Adgang igennem firewall/NAT udefra uden brug af port-forwarding?
Når et program (f.eks en browser) på clienten sender nogle pakker til f.eks en webserver på ydersiden af firewall'en/NAT'en, så bliver der på en eller måde åbnet op i firewall'en/NAT'en til nettop denne webserver (IP adresse og port).
Kan man gøre dette manuelt og på den måde "snyde" firewall'en. Lad os sige at jeg vil bruge VNC til af fjernstyre en client på indesiden af en firewall og jeg ikke har mulighed for at konfigurere firewall med portforwarding. Er det så ikke muligt at lade klienten lave en eller anden form for netwærks-request ud til "min" PC op på den måde "åbne" op i firewall'en til min PC....men hvordan gøres dette?
På samme måde som når du prøver at connecte den anden vej. Det er jo en to-vej kommunikation, så start-retningen er ligegyldig. Helt basalt er den eneste forskel på de to pc'er, hvilken der kan se skrivebordet på den anden.
Gjennom en NAT router så har trafikkretningen alt å si, og den virker nærmest som en envegsventil.
Grunnen til at det er slik er virkemåten til en typisk moderne statefull inspection firewall. Hver ip pakke er merket med en "state". På Linux firewallsproget så heter det vel så vidt jeg husker noe slikt som "new", "established" og "related".
Det finnes saktens hacker tools som kan spoofe (forfalske) pakker og forandre state til established eller related, når den egentlig er new.
En statefull inspection firewall holder imidlertid et bokholderi over pakker den har sendt ut, slik at den sjekker alle established og related merkede pakker om de virkelig er et svar på trafikk som tidligere er initiert fra innsiden.
Dette er den ene av to mekanismer som medfører at en ordinær nat router virker som en envegsventil.
Ut over dette så finnes det ytterligere en mekanisme til utover statefull mekanismen som gir en slik envegsventil effekt og det er selve nat mekanismen selv. Når en pakke ankommer den ytre firewall port så vil det kreve en slags "aktiv handling" for fra firewalls side for å sende pakken inn på riktig adresse på det nattede nettverket.
Ved portforwarding så krveves det vanligvis to handlinger inne i firewall. Den første er å åpne for statefull mekanismen. Den annen er selve portforwardingen inn til en invendig server på det nattede nettverket.
På denne måten så blir en moderne statefull inspectio firewall med nat mekanisme til en slags dobbeltvirkende envegsventil.
Det er allikevell ganske lett å komme forbi dette. Nå er det det at en slik oppskrift på bypass av firewall kan oppfattes som brudd på eksperten sine regler. Jeg synes det er gode argumenter for at det ikke er det, men jeg vet ikke helt om jeg tar sjansen, på de dype eller presise detaljer, for det ligger nok i grenselandet.
Det må vel dog allikevell være mulig å opplyse at det er ganske vanlig at for eksempel chattetjenester og mange andre tjenester på internett forbinder PCer som står bak hver sin nat router og at denne forbindelsen er mulig på grunn av en "server in the middle". Hvis admin på eksperten.dk hadde gitt ok så skulle jeg gitt oppskriften, dvs alle opplysninger. (For jeg må faktisk tilstå at jeg bruker løsningen selv, og den virker faktisk meget bra.)
Jeg bruger selv Logmein.com, som er en gratis service hvis ikke man skal kunne kopiere filer, eller lave remote print osv...
Men ellers kender jeg ikke så meget til remote print, men det kan lade sig gøre fordi at logmein servicen på computeren sender til en server, og man connecter via sin browser på logmein.com
>Hej langbein. Min server kører nu på 6. dag uden fejl, og det har sandsynligt været et netkort. :)
Nu handler spørgsmålet jo om at connecte fjernskrivebord uden at åbne porte, og derfor skrev jeg at man bare kunn connecte den anden vej, og ikke "den logiske" som at "masteren" connecter "klienten" for at skrive det på et sprog der kan læses for uindviede.
Men du er undskyldt langbein, jeg forstod det i første omgang også på den måde, og havde allerede skrevet at hvis det kunne lade sig gøre, ville mang hackere klappe i deres små slimede fingre, og savle som en flok sultne svin for at få fat i opskriften.
Tja . vet ikke om vi missforstår eller snakker forbi hverandre ..
Jeg nevte noe fra før av om et prinsipp om "server in the middle" slik at man setter opp to stk utgående forbindelse fra de to PCer som skal være i forbindelse med hverandre, slik at begge de to PCene som skal kommunisere mot hverandre kommunikasjonsmessig kjører som klienter med utgående trafikk mot den samme "server in the middle".
logmein.com som er nevnt av klshp er jo en slik "server in the middle" for å ivareta de samme fjernkontrollfunksjoner som VNC kan brukes til.
Svaret til klshp skulle således være korrekt nok i forhold til det opprinnelige spørsmål (?!)
Tak for jeres kommentarer. Jeg ved godt der findes en række server-in-the-midle løsninger, TeamViewer.com er et andet eksempel. Men jeg vil gerne vide hvordan man etablere en forbindelse direkte. Jeg havde ikke tænkt på at svaret kunne bryder reglerne på eksperten.dk. Men omvendt vil svaret jo også give informationer om hvordan man undgår dette, hvis man vil forhindre/frygter hacker angreb.
I øvrigt har jeg fundet ud af at man med VNC kan få "serveren" til at etablere en forbindelse til "vieweren", ved at bruge parametreren "winvnc4.exe -connect ViewerIPAdresse". Samtidig skal man sætte Vieweren til at "lytte" ved kommandoen "vncviewer.exe -listen".
Svaret er at dersom serveren og wieren står bak hver sin nat router så kan dette ikke fungere. Hvorfor er altså det dobbelte prinsipp for envegsfiltering som gjelder i en statefull inspection nat firewall router.
Jeg må tilstå at jeg ikke visste at det var mulig å få serveren til å initiere en forbindelse til vieren ved at vieweren faktisk settes opp til å kjøre sin egen server funksjon for å kunne sette opp en forbindelse på initiativ fra serveren.
Vilkåret for at dette skal kunne fungere vil da være at vieweren enten har en ekstern ip, der den måtte befinne seg, eller at den står bak en nat router der det er en forwarding til den aktuelle "viewer server". (VNC klienten.)
Hvordan dette kan gkøres fra VNC serveren ? Selvfølgelig ved å sette opp en cron job som kjører på et bestemt tidspunkt. På dette tidspunkt må det også finnes en viewer der det finnes fri adgang inn, for eksempel ved en port forwarding på viewer klient siden.
Hvordan man beskytter seg mot dette ? Det må vel for det første ikke være fritt fram å installere VNC server på den aktuelle PC. Der nest så må det heller ikke være mulig å sette opp en cronjob som utfører denne jobben.
Tidligere så var det jo vare Linux og andre -ixux som hadde cronjobber, men da jeg rotet rundt på min XP så mener jeg da at jeg fant noe liknende, altså muligheten til å legge inn for eksempel kommandoen "winvnc4.exe -connect ViewerIPAdresse" til å kjøre på et bestemt tidspunkt.
Men: "Adgang igennem firewall/NAT udefra uden brug af port-forwarding".
Det kan man altså ikke få. Det er et grunnprinsipp for en statefull inspection nat router at dette ikke er mulig.
Blandt de mange organiasjoner som passer på sikkerheten på nettet så er dette et av de grunnleggende prinsipper for sikkerhet på Internett som de passer på.
Alle store hackeres drøm er nok å kunne utføre det som spørsmålet etterspør. Den som måtte få det til vil nok hurtig være en berømt person over hele internett.
Så langt så har man vel bare klart det i meget begrenset omfang ved å oppdage sikkerhetshull som så har blitt tettet igjen ganske hurtig.
Dette kan åpenbart missbrukes, så jeg håper admin ikke hugger hodet av meg.
(Vær i så fall snill å slett mine innlegg.)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
