Re: Sikker envejs komunikation.

From: Henrik Kramshoej (none@hlk--kramse.dk.lh.bsd-dk.dk)
Date: Tue 09 May 2006 - 21:21:34 CEST

Next message: Erik Nordstrom Andersen: "Re: Opgradering af Apache 2.0 => 2.2"
Previous message: Mikkel C. Simonsen: "Re: Sikker envejs komunikation."
In reply to: Flemming Frøkjær: "Sikker envejs komunikation."
Next in thread: Flemming Madsen: "Re: Sikker envejs komunikation."
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Tue, 9 May 2006 21:21:34 +0200
From: Henrik Kramshoej <none@hlk--kramse.dk.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: Sikker envejs komunikation.

On Tue, May 09, 2006 at 05:00:59PM +0200, Flemming Frøkjær wrote:
> Hej BSD'er
>
> Jeg har en FreeBSD maskine som overvåger et større nætværk. Jeg vil
> gerne have en mulighed for at sende en SMS når den registrere en
> kritisk tilstand.
>
> Jeg forestille mig at sætte en GSM telefon til en anden BSD boks og
> instalere smstools.
>
> Problemet er jeg skal garantere at der ikke er nogen måde at dette
> link kan bruges til komunikation ind på netværket.
> En firewall mellem makinerne er ikke sikkerhed nok.
>
> Jeg overvejer noget filetransfere via UDP og en netkabel med kun 2
> ledere i. Jeg er ikke helt sikker på at jeg kan få netkortene til at
> komunikere på den måde, men det burde virke.
>
> Alternativt kunne det her måske bruges, men ser meget dyrt ud.
> http://www.owlcti.com/tpts.htm
>
> Andre forslag er meget velkomne.
Et ben på GPIO-agtig port på en soekris kan give høj og lav
- så må du selv om hvad der skal være normal og hvad der er kritisk

så er der kun 0/1 at vælge mellem og muligheden for at hacke videre
gennem denne forbindelse er minimeret :-)

Der findes diverse beskrivelser angående kabler der kun kan sende,
men i dit tilfælde vil det formentlig ikke kunne bruges
- den slags kabler blev typisk brugt i IDS systemer, hvor man ikke
ønskede at snifferen på nogen måde kommunikerede tilbage til netværket

Jeg ville nok se på www.loganalysis.org efter diverse logger
programmer og hvis forbindelsen er så "farlig" at den ikke
kan beskyttes af firewall - så bør der måske ikke være nogen
forbindelse!

Std UDP med syslogd er rimeligt fint til den slags og
med følgende regelsæt vil jeg mene det er RET sikkert:
block all
pass in on $ext_if proto udp from server_a to server_b port 514

Det er nemt at verificere at dette regelsæt virker godt

Mvh

Henrik

-- 
Henrik Lund Kramshøj, cand.scient, CISSP
e-mail: hlk@security6.net, tlf: 2026 6000
www.security6.net - IPv6, sikkerhed, netværk
Follower of the Great Way of Unix

Next message: Erik Nordstrom Andersen: "Re: Opgradering af Apache 2.0 => 2.2"
Previous message: Mikkel C. Simonsen: "Re: Sikker envejs komunikation."
In reply to: Flemming Frøkjær: "Sikker envejs komunikation."
Next in thread: Flemming Madsen: "Re: Sikker envejs komunikation."
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:59 CET