Windows unc benaderen door firewall - Privacy en beveiliging

zaterdag 26 juni 2004 21:48

Acties:

0 Henk 'm!

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Ik kreeg een vraag van de directeur van een lokale basisschool. Men wil Windows UNC paden bereiken door hun firewall (deze staat tussen 2 apparte delen van de school). Afgezien van de vraag of dit verstandig is; welke poorten moeten hier voor open? Men wil dus bv \\w1232\test\test.html kunnen openen. Is dit allemaal netbios of tcp ip verkeer (en dus poort 137 t/m 139) of komt er nog meer bij kijken?

Zijn er andere alternatieven om dit op een veilige manier op te lossen zonder de content van de site test.html aan te passen (deze gebruikt unc namen

)

[ Voor 17% gewijzigd door Bor op 26-06-2004 21:49 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 26 juni 2004 21:56

Acties:

0 Henk 'm!

Anoniem: 35417

137UDP
138UDP
139TCP

Moet voldoende zijn.

zaterdag 26 juni 2004 22:27

Acties:

0 Henk 'm!

alt-92

ye olde farte

445 TCP ?
En plz make bloody sure dat ALLEEN dat server-IP erbij mag.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 26 juni 2004 22:28

Acties:

0 Henk 'm!

Emmeau

All your UNIX are belong to us

dit is NIET verstandig.
Er zijn een hoop virussen/trojans die port 445 een erg fijn portje vinden om mee te spelen.

oplossing :
VPN

If you choose to criticise you choose your enemies

zaterdag 26 juni 2004 22:39

Acties:

0 Henk 'm!

TheZoo

Animals Behind Bars

Emmeau schreef op 26 juni 2004 @ 22:28:
dit is NIET verstandig.
Er zijn een hoop virussen/trojans die port 445 een erg fijn portje vinden om mee te spelen.

oplossing :
VPN

Mijn idee.

We may be humans, but we are still animals.
We are immortal for a limited time.

zaterdag 26 juni 2004 22:40

Acties:

0 Henk 'm!

swampy

Coconut + Swallow = ?

Poort 138 open is ook niet zo lekker hoor... ken nog wel een aantal virussen die op die poort heerlijk kunnen genieten van "foutjes" in het windows sharing protocol!

There is no place like ::1

zondag 27 juni 2004 00:20

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

VPN zal in deze omgeving geen optie zijn. Waarvoor is poort 445 trouwens? De host die men wil benaderen is win2k voorzien van alle patches etc.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 27 juni 2004 00:33

Acties:

0 Henk 'm!

MikeN

445 is Netbios over TCP/IP (of w/e de officiele naam is). Dat is zeg maar de nieuwe standaard (sinds win2k) die iets minder ranzig is dan die 137-139.

zondag 27 juni 2004 00:33

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Dus dat zal betekenen dat je alleen 445 moet openen (en niet 137-139)? En wat met NT 4 clients ?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 27 juni 2004 00:34

Acties:

0 Henk 'm!

Emmeau

All your UNIX are belong to us

Bor_de_Wollef schreef op 27 juni 2004 @ 00:20:
VPN zal in deze omgeving geen optie zijn. Waarvoor is poort 445 trouwens? De host die men wil benaderen is win2k voorzien van alle patches etc.

Waarom is VPN geen optie?

port 445 is je rpc port waar alle fijne blaster en andere meuk op binnen komt, met name binnen een school lijk me dat niet handig.

If you choose to criticise you choose your enemies

zondag 27 juni 2004 00:55

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Let ook op dat je een WINS server nodig hebt wil je op naam kunnen werken (of met LMHOISTS files / DNS namen moet gaan knoeien) aangezien je firewall in dit geval als router fungeert en je dus geen name lookup kan doen per broadcast

zondag 27 juni 2004 01:04

Acties:

0 Henk 'm!

Emmeau

All your UNIX are belong to us

elevator schreef op 27 juni 2004 @ 00:55:
Let ook op dat je een WINS server nodig hebt wil je op naam kunnen werken (of met LMHOISTS files / DNS namen moet gaan knoeien) aangezien je firewall in dit geval als router fungeert en je dus geen name lookup kan doen per broadcast

Aangezien zover ik zie het maar om 2 machines gaat, zou een host file afdoende moeten zijn.
Mocht TS besluiten om (ondanks dat hij zonder reden aangeeft dat het geen optie is) om toch de gevaarlijke (en in mijn ogen zeer onprofessionele en domme weg) op te gaan, dan zou een host file voldoende zijn met 2 machines.

Probeer de zaak nu niet te ingewikkeld te maken voor de TS waardoor hij eventueel alsnog niet op een VPN zou over stappen, en daarbij mega concessies doet op het gebied van beveiliging.

[ Voor 13% gewijzigd door Emmeau op 27-06-2004 01:05 ]

If you choose to criticise you choose your enemies

zondag 27 juni 2004 10:37

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

VPN is niet echt een optie omdat ze niet het beheer uitvoeren op beide machines en daar ook niet echt invloed op hebben. Ik neem dan ook aan dat jullie een vpn van de client naar de server bedoelen en niet een vpn tussen beide firewalls?

En wat is de toevoeging van VPN boven een rule waar alleen verkeer vanaf een ip toegestaan is?

[ Voor 51% gewijzigd door Bor op 27-06-2004 11:11 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 27 juni 2004 18:32

Acties:

0 Henk 'm!

alt-92

ye olde farte

ik zou liever drammen dat die ongelofelijk irritante UNC constructie eruit gedevved wordt dan een VPN erop te zetten.
Leuk, nog een extra vulnerability (extra service) introduceren..

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 28 juni 2004 20:31

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Kan iemand nog antwoord geven op: En wat is de toevoeging van VPN boven een rule waar alleen verkeer vanaf een ip toegestaan is?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 28 juni 2004 22:47

Acties:

0 Henk 'm!

Fish

How much is the fish

nou ja als je vpn gebruikt is het dus mogelijk om alleen "unc/netbios" verkeer toe te staan via de (vertrouwde) tunnel en de rest kan er dus niet meer bij.

je zou mischien ook een alias aan kunnen maken op die server die gelijk is aan die pc die achter die firewall staat (en dus geen netbios achtig contact heeft)
en dan via een ftp dingetje de nu dus lokale directies updaten

en stja als je die poorten toch wil forwarden kun je imho die "firewall" net zo goed uitzetten. als er iets veel ellende meekrijgt zijn het wel die poorten

[ Voor 24% gewijzigd door Fish op 28-06-2004 22:50 ]

Iperf

maandag 28 juni 2004 22:52

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Voor de duidelijkeheid: het verkeer gaat niet over internet. Ze hebben en directe verbinding tussen de 2 firewalls. De toegevoegde waarde van VPN lijkt me dan minimaal?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 28 juni 2004 23:04

Acties:

0 Henk 'm!

Fish

How much is the fish

stja .. vertel, wat is precies de functie van die firewall dan

ik bedoel .. waarom hebben jullie hem dan neergezet ?

[ Voor 32% gewijzigd door Fish op 28-06-2004 23:06 ]

Iperf

dinsdag 29 juni 2004 07:09

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Het is niet "jullie". Dit is de oplossing die destijds door de school is neer laten zetten. Het gaat om 2 omgevingen die elkaar in principe niet vertrouwen. Nu blijkt het dat er steeds meer en meer oet worden samengewerkt.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 29 juni 2004 08:49

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Als het enkel om een paar specifieke PC's met vaste IP adressen in een LAN gaat, lijkt mij het best om het zo te doen voor specifiek die IP adressen. Je maakt het voor iemand makkelijk om expres door de FW te komen (simpelweg het IP gebruiken), maar dat lijkt me geen groot risico in deze setup.

VPN is er voor gemaakt en geeft wat meer flexibiliteit en veiligheid (encryptie, op gebruiker+password toegang geven). OTOH, met een VPN meteen het volledige netwerk in kunnen is ook niet echt een manier om bijv. virussen buiten te houden.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 29 juni 2004 17:59

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Is het maken van een webshare ipv gewone share misschien een optie zodat ik geen unc paden meer heb?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 29 juni 2004 18:04

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

De webshare die ik ken is readonly, lijkt me dus niet handig. Of bedoel je dat niet?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)