Toon posts:

firewall regel op basis van dns adres

Pagina: 1
Acties:

woensdag 11 augustus 2004 16:42

Acties:

Verwijderd

Topicstarter
Hallo, om de security enigsinds te versterken, wil ik de firewall alleen verkeer laten doorlaten als het van een bepaald IP adres afkomt. Dit concept werkt prima (houd IP spoofing niet tegen, maar mensen moeten dan gaan gokken welk IP adres eventueel door mag). Portscan acties worden in ieder geval geweerd.

Maar als ik mensen heb die vaak een ander IP hebben, is dit een probleem. Daarom dacht ik zo, pak een Dyndns adres en resolve het IP adres op basis van dit dyndns adres. Lijkt allemaal goed te gaan, alleen kan mijn smoothwall firewall geen toegang verlenen op basis van een dns entry. Hij wil perse een IP adres hebben.

Zijn er firewalls die wel toegang kunnen verlenen op basis van een dns adres? (het mag gerust een commerciele firewall zijn) softwarematig of hardwarematig. Ik vraag me gewoon af of er firewalls zijn die dit kunnen.

[ Voor 11% gewijzigd door Verwijderd op 11-08-2004 16:50 ]

woensdag 11 augustus 2004 16:44

Acties:
  • VisionMaster
  • Registratie: Juni 2001
  • Laatst online: 09-05 11:54

VisionMaster

Security!

Verwijderd schreef op 11 augustus 2004 @ 16:42:
Hallo, om de security enigsinds te versterken, wil ik de firewall alleen verkeer laten doorlaten als het van een bepaald IP adres afkomt. Dit gaat prima.

Maar als ik mensen heb die vaak een ander IP hebben, is dit een probleem. Daarom dacht ik zo, pak een Dyndns adres en resolve het IP adres op basis van dit dyndns adres. Lijkt allemaal goed te gaan, alleen kan mijn smoothwall firewall geen toegang verlenen op basis van een dns entry. Hij wil perse een IP adres hebben.

Zijn er firewalls die wel toegang kunnen verlenen op basis van een dns adres? (het mag gerust een commerciele firewall zijn) softwarematig of hardwarematig. Ik vraag me gewoon af of er firewalls zijn die dit kunnen.
Gadver wat hack :r
Waarom gebruik je geen geauthenticeerd/geauthoriseerd verbindingstechnieken?
SSH-tunneling of VPN als je toch bezig bent.

I've visited the Mothership @ Cupertino

woensdag 11 augustus 2004 16:46

Acties:

Verwijderd

persoonlijk zou ik toch ook voor een andere oplossing gaan, dan diegene die de TS voorstelt...

woensdag 11 augustus 2004 16:54

Acties:

Verwijderd

Topicstarter
het gaat om gecontrolleerde toegang tot een website.. Daar komt natuurlijk SSL bij voor het veilig versturen van login gegevens enzo, maar we willen wel voorkomen dat iedereen dan zomaar (wel veilig) kan gaan proberen in te loggen.

Het is niet DE oplossing, maar een deel van het totale oplossingspakket

woensdag 11 augustus 2004 16:59

Acties:

Verwijderd

alternatief: je webserver draaien op een andere poort dan de default.

om op 't topic terug te komen, ik heb er zo niet meteen een idee over. Je kan ns kijken in de BIND man, of die 't kan?

woensdag 11 augustus 2004 17:05

Acties:

Verwijderd

Hangt er vanaf wat voor firewall 't is.
Hostnames en IPs zitten op een andere layer he.

Misschien is dit stukje wel handig:
http://listserver.uk.free...ers/2004-July/009548.html

woensdag 11 augustus 2004 17:19

Acties:
  • VisionMaster
  • Registratie: Juni 2001
  • Laatst online: 09-05 11:54

VisionMaster

Security!

Ok...

Wat voor mensen zijn dit?
Wat willen ze gaan doen binnen je thuis of bedrijfsnetwerk? Wat ga je werkelijk proberen door te laten tot je interne netwerk/portforwarding mechanismen?
Wat voor website authenticatie/authorisatie wil je gaan inbakken... normale website stuff of meer?
Waarom volstaat een SSL connectie met authenticatie dingetjes hier niet? Van wegen de mogelijke SYN attack op de SSL website stukje?

[ Voor 40% gewijzigd door VisionMaster op 11-08-2004 17:22 ]

I've visited the Mothership @ Cupertino

donderdag 12 augustus 2004 11:42

Acties:

Verwijderd

Topicstarter
Het gaat om een groep mensen waar we geen software op willen installeren (zoals SSH clients) geen VPN dingen mee willen doen, alleen een hostname van willen hebben (of IP adres) en deze dan naar onze website door willen laten sturen (eventueel later ook Citrix poort).

Dit voorkomt het standaard scriptkiddy gedrag (alle poorten scannen en zoeken naar lekken). Voor vaste IP adressen werkt het dus, voor losse IP adressen (laptops die inbellen en iedere keer ander IP adres krijgen) werkt het niet en zouden we DynDNS namen moeten kunnen checken.

De vraag nogmaals, zijn er firewalls waar je de port forward regel zo kan instellen dat hij kijkt naar de binnenkomer op DNS naam ipv iP adres (nouja allebei dus).
If from 10.0.0.120:80 then route to 192.168.1.12
if from Bla.mine.nu:80 then route to 192.168.1.12

zoiets dus....

donderdag 12 augustus 2004 11:49

Acties:
  • blaataaps
  • Registratie: Juli 2001
  • Niet online

blaataaps

Nee, en als ze er zijn, zijn ze vast traag. Zoals al eerder gezegd werkt dns op een niveau hoger dan de meeste firewalls.
Wat je krijgt bij jouw geval, stel dat je 100 van die dyndns in je ruleset hebt, moet ie bij elke nieuwe verbinding 100 lookups doen om te kijken of 1 van die dingen toevallig bij het verbindende ip hoort, dat lijkt me niet helemaal de bedoeling of wel? Omdat je vantevoren de reverse van de ips niet weet kun je ook daar niet op filteren, het zal dus echt massaal resolven worden, wat jij wil kan dus niet denk ik, en als het al kan, wil je het niet :)
Wat je eventueel wel kunt doen is in een cronjob elk half uur ofzo de ruleset opnieuw zetten, waarbij eventuele veranderingen van een dyndns-host elk half uur gecheckt in toegelaten worden.

donderdag 12 augustus 2004 12:09

Acties:
  • Guru Evi
  • Registratie: Januari 2003
  • Laatst online: 13-05 18:18

Guru Evi

Je kunt je webserver miscchien instellen om enkel bepaalde DNS-adressen toe te laten. Maar zoals eerder al vermeld, een andere oplossing (een oplossing ala DynDNS valt redelijk makkelijk te spoofen) zoals SSH(-tunnel) en VPN is misschien beter.

Pandora FMS - Open Source Monitoring - pandorafms.org

donderdag 12 augustus 2004 12:58

Acties:

Verwijderd

Topicstarter
In jullie verhalen zit wat in....

misschien wordt het voor de road warriors wel eerst een vpn verbinding maken met een VPN server welke vervolgens door mag naar de web server.

De road warriors zijn beter te beheren dan computers in verre landen. Zolang de computers in verre landen maar geen wisselende IP adressen krijgen is alles onder controle.. Anders moeten die ook SSH dingen geen doen. bedankt voor de input in ieder geval!

[ Voor 42% gewijzigd door Verwijderd op 12-08-2004 13:01 ]

donderdag 12 augustus 2004 16:38

Acties:

Verwijderd

In ieder geval, die SSH is de makkelijkste en veiligste oplossing.

SSH clients hoef je niet eens te installeren bij die groep mensen, je kan opteren voor een Java client.
Kijk bvb eens bij appgate MindTerm, iets wat ons departement gebruikt.
Pagina: 1
Reageer