From: Christian Weisgerber (naddy_at_mips.inka.de)
Date: 17. Oct 2000
Sebastian Stark <seb_at_gosh.todesplanet.de> wrote:
> > Meine ISDN Einwahlbox (februar) macht masquerading (1:n NAT). Alle anderen
> > dahinter haben private Adressen (192.168.*.*).
>
> Auf Layer 3 oder 4. Es kann IP-Spoofing oder ARP-Spoofing betrieben werden.
ARP-Spoofing über ein ISDN-Interface?
> z.B kann man einen SSH Tunnel etablieren, der _durch_ deine Firewall hindurch
> connects von aussen zulaesst. Dieser Tunnel muss allerdings von innerhalb
> aufgebaut werden.
Ein potentielles Problem ergibt sich aber, wenn man SSH-Verbindungen
zum Gateway oder mittels NAT ins private Netz zulässt. Mit SSH-
Portforwarding können dann TCP-Verbindungen zu beliebigen privaten
Hosts aufgebaut werden. Normalerweise ist das kein Problem, weil
SSH-Portforwarding einen Login voraussetzt, also nur legitime
Benutzer diese Möglichkeit haben.
Zum Problem wird es, wenn man von außen zugängliche Dienste über
einen anonymen SSH-Zugang anbietet, z.B. CVS oder ein MUD. In diesem
Fall sollte man tunlichst auf dem Rechner, der diesen anonymen
Dienst anbietet, SSH-Portforwarding mittels der Serveroption
»AllowTcpForwarding« abstellen. Markus hat am Samstag einen Patch
committet, der diese Option auch für OpenSSH, wo sie bisher gefehlt
hat, anbietet.
-- Christian "naddy" Weisgerber naddy_at_mips.inka.de
Dieses Archiv wurde generiert von hypermail 2.1.2 : 11. Mar 2002 CET