Comments on: חור אבטחה מובנה בUPNP http://firefang.net/blog/804 May your sockets never timeout Sat, 11 Oct 2008 04:10:25 +0000 http://wordpress.org/?v=2.6.2 By: עמרי http://firefang.net/blog/804#comment-6217 עמרי Fri, 18 Jan 2008 17:04:39 +0000 http://firefang.net/blog/804#comment-6217 אורן, לא טענתי בזכות או בגנות פיירוואל זה או אחר. זה שמשיקולים של פונקציונליות מכניסים לתוך NAT אפשרות לקידום פורטים לא הופך אותו לפיירוואל. אורן,
לא טענתי בזכות או בגנות פיירוואל זה או אחר.
זה שמשיקולים של פונקציונליות מכניסים לתוך NAT אפשרות לקידום פורטים לא הופך אותו לפיירוואל.

]]> By: אורן http://firefang.net/blog/804#comment-6216 אורן Fri, 18 Jan 2008 10:47:53 +0000 http://firefang.net/blog/804#comment-6216 עמרי: - אני חושב שהיום רוב הראוטרים באים עם פיירוול מובנה. - גם עם פיירוול מעולה, אם תכנס לאתר WEB שמחדיר לך SPYWARE דרך חולשה באקספלורר (או דרך חולשה אנושית), תידבק ותשלח דברים החוצה. - לא השתכנעתי. בעיקר לא מהטיעון שיש "כל מיני מעקפים" (באותה מידה לפיירוול יכולים להיות כל מיני מעקפים). NAT שלא נותן פתיחת קונקשן מבחוץ, וכמובן לא עונה לאף פורט של עצמו כלפי חוץ, יכול להגן מרוב התקיפות שפיירוול רגיל היה מגן מפניהן. - לגבי בחינת תוכן הפאקטות, אני לא מכיר אף בית שמקונפג בו פיירוול L7. - בעיות של רשת אלחוטית לא רלוונטיות לנושא ה- NAT. גם אם קניתי פיירוול יקר של סיסקו ויש לי מאחוריו כל מכשיר אחר שמנתב רשת אלחוטית, גם אז מי שיפרוץ לרשת האלחוטית ידלג מעל הפיירוול. עמרי:
- אני חושב שהיום רוב הראוטרים באים עם פיירוול מובנה.
- גם עם פיירוול מעולה, אם תכנס לאתר WEB שמחדיר לך SPYWARE דרך חולשה באקספלורר (או דרך חולשה אנושית), תידבק ותשלח דברים החוצה.
- לא השתכנעתי. בעיקר לא מהטיעון שיש “כל מיני מעקפים” (באותה מידה לפיירוול יכולים להיות כל מיני מעקפים). NAT שלא נותן פתיחת קונקשן מבחוץ, וכמובן לא עונה לאף פורט של עצמו כלפי חוץ, יכול להגן מרוב התקיפות שפיירוול רגיל היה מגן מפניהן.
- לגבי בחינת תוכן הפאקטות, אני לא מכיר אף בית שמקונפג בו פיירוול L7.
- בעיות של רשת אלחוטית לא רלוונטיות לנושא ה- NAT. גם אם קניתי פיירוול יקר של סיסקו ויש לי מאחוריו כל מכשיר אחר שמנתב רשת אלחוטית, גם אז מי שיפרוץ לרשת האלחוטית ידלג מעל הפיירוול.

]]> By: עמרי http://firefang.net/blog/804#comment-6212 עמרי Fri, 18 Jan 2008 06:32:33 +0000 http://firefang.net/blog/804#comment-6212 עירא, אני לא מפתח בפלאש אז לא ווידאתי, אבל לפי הדוגמא שהם מציגים באתר (תעקוב אחרי הלינק בפוסט) הם מתחברים מפלאש לנתב בלי בעיה. עירא, אני לא מפתח בפלאש אז לא ווידאתי, אבל לפי הדוגמא שהם מציגים באתר (תעקוב אחרי הלינק בפוסט) הם מתחברים מפלאש לנתב בלי בעיה.

]]> By: עירא http://firefang.net/blog/804#comment-6209 עירא Thu, 17 Jan 2008 23:44:19 +0000 http://firefang.net/blog/804#comment-6209 ככל הידוע לי פלאש יודע לפתוח פורטים לשרת שנתן אותו בדיוק כמו אפלט, עוד מהגרסאות הראשונות. הדוגמא הפשוטה ביותר היא סרט שמוזרם לך ביוטיוב. הוא חייב להיות גם נעול לפתיחת פורטים (ואולי רק פורט 80) לשרת שממנו ירד כי אירת היו לנו בעיות מאוד חמורות כבש לפני שנים. מצד שני נכון, UPNP היא בעיה ואני לעולם לא מאפשר אותה. ככל הידוע לי פלאש יודע לפתוח פורטים לשרת שנתן אותו בדיוק כמו אפלט, עוד מהגרסאות הראשונות. הדוגמא הפשוטה ביותר היא סרט שמוזרם לך ביוטיוב. הוא חייב להיות גם נעול לפתיחת פורטים (ואולי רק פורט 80) לשרת שממנו ירד כי אירת היו לנו בעיות מאוד חמורות כבש לפני שנים.

מצד שני נכון, UPNP היא בעיה ואני לעולם לא מאפשר אותה.

]]> By: עמרי http://firefang.net/blog/804#comment-6197 עמרי Thu, 17 Jan 2008 13:37:11 +0000 http://firefang.net/blog/804#comment-6197 הגבתי לו, תקרא שם. הגבתי לו, תקרא שם.

]]> By: bug http://firefang.net/blog/804#comment-6195 bug Thu, 17 Jan 2008 13:31:13 +0000 http://firefang.net/blog/804#comment-6195 קרא את זה: http://ultra.iblogger.org/index.php/item/56 זו רק דעה מהצד השני. קרא את זה:
http://ultra.iblogger.org/index.php/item/56
זו רק דעה מהצד השני.

]]> By: עמרי http://firefang.net/blog/804#comment-6193 עמרי Thu, 17 Jan 2008 08:34:59 +0000 http://firefang.net/blog/804#comment-6193 אורן, מכמה סיבות: פיירוואל עושה עוד דברים חוץ מאשר לנתב חבילות שמגיעות לפורט מסויים למחשבים מסויימים ברשת. למשל, הוא מאפשר חסימה של חבילות יוצאות בפורטים לא מאומתים, ולפעמים גם סקירה עמוקה של תוכן החבילות כדי לוודא שהן לגיטימיות. מכיוון שנתבי NAT מתוכננים למטרה מסויימת, הם מאפשרים כל מני מעקפים של ההגנה הזעומה שהכאילו פיירוואל שלהם נותן. למשל, אם מישהו לא מאומת מתחבר לנתב האחלוטי שלך (כי אתה נחמד ומאפשר לכולם להתחבר בלי סיסמא), הוא כבר עבר את "הפיירוואל" של הנתב ויכול להתחבר לשרותים שהמחשבים שלך מציע בלי שום בקרה. אתה מוזמן לחפש בגוגל "NAT is not a firewall" ולראות מה יוצא. הנה דוגמא אחת שמסבירה את העניין: http://www.usipv6.com/6sense/2006/dec/article04.htm אורן,
מכמה סיבות:
פיירוואל עושה עוד דברים חוץ מאשר לנתב חבילות שמגיעות לפורט מסויים למחשבים מסויימים ברשת.
למשל, הוא מאפשר חסימה של חבילות יוצאות בפורטים לא מאומתים, ולפעמים גם סקירה עמוקה של תוכן החבילות כדי לוודא שהן לגיטימיות.
מכיוון שנתבי NAT מתוכננים למטרה מסויימת, הם מאפשרים כל מני מעקפים של ההגנה הזעומה שהכאילו פיירוואל שלהם נותן.
למשל, אם מישהו לא מאומת מתחבר לנתב האחלוטי שלך (כי אתה נחמד ומאפשר לכולם להתחבר בלי סיסמא), הוא כבר עבר את “הפיירוואל” של הנתב ויכול להתחבר לשרותים שהמחשבים שלך מציע בלי שום בקרה.
אתה מוזמן לחפש בגוגל “NAT is not a firewall” ולראות מה יוצא.
הנה דוגמא אחת שמסבירה את העניין:
http://www.usipv6.com/6sense/2006/dec/article04.htm

]]> By: or http://firefang.net/blog/804#comment-6192 or Thu, 17 Jan 2008 08:26:55 +0000 http://firefang.net/blog/804#comment-6192 כדאי שתסתכלו כאן http://www.grc.com/unpnp/unpnp.htm יש עוד כמה תוכנות מעניינות שם (אבטחה וכו') כדאי שתסתכלו כאן
http://www.grc.com/unpnp/unpnp.htm

יש עוד כמה תוכנות מעניינות שם (אבטחה וכו’)

]]> By: אורן http://firefang.net/blog/804#comment-6188 אורן Thu, 17 Jan 2008 00:51:17 +0000 http://firefang.net/blog/804#comment-6188 מעניין מאוד, ומגוחך שהוציאו תקן תוך התעלמות שלמה מסקיוריטי.. רק דבר קטן: לא הבנתי למה אתה טוען שנתב נאט (אשר אפשר להכניס לו חוקים) הוא אינו פיירוול. או שאתה מדבר על נתב נאט שלא תומך בחוקים.. מעניין מאוד, ומגוחך שהוציאו תקן תוך התעלמות שלמה מסקיוריטי..

רק דבר קטן: לא הבנתי למה אתה טוען שנתב נאט (אשר אפשר להכניס לו חוקים) הוא אינו פיירוול. או שאתה מדבר על נתב נאט שלא תומך בחוקים..

]]> By: יונתן אורלב http://firefang.net/blog/804#comment-6186 יונתן אורלב Wed, 16 Jan 2008 15:29:28 +0000 http://firefang.net/blog/804#comment-6186 תודה רבה על המידע עמרי. זה מאוד מועיל. תודה רבה על המידע עמרי. זה מאוד מועיל.

]]>