 |
|
|
|
| Autor |
Nachricht |
Fourty2
Anmeldungsdatum: 06.01.2005
Beiträge: 33
|
 Verfasst am:
Di 20 Feb, 2007 01:17 |
  |
|
Hallo zusammen,
laut Test auf http://www.bedatec.de/ftpnat/dotest.html und Kontrolle per LANmonitor hat die Lancom Firmware (6.30) meines 1811 die ein heftiges Sicherheitsloch im FTP-NAT Modul.
Sowohl Verbindungen an die eigene interne, wie an andere lokale IPs werden angenommen. Wie kann man dies am sinnvollsten abstellen?
Grüße,
42 |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4467
Wohnort: Aachen
|
| Verfasst am:
Di 20 Feb, 2007 15:51 |
|
|
Hi Fourty2
| Zitat:
|
|
Wie kann man dies am sinnvollsten abstellen?
|
letztendlich gar nicht - es sei denn du verbietest deinem Browser Java zu verwenden. Für solche Seiten recht es aus, in der Firewall die Ports 20 und 21 zu sperren - nur kannst du dann keinen FTP-Server mehr auf dem Standardport erreichen...
Das Problem ist, daß ein aktives FTP nunmal zulässig ist - genau so wie Site-To-Site-Transfers (=> Stichwort FXP). Alle Welt würde jammern, wenn das LANCOM das nicht könnte, mit dem Verweis, daß das selbst der 50 EUR Router aus dem Blöd-Markt kann
Das gleiche Problem besteht z.B. beim Dateiaustausch über IRC - auch hier wird ein lokaler Port geöffnet, was durch eine entsprechend manipulierte Webseite ausgenutzt werden kann...
Oder auch bei H.323...
oder...
oder...
oder...
Gruß
Backslash |
|
|
|
|
Fourty2
Anmeldungsdatum: 06.01.2005
Beiträge: 33
|
| Verfasst am:
Di 20 Feb, 2007 17:41 |
|
|
Hallo backslash,
| backslash hat folgendes geschrieben:
|
| Zitat:
|
|
Wie kann man dies am sinnvollsten abstellen?
|
Das Problem ist, daß ein aktives FTP nunmal zulässig ist - genau so wie Site-To-Site-Transfers (=> Stichwort FXP). Alle Welt würde jammern, wenn das LANCOM das nicht könnte, mit dem Verweis, daß das selbst der 50 EUR Router aus dem Blöd-Markt kann
|
Vielleicht könnte man dies ja abschaltbar gestalten (in einer nächsten Version)?
So kann dieser "Test" (und damit auch jedes Schadprogramm), auf Rechner 192.168.1.3 gestartet, problemlos eine Verbindung zu 192.168.1.x auf einem beliebigen Port aufbauen und die "Deny All"-Regel problemfrei tunneln. (x=1...254, also auch zu anderen Rechnern!)
Übrigens, nur Java abzuschalten, wird nicht helfen...
Grüße,
Stefan |
|
|
|
|
Dilbert
Anmeldungsdatum: 29.05.2005
Beiträge: 86
|
| Verfasst am:
So 04 März, 2007 14:02 |
|
|
Hi!
| backslash hat folgendes geschrieben:
|
|
letztendlich gar nicht - es sei denn du verbietest deinem Browser Java zu verwenden. Für solche Seiten recht es aus, in der Firewall die Ports 20 und 21 zu sperren - nur kannst du dann keinen FTP-Server mehr auf dem Standardport erreichen...
|
Meiner Meinung nach wäre es schon sinnvoll, aktives FTP per Option zu unterbinden (oder evtl. über einen transparenten Proxy auf dem LANCOM zu realisieren).
Eine einfache Maßnahme wäre aber, für aktive FTP-Transfers nur Ports > 1024 zuzulassen.
| backslash hat folgendes geschrieben:
|
|
Das Problem ist, daß ein aktives FTP nunmal zulässig ist - genau so wie Site-To-Site-Transfers (=> Stichwort FXP). Alle Welt würde jammern, wenn das LANCOM das nicht könnte, mit dem Verweis, daß das selbst der 50 EUR Router aus dem Blöd-Markt kann
|
OK, das stimmt leider. Es gibt immer noch genügend Kunden die LANCOMs mit Routern aus dem blöden Markt vergleichen. Es ist nicht immer einfach, einem Kunden zu vermitteln, warum ein LANCOM so viel mehr kostet als eine F...box die ja inzwischen auch schon VPN kann. Wenn dann irgendwas nicht einfach funktioniert, dann bekommt man vom Kunden immer die Frage "Das hat mit dem Billig-Router für 50 EUR funktioniert, warum funktioniert das mit dem 500 EUR teuren LANCOM nicht?" gestellt. Um Firewalls machen sich die Kunden hier (leider) wenig Gedanken.
Es gibt aber auch noch mehr Wege, Löcher (Pinholes) in NAT-Router aller Art zu bohren. Es hilft da wenig, nur FTP zu verbieten.
- Dilbert - |
_________________
LC1823 mit DSL16000 (T-Online), L54g |
|
|
|
|
|
|
|
| |
|
|
