Hi Pumpelhuber,
beim Thema IPv6 stellt sich mir nur die Frage: Braucht man das in einem Firmennetzwerk - außer vielleicht für Server in der DMZ?
Daher wäre doch maximal ein Gateway, daß intern V4 und extern V6 spricht notwendig. Komm jetzt bitte nicht damit, daß dann aber ein NAT dazwischen ist... Natürlich ist da dann ein NAT zwischen - und das ist auch gut so, denn das NAT verhindert, daß die interne Netzstruktur nach Aussen sichtbar ist.
Und das Thema Multicast und IPTV ist seit der 7.28 auch erledigt - du mußt es nur passend einrichten. Wo ist also dein Problem
Gruß
Backslash
Tel-anlage oder Router, vielleicht auch beides oder nur halb
Moderator: Lancom-Systems Moderatoren
Hi backslash,
Gruß
gm
Nicht wirklich. Jedes Betriebssystem hat so seine Eigenheiten, so dass man mit ziemlicher Wahrscheinlichkeit aussagen darüber treffen kann welche Systeme da im Netz sind. Als Beispiel möchte ich jetzt nur mal an die TCP-Sequenznummern erinnern, die z.B. Windows sequenziell (über Systemzeit) vergibt und die BSD's durcheinander. Wenn man den Datenverkehr aufmerksam beobachtet, kann man dann z.B. sagen wie viele PC's im Netz sind und ggf. noch weitere Aussagen über die Rechner hinter dem NAT treffen. NAT hilft nur denen, die keine Firewall konfigurieren können/wollen - alle anderen behindert es!backslash hat geschrieben:Hi Pumpelhuber,
... denn das NAT verhindert, daß die interne Netzstruktur nach Aussen sichtbar ist.
Gruß
gm
Hi gm
Du kannst von aussen den Rechnern keine IP-Adresse zuordnen, was ohne NAT recht einfach möglich ist, da du ja alle Adressen sehen würdest. Nun brauchst du nur noch mitzuloggen, welcher Rechner welche Seiten im Internet besucht und schon kannst du recht sicher raten, an welchem Rechner z.B. ein Entwickler hängt - das wäre dann dein primäres Anriffsziel. Das ganze kann man noch weiter spinnen: Wenn das Firmennetz in Subnetze z.B. für jede Abteilung unterteilt ist, dann weisst du, in welchem Subnetz die Entwicklung sitzt und kannst darüber ggf. auch die internen Server der Entwicklungsabteilung angreifen - selbst wenn die niemals Kontakt ins Internet aufnehmen.
Das ist alles erstmal vollkommen unabhängig davon, ob da eine Firewall zwischen steht, die den Angriff von aussen abblocken könnte - wenn du erstmal weisst, wo du hinwillst, dann überlegst du dir, wie du die Firewall überwindest
Gruß
Backslash
das kann ich so nicht stehen lassen, denn NAT bringt deutlich mehr, als du dir gerade vielleicht vorstellen willst (s.u.)...NAT hilft nur denen, die keine Firewall konfigurieren können/wollen - alle anderen behindert es!
Du kannst zwar mit diversen Methoden mitbekommen, wieviele Rechner im Netz sind und welche Betriebsysteme auf ihnen laufen - die Netzstruktur als solches siehst du nicht. Und das bringt und zum Thema, was NAT wirklich bringt:Wenn man den Datenverkehr aufmerksam beobachtet, kann man dann z.B. sagen wie viele PC's im Netz sind und ggf. noch weitere Aussagen über die Rechner hinter dem NAT treffen
Du kannst von aussen den Rechnern keine IP-Adresse zuordnen, was ohne NAT recht einfach möglich ist, da du ja alle Adressen sehen würdest. Nun brauchst du nur noch mitzuloggen, welcher Rechner welche Seiten im Internet besucht und schon kannst du recht sicher raten, an welchem Rechner z.B. ein Entwickler hängt - das wäre dann dein primäres Anriffsziel. Das ganze kann man noch weiter spinnen: Wenn das Firmennetz in Subnetze z.B. für jede Abteilung unterteilt ist, dann weisst du, in welchem Subnetz die Entwicklung sitzt und kannst darüber ggf. auch die internen Server der Entwicklungsabteilung angreifen - selbst wenn die niemals Kontakt ins Internet aufnehmen.
Das ist alles erstmal vollkommen unabhängig davon, ob da eine Firewall zwischen steht, die den Angriff von aussen abblocken könnte - wenn du erstmal weisst, wo du hinwillst, dann überlegst du dir, wie du die Firewall überwindest
Gruß
Backslash
Hi backslash,
geht alles einfacher:
Die Header der meist internen Mailserver verraten meist dermaßen viel über das Netz der Firma, dass es auf das bischen NAT oder nicht NAT auch nicht mehr ankommt. Die Mail-Adresse bekommt man recht einfach raus, in dem man auf einer präparierten Webseite z.B. ein Bild per FTP einbindet. Verwendet das Opfer den IE und Outlook, dann trägt der IE braf die eMail-Adresse aus dem Outlook bei der Anmeldung am FTP ein. Der Rest ist dann Schema F.
Was ich damit sagen will ist, wenn jemand rein will, dann kommt er mit oder ohne NAT rein. NAT erhöht daher die Gesamtsicherheit wenn überhaupt nur unwesentlich.
*)
Die Windows-API erlaubt es Prozessen mit gleichen Berechtigungen (z.B. alle Prozesse des Users) Speicher im Kontext des anderen Prozesses per VirtualAllocEx anzufordern. Als nächstes kopiert man einfach per WriteProcessMemory seinen gewünschte Code aus dem eigenen Prozess in den Wirtsprozess und startet den Code per CreateRemoteThread. Echt super, was Microsoft sich da alles für tolle Dinge ausgedacht hat...
Gruß
gm
geht alles einfacher:
Die Header der meist internen Mailserver verraten meist dermaßen viel über das Netz der Firma, dass es auf das bischen NAT oder nicht NAT auch nicht mehr ankommt. Die Mail-Adresse bekommt man recht einfach raus, in dem man auf einer präparierten Webseite z.B. ein Bild per FTP einbindet. Verwendet das Opfer den IE und Outlook, dann trägt der IE braf die eMail-Adresse aus dem Outlook bei der Anmeldung am FTP ein. Der Rest ist dann Schema F.
Von außen reinkommen ist schwer und fällt gerne auf. Leichter ist es huckepack reinzukommen (z.B. manipulierte Webseite die das Interessensprofil z.B. eines Entwicklers triff oder per Mail) und dann kann man unauffällig von innen nach außen agieren. Dabei ist es auch beinahe egal wie komplex das Netz aufgebaut ist da man ja die Infrastruktur des Opfers einfach nutzen kann. Die Personal-Firewalls konnte man zumindest vor einiger Zeit recht leicht dadurch überlisten, in dem man einfach zur Laufzeit einen Remote-Thread* z.B. im IE (oder einem Programm das ins Internet darf) angelegt hat und dann quasi über den Prozess des IE die Internetverbindung abgewickelt hat. Da diese Sache zur Laufzeit des IE stattfindet hilft auch eine Hashwertprüfung der iexplore.exe nichts.backslash hat geschrieben: wenn du erstmal weisst, wo du hinwillst, dann überlegst du dir, wie du die Firewall überwindest
Was ich damit sagen will ist, wenn jemand rein will, dann kommt er mit oder ohne NAT rein. NAT erhöht daher die Gesamtsicherheit wenn überhaupt nur unwesentlich.
*)
Die Windows-API erlaubt es Prozessen mit gleichen Berechtigungen (z.B. alle Prozesse des Users) Speicher im Kontext des anderen Prozesses per VirtualAllocEx anzufordern. Als nächstes kopiert man einfach per WriteProcessMemory seinen gewünschte Code aus dem eigenen Prozess in den Wirtsprozess und startet den Code per CreateRemoteThread. Echt super, was Microsoft sich da alles für tolle Dinge ausgedacht hat...
Gruß
gm