1/2
Kävin tuossa juuri läpi melko monta tekstiä koskien reitittimiä (modeemeja) ja löysin mm. mielenkiintoista tietoturvaan liittyvää tietoa siltauksesta ja reitityksestä ("bridged mode / bridging" & "routing"). Sori noista muutamista kankeista ilmaisuista noissa mun alla olevissa teksteissä, jouduin kääntämään osan englannista, mutta joka tapauksessa korjatkaa nämä väittämät jos olen ymmärtänyt ne väärin:
Siltauksessa modeemi on tavallaan täysin "näkymätön" ja tietokone on suoraan kytketty palveluntarjoajaan (eli modeemi toimii ikään kuin adapterina ADSL:n ja ethernetin välillä) ja täten käyttäjän ei tarvitse tehdä mitään muutoksia modeemin asetuksiin.. Bridged mode siis kytkee käyttäjän oman paikallisnetin internetiin. Bridged modessa DHCP-serverinä, joka jakaa osoitteen koneelle, toimii ISP eli palveluntarjoaja (esim. Saunalahti tai Sonera). NAT-routing taasen tarkoittaisi tämän osoitteen jakelun osalta sitä, että käyttäjän oma reititin eli modeemi jakaa osoitteen koneelle...
Jos haluaa, että kone on "suoraan internetissä", niin on valittava siltaus kun taas saadakseen yksityisen verkon, johon ei kukaan voi päästä käsiksi ulkoapäin, valitaan "routing". Mikäli käyttää siltausta ei kuitenkaan pitäisi olla ongelmia port-forwardingin kanssa, koska "bridgingissä" kone on jo valmiiksi "ulkona netissä" siinä missä routingissa, jossa tavallaan ollaan palomuurin takana, joutuu hieman taistelemaan portforwardingin kanssa (jos haluaa "port-forwardata") ja säätelemään palomuuriasetuksiakin...
Eli siis bridged modessa "sillalla" (eli reitittimessä, jossa on bridged mode valittuna) ei ole IP:tä vaan paikallinen netti (LAN) on suoraan kytketty WAN:iin eli internetiin ja siten sillä on myös IP-osoitekin WAN:issa... Bridged modessa siis reititin vain tavallaan "liittää" WAN:in ja LAN:in yhteen siten, että LAN on osana WAN:ia. Selvennyksenä vielä, että jos reititin on bridged modessa ja reitittimen WAN-portti on liitetty ISP:hen sekä kone on kytketty reitittimen LAN-porttiin, niin se on on ikään kuin lähes sama homma kuin että käyttäjällä ei olisi mitään reititintä (modeemia) tuon LAN:in ja WAN:in välissä eli kone olisi ikään kuin suoraan kytketty ISP:hen.
Ylivoimaisesti kiinnostavin juttu kuitenkin liittyy tietoturvaan: routing on turvallisempaa kuin bridging koska routingissa on käytettävä NAT:ia (network address translation), joka tavallaan peittää/piilottaa koneen IP-osoitteen. Voidaankin siis puhua "NAT-routingista"! Bridging eli siltaus ei todellakaan ole ollenkaan niin turvallinen ratkaisu kuin routing vaikka ISP myös voi blokata joitakin mahdollisesti haitallisia yhteysyrityksiä (inbound connection attempts). Kuitenkaan ei ole kovinkaan tavallista, että ISP eli palveluntarjoaja blokkaisi noita haitallisia yhteydenottoyrityksiä. NAT-routingia käyttäessä tätä ongelmaa ei edellä mainituista syistä kuitenkaan ole: yksinkertaisesti ei ole huolta siitä, että joku pääsisi ulkopäin käsiksi koneelle (ellei koneessa sitten ole haittaohjelmia, jotka availevat kaikenlaisia haavoittuvuuksia, jotta kräkkerit pääsisivät ulkopäin koneeseen) koska routingissa ollaan "yksityisessä" netissä (private net). NAT-routingissa käyttäjän ei tarvitse siis välittää siitä, onko Windowsin tai virustorjuntaohjelmankaan palomuuri päällä (tosin jos käyttäjä tuntisikin olonsa superparanoidiksi otettuaan Windowsin ja virustorjuntaohjelman palomuurit pois päältä esim. testatakseen jotakin, niin voisi tämä tietysti vetäistä irti johdon reitittimen WAN-portista [eli "internet-johto" pois] mutta silti antaa tietokoneen ja reitittimen välisen johdon olla paikallaan)...
(JATKUU ALLA)
Bridging vs NAT-Routing
22
6787
Vastaukset
- Paliófilos
2/2
NAT:ista puhuessa voidaan todeta ainakin seuraavat kaksi tietoturva-asiaa:
1) koneeseen ei pääse ulkoapäin käsiksi jos olet "passiivisesti" kytkettynä nettiin eli nettipiuha kiinni ja toimiva nettiyhteys päällä. Kirjoitin "passiivisesti" siksi, että kaikenlaiset haitallista koodia sisältävät sivut ja jo koneella olevat tai koneelle asennetut haittaohjelmat ovat asia erikseen! En tiedä, auttaako niihin juuri mikään jos käyttiksenä on jokin Windows, mutta tosiaan NAT-routingia käyttäessä ei minkäänlaisista "inbound connection attempteista" tarvitse huolehtia jos kone on puhdas, eikä surffaile ihan missä tahansa. Bridgingissä taas noita "inbound connection attempteja" tulee pakostakin ja on sitten useimmitin Windowsin tai antivirussoftan palomuurin vastuulla, menevätkö nuo mahdollisesti haitalliset yhteydenotot (vai miksikä niitä voi kutsua?) läpi vai ei.
2) NAT on tavallaan jo itsessään palomuuri.
Kuvitellaanpa näiden em. tietoturvariskien lisäksi vaikkapa sitä, että joku käyttää NAS:ia eli verkkokiintolevyä/verkkotallennuslaitetta. Jos tuollaisen NASsikan laittaa suoraan nettiin eli valitsee modeemin asetuksista "bridged moden" sen sijaan, että antaisi modeemin NAT:ata oman netin ja internetin välillä (NAT-routing), niin sehän olisi useimmissa tapauksissa sulaa hulluutta koska kuka tahansa saattaisi päästä tuohon NAS:iin käsiksi. Pahimmassa tapauksessa vielä tuossa NAS:issa olisi edelleen tehdasasetukset ja salasanana juurikin tyypillisesti joku "1234" tai "admin"...
Näiden kaikkien asioiden jälkeen en näe enää juuri mitään syytä siihen, miksi kukaan haluaisi käyttää bridged modea (siltausta). Toisaalta tietysti ehkä se, ettei bridgingissä tarvitse huolehtia port-forwardingeista voi olla jollekin syy käyttää bridgingiä. Pienen opettelun jälkeen port-forwardinginkin kuitenkin pitäisi onnistua muitta mutkitta. Varmaankaan suurimpana ongelmana ei port-forwardingissa niinkään ole modeemiasetuksien muuttelu (mikä portti avataan), vaan virustentorjuntaohjelman palomuuri, jolle on tehtävä uusi sääntö port-forwardingia varten ellei antivirussoftasta löydy mitään helppokäyttöisiä prekonfiguroituja vaihtoehtoja kuten "open a firewall port".
Osaisivatko palstan konkarit kertoa mitään muita syitä siihen, miksi kukaan haluaisi käyttää bridgingiä? Mulla tulee tietysti tuon yllä mainitun port-forwardingin lisäksi mieleen sellainen pieni skenaario, että jonkun käyttäjän netti ei toimi ja tämä soittaa palveluntarjoajan asiakaspalveluun, jossa tätä käsketään muuttamaan modeemin asetuksia siten, että "bridged mode" eli siltaus on valittuna, koska vaikka tuo asetus sisältää tietoturvariskejä, niin se on myös varma tapa saada yhteys toimimaan (kunhan vain VPI- ja VCI-asetukset ovat oikein). Tuolla bridgingillä asiakaspalvelu siis varmistaa, ettei asiakas enää soita vikanumeroon uudestaan... On kuitenkin asiakaspalvelulta jokseenkin vastuutonta kehottaa käyttäjää valitsemaan bridged modea ainakaan jos käyttäjällä on OS:nä Windows ja hänelle ei erikseen selvennetä noita bridgingiin liittyviä tietoturvariskejä ja jos ei myöskään selvitetä, onko käyttäjällä ylipäänsä esim. mitään virustentorjuntaohjelmaa.- as-keetti
asian aika tavalla oikein.
Tosin laitteella "modemi" ei ole mitään tekemistä siltaus/reitityksen kanssa.
Kun tuossa puhut modemista puhut oikeastaan yhdistelmälaitteesta
johon on samoihin kuoriin laitettu modemi ja reititin.
Aika suuri syy monella on käyttää siltausta silloin kun oma kone on myös
internet-palvelin ja siihen täytyy päästä maailmalta. Silloin NATtaus
saattaa muodostua ongelmaksi. - SRekTAGLlQ
Tietoturvan kannalta ei ole väliä onko siltaus vai NAT käytössä. Koneelle ei suinkaan tulla kuin telttaan ulkoapäin. Edes palomuuria ei tarvita koneessa. Esimekiksi Debianissa ja Ubuntussa ei muuri ole päällä normaalikäytössä. Windowskin tarvitsee sitä vain peittämään pari hölmösti oletusasennuksessa päälle laitettua palvelua. Hirmuinen palomuurihype on vain saanut luulemaan palomuuria joksikin tietoturvan ihmeeksi.
Siltaavassa tilassa kaikki Internet-jutut toimivat automaattisesti ilman kikkailuja. NATin takana taas kotiverkon hallinnointi on helpompaa. On siis aivan makuasia kumpaa haluaa käyttää. Ellei sitten operaattori rajaa yhdestä liittymästä liitettävien koneiden määrää niin ettei kaikki voi saada omaa julkista IP-numeroa. Tällöin on pakko käyttää NATtia. - vaapio
"Osaisivatko palstan konkarit kertoa mitään muita syitä siihen, miksi kukaan haluaisi käyttää bridgingiä?"
en ole kertaakaan tarvinnut noin 10 vuoden aikana siltausta. Sitä paitsi sen käyttäminen on sulaa hulluutta. - ei
SRekTAGLlQ kirjoitti:
Tietoturvan kannalta ei ole väliä onko siltaus vai NAT käytössä. Koneelle ei suinkaan tulla kuin telttaan ulkoapäin. Edes palomuuria ei tarvita koneessa. Esimekiksi Debianissa ja Ubuntussa ei muuri ole päällä normaalikäytössä. Windowskin tarvitsee sitä vain peittämään pari hölmösti oletusasennuksessa päälle laitettua palvelua. Hirmuinen palomuurihype on vain saanut luulemaan palomuuria joksikin tietoturvan ihmeeksi.
Siltaavassa tilassa kaikki Internet-jutut toimivat automaattisesti ilman kikkailuja. NATin takana taas kotiverkon hallinnointi on helpompaa. On siis aivan makuasia kumpaa haluaa käyttää. Ellei sitten operaattori rajaa yhdestä liittymästä liitettävien koneiden määrää niin ettei kaikki voi saada omaa julkista IP-numeroa. Tällöin on pakko käyttää NATtia."Tietoturvan kannalta ei ole väliä onko siltaus vai NAT käytössä"
ole vai? Kun (ei "jos") hyökkäys tapahtuu, niin siltauksessa kohde on oma koneesi. NAT:n tapauksessa kohteena on modeemi. Arvaa kummassa on sinulle tärkeää tietoa! - SRekTAGLlQ
ei kirjoitti:
"Tietoturvan kannalta ei ole väliä onko siltaus vai NAT käytössä"
ole vai? Kun (ei "jos") hyökkäys tapahtuu, niin siltauksessa kohde on oma koneesi. NAT:n tapauksessa kohteena on modeemi. Arvaa kummassa on sinulle tärkeää tietoa!Ei ole. Käsitykset "hyökkäyksistä" ja muista sellaisista on palomuurikauppiaiden mainoshöpinää. Koneelle ei todellakaan pääse vain osoittamalla sitä ovelasti koodatulla datapaketilla.
Puhutaan myös siitä kuinka portti on joko suljette tai piilotettu. Todellisuudessa silloin mitään porttia ei ole edes olemassa. Suljettu tarkoittaa että lähetetään standardin mukainen virhesanoma takaisin. Piilotettu sitä ettei virhesanomaa lähetetä vaikka standardi sitä edellyttäisikin.
Koneeseen sisään pääsy edellyttää että sisältä päin aloitetaan aktiviteetti. Se voi johtua selaimen tai jonkin muun ohjelman virhetoiminnasta, jota murtautuja voi käyttää hyväkseen. Jopa käyttäjä voidaan houkutella asentamaan haitallinen ohjelma. Kuitenkaan sillä ei ole väliä onko kone silloin NATin takana vai ei. - SRekTAGLlQ
vaapio kirjoitti:
"Osaisivatko palstan konkarit kertoa mitään muita syitä siihen, miksi kukaan haluaisi käyttää bridgingiä?"
en ole kertaakaan tarvinnut noin 10 vuoden aikana siltausta. Sitä paitsi sen käyttäminen on sulaa hulluutta.Kerro meille miksi siltaava yhteys on "sulaa hulluutta".
- ei
SRekTAGLlQ kirjoitti:
Ei ole. Käsitykset "hyökkäyksistä" ja muista sellaisista on palomuurikauppiaiden mainoshöpinää. Koneelle ei todellakaan pääse vain osoittamalla sitä ovelasti koodatulla datapaketilla.
Puhutaan myös siitä kuinka portti on joko suljette tai piilotettu. Todellisuudessa silloin mitään porttia ei ole edes olemassa. Suljettu tarkoittaa että lähetetään standardin mukainen virhesanoma takaisin. Piilotettu sitä ettei virhesanomaa lähetetä vaikka standardi sitä edellyttäisikin.
Koneeseen sisään pääsy edellyttää että sisältä päin aloitetaan aktiviteetti. Se voi johtua selaimen tai jonkin muun ohjelman virhetoiminnasta, jota murtautuja voi käyttää hyväkseen. Jopa käyttäjä voidaan houkutella asentamaan haitallinen ohjelma. Kuitenkaan sillä ei ole väliä onko kone silloin NATin takana vai ei."Käsitykset "hyökkäyksistä" ja muista sellaisista on palomuurikauppiaiden mainoshöpinää."
elää microsoftin ihanne maailmassa missä ei ole minkäänlaista rikollisuutta tai vääryyttä. Ota jo pää pois pensaasta! - vaapio
SRekTAGLlQ kirjoitti:
Kerro meille miksi siltaava yhteys on "sulaa hulluutta".
koneesi olevan pääasiallinen hyökkäyskohde vaiko sen modeemin? Kummassa on sinulle tärkeitä tietoja? Ilmeisesti modeemissasi.
- SRekTAGLlQ
vaapio kirjoitti:
koneesi olevan pääasiallinen hyökkäyskohde vaiko sen modeemin? Kummassa on sinulle tärkeitä tietoja? Ilmeisesti modeemissasi.
Ja miten vaikka sähköpostin mukana tuleva tai nettisivulta latautuva haittaohjelma kohdistuisi välissä olevaan verkkolaitteeseen?
- SRekTAGLlQ
ei kirjoitti:
"Käsitykset "hyökkäyksistä" ja muista sellaisista on palomuurikauppiaiden mainoshöpinää."
elää microsoftin ihanne maailmassa missä ei ole minkäänlaista rikollisuutta tai vääryyttä. Ota jo pää pois pensaasta!En ole Microsoft-miehiä. Linux-koneita käpistelen ja tässäkään Debianissa, jolla nyt kirjoittelen, ei todellakaan ole palomuuri käytössä.
Sinä taas näytät sisäistäneen palomuuri-hyökkäyshöpinät kuin jonkin uskonkappaleen tajuamatta ettei sillä ole mitään sisältöä. - vaapio
SRekTAGLlQ kirjoitti:
Ja miten vaikka sähköpostin mukana tuleva tai nettisivulta latautuva haittaohjelma kohdistuisi välissä olevaan verkkolaitteeseen?
"Ja miten vaikka sähköpostin mukana tuleva tai nettisivulta latautuva haittaohjelma kohdistuisi välissä olevaan verkkolaitteeseen? "
olisi upnp. Toinen järjettömyys pitää päällä. Sulla ei taida olla hajuakaan mistään. - SRekTAGLlQ
vaapio kirjoitti:
"Ja miten vaikka sähköpostin mukana tuleva tai nettisivulta latautuva haittaohjelma kohdistuisi välissä olevaan verkkolaitteeseen? "
olisi upnp. Toinen järjettömyys pitää päällä. Sulla ei taida olla hajuakaan mistään.Kuka upnp:tä kaipaa? Ja miten se tähän asiaan liittyy?
- vaapio
SRekTAGLlQ kirjoitti:
Kuka upnp:tä kaipaa? Ja miten se tähän asiaan liittyy?
"Ja miten vaikka sähköpostin mukana tuleva tai nettisivulta latautuva haittaohjelma kohdistuisi välissä olevaan verkkolaitteeseen? "
kysyit. Kuten aikaisemmin totesin, ei sulla ole hajuakaan mistään. Upnp on windowsissa ja monissa verkon laitteissa oletuksena päällä. Upnp- laitteet voivat muuttaa toistensa asetuksia eikä siihen läheskään aina pyydetä käyttäjän lupaa. - Tasokasta on joo
vaapio kirjoitti:
"Ja miten vaikka sähköpostin mukana tuleva tai nettisivulta latautuva haittaohjelma kohdistuisi välissä olevaan verkkolaitteeseen? "
kysyit. Kuten aikaisemmin totesin, ei sulla ole hajuakaan mistään. Upnp on windowsissa ja monissa verkon laitteissa oletuksena päällä. Upnp- laitteet voivat muuttaa toistensa asetuksia eikä siihen läheskään aina pyydetä käyttäjän lupaa.Hölynpölyä trollaukses...kommentoija SRek...ihmettelee miten verkkolaite vaikuttaisi nettisivulta latautuvan haittaohjelman saamiseen tai saamatta jäämiseen ja sinä vastaan uPnP. Ja solvaat lapselliseen tyyliin ettei tällä ole tajua mistään. BUAHAHAHA.
- vaapio
Tasokasta on joo kirjoitti:
Hölynpölyä trollaukses...kommentoija SRek...ihmettelee miten verkkolaite vaikuttaisi nettisivulta latautuvan haittaohjelman saamiseen tai saamatta jäämiseen ja sinä vastaan uPnP. Ja solvaat lapselliseen tyyliin ettei tällä ole tajua mistään. BUAHAHAHA.
"Ja miten vaikka sähköpostin mukana tuleva tai nettisivulta latautuva haittaohjelma kohdistuisi välissä olevaan verkkolaitteeseen? "
oli kysymys. Mitäs jos se latautuva haittaohjelma käyttää upnp:tä. HÄH? - Tasokasta on joo
vaapio kirjoitti:
"Ja miten vaikka sähköpostin mukana tuleva tai nettisivulta latautuva haittaohjelma kohdistuisi välissä olevaan verkkolaitteeseen? "
oli kysymys. Mitäs jos se latautuva haittaohjelma käyttää upnp:tä. HÄH?Mietis nyt vähän itsekin tuota höpöhöpöäs, miten se käyttää upnp:tä ulkoapäin? Jos se on jo koneella, ei se mitään upnp:tä tarvitse, höpönassu. Se jo soittelee kotiin tietoturvareiän tai tumpelon käyttäjän avustamana.
Jos taas meinaat, että koneella oleva haittaohjelma hyväkskäyttää upnp:tä niin siinä ei ole mitään uutta, muttei se taas liity alkuperäiseen väitökseesi lainkaan eli nat estää kaikki hyökkäykset ulkoapäin. No kun ei estä. Mieti itsekses miksi ei estä. Tai miksi sillattu tila ei ole juurikaan vaarallisempi kuin nat. - mitenköhän
Tasokasta on joo kirjoitti:
Mietis nyt vähän itsekin tuota höpöhöpöäs, miten se käyttää upnp:tä ulkoapäin? Jos se on jo koneella, ei se mitään upnp:tä tarvitse, höpönassu. Se jo soittelee kotiin tietoturvareiän tai tumpelon käyttäjän avustamana.
Jos taas meinaat, että koneella oleva haittaohjelma hyväkskäyttää upnp:tä niin siinä ei ole mitään uutta, muttei se taas liity alkuperäiseen väitökseesi lainkaan eli nat estää kaikki hyökkäykset ulkoapäin. No kun ei estä. Mieti itsekses miksi ei estä. Tai miksi sillattu tila ei ole juurikaan vaarallisempi kuin nat.noita koneita ohjataan kun ne on roskapostizombieita tai kun ne hyökkäävät jollekin saitille? Miten? Samalla tavalla voidaan kaverin höpöttämää upnp:tä ohjata. Mieti sitä.
- ventrikkelikoloni
mitenköhän kirjoitti:
noita koneita ohjataan kun ne on roskapostizombieita tai kun ne hyökkäävät jollekin saitille? Miten? Samalla tavalla voidaan kaverin höpöttämää upnp:tä ohjata. Mieti sitä.
Etkö tiedä? No sitä ei voi julkisesti kertoa koska joku palikka voi alkaa harrastamaan kiusantekoa.
- Paliófilos
ventrikkelikoloni kirjoitti:
Etkö tiedä? No sitä ei voi julkisesti kertoa koska joku palikka voi alkaa harrastamaan kiusantekoa.
Tieto on kyllä hieman ristiriitaista täällä. Jos tuosta bridgingistä ja NAT-routingista on olemassa tietoturvaan liittyviä faktoja, niin niistä tuskin voi kiistellä. (Makuasioista nimenomaan sitten voikin kiistellä koska jo todistetuista faktoista kiistely olisi turhaa/hedelmätöntä...)
- 12
Paliófilos kirjoitti:
Tieto on kyllä hieman ristiriitaista täällä. Jos tuosta bridgingistä ja NAT-routingista on olemassa tietoturvaan liittyviä faktoja, niin niistä tuskin voi kiistellä. (Makuasioista nimenomaan sitten voikin kiistellä koska jo todistetuista faktoista kiistely olisi turhaa/hedelmätöntä...)
NATin takana voit Windowseissakin jättää softamuurin pois. Sillatussa tilassa en sitä tekisi ainakaan säätämättä palveluja.
- SRekTAGLlQ
Paliófilos kirjoitti:
Tieto on kyllä hieman ristiriitaista täällä. Jos tuosta bridgingistä ja NAT-routingista on olemassa tietoturvaan liittyviä faktoja, niin niistä tuskin voi kiistellä. (Makuasioista nimenomaan sitten voikin kiistellä koska jo todistetuista faktoista kiistely olisi turhaa/hedelmätöntä...)
Näin se on. Täällä kirjoitellaan vakaumuksen syvällä rintaäänellä vaikka tietämys saattaa rajoittua jonkin palomuurikauppiaan mainossivuun.
Nimimerkki 12 osasikin tiivistää vastauksen hyvin tässä palomuuriasiassa..
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Ikävä sinua
Onkohan sulla ollut sama tunne kuin mulla viimeisten parin päivän aikana, eilen varsinkin. Ollaan oltu ihan lähellä ja k374876- 823476
- 302943
- 612905
- 72689
Kesäseuraa
Kesäseuraa mukavasta ja kauniista naisesta. Viesti tänään mulle muualla asiasta jos kiinnostaa Ne ketä tahansa huoli, t552260- 371742
Tuksu on edelleen sinkku - nuori Joonas jätti!
Hihhahihhahhaahheee Joonas keksi hyvän syy. : Tuksu on liian Disney-prinsessa hänelle. (Mikähän prinsessa lie kyseessä….91680- 181671
- 161574