wil beveiligen kan je een aantal zaken toepassen.

per client
- virusscanner
- firewall
- ad-aware + active scanner

server
- firewall
- nat
- proxy + filter (er zijn ook filters die bv activex en java troep kan filteren)
- hosts file aanpassen ( omdat je de host file op de server die NAT doet waarschijnlijk kan aanpassen zal je de bekende reclame troep ipv anar het internet naar je eigen pc kunnen sturen (127.0.0.1) en dus zal het een error opleveren

Anoniem: 29769 schreef op 11 januari 2004 @ 13:59:

Maar op zich is met die firewall niet de internettoegang beveiligd.

jawel. Omdat je interne netwerk buiten niet bekend is (bijv. prive geadresseerd, of geen route updates), kunnen interne machines nooit direct aangesproken worden.

Enkel het systeem met de interface naar buiten toe.

Dirk-Jan schreef op 13 januari 2004 @ 20:21:
[...]


jawel. Omdat je interne netwerk buiten niet bekend is (bijv. prive geadresseerd, of geen route updates), kunnen interne machines nooit direct aangesproken worden.

Enkel het systeem met de interface naar buiten toe.

interne netwerk adressen (oftewel de prive adressen 10.x.x.x en 192.168.x.x en de rest) worden door je NAT of IP-masquarading service verborgen

je firewall zorgt dat niemand vanaf extern je router/pc kan benaderen door een aantal porten af te schermen. tenzij je ze bewust openzet of voor poortforwarding.


een firewall per client is geen slecht idee zoals bv zone alarm want een firewall op de server mag dan wel het meeste meuk buiten houden, als je een trojan op een pc intern krijgt kan die best naar buiten toe met een andere pc verbinding leggen en ben je dus alsnog gaar. en zone alarm waarschuwt jou dan dat er een progamma ... verbinding wil leggen dus het is een stukje extra beveiliging ..

[ Voor 1% gewijzigd door vso op 14-01-2004 10:58 . Reden: taalfoutje ]

ik heb => router-----isaserver----clients
en dit werkt tot dusver nogsteeds goed
zolang je de isaserver maar goed instelt,en daar kan je ff mee bezig zijn.
en van router=>isaserver vind ik de router er goed genoeg voor heb nog geen problemen gehad,en ja,ik check mijn logfiles

[message=19730948,noline]vso schreef op 14 januari 2004 @ 10:57/message]:
[...]


interne netwerk adressen (oftewel de prive adressen 10.x.x.x en 192.168.x.x en de rest) worden door je NAT of IP-masquarading service verborgen

neem een les in routes...

in de routetabel van de ISP staat nergens een route 192.168.0.0/24 naar jou externe ip adres.

als jij dus intern 192.168.0.1 enz. nummert, kan te nooit en te nimmer een systeem op internet contact leggen met deze client.

Dat heeft niets met NAT of IP-masquerading te maken...

NAT en IP-masquerading zijn systemen dat ip adressen in ip headers (en in meer dingen...) vertalen.

@ Dirk-Jan

Routes vergelijken met NAT of masquarading is hetzelfde als een appel en peer te vergelijken.

sterker nog mijn systemen intern hebben 192.168.x.x

mijn router en clients weten waar er wat in mijn netwerk staat vervolgens weet mijn router ook wat mijn externe IP is (omdat deze ook NAT service draait en in verbinding staat met mijn ISP) deze router stuurt pakketjes die voor internet bedoelt zijn naar de NAT-service en deze geeft ze weer terug aan de router-service die ze vervolgens het internet op gooit. dit proces wordt omgedraait als er een pakketje terug komt vanaf het internet
de pakketjes die hij niet kent of geen raad mee weet die verdwijnen de bithemel in


het principe van NAT is dat het je interne netwerk "verbergt" en dat via 1 extern ip (van je ISP) contact legt met het internet. de NAT router heeft een tabel waarin hij bewaart wat en met wie verbonden is en deze vervangt / verandert de headers zo dat alles goed met elkaar kan communiceren.

routers worden gebruikt om het verkeer (tcp/ip verkeer bv) zodanig een structuur te geven dat het weet waar het heen moet als het een IP zoekt.

Er is een filmpje van een aantal MB 975mb ofzo) "Roadwarriors guide to the internet" ofzo .. daarin wordt zeer mooi grafisch uitgelegd hoe het TCP/IP verkeer inelkaar zit inclusie router NAT en firewall kijk dat eerst en dan .... dan verder ..praten

Dirk-Jan schreef op 14 januari 2004 @ 12:09:
[...]


als jij dus intern 192.168.0.1 enz. nummert, kan te nooit en te nimmer een systeem op internet contact leggen met deze client.

Dat heeft niets met NAT of IP-masquerading te maken...

nouwe ... je wilt dus dat je 192.168.0.1/24 pakketten translated worden naar een extern (dwz op Internet routeerbaar) adres en dat je interne 192.168.0.1/24 adressen daarmee gemaskeerd worden. In die zin heeft het ermee te maken.

vso schreef op 14 januari 2004 @ 16:02:
@ Dirk-Jan

Routes vergelijken met NAT of masquarading is hetzelfde als een appel en peer te vergelijken.

sterker nog mijn systemen intern hebben 192.168.x.x

mijn router en clients weten waar er wat in mijn netwerk staat vervolgens weet mijn router ook wat mijn externe IP is (omdat deze ook NAT service draait en in verbinding staat met mijn ISP) deze router stuurt pakketjes die voor internet bedoelt zijn naar de NAT-service en deze geeft ze weer terug aan de router-service die ze vervolgens het internet op gooit. dit proces wordt omgedraait als er een pakketje terug komt vanaf het internet
de pakketjes die hij niet kent of geen raad mee weet die verdwijnen de bithemel in


het principe van NAT is dat het je interne netwerk "verbergt" en dat via 1 extern ip (van je ISP) contact legt met het internet. de NAT router heeft een tabel waarin hij bewaart wat en met wie verbonden is en deze vervangt / verandert de headers zo dat alles goed met elkaar kan communiceren.

routers worden gebruikt om het verkeer (tcp/ip verkeer bv) zodanig een structuur te geven dat het weet waar het heen moet als het een IP zoekt.

Er is een filmpje van een aantal MB 975mb ofzo) "Roadwarriors guide to the internet" ofzo .. daarin wordt zeer mooi grafisch uitgelegd hoe het TCP/IP verkeer inelkaar zit inclusie router NAT en firewall kijk dat eerst en dan .... dan verder ..praten

je zegt het dus precies verkeerd om.
je had eerst netwerken met systemen met illegale adressen. (vanwege veiligheid/gierigheid om ip blocks te kopen). Vervolgens hebben ze een systeem gemaakt (NAT) dat deze beperking omzijlt, door illegale adressen te vervangen door legale.

NAT zorgt er dus juist voor dat die lokale hosts WEL het internet op kunnen, ipv. dat NAT ervoor zorgt dat er niemand het netwerk binnen komt. know your history before you preach...

het filmpje is overigens 133 mb en heet "warriors of the net".

als je verder wilt praten voeg je mij maar toe aan msn. dan zal ik het je precies uit leggen.

@toppicstarter

ik denk voor je wat je wil moet je het toch op de linux/unix kant richten voor beveiliging.

Ik zou je een boek aanraden over hacking + beveiliging enzo
omdat daar vele vormen meestal behandeld worden van intern naar buiten en visa versa.

een boek of een andere (misschien digitale bron) zou je denk ik veel helpen wat voor een vormen van firewalls+proxy's je hebt .. het is ook even zoeken in het bos wat het beste aan je eisen voldoet.

je hebt zoveel mogelijk heden ..
hoe hoog moet de grens van kosten/ en het "fabriceren van je product" zijn ten opzichte van de baten ..

en vergeet niet dat de gebruiker ook een hazard an zich is.

vergeet niet de KISS methode (Keep It Simple Stupid) want als je het heel moeilijk voor jezelf maakt dan zie je het ook niet meer .. probeer alles in delen te zetten.. en alles zo klein mogelijk te maken en bv tekeningen en eisen op papier te zetten van wat je wil en je huidige en te wensen situatie.


nogmaals even kort om antwoord te geven op de vraag van

hoe bescherm je je LAN netwerk thuis tegen virus/trojans vanaf het internet ?

- NAT
- Firewall met active filter (die "vervelende" scripts kan filteren)
- en een viri-scanner op de client
- client zodanig beveiligen dat de gebruiker niks kan installeren

extreem
je pc veranderen in een blok cement en in de zee gooien

-------------------------------------------------------
@Dirk-Jan

Dirk-Jan schreef op 14 januari 2004 @ 22:24:
[...]


je zegt het dus precies verkeerd om.
je had eerst netwerken met systemen met illegale adressen. (vanwege veiligheid/gierigheid om ip blocks te kopen). Vervolgens hebben ze een systeem gemaakt (NAT) dat deze beperking omzijlt, door illegale adressen te vervangen door legale.

NAT zorgt er dus juist voor dat die lokale hosts WEL het internet op kunnen, ipv. dat NAT ervoor zorgt dat er niemand het netwerk binnen komt. know your history before you preach...

het filmpje is overigens 133 mb en heet "warriors of the net".

als je verder wilt praten voeg je mij maar toe aan msn. dan zal ik het je precies uit leggen.

nee ik zeg het niet verkeerd om, dat ik het wat anders uitleg dan het misschien is niet netjes maar als men het maar begrijpt.

[off-topic]
en wtf heeft geschiedenis te maken met uitleggen hoe iets werkt? als ik wil weten hoe een motor van een auto werkt dan hoef ik niet te weten dat men eerst met paard en wagen vervolgens de stoom machine en toen de "ontploffings" motor er was .

vervolgens raad ik jou aan om beter te lezen en on-topic te wezen. als je me corrigeert doe dat dan wel svp on topic en extra informatie is leuk maar zoals de Topicstarter ook zegt in deze zaak niet relevant.

en ga voor de klas staan als je mensen de les wil lezen. maar verwacht mij iig niet in die klas want ik pak wel een boek of hoor het wel van anderen als ik me relevante informatie verkeerd post

ps mocht je het afvragen ik bedank je vriendelijk voor je MSN aanbod omdat ik graag met plezier post/praat en ik heb mijn naasten lief en accepteer hoe ze zijn.
[/off-topic]

vso schreef op 15 januari 2004 @ 01:10 vanalles

allerlaatste reactie van mij op dit topic:

ik vertel juist dat NAT niet de oorzaak is dat externe conputers je netwerk op kunnen, maar dat routes in de internet backbone hiervoor zorgen. Een firewall is daarom niet nodig, omdat het systeem waarop NAT draait, toch het enigste systeem is dat op internet aangesproken kan worden. NAT zorgt ervoor dat je interne netwerk met internet kan communiceren.

Als je maar een systeem aan internet hebt hangen, is een firewall niet nodig, maar enkel dien je de poorten en de listeners in de gaten te houden van dit ene systeem.

Dus als je NAT doos dus veilig is, is je interne netwerk veilig.

Dirk-Jan schreef op 15 januari 2004 @ 01:43:
[...]
ik vertel juist dat NAT niet de oorzaak is dat externe conputers je netwerk op kunnen, maar dat routes in de internet backbone hiervoor zorgen. Een firewall is daarom niet nodig, omdat het systeem waarop NAT draait, toch het enigste systeem is dat op internet aangesproken kan worden. NAT zorgt ervoor dat je interne netwerk met internet kan communiceren.

oke je haalt hier een aantal dingen door elkaar, ik ga het even zo simpel mogelijk uitleggen zonder al teveel verwarrende zaken erbij te halen.

NAT
het klopt dat NAT-service ervoor zorgt dat je interne netwerk met je externe netwerk kan communiceren.
Dit op basis van 1 of meerdere externe IP's wat gebruikt wordt is 1 IP omdat dit lekker simpel is en meestal heb je niet meer nodig of krijg je er niet meer.

nat routeert en manyupuleert de pakketjes zodanig alsof het lijk dat het vanaf 1 pc komt. en heeft zelf een tabel/database met hoe en wat hij gedaan heeft zodat hij ook alles weer van buiten naar binnen en visa versa kan routeren(met bewerking erbij)

nat kan een grootdeel verbergen voor de de alles wat buiten je lan ligt, maar geheel verbergen kan hij dat niet er bestaan technieken om zelfs te achter halen hoeveel pc's ongeveer achter een NAT systeem draaien.


ROUTERS
je interne netwerk adressen zijn afspraken die gemaakt zijn zodat je een TCP/IP netwerk intern kan opzetten zonder hiervoor geld te hoeven betalen aan een instantie.
Omdat veel bedrijven/particulieren van prive-adress gebruik kunnen maken worden deze vanwege gemaks halve niet routeerbaar op internet omdat elke host een UNIEK nummer moet hebben. en deze unieke nummers zijn met IPv4 vrij "krap" (of slecht uitgedeeld) hier komt ook een beetje de oorsprong van NAT om de hoek zetten. (ook omdat IP's duur waren/zijn)

als iedereen een 10.1.1.1 adres per ongeluk zou aansluiten op internet is het conflicten tot en met.

overgens is het mogelijk om een willekeurige IP te gebruiken om te internetten. zolang hij maar uniek is op het Internet-Netwerk (IP-highjacking)

providers/isp's en andere mede-beheerders kunnen ervoor kiezen om bepaalde IP-ranges te negeren op hun netwerk voor bepaalde redenen.


dus kortom NAT en routers zijn 2 verschillende zaken soms hebben ze echter overeenkomsten zeker een NAT-service met een router deze 2 zaken gaan meestal hand in hand in het geval van NAT.


wat je beweert van NAT dat deze ervoor zorgt dat:
- NAT ervoor zorgt dat je niet op je interne netwerk kan komen.
Is niet helemaal waar.

je kan poortvoorwarding doen of een programma (trojan bv) zodanig manipuleren dat je toch bv een een pc in het Interne netwerk kan benaderen.

een voorbeeld is bv een webserver die alleen benaderbaar is via www/http poorten en dan je ook internet via de NAT router. of vanaf een interne computer een VPN met een andere computer op het internet op kan zetten.


Daarom ook zal zoals de topicstarter aangeeft in sommige gevallen nodig zijn om ook nog eens een firewall op elke client moeten staan.

Als je maar een systeem aan internet hebt hangen, is een firewall niet nodig, maar enkel dien je de poorten en de listeners in de gaten te houden van dit ene systeem.

Dus als je NAT doos dus veilig is, is je interne netwerk veilig.

een firewall is altijd nodig

unix systemen kunnen zelfs op IP basis IP's of IP-ranges toelaten of weigeren. standaard.

De vraag die je je moet afvragen is hoeveel moeite wil ik doen, heb ik veel kostbaare belangrijke informatie en wat is het mij waard?

foto's van mooie menselijke lichamen die voorbij 18+ zizijn legio te vinden op het internet dus die zijn misschien minder belangrijk dan die fot's van feestjes van de familie en van je hobbies want dat zijn moment opnamens.


Misschien is deze vergelijking wat makkelijker:

als je nu bv in een buurt woont waar veel inbraken zijn neem jij dan zoals jij nu zegt alleen genoegen met sloten op de deur en enkel glas etc ?
Of beveilig je je huis toch wat beter met bv dubbel glas anti-inbraak strips en schroeven en sloten op al je ramen etc ?

Ik denk niet dat de keuze moeilijk is met de vergelijking. Nu zo is het ook met een firewall enzv hoe hoger de grens dat er ingebroken zou kunnen worden hoe minder aantrekkelijk het is voor de inbreker. zeker als je maar een simpel bedrijfje of een thuisgebruiker. want daar valt niks te halen. daarintegen valt bij een groot bedrijf of bak meer te halen dus moet daar de beveiliging hoger zijn.

dit is de vorm van paranoia die men heeft en dat is een zeer persoonlijk iets.

ik brand alles op cd en zet dat in de kast en verwijder het van mijn HD's en ik draai ook met een simple NAT router. maar de TopicStarter kan ik best begrijpen.


bij een computer is niks mogelijk zolang je de techniek zodanig kan manipuleren dat hij doet wat jij wil.

vso schreef op 15 januari 2004 @ 17:49:
overgens is het mogelijk om een willekeurige IP te gebruiken om te internetten. zolang hij maar uniek is op het Internet-Netwerk (IP-highjacking)

Dat je dit zegt, bewijst wel dat je geen verstand hebt van routers.
je kan een willekeurig ip adres gebruiken om pakketjes te verzenden.

wil je echter ook iets ontvangen (wat fijn is bij internetten) dan MOET er een route zijn in zowel de internet backbone, als bij de provider waar je aangesloten bent, met daarin het subnet waar jou IP adres in thuis hoort.

is deze route er niet, dan houd internetten helemaal op.

voor de topicstarter /en de rest mag dit wat DJ en ik over hebben misschien oftoppic zijn maar let op!! ik denk dat kennis een goeie bron is om veiligheid te vergaren.

een verkeerde kennis (van wie doet even niet ter zaken) levert gaten op in je beveiliging en is dus een geen goed begin.


@dirk-jan
1) een subnet masker bepaald alleen hoe groot jou IP range is dus welk gedeelte van een IP uniek is en welke algemeen geld dus bv een ip adres met subnet masker 255.255.255.0 en met IP 192.168.1.222 zou betekenen dat
ik 254 routable adressen heb in een range
192.168.1 is de "straat/postcode"
en .222 is het unieke adres (en het huisnummer)
.0 en .255 zijn broadcast

dit geld ook voor 255.255.255.0 met het ip 62.45.45.23 alleen 62.45.45.x is dan hier de straat en .x is dan het huisnummer


2) als ik een willekeurige broadband router neem met de volgende informatie
192.168.1.2 tot 192.168.1.254 als range en met 192.168.1.1 als gateway
dan kan ik in het netwerk een pc zetten met het IP 10.1.12.14 en als gateway 192.168.1.1 en als DNS server ook 192.168.1.1
Dit zal werken.

dit heeft niks met routes wel of niet aanwezig zijn te maken.

daarnaast zijn er nog routing protocollen die dit "snel leren" waar een IP adres zich bevind.

IP-ranges worden gebruikt om de zaak wat netter te houden en te zorgen dat het geen chaos word in de chaos.


ik denk dat je ongeveer wel weet waar je het over hebt, maar een goed boek zou je geen kwaad doen. of in elk geval wat lees-voer. ik denk dat je de theorie redelijk beheerst echter je weet nog niet alles te plaatsen hoe en wat het hoort

over de zaaken NAT/Routes en dergelijken ben ik geen GURU en pretendeer dat ook niet te zijn. maar als ik niet zou weten wat ik zou doen zou mijn netwerk met:
- 5 lans over 5 locaties
- met internet gateways (freeBSD+NAT-service, Firewall etc)
- VPN's met IPSEC protocol en non broadcasting IP-point to point verbindingen
- met daar achter aparte LAN's met verschillende IP-Ranges waarin windows 2003 Domains staan.
dan zou dit niet werken.
Ik ben namelijk de beheerder van dit zaakje (de Win2k3 domains worden door mij en een ander beheerd) .

tuurlijk nogmaals ik weet niet alles maar mijn motto is:
"A wise man knows what he doesn't know"
en hiermee bedoel ik dat ik nog veel te leren heb op veel vlakken misschien ook in menselijke communicatie.

[ Voor 9% gewijzigd door vso op 15-01-2004 23:42 ]

2) als ik een willekeurige broadband router neem met de volgende informatie
192.168.1.2 tot 192.168.1.254 als range en met 192.168.1.1 als gateway
dan kan ik in het netwerk een pc zetten met het IP 10.1.12.14 en als gateway 192.168.1.1 en als DNS server ook 192.168.1.1
Dit zal werken.

Ik ga het morgen wel even testen, maar volgens mij kun je de andere PC niet eens pingen. Ik dacht namelijk dat een PC in dezelfde range moest zitten om zichtbaar te zijn? Dus in dat geval kan de PC (10.1.12.14) de router (192.168.1.1) niet bereiken...

tweakerbee schreef op 16 januari 2004 @ 02:51:
[...]


Ik ga het morgen wel even testen, maar volgens mij kun je de andere PC niet eens pingen. Ik dacht namelijk dat een PC in dezelfde range moest zitten om zichtbaar te zijn? Dus in dat geval kan de PC (10.1.12.14) de router (192.168.1.1) niet bereiken...

Inderdaad, het zou niet moeten werken, sterker nog, de meeste computer gaan zeuren dat je gateway niet in je lokale (subnet) zit, dus kan je het niet eens invoeren!

meeste computers gaan zeuren ? hmmm misschien een waarschuwing maar dat is alles.

als de gateway en client maar in het zelfde subnet liggen.

een IP-range in je netwerk gebruiken is netjes .. en het is niet netjes om 2 verschillende reeksen in 1 netwerk te hangen maar het kan.

vso schreef op 15 januari 2004 @ 23:38:

2) als ik een willekeurige broadband router neem met de volgende informatie
192.168.1.2 tot 192.168.1.254 als range en met 192.168.1.1 als gateway
dan kan ik in het netwerk een pc zetten met het IP 10.1.12.14 en als gateway 192.168.1.1 en als DNS server ook 192.168.1.1
Dit zal werken.

Van je langzalzeleven niet. Waarom hebben we dan nog routers, als dit zou werken?

dit heeft niks met routes wel of niet aanwezig zijn te maken.

hier heeft het alles mee te maken. routes zijn wegwijzers voor subnets. Als er geen wegwijzer met jou ip subnet op internet is, kan niemand met je computer communiceren, omdat ze deze niet kunnen vinden.

daarnaast zijn er nog routing protocollen die dit "snel leren" waar een IP adres zich bevind.

routing protocollen leren niets. Elke route die ze kennen, zul je zelf ergens moeten opgeven.
Het enigste wat routing protocollen doen, is de routes die zij kennen, door geven aan zijn buurrouter. (sommige houden ook nog de status van interfaces bij).

IP-ranges worden gebruikt om de zaak wat netter te houden en te zorgen dat het geen chaos word in de chaos.

ip ranges worden gebruikt om de zaak aanwijsbaar te maken. Je kan geen unieke host aan het internet koppelen. Deze zal altijd in een subnet moeten zitten.

ik denk dat je ongeveer wel weet waar je het over hebt, maar een goed boek zou je geen kwaad doen. of in elk geval wat lees-voer. ik denk dat je de theorie redelijk beheerst echter je weet nog niet alles te plaatsen hoe en wat het hoort

Euh, ik ben MCSA (en MCP 70-220) en CCNA (passing score 958) gecertificeerd. Ik heb mijn BSCI-CCNP 4 maanden geleden gehaald, en men ik momenteel bezig met BCRAN. Daarnaast ben ik bezig met het CCDA traject. Deze zou ik nog voor mei willen afsluiten. Op mijn plank staan 1,3 meter Cisco en Microsoft boeken. Ik denk dat mijn kennis over netwerken minder basic is als jij denkt.

over de zaaken NAT/Routes en dergelijken ben ik geen GURU en pretendeer dat ook niet te zijn. maar als ik niet zou weten wat ik zou doen zou mijn netwerk met:
- 5 lans over 5 locaties
- met internet gateways (freeBSD+NAT-service, Firewall etc)
- VPN's met IPSEC protocol en non broadcasting IP-point to point verbindingen
- met daar achter aparte LAN's met verschillende IP-Ranges waarin windows 2003 Domains staan.
dan zou dit niet werken.
Ik ben namelijk de beheerder van dit zaakje (de Win2k3 domains worden door mij en een ander beheerd) .

Ik hoop dat er niets mis gaat met je routers

tuurlijk nogmaals ik weet niet alles maar mijn motto is:
"A wise man knows what he doesn't know"
en hiermee bedoel ik dat ik nog veel te leren heb op veel vlakken misschien ook in menselijke communicatie.

Communicatie is goed. Je mag je alleen wel wat verder verdiepen in de theorie. Staan soms ook interesante dingen in.

vso schreef op 15 januari 2004 @ 23:38:
voor de topicstarter /en de rest mag dit wat DJ en ik over hebben misschien oftoppic zijn maar let op!! ik denk dat kennis een goeie bron is om veiligheid te vergaren.

een verkeerde kennis (van wie doet even niet ter zaken) levert gaten op in je beveiliging en is dus een geen goed begin.


@dirk-jan
1) een subnet masker bepaald alleen hoe groot jou IP range is dus welk gedeelte van een IP uniek is en welke algemeen geld dus bv een ip adres met subnet masker 255.255.255.0 en met IP 192.168.1.222 zou betekenen dat
ik 254 routable adressen heb in een range
192.168.1 is de "straat/postcode"
en .222 is het unieke adres (en het huisnummer)
.0 en .255 zijn broadcast

dit geld ook voor 255.255.255.0 met het ip 62.45.45.23 alleen 62.45.45.x is dan hier de straat en .x is dan het huisnummer


2) als ik een willekeurige broadband router neem met de volgende informatie
192.168.1.2 tot 192.168.1.254 als range en met 192.168.1.1 als gateway
dan kan ik in het netwerk een pc zetten met het IP 10.1.12.14 en als gateway 192.168.1.1 en als DNS server ook 192.168.1.1
Dit zal werken.

dit heeft niks met routes wel of niet aanwezig zijn te maken.

daarnaast zijn er nog routing protocollen die dit "snel leren" waar een IP adres zich bevind.

IP-ranges worden gebruikt om de zaak wat netter te houden en te zorgen dat het geen chaos word in de chaos.


ik denk dat je ongeveer wel weet waar je het over hebt, maar een goed boek zou je geen kwaad doen. of in elk geval wat lees-voer. ik denk dat je de theorie redelijk beheerst echter je weet nog niet alles te plaatsen hoe en wat het hoort

over de zaaken NAT/Routes en dergelijken ben ik geen GURU en pretendeer dat ook niet te zijn. maar als ik niet zou weten wat ik zou doen zou mijn netwerk met:
- 5 lans over 5 locaties
- met internet gateways (freeBSD+NAT-service, Firewall etc)
- VPN's met IPSEC protocol en non broadcasting IP-point to point verbindingen
- met daar achter aparte LAN's met verschillende IP-Ranges waarin windows 2003 Domains staan.
dan zou dit niet werken.
Ik ben namelijk de beheerder van dit zaakje (de Win2k3 domains worden door mij en een ander beheerd) .

tuurlijk nogmaals ik weet niet alles maar mijn motto is:
"A wise man knows what he doesn't know"
en hiermee bedoel ik dat ik nog veel te leren heb op veel vlakken misschien ook in menselijke communicatie.

zulke bull maakt me dag weer goed

owned by dirk-jan i'd say

Anoniem: 29769 schreef op 16 januari 2004 @ 11:31:
(als jullie snappen wat ik jullie duidelijk probeer te maken)

je snapt het precies.

eigenlijk zeg je het zelfde wat ik zeg. Die computers zijn niet bereikbaar omdat er geen route is naar het subnet. Ik heb het over prive ranges, omdat die impliciet geen route in de internet backbone hebben.

Legale (gejatte) subnets zijn niet bereikbaar, omdat de route voor het legale subnet een route heeft naar de echte eigenaar. Bij jou ook niet bereikbaar dus.

Anoniem: 29769 schreef op 16 januari 2004 @ 11:51:
[...]
, je NAT router heeft geen routes naar je interne netwerk.

[offtopic kul>
he nee, jullie worden heb eens, strax wordt het topic gesloten. tijd dus om verwarring te zaaien
als je nat router geen route naar je interne net heeft hoe routeert die dan ? of doet die nat ipv routeren (maar wrom noemen ze het dan een router) of is nat een vorm van routeren ?
[/offtopic kul>

arikkert schreef op 16 januari 2004 @ 12:05:
[...]


[offtopic kul>
he nee, jullie worden heb eens, strax wordt het topic gesloten. tijd dus om verwarring te zaaien
als je nat router geen route naar je interne net heeft hoe routeert die dan ? of doet die nat ipv routeren (maar wrom noemen ze het dan een router) of is nat een vorm van routeren ?
[/offtopic kul>

het zit zo:

je provider heeft een legale IP range. (we zullen AS'en even helemaal buiten beschouwing laten).
in de internet backbone zit een route naar de provider zijn subnet.
Een van deze adressen in dit subnet is jou adres.
Het netwerk van de provider weet waar jij bent.

Dit is het enigste adres waarmee je op internet te bereiken bent.


Nu het volgende: Je hebt een intern netwerk, maar je beschikt niet over legale IP adressen. Je kan nu je interne netwerk met illegale ip adressen gaan nummeren.

Je zit nu met het volgende probleem. Deze interne IP adressen zijn niet over internet te bereiken.

Daar hebben ze vervolgens NAT voor uitgevonden. NAT is een proces dat op een router draait, en alle pakketten uit een voorgedefinieerde range vervangt door adressen uit een andere voorgedefinieerde range.

NAT is oorspronkelijk ontwikkeld om netwerken met overlappende subnets met elkaar te kunnen laten praten.

Later zijn ze dit gaan gebruiken om complete netwerken aan internet te koppelen.

@ Dirk-Jan

het is me niet duidelijk of je het net niet snapt, of alleen maar beroerd onder woorden brengt.

Dirk-Jan schreef op 15 januari 2004 @ 01:43:
[...]
ik vertel juist dat NAT niet de oorzaak is dat externe conputers je netwerk op kunnen, maar dat routes in de internet backbone hiervoor zorgen.

Dat klopt uiteraard, om echter terug te komen op het punt waar deze hele 'de mijne is groter' discussie om draait: als ik een officieel gerouteerd IP adres zou gebruiken, maar op de router naar mijn ISP NAT/PAT zou gebruiken, zou mijn netwerk van buitenaf veilig zijn. NAT/PAT is, voor gevaar van buiten, een afdoende beveiliging.

NAT(/PAT) is een basisbouwsteen van de meeste enterprise-grade firewall systemen zoals de Cisco PIX en de Checkpoint FW1 om precies die reden. Inherent veilig, zonder direct aan de accesslists te hoeven. Wat niet wil zeggen dat acl's geen toegevoegde waarde kunnen hebben, alsmede statefull inspection, anti-spoofing en nog wat meer marketing termen.

vso schreef op 15 januari 2004 @ 17:49:
nat kan een grootdeel verbergen voor de de alles wat buiten je lan ligt, maar geheel verbergen kan hij dat niet er bestaan technieken om zelfs te achter halen hoeveel pc's ongeveer achter een NAT systeem draaien.

Alleen indirect, door de verkeersstroom te analyseren, en dan nog afhankelijk van diverse factoren als gebruikte OS, router, enz enz.

als iedereen een 10.1.1.1 adres per ongeluk zou aansluiten op internet is het conflicten tot en met.

Geen conflicten, het gaat gewoon niet werken. Er is maar een situatie waarbij je een conflict kan krijgen, en dat is bij een multiple access netwerk (zoals o.a. Ethernet), waarbij dat IP adres op zich wel geldig is (subnet), alleen niet aan jouw behoort.

overgens is het mogelijk om een willekeurige IP te gebruiken om te internetten. zolang hij maar uniek is op het Internet-Netwerk (IP-highjacking)

Alleen als 'ie uniek binnen het IP subnet, en het een multiple access betreft. Net als hierboven.

Dirk-Jan schreef op 16 januari 2004 @ 10:39:
Euh, ik ben MCSA (en MCP 70-220) en CCNA (passing score 958) gecertificeerd. Ik heb mijn BSCI-CCNP 4 maanden geleden gehaald, en men ik momenteel bezig met BCRAN. Daarnaast ben ik bezig met het CCDA traject. Deze zou ik nog voor mei willen afsluiten. Op mijn plank staan 1,3 meter Cisco en Microsoft boeken. Ik denk dat mijn kennis over netwerken minder basic is als jij denkt.

Zonder over je kennis te willen (en kunnen, op deze beperkte basis) oordelen, moet ik hier toch even om lachen. Ik ben MSCE, MSP+I en nog zo wat papiertjes, maar ik heb niet de illusie dat ik echt veel verstand heb van NT producten. Daarentegen heb ik 5 jaar zware netwerkervaring in grote bedrijfsnetwerken, en is mijn CCNP certificatie puur omdat de werkgever dat wel leuk vond, niet omdat ik het zo nodig had. Papiertjes zeggen mij dus erg weinig... (en de mijne is het grootst )


De vraag die ik tot nu toe mis is wat je precies wilt beveiligen. Wil je voorkomen dat je systeem gehacked wordt van buitenaf? Dan is NAT an sich voldoende, tenzij je bewust poorten open zet. Tegen een aanval van buiten heeft firewall software op de clienst geen toegevoegde waarde.

Wil je voorkomen dat er bepaald verkeer van binnen naar buiten plaats vind, dan zul je dat met access-lists en/of software op je clients moeten doen. Voor mijn persoonlijke situatie is NAT ruim voldoende, voor mijn ouders (downloaden en installeren alles wat los en vast zit) niet.

Grappig dat mensen allemaal firewalls en antivirus software nodig hebben om hun pc te beschermen.

Ik doe al heel mijn leven zonder firewalls en virusscanners, en ik moet toegeven ik heb wel eens een virusje gehad en ben wel eens gehackt (wie niet) maar ik heb daarvan geleerd en mijn beveiliging aangepast.

Voor een bedrijf is het natuurlijk geen optie om geen firewall en virusscanner te draaien.

ijdod schreef op 16 januari 2004 @ 14:46:
@ Dirk-Jan
Alleen indirect, door de verkeersstroom te analyseren, en dan nog afhankelijk van diverse factoren als gebruikte OS, router, enz enz.

ja dat klopt echt onzichtbaar zal je het denk ik nooit krijgen en nooit helemaal duidelijk ook niet. denk ik dan. maar kwa veiligheid is dit denk ik niet een gewenst fenomeen. als ISP kan je daar toch gebruik van maken en er zijn al ISP's die dit soort systemen niet toelaten c.q geld in rekening willen brengen voor de hoeveelheid pc's die van internet gebruik gaan maken.


Geen conflicten, het gaat gewoon niet werken. Er is maar een situatie waarbij je een conflict kan krijgen, en dat is bij een multiple access netwerk (zoals o.a. Ethernet), waarbij dat IP adres op zich wel geldig is (subnet), alleen niet aan jouw behoort.

Ik ben MSCE, MSP+I en nog zo wat papiertjes, maar ik heb niet de illusie dat ik echt veel verstand heb van NT producten. Daarentegen heb ik 5 jaar zware netwerkervaring in grote bedrijfsnetwerken, en is mijn CCNP certificatie puur omdat de werkgever dat wel leuk vond, niet omdat ik het zo nodig had. Papiertjes zeggen mij dus erg weinig... (en de mijne is het grootst )

ik sluit me wel aan betreft de papiertjes en praktijk

De vraag die ik tot nu toe mis is wat je precies wilt beveiligen. Wil je voorkomen dat je systeem gehacked wordt van buitenaf? Dan is NAT an sich voldoende, tenzij je bewust poorten open zet. Tegen een aanval van buiten heeft firewall software op de clienst geen toegevoegde waarde.

wat ik van de TS vermoed is dat deze zeg maar zich wil beschermen tegen software die via java + activex geinstalleerd worden op een systeem via ja/nee buttons. virussen en netsend spam en eventueel reclame blokkeren.

zeg maar een hoge gradatie van paranoia

Wil je voorkomen dat er bepaald verkeer van binnen naar buiten plaats vind, dan zul je dat met access-lists en/of software op je clients moeten doen. Voor mijn persoonlijke situatie is NAT ruim voldoende, voor mijn ouders (downloaden en installeren alles wat los en vast zit) niet.

ACL's zijn denk ik een beetje extreem weer IMHO indien deze zeggen dat je bv niet mag kazaa-en maar wel HTTP verkeer mag genereren .. om maar wat te nomen. (wel netjes opgevoede ouders )

ik denk dat de TS wel alles van binnen naar buiten wil kunnen doen maar een beetje extreem(voor jou en mij dan, niet voor de TS zelf) van buiten naar binnen wil beveiligen dus zich maximaal mogelijk tegen het externe kwaad wil beschermen zonder daarvoor zijn pc in cement te hullen en op de bodem van een oceaan te hoeven gooien.


betreft mijn uitleg
tja ipadressen en dergelijke it works over here en ik zal ook me gewoon aan de "standaard" topologie houden vpn's en ethernet bridges over het internet aanleggen verhoogt je moeilijkheidsgraad netwerk technisch gezien. en netzoals dit beveiligings topic het is een leuk onderwerp om iets te leren over computers

even een leuk feitje .. ik heb net mijn BSD bak zodanig geconfigureerd dat mijn ethernet frames over beide NIC's gestuurd worden en ik kan vanaf elk systeem in mijn lan benaderd worden(promisc modus). daarvoor niet.

LAN ===== ROUTER === ADSL modem

dus...

[ Voor 3% gewijzigd door vso op 16-01-2004 17:22 ]

Buzz_Lightyear schreef op 26 januari 2004 @ 17:43:

offtopic:
Dirk-Jan en VSO zouden eens samen een FAQ over "thuis-netwerkje beveiliging" moeten maken

moet je daar een week-oud topic voor kicken?

OOPS...excuses aan allen en iedereen

_{toch een bruikbare suggestie, niet?}