» »

Omrežna vrata (porti)

Omrežna vrata (porti)

He-Man ::

Pozdravljeni,

sem že kar dosti prebral in videotov pogledal na temo omrežnih portov ampak mi še vedno ni vse jasno.



En primer:

ISP je T-2, nastavljena je njihova "srednja varnost" (njihova razlaga: vsi porti navzven odprti, vsi porti navznoter zaprti).

To torej pomeni, da poleg firewalla v uporabnikovem routerju dodatno tudi oni filtrirajo zadeve in gre vse skozi dva firewall-a, ne?

Če bi potem v LAN-u tega domačega omrežja inštaliral IP kamero in želel do njenega nadzornega vmesnika dostopati oz zunaj (iz drugega javnega IP naslova, s čisto druge lokacijae, drugi IP, drugi ISP) to ne bi šlo, tudi če se na routerju forwardira določen(e) port(e) za IP kamero - ker so itak pri ISP-ju vsi porti navznoter zaprti?

Je to res ali ne? Če to drži bi bil torej edini način da se to omogoči, da se pri ISP-ju (T-2) naroči "nizko varnost"?



Drugi primer (oz. bolj vprašanje):

Ali lahko zamnjšamo rizik števila odprtih portov na tak način, da usmerimo več dejavnosti skozi manj portov? Npr. port 1194 za OpenVPN sprejema OpenVPN povezave in port 3389 sprejema RDP povetave - lahko oba združimo v enaga (ali celo preusmerimo v enega čisto tretjega), se sploh pridobi s tem kaj na varnosti?

Verjamem, da ta vprašanja zvenijo neumno ampak sem pač začetnik pri portih.



Zanima me tudi na splošno več o portih, razumem razlike med TCP in UDP ampak na sploh, kaj pomeni da je port odprt, da posluša, predvsem s stališča varnosti, kako vemo kaj je odprto, kaj posluša na določenem sistemu itd.

Hvala!

SeMiNeSanja ::

Nikoli nisem testiral 'srednje varnosti' pri T-2 ampak če drži, kar oglašujajo, potem dejansko ne moreš iz oddaljene lokacije dostopat do ničesar na svojem omrežju. Vsaj direktno ne. Ne vem pa, če se lahko potem z njimi dogovoriš, da ti odprejo določene porte, ki bi jih potreboval npr. za SSL VPN, FTP,..., ali pa lahko samo spremeniš na nizko varnost in za ostalo sam skrbiš.


Drugače pa čisto po kmečko.... predstavljaj si dolgo ulico, kjer imaš različne obrtnike enega do drugega. Načeloma se je dogovorilo, da bo na hišni številki 25 poštni urad, na 80 časopisna založba, ...., tako da ne rabiš iskat kot norec, ko prideš v novo ulico.

Se pa zgodi, da v neki ulici nimajo poštnega urada. Trkaš na vrata 25, oa se nihče ne oglasi. Nikogar ni, da bi ti odprl.

Ker pa je hišna številka 25 prosta, se je Francelj spomnil, da bi noter naselil nek urad za informiranje. Seveda nihče ne ve, da je zdaj tam urad za informiranje, če mu to Francelj ni povedal. Nasprotno pa lahko na vrata potrka kdo, ki bi rad oddal pošto, pa se ne bo uspel nič zmeniti z informatorjem, ker se ta čisto nič ne spozna na pošto.

Dve storitvi ali več na isti hišni številki nista dopustni. Lahko pa v sosednji ulici daš drugo storitev na isto adreso.

Če računalniku dodeliš več IP naslovov, imaš lahko na vsakem IP naslovu na istem portu različne servise.

He-Man ::

T-2 mi je dodelil 2 IP naslova (sicer dinamična a se praktično nikoli ne spremenita, ker nikoli ne izklopim naprave za več kot 24 ur). Na vsakega imam povezan po en router in potem na njem razne naprave. Če lahko iz PC-ja na LAN-u routerja 1 pridem na internet in v drugi router noter (router 2), potem to pomeni da bi lahko dostopal tudi do IP kamere z oddaljene lokacije, ne? Bom poizkusil (šele v nedeljo verjetno) in javim kako je to glede T-2 srednje varnosti.

Saj koncept portov nekako razumem, vseeno hvala za razlago, port forwarding mi je jasen - a ne razumem prav vsega glede portov, še sam ne znam povedat točno, malo abstraktno mi je vse skupaj. Ko zaženem NETSTAT mi npr. kaže, da PC posluša na nekih čudnih portih, ne pa na standardnih/znanih.

#000000 ::

Če bi mel rad odprte porte znižaj varnost na nizko t-2 takrat mislm da oprejo vse porte, za firawall pa poskrbi takrat tvoj router, odpreš določen port na routerju in magari dovoliš da pride do njega samo določen/i ip-ji s keterih dostopaš, do kamere.

Uporabiš lahko tudi VPN ampak ti morjo še vedno port odpret prej drugač ne bo delalo, ampak takrat lahko prideš not z bilokje, seveda samo preko VPN, ampak tam IP ni več pomemben če se ne motim.

SeMiNeSanja ::

He-Man je izjavil:

Ko zaženem NETSTAT mi npr. kaže, da PC posluša na nekih čudnih portih, ne pa na standardnih/znanih.

Mogoče sem a tja kakšen čuden servis čaka na nekem nenavadnem portu, ampak večina tega, kar je 'nenavadnih portov' so outgoing povezave, ne pa porti, na katerih bi kakšen standardni servis čakal na povezavo.

He-Man ::

Ravnokar sem se spominl - VPN mi dela. Torej to glede srednje varnosti ne drži ravno, da je vse zaprto - če lahko z oddaljenim klientom dostopam na svoj VPN srežnik (router - OpenVPN varianta). Se pravi bi moralo tudi drugo delat. Bom stestiral še drugi router, samo ne danes.

Ja pri NETSTAT je enih pet poznanih portov pa ogromno nekih 5****. Outgoing povezave verjetno res.

čuhalev ::

T-2 ima napisano( http://www.t-2.net/podpora/navodila/int... ):

Navznoter so zaprta vsa vrata, navzven pa so vsa vrata odprta.

Torej, ali nimaš srednje varnosti ali pa jo imajo oni slabo implementirano.

SeMiNeSanja ::

Obstaja tudi možnost, da je blokada portov zgolj iz drugih omrežij izven T-2.
Alternativno pa tudi obstaja možnost, da ti ne blokira, ker si na istem koncentratorju ali zato ker sta oba IP naslova na isti naročniški priključek.

Boš moral testirati še s kje drugje v T-2 omrežju in izven njega, če hočeš vedeti, kako je dejansko implementirana ta 'srednja varnost'.

He-Man ::

Ko se prijavim na T-2 strani in pogledam nastavitve mi piše Srednja varnost. Tako sem se ob naročilu tudi odločil.

Včeraj sem se s prenosnikom preko OpenVPN-ja iz ARNES-ovega omrežja 100 km stran od stanovanja priklopil na moj domači router (v tem primeru OpenVPN server), ki dostopa na internet preko T-2.

Kaj to pomeni zdaj?

čuhalev ::

To pomeni, da srednje varnosti nimaš implementirane oziroma opis srednje varnosti ne odraža stanja nastavitev omrežja.

He-Man ::

Hm, OK. Piše, da imam nastavljeno srednjo varnost, očitno potem ni tako kot pravijo.

Daniel ::

Moram to enkrat poskusiti pri tastu, ki ima T2 in srednjo varnost. Doslej kar sem poskušal nisem spravil nič čez, moram poskusiti še z OpenVPN.

He-Man ::

Jaz sicer nimam nobenega porta forwardiranega, OpenVPN sam to ureja ampak saj to nima veze, ne? Sem radoveden, kako bo ti delalo pri tastu, a bo spustilo skozi ali ne.

He-Man ::

He-Man je izjavil:

T-2 mi je dodelil 2 IP naslova (sicer dinamična a se praktično nikoli ne spremenita, ker nikoli ne izklopim naprave za več kot 24 ur). Na vsakega imam povezan po en router in potem na njem razne naprave. Če lahko iz PC-ja na LAN-u routerja 1 pridem na internet in v drugi router noter (router 2), potem to pomeni da bi lahko dostopal tudi do IP kamere z oddaljene lokacije, ne? Bom poizkusil (šele v nedeljo verjetno) in javim kako je to glede T-2 srednje varnosti.


Končno sem stestiral tole. Na drugem routerju sem omogočil remote management in skušal dostopati "od zunaj" - ni šlo. Torej kaže, da T-2 "srednja varnost" drži. Ampak preko OpenVPN-ja sem se pa brez problema povezal iz enega javnega IP naslova na drugega. Torej kaže, da je OpenVPN nekakšna izjema ali kaj?

SeMiNeSanja ::

Če je izjema, bi morali navesti to izjemo. Drugače pa se jaz nebi zanašal na to, kar trdijo - kaj veš, koliko je še 'izjem'?

Žal mi ni znan program, ki bi na računalniku naredil, da bi se ta oglašal na vseh portih, tako da bi dejansko lahko testiral, če je kje vmes kakšna blokada oz. v tem primeru 'luknja'. Včasih bi preklemansko prav prišel.

NoName ::

@SeMiNeSanja saj lahko na eni strani zalaufaš kakšen netcat, ali konec koncev nmap, pa na drugi strani pa packet sniffer, recimo wireshark, pa sprobaš vseh 64k TCP in UDP portov, na drugi strani pa prešteješ,kaj si dobil...
I can see dumb people...They're all around us... Look, they're even on this forum!

OmegaBlue ::

He-Man je izjavil:

He-Man je izjavil:

T-2 mi je dodelil 2 IP naslova (sicer dinamična a se praktično nikoli ne spremenita, ker nikoli ne izklopim naprave za več kot 24 ur). Na vsakega imam povezan po en router in potem na njem razne naprave. Če lahko iz PC-ja na LAN-u routerja 1 pridem na internet in v drugi router noter (router 2), potem to pomeni da bi lahko dostopal tudi do IP kamere z oddaljene lokacije, ne? Bom poizkusil (šele v nedeljo verjetno) in javim kako je to glede T-2 srednje varnosti.


Končno sem stestiral tole. Na drugem routerju sem omogočil remote management in skušal dostopati "od zunaj" - ni šlo. Torej kaže, da T-2 "srednja varnost" drži. Ampak preko OpenVPN-ja sem se pa brez problema povezal iz enega javnega IP naslova na drugega. Torej kaže, da je OpenVPN nekakšna izjema ali kaj?


Joj model. Če testiraš z enega tvojega na drugega tvoj IP na ISTEM switchu/modemu itak da bo delal. Tam gre samo lepo na drug port ne pa do T-2 pa nazaj. Testiraj od kolega/šole/šihta do sebe.
Never attribute to malice that which can be adequately explained by stupidity.

Zgodovina sprememb…

He-Man ::

Pri T-2 nisem našel nikjer navedenih izjem, piše, da srednja varnost pomeni vse zaprto navznoter.

Kljub temu se OpenVPN klienti uspešno "od zunaj" povezujejo z mojim routerjem (ki služi kot OpenVPN server) in to ne samo preko istega modema ampak tudi iz čisto drugega omrežja (čez 100 km fizične razdalje). Torej nekakšna "izjema" obstaja.

OmegaBlue je izjavil:

Če testiraš z enega tvojega na drugega tvoj IP na ISTEM switchu/modemu itak da bo delal. Tam gre samo lepo na drug port ne pa do T-2 pa nazaj.


Je to res? Jaz bi rekel, da gre najprej na T-2 router in potem nazaj.

SeMiNeSanja ::

NoName je izjavil:

@SeMiNeSanja saj lahko na eni strani zalaufaš kakšen netcat, ali konec koncev nmap, pa na drugi strani pa packet sniffer, recimo wireshark, pa sprobaš vseh 64k TCP in UDP portov, na drugi strani pa prešteješ,kaj si dobil...

To sem tudi jaz že tuhtal (ravno za netcat), a kaj, ko se netcat lahko samo na en port na enkrat odziva. 64k x ga zalaufavat pa tudi ni ravno smiselna zadeva. Pri tem pa bi moral še nmap nekako našuntat, da bi sinhrono z netcat 'hodil' od porta do porta. Kar težka naloga...

Ampak če veš za kakšno drugo varianto, ki bi bila malenkost bolj realna/izvedljiva/praktična, bi bila kar dobrodošla. Sem imel večkrat potrebo po čem takem.

Randomness ::

To sem tudi jaz že tuhtal (ravno za netcat), a kaj, ko se netcat lahko samo na en port na enkrat odziva. 64k x ga zalaufavat pa tudi ni ravno smiselna zadeva. Pri tem pa bi moral še nmap nekako našuntat, da bi sinhrono z netcat 'hodil' od porta do porta. Kar težka naloga...

Ampak če veš za kakšno drugo varianto, ki bi bila malenkost bolj realna/izvedljiva/praktična, bi bila kar dobrodošla. Sem imel večkrat potrebo po čem takem.
Če že ne obstaja, bi po mojem bilo kaj takega trivialno sprogramirati. Imam že eno idejo, kako to narediti. Mogoče naredim, ko/če najdem čas.

He-Man ::

He-Man je izjavil:

Je to res? Jaz bi rekel, da gre najprej na T-2 router in potem nazaj.


Torej T-2 VDSL "modem" prepozna tadrugi javni IP in usmeri promet na lastnem switchu na drugi router? Ali gre zadeva najprej na T-2 router?

SeMiNeSanja ::

Preizkusi s treceroute?

Če se ti vmes pokaže IP naslov default gateway-a, ne gre čisto direktno, če ga ni, pa verjetno gre direktno.

V prvi fazi je že odvisno, kakšno IP adreso maš na enem in drugem priključku. Če imaš fiksno IP adreso, bo velika verjetnost, da se ta ne nahaja v istem subnetu kot dinamični IP naslov, ki ga boš dobil na drugem portu. V tem primeru bo šel promet najprej na default gateway.

Če pa imaš na obeh priključkih IP naslove iz istega subneta, pa je kar precejšna verjetnost, da bo šel promet direktno.

He-Man ::

Na obeh priključkih imam dinamična IP naslova, en je 188.XXX.XXX.XXX, drugi 93.XXX.XXX.XXX. Tracert pokaže da gre promet najprej na določen T-2 default gateway, potem je pa samo še Request timed out. Če prav razumem modem ni router in zato mora promet najprej na prvi T-2 router kjer se potem usmeri na določen cilj.

Na neuradnem T-2 forumu glede srednje varnosti pravijo tako:
https://t-2.rula.net/viewtopic.php?f=1&...

Na uradni T-2 strani pa tako:
http://www.t-2.net/podpora/navodila/int...

Še nekaj drugega česar ne razumem (off topic) - ravnokar sem pregledoval log na routerju in pri OpenVPN povezavi mi piše, da je klient dostopal iz 93.XXX.XXX.XXX:1959 (namesto 93.XXX.XXX.XXX:1194, kot imam nastavljeno). Kaj je zdaj to, zakaj drugi port, od kje? Na obeh straneh (client in server) imam za OpenVPN nastavljen UDP port 1194.

Randomness ::

Client port je lahko poljuben in te načeloma ne zanima. Le tako lahko imaš več klientov iz istega IP naslova sočasno.

SeMiNeSanja ::

Randomness je izjavil:

Client port je lahko poljuben in te načeloma ne zanima. Le tako lahko imaš več klientov iz istega IP naslova sočasno.

Točno tako.

@He-Man
Že zadnjič si se nekaj čudil netstat-u, ki kaže neke 'čudne porte', pa se mi zdi, da sem ti rekel, da so to 'source porti'. Kot je rekel Randomness, si aplikacije te porte izbirajo random in razen v redkih izjemah sploh nimaš vpliva nanje.

Vedno gled destination port. Ta ti pove, kam se je nekaj povezovalo, oz. za kakšen servis se gre (če uporablja default porte).

Zgodovina sprememb…

He-Man ::

Aha, se pravi da so to pač odhodni porti oz. source porti, ki nimajo veze. Pomemben je destination port - zdaj mi je jasno, zapisan UTP port 1194 v config datoteki klienta kaže na destination port na VPN serverju in nima veze s klientom.

Kaj pravite pa na T-2 srednjo varnost? Očitnpa imajo odprt UDP port 1194, ne? Jo možno, da imajo zaprte le TCP porte?

Randomness ::

Jo možno, da imajo zaprte le TCP porte?
Je možno.

SeMiNeSanja ::

Testiraj?

Vzameš Ncat in ga nastaviš, da se oglaša na nekem poljubnem UDP portu.

Na drugi strani isto tako vzameš Ncat ali nmap in testiraš port, ki si ga nastavil za 'živega'.

Seveda to ne delaš izza routerja, ampak moraš testno mašino dat direktno na modem oz. switch od providerja.
Če stvar dela na treh random UDP portih, potem očitno filtrirajo samo TCP promet. Drugače pa smo spet pri nedokumentiranih/nepoznanih izjemah.

He-Man ::

Nisem še delal z Nmap ali Ncat ampak bom preizkusil takoj ko bom na času. Ne vem pa zakaj T-2 oglašujejo da so pri srednji varnosti navznoter vsi porti zaprti, če to ni res.

NoName ::

Morda, ker pri UDP zadeva ni tako trivialna kot pri TCP... Za slednje se namreč dobro ve, kdaj se seja začne - 'three way handshake'. Zadevo je dokaj preprosto omejevat na 'stateless firewallih'. Pri UDP pa bi znalo biti to malce težje... vsaj js nimam ideje, kako to narediti brez statefull firewalla... Point je, da si bi moral robni usmerjevalnik proti stranki potem zapomniti vse seje, od kakih 10k strank, če bi želel vedeti, kdo je iniciiral povezavo.
I can see dumb people...They're all around us... Look, they're even on this forum!

SeMiNeSanja ::

Vprašanje sploh ni, ali lahko ali ne morejo blokirati UDP prometa. Problem je v 'opisu storitve', ki je zavajajoč. Najmanj v drobnem tisku bi morali navesti, da blokada velja samo za TCP, ne pa tudi za UDP.

Že res, da 90% uporabnikov nima pojma, kaj je eno, kaj pa drugo. Toda če potem še ostalih 10% mora ugibati, kaj pravzaprav dela oz. ne dela tisti 'filter', potem to ni v redu.

He-Man ::

Se strinjam.

Na neuradnem forumu odgovarjano takole:
https://t-2.rula.net/viewtopic.php?f=1&...

Na odgovor ma mail, ki sem ga poslal na T-2 pa še čakam...

He-Man ::

Takole pa se glasi odgovor iz T-2:

--------------------------------------
Spoštovani,

smo preverili konfiguracijo glede srednja varnosti oz. high-media-out.

Zaprte so sledeče zadeve:
o Icmp paketi (ping)
o Tcp paketi kateri vsebujejo port nižji od 1024
o Udp paketi kateri vsebujejo port nižji od 1024

Vi verjetno za VPN vzpostavitev uporabljate na protokolu UDP višji port 1723 ali 4500. V tem primeru na srednji varnosti deluje.

S prijetnimi pozdravi...
--------------------------------------

Ampak tudi to mislim da ne bo držako, ker sem skušal dostopati preko TCP (višjim od 1024) in ni šlo skozi, ne za VPN ne za router remote access.

Invictus ::

In zakaj ne pokličeš da ti ukinejo varnost ?
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Daniel ::

Potrebna je pisna vloga.

čuhalev ::

Če zanemarim, da so pozabili dopisati, ali gre za izvorna ali ciljna vrata, imam še vedno kroglo, ki mi pravi DROP SRC WAN * & DST LAN < 1024.

Če je to res implementacija srednje varnosti, potem naj popravijo svojo trditev o njej:
,,Navznoter so zaprta vsa vrata, navzven pa so vsa vrata odprta."

He-Man ::

Nočem da mi ukinejo varnost, edino kar rabim (zaenkrat) je možnost za VPN - in le-ta deluje s "srednjo varnostjo".

Gre za to, da skušam izvedet od T-2 kako točno imajo nastavljeno in kaj deklarirajo.

Bom testiral z Ncat enkrat kmalu, upam.

He-Man ::

SeMiNeSanja je izjavil:

Testiraj?

Vzameš Ncat in ga nastaviš, da se oglaša na nekem poljubnem UDP portu.

Na drugi strani isto tako vzameš Ncat ali nmap in testiraš port, ki si ga nastavil za 'živega'.

Seveda to ne delaš izza routerja, ampak moraš testno mašino dat direktno na modem oz. switch od providerja.
Če stvar dela na treh random UDP portih, potem očitno filtrirajo samo TCP promet. Drugače pa smo spet pri nedokumentiranih/nepoznanih izjemah.


Pozdravljen,

če priklopim testni PC direktno na modem ne bo nič, ker imam stalno priklopljena 2 routerja in tako uporabljena oba dodeljena IP naslova od T-2 (24 ur traja da lease spusti). Bi lahko vseeno testiral preko routerja pa v routerju začasno izklopil firewall, bi to šlo?

Nmap & Ncat moram še naštudirat, nisem še delal s temi orodji.

Hvala!

Daniel ::

Evo, sem končno našel nekaj časa in testiral še pri tastu. OpenVPN deluje brez težav pri srednji varnosti :)

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

T-2 in porti

Oddelek: Omrežja in internet		484850 (2300) gazibo
»

Povezava dveh lokalnih omrežij

Oddelek: Omrežja in internet		171661 (1141) Aleks Nafi
»

Težave z OpenVPN povezavo (strani: 1 2 )

Oddelek: Omrežja in internet		629364 (6260) čuhalev
»

Z OpenVPN-jem ven iz MPLS-ja? (strani: 1 2 )

Oddelek: Omrežja in internet		5014369 (13313) SeMiNeSanja
»

Telemach in porti za SIP ?

Oddelek: Omrežja in internet		456732 (5162) #000000

Več podobnih tem