# Software > Ασφάλεια >  Σκέψεις περί ασφάλειας ενός node

## paravoid

> απο σημερα ο κομβος δεν παρεχει dchp υπηρεσιες.


 :: 
Και ποια είναι η αιτία για αυτό;

----------


## MAuVE

> Και ποια είναι η αιτία για αυτό;


Τώρα γιατί ρωτάς Φαίδωνα.
Δεν σου έχω εξηγήσει χίλιες φορές την διαφορά ανοικτού κόμβου και μπάτε σκύλοι αλέστε και αλεστικά μη δίνετε κόμβου.

Εσύ πρέπει αυτό να το ξέρεις, αφού συνδέεσαι σε έναν ανοικτό κόμβο.

----------


## sotiris

αν και δεν χρειαζεται αιτια,απο την στιγμη που δεν ειναι υποχρεωτικο να υπαρχει γιατι να υπαρχει;


http://www.awmn.gr/forum/viewtopic.php? ... ght=#58460




> dti 
> Εχω γράψει κατ' επανάληψη οτι κι εγώ θα ήθελα να γινόταν ο οποιοσδήποτε έμπαινε στον κόμβο μου redirected κάπου όπου θα συμφωνούσε πρώτα με το disclaimer και μετά θα μπορούσε να έχει κάποιες υπηρεσίες. Οσες έκρινα εγώ εντελώς ελεύθερες και κάποιες, ενδεχομένως και κατά περίπτωση, μετά από authentication / authorisation.


παρακαλω οποιος γνωριζει καποιον τροπο να γινει το παραπανω σε cisco AP,ειτε να ανοιξει καποιο θεμα που να περιγραφει τον τροπο,ειτε να επικοινωνησει μαζι μου. 

εγω θα προσανατολιστω,και θα προσπαθησω να βρω τροπο να υλοποιησω το παραπανω,δεν εχω ασχοληθει ξανα αλλα θα δοκιμασω να το πετυχω,εαν δεν θελει να βοηθησει καποιος απο το awmn πιο εμπειρος στην ασφαλεια δικτυων θα βρω στην αγορα καποιον admin κρισιμων δικτυων (απο τραπεζα ή υπουργεια ή σημαντικων εταιριων ) να μου το κανει ή τελος παντων να ερθει εδω να ασφαλισει το δικτυο...αλλα το χαλι που επικρατει τωρα στον σερβερ θα σταματησει...οποιοδηποτε μαλακισμενο που δεν εχει με τι να ασχοληθει θεωρει χομπυ να μπαινει στον σερβερ ή και στο lan (στο οποιο εχω την προσωπικη δουλεια 10 χρονων),να κοβει βολτες,να μετακινει αρχεια ή να κανει οτι θελει...εαν δεν ειναι εφικτο να σταματησει εντελως,τουλαχιστον να του κανω την ζωη δυσκολη.

δεν εχω την δυνατοτητα να ειμαι πανω απο τον σερβερ συνεχως,δεν εχω αρκετη εμπειρια για να προλαβαινω καταστασεις,ο σερβερ δεν κλεινει ποτε,ολα ειναι ανοικτα σε ολους κλπ κλπ.

εαν δεις απο τα πρωτα ποστ που ειχα κανει στο φορουμ,ηταν οι φοβοι μου για την ασφαλεια ενος τετοιου δικτυου,δεν ειναι δηλ κατι ξαφνικο που μου κατεβηκε στο κεφαλι, το θεμα με απασχολει απο την αρχη,και τωρα που καταλαβα οτι το dchp δεν ειναι κατι υποχρεωτικο,το βγαζω.

edit:δεν θα αρνηθω σε κανεναν την προσβαση,αρκει να δωσει καποια στοιχεια,εντελως βασικα και τυπικα, για το ποιος ειναι,οποιος δεν θελει να δωσει στοιχεια σημαινει οτι εχει λογους να θελει να μεινει κρυφος,και οι λογοι αυτοι δεν συμφωνουν με την φιλοσοφια ενος δικτυου,(εαν θεωρησουμε το awmn ενα μεγαλο lan),δεν νομιζω να υπαρχει δικτυο που να μην ξερει ο διαχειριστης του (στην προκειμενη περιπτωση εγω) ποιος συνδεεται σε αυτο.
τα share απο το dc θα βγουνε κατα το δυνατον και θα δημιουργησω δικλειδες ασφαλειας ωστε να περνουν access μονο οσοι γνωριζω ή τελος παντων ειναι γνωστοι στο δικτυο.
η τεραστια πληροφορια (νομιζω κοντα στο 1ΤΒ) απο διαφορα πραγματα που εχω,ειναι σε διαδικασια ταξινομησης και δημιουργιας λιστων,το ftp που εχω θα αναβαθμιστει και οποιος θελει κατι θα το ζηταει και θα το κατεβαζει ονομαστικα με προσωπικο user/pass.
δεν ξερω σε ποσο καιρο απο τωρα,αλλα τα πραγματα θα σφιξουν και για την Ελλαδα στο θεμα αυτο,ηδη κατατεθηκαν κατι νομοι σχετικοι στην ευρωπαικη βουλη,μπορει συντομα να γινουν και εθνικοι νομοι.

----------


## paravoid

Παρεξήγηση.
Φυσικά και δεν είναι κάτι υποχρεωτικό, απλά μου έκανε εντύπωση που το έβγαλες ενώ το είχες ήδη setαρισμένο.
Όσο για το θέμα ασφάλειας το διάβασα και αλλού...

Δηλαδή τώρα νιώθεις πιο ασφαλής;  :: 
Αν συνδεθώ τώρα στο AP σου δεν θα μπορέσω να πάρω μια μοναδική IP από τον DHCP. Οπότε θα βάλω όποια μου κατέβει στην τύχη (το τι IPs έχει ο κόμβος αν δεν το ξέρω θα το μάθω με μια LMC352 από το Cisco AP).
Αν είσαι τυχερός, δεν θα χρησιμοποιήσω κάποια υπάρχουσα, αν όχι θα γίνει conflict και κάποιος πελάτης σου εκείνη την ώρα θα κατεβάζει καντήλια.

Το να έχεις μια ψευδαίσθηση ασφάλειας είναι πολύ χειρότερο από το να είσαι ευάλωτος.

----------


## sotiris

> Δηλαδή τώρα νιώθεις πιο ασφαλής;


οχι,αλλα συντομα θα νιωσω,ειπα και πριν οτι δεν ξερω πολλα απο τα δικτυα,αλλα μαθαινω ευκολα και γρηγορα,ηδη απο χτες αρχισα το διαβασμα του ΑΡ,ειδα λοιπον οτι εχει authentication,οτι εχει wep οτι στο φιναλε εχουν σκεφτει καποια λυση προστασιας.ακομα δεν ξερω τι θα κανω,καποιος χτες το βραδυ μου μιλησε για ΡΙΧ μου εξηγησε χοντρικα τι ειναι,πηρα ενα τηλεφωνο μετα εναν γνωστο μου δικτυα και μου ειπε οτι μπορει να ερθει να το σεταρει.




> Το να έχεις μια ψευδαίσθηση ασφάλειας είναι πολύ χειρότερο από το να είσαι ευάλωτος.


αυτο που λες ειναι πολυ σωστο,και ειναι το χειρεοτερο που μπορει να σου συμβει.
μια σημαντικη ψευδαισθηση που εχουμε ολοι εμεις οι ασχετοι με τα δικτυα,ειναι οτι ολα τα μελη ενος δικτυου ειναι καλοπροαιρετοι χρηστες,παρασυρομενοι ισως απο την ομαδικοτητα,τους κοινους στοχους κλπ μια ομαδας απο την πραγματικη ζωη μας.

----------


## racer

Σωτίρη,

Ο paravoid σου εξίγησε οτι με το να κλίσεις το DHCP δέν κερδίζεις τιποτα. Το DHCP ειναι απλά βοηθητικό, η απουσία του δέν πρόκειτε να σταματήσει κανέναν επίδοξο.

Εάν θέλεις σοβαρό security πρέπει να εκγαταστήσεις σοβαρό firewall/ΝΑΤ (μπορεί να γίνετε και με windows, δέν γνωρίζω επ ακριβός πώς γίνετε όμος).

Εάν θέλεις απλά aythentication, επιδή το ήχα ψάξει κάποτε, χρειάζετε είτε να αγοράσεις ένα απο τα σχετικά συστήματα που μπορεί να σου προτίνει ο dti είτε να περιμένεις να ευδοκίσει κάποιος να το κάνει τσάβα για το AWMN. Με δύο λόγια, χλωμό σε βλέπω  ::

----------


## andreas

Για να ρίξω λάδι στην φωτια:

Θα μπορουσε να αφηνει συγκεκριμενες MAC

http://koswireless.net/forum/viewtopic.php?t=74
Εδω το εφαρμοσαν ηδη

Απλά να γνωρίζουμε ποιός συνδέεται και που!

----------


## xaotikos

Μήπως να τα κλείσουμε και όλα? 
Δεν νομίζω ότι η πρόσβαση στο AP είναι το ευάλωτο σημείο ενός κόμβου. Το να περάσει από εκεί στο εσωτερικό δίκτυο είναι το πρόβλημα ασφαλείας. Αυτό λογικά διορθώνεται με ένα καλοσεταρισμένο firewall.

Με το να αφαιρέσεις Σωτήρη τα αρχεία από το dc και να τα βάλεις σε FTP πάλι νομίζεις ότι είσαι ασφαλής? Νομίζω πως ένας sniffer κοντά στο σπίτι σου πάλι κάτι θα μπορούσε να "δει".

Μήπως όμως όλες αυτές οι κινήσεις δεν έχουν το απαραίτητο κίνητρο για να γίνουν? Στο internet δηλαδή είναι διαφορετικά? Ο πιο ασφαλής υπολογιστής είναι αυτός που δεν έχει ΚΑΜΙΑ φυσική σύνδεση με άλλο υπολογιστή/δίκτυο. Αν θέλετε να προστατέψτε έναν υπολογιστή είτε τον έχετε εκτός δικτύου,είτε εντός αλλά με καλό firewall,δυναμική ip κλπ.
Αν νομίζετε τώρα ότι κάποιος από το awmn θα προσπαθεί να σπάσει firewalls κλπ για να δει τι έχετε μέσα στον υπολογιστή σας πάω πάσο.

Όσο για το παρόν και το μέλλον στην Ελλάδα περί ασφαλείας,μόνο το version από ένα OS να δούνε (παράθυρα χπ μπίλτ 2600) φτάνει...

----------


## xaotikos

Και επειδή ξέφυγε το θέμα μεταφέρετε σε νέο thread για περαιτέρω συζήτηση αν ενδιαφέρετε κανένας

----------


## sotiris

ενδιαφερομαι εγω (και πιστευω και αλλοι) να συνεχιστει αλλου η συζητηση αυτη σχετικα με την ασφαλεια ενος κομβου,και του εσωτερικου δικτυου.

racer
μηπως ειχες δει πουθενα σε cisco την δυνατοτητα να ζητανε authentication?
κατι εχω βρει στο site της cisco,αλλα εμενα μου τρωει πολυ χρονο να καταλαβω τι διαβαζω...

andrea
το εχω βρει πως γινετε στο cisco να αφηνεις μονο συγκεκριμενα mac να συνδεονται.

xaotikos
οταν δοκιμασα να βαλω στον σερβερ το kerio (που ειναι και δωρεαν και πολυ καλο),δεν μπορουσα να δω τιποτα,ουτε να με δει κανενας,και το εβγαλα.
απο την αλλη στο desktop pc που εχω βαλει το ιδιο firewall δεν εχω κανενα προβλημα.
ο σερβερ τρεχει 
ftp (internet and wifi)
web server του λειτουργικου
και τα απαραιτητα του awmn.
ολες οι ΙΡ που εχω ειναι στατικες

υπαρχουν παραδειγματα που πραγματικα καποιοι ενδιαφερονται να μπουνε σε σερβερ και να κανουν ζημια (βλεπε Μενιδι).

τελος παντων,απο οτι διαβασα και ρωτησα,δυο λυσεις φαινονται εφικτες:
η τοποθετηση ενος αλλου pc στην εισοδο του awmn και πριν τον server
η τοποθετηση ενος PIX.
επειδη το να βαλω και τριτο pc στο σαλονι ειναι χλωμο,μαλλον εαν δεν βρεθει καποια καλυτερη λυση θα βαλω ενα ΡΙΧ και θα φωναξω καποιον να το σεταρει.

----------


## LeChuck

O Kerio ειναι ηδη στημμενος στο σερβερακι μου εδω και αρκετο καιρο και παιζει μια χαρα. Τι προβληματα σου παρουσιαζε ;;

Εαν εχεις Windows 2000/2003 Server ριξε μια ματια στον ISA Server 2004 beta2 ο οποιος ειναι και free και κανει εντυπωσιακη δουλεια.

----------


## sotiris

με το που εβαλα το kerio,
δεν μπορουσα να μπω ιντερνετ,
δεν μπορουσα να συνδεθω σε awmn url,
δεν μπορουσα να εχω επικοινωνια με το εσωτερικο δικτυο,
δεν μπορουσαν να συνδεθουν σε μενα απο το awmn.
δεν μπορουσαν να συνδεθουν σε μενα απο το ιντερνετ.

ειχα βαλει Trusted ip και για το awmn και για το lan αλλα δεν επαιζε.
ακριβως με τον ιδιο τροπο εχω σεταρει το kerio στο desktop pc και ολα παιζουν κανονικα.
δοκιμασα να βαλω kerio και στο notebook,με τα ιδια settings,ειχα επικοινωνια με το desktop αλλα οχι με τον server 

παω να αρχισω διαβασμα για τον isa server...

----------


## mindfox

Sotiris επέτρεψέ μου να σου πω πω; ξεκίνησες με λάθος σκεπτικό όλο το σενάριο.

Οτιδήποτε θέλεις να έχεις, το οποίο θα πρέπει να έχει ασφάλεια θα πρέπει να το χωρίσεις από αυτό το οποίο θα έχεις ανοιχτό
Η λογική του Firewall έχει συνήθως 2 ζώνες: Την εσωτερική (trusted) και την εξωτερική-Internet (Untrusted)

Αρκετές φορές έχουμε και DMZ ζώνες, που σκοπός τους είναι να διαφοροποιηθούν από τις 2 προηγούμενες με τον εξής τρόπο: 
Ναι μεν είναι στο εξωτερικό δίκτυο (άρα untrusted) αλλά ταυτόχρονα είναι δικά μου μηχανήματα (servers πιθανότατα) που θέλω να υπάρχουν ιδιαιτερότητες.

Στη δική μας περίπτωση, θα έχουμε εκτός από Internet, Internal και DMZ, μία ακόμα που θα λέγεται AWMN (πχ) και θα έχει άλλη λογική.

Όμως αν θες τη γνώμη μου, τα αρχεία σου και τη δουλειά σου, βάλτα σε μηχάνημα στο εσωτερικό σου δίκτυο και τους servers για το AWMN άσε τους στη δική τους ζώνη.
Αν τα μπλέξεις, και αποτέλεσμα καλό δεν θα έχεις από άποψη ασφάλειας, αλλά θα κόψεις και δυνατότητες από δική σου πλευρά χρήσης στο AWMN.

[/img]

----------


## racer

Για να σε μπερδεψω περισότερο, η λογική που θα ακολουθούσα εγώ στην untrusted zone έχει ως εξής:

Ορισμοί:
Firewall - ένα πρόγραμα ελένχου πρόσβασης με βάση IP. Μπορεί να υφήστατε σε software/hardware αρκή να είναι παραμετροποιήσημο.
Πρόγραμμα - ένας τρόπος επηκοινωνίας και ρύθμισης του firewall. Στο παράδειγμα έιναι αυτόματο αλλα μπορείς να το κάνεις και με το χέρι

1. Το firewall είναι κλειστό για όλους
2. Νέος client επικοινωενεί με το AP και ζητάει IP
3. Το AP του δίνει ένα untrusted IP από το DHCP
4. Ο άνθρωπος που είναι πίσω απο τον client επιθυμεί να δέι κάποια σελίδα στο web, ανοίγει τον IE του και πληκτρολογεί, πχ http://www.in.gr
5. Το firewall 'βλέπει' την προσπάθεια σύνδεσης και ελένχει απο πού προέρχετε. Εάν προέρχετε απο untrusted IP την κάνει redirect σε μία σελίδα που έχεις στήσει που σητάει τα στοιχεία του. Εάν είναι απο trusted IP τότε μεταπηδάει στο βήμα 8
6. Ο άνθρωπος γράφει τα στοιχεία, πατάει submit, τα στοιχεία καταχωρούντε στον server σου.
7. Το πρόγραμμα καταχωρεί το IP ώς trusted και σταματάει.
8. Το firewall αφήνει τον client να περάσει.

Τα προβλήματα που πρέπει να λύσεις είναι:
α. η συγγραφή του προγράματος με τρόπου που να απαιτεί όσο λιγότερο human input γίνετε. Αποτελείτε απο δύο μέρη, το μέρος που επικοινωνεί με το firewall και το μέρος που επηκοινωνεί με εσένα.
β. η εύρεση ενός εξωτερικά παραμετροποιήσημου firewall
γ. η εξασφάλιση του ότι η untrusted zone δέν πρόκειτε ποτέ να ξεγελάσει το firewall
δ. ταυτοχρόνος με το γ) η trusted zone να λειτουργεί απροβλημάτιστα.

Όπως καταλαβαίνεις τα νερά που προσπαθείς να κολυμπίσεις είναι πού βαθυα και δέν έχεις κάν μπρατσάκια. Εναλακτική, ευκολότερη, λύση είναι η χρίση NAT (η 'Internet Connection Sharing' όπως το λεεί η MS) στον server σου και η αλλαγή των εσωετρικών σου IP σε unreachable (π.χ. 192.168.0.x). Με αυτόν τον τρόπο δημιουργείς μια αρκετά ασφαλή trusted zone στο εσωτερικό σου δύκτιο και μπορείς να αφήνεις τους επίδοξους να σπάνε το κεφάλι τους.

Τέλος, κάτι παρόμοιο νομίζω οτι ήχε ζιτήσει ο papashark απο τα μέλη, Πάνο αν θές πές μας τί έγινε τότε :: 

ΥΓ: ΔΕΝ Σκοπεύω να διορθόσω τα ορθογραφικά  ::

----------


## PrDtR

> Για να σε μπερδεψω περισότερο, η λογική που θα ακολουθούσα εγώ στην untrusted zone έχει ως εξής:
> 
> Ορισμοί:
> Firewall - ένα πρόγραμα ελένχου πρόσβασης με βάση IP. Μπορεί να υφήστατε σε software/hardware αρκή να είναι παραμετροποιήσημο.
> Πρόγραμμα - ένας τρόπος επηκοινωνίας και ρύθμισης του firewall. Στο παράδειγμα έιναι αυτόματο αλλα μπορείς να το κάνεις και με το χέρι
> 
> 1. Το firewall είναι κλειστό για όλους
> 2. Νέος client επικοινωενεί με το AP και ζητάει IP
> 3. Το AP του δίνει ένα untrusted IP από το DHCP
> ...


Εγω θα συμφωνήσω στην λύση του NAT...

Μια IP για το awmn ούτε subnets ούτε τπτ.

Ολές οι κλήσεις στον ΑP θα γίνονται redirect εσωτερικά σε εναν web server,ftp server,mail server για παράδειγμα.

Με τι να κλείσεις το DHCP δεν κερδίζεις τπτ.

Εγω προσωπικά ΝΑΤ παίζω οχι γιατι φοβάμαι κάτι,αλλα γιατι το θεωρώ πολύ πιο σωστό.

Είμαι σε ΝΑΤ project και οχι μόνο, αυτόν τον καιρό οπότε θα έχω και άλλα νέα  ::

----------


## Achille

Εκτός του ότι άργησες κανα 6μηνο να απαντήσεις, θεωρείς το NAT πιο σωστό;

Κάποιο λάθος θα κάνεις  ::

----------


## PrDtR

Κάλιο αργά παρα ποτέ που λένε  :Stick Out Tongue: 

Τωρα το είδα,τώρα απάντησα...

Φίλτατε Αchille αυτό πιστεύω εγώ,τωρα....Ο καθένας με τις λόξες του  ::

----------


## racer

> Εκτός του ότι άργησες κανα 6μηνο να απαντήσεις, θεωρείς το NAT πιο σωστό;
> 
> Κάποιο λάθος θα κάνεις


Δεν υπάρχει σωστό και λάθος, εξαρτάτε απο την υλοποίιση. Η εξίσωση σωστού/λάθους είναι πολύπλοκη και πέρνει ως παραμέτρους το χρόνο υλοποίισης, το κόστος, την θεωριτική παρεχόμενη ασφάλεια, το χρόνο συντίρισης κλπ.

Με βάσι αυτά το ΝΑΤ είναι σωστό υπο περιπτώσεων  ::

----------


## Achille

To ΝΑΤ δεν φτιάχτηκε για λόγους ασφαλείας, αλλά για λόγους μειωμένου address space.

Το NAT δεν σου παρέχει περισσότερη ασφάλεια από ένα απλό firewall που κόβει όλα τα incoming connections + udp + icmp. Αντιθέτως, σου δημιουργεί πολλά προβλήματα που πρέπει να λύσεις.

Αν είχαμε αρκετό space για να έχουμε όλοι πραγματικές IPs, δεν θα κάναμε NAT πουθενά, και θα ήμασταν όλοι χαρούμενοι. Όταν βάλουμε όλοι IPv6 θα το καταργήσουμε.

Στο AWMN έχουμε IPs για να φαν και οι κότες, δεν υπάρχει κανένας λόγος οποιοσδήποτε να κάνει NAT για να βγει στο AWMN.

----------


## Belibem

> Το NAT δεν σου παρέχει περισσότερη ασφάλεια από ένα απλό firewall που κόβει όλα τα incoming connections + udp + icmp.


Είναι δυνατό ένα firewall να κόβει τα incoming connections χωρίς όμως να κόβει το incoming traffic γενικά? Πως το ρυθμίζουμε αυτό πχ στο Kerio?

----------


## Achille

Δεν ξέρω πως το ρυθμίζεις στο Kerio, αρκεί πάντως να του πεις να κόβει όλα τα πακέτα που έρχονται από έξω προς τα μέσα με το SYN ενεργοποιημένο και τα RST,ACK απενεργοποιημένα στα tcp headers.

Στο Linux πχ από το man iptables:



```
[!] --syn
              Only match TCP packets with the SYN bit set and the ACK and RST bits cleared.  Such  packets  are  used  to request  TCP  connection initiation; for example, blocking such packets coming in an interface will prevent incoming TCP connections, but outgoing TCP connections will be unaffected.  It is equivalent to --tcp-flags SYN,RST,ACK SYN.  If the "!" flag precedes the "--syn", the sense of the option is inverted.
```

----------


## racer

> Το NAT δεν σου παρέχει περισσότερη ασφάλεια από ένα απλό firewall που κόβει όλα τα incoming connections + udp + icmp.


Ακρηβός, αναλόγος λοιπόν με το ζητούμενο σου ίσος να σου κάνει αυτή η λύση.

----------

