Computerbeveiliging - Hoe je bad guys buiten de deur houdt

subnetmask besmet

21-10-2019, 17:57 door Anoniem, 14 reacties
Wanneer je zeg maar een subnetmask A hebt en deze is "besmet" zou subnetmask B ook besmet kunnen raken?
(Niet via mails die collegas sturen maar via netwerk)
Reacties (14)
21-10-2019, 20:37 door Anoniem
Wanneer je zeg maar een subnetmask A hebt en deze is "besmet" zou subnetmask B ook besmet kunnen raken?
(Niet via mails die collegas sturen maar via netwerk)
Alleen als ze in dezelfde klas zitten.
21-10-2019, 20:38 door Anoniem
Door Anoniem: Wanneer je zeg maar een subnetmask A hebt en deze is "besmet" zou subnetmask B ook besmet kunnen raken?
(Niet via mails die collegas sturen maar via netwerk)

Dat ligt aan de malware. Malware dat zich via een LAN verspreidt kijkt meestal naar het IP adres van je netwerkadapter. Als de geinfecteerde host meerdere netwerkconfiguraties heeft (interne A en B-klasse netwerken) is dit mogelijk. Slecht geschreven malware kan ook het eerste lokale IP nemen voor herdistributie. Er is geen sluitend antwoord op deze vraag.

Hier zijn dus firewalls voor bedoeld. IP traffic voor een klasse A adres weigeren op de (virtuele) adapter met een klasse B adres en omgedraaid. Goede firewall rulesets en logging lossen dit probleem op. Vergeet dit niet: Op je Loopback interface (lo) geen verkeer toelaten buiten 127.0.0.0/8 en geen loopback traffic accepteren op non-loopback adapters.

Koos - sha256:4a3bfc66129b2484cc7e8e99720b24c32d99b98180cccf60ecc15d466f9a06c2
21-10-2019, 20:51 door Anoniem
Dit is niet een beantwoordbare vraag.
21-10-2019, 22:12 door Anoniem
Door Anoniem: Wanneer je zeg maar een subnetmask A hebt en deze is "besmet" zou subnetmask B ook besmet kunnen raken?
(Niet via mails die collegas sturen maar via netwerk)

Een subnetmask (subnetmasker) is een stukje configuratiedata waarme een PC aan de hand van zijn eigen IP adres kan uitzoeken welke andere IP adressen binnen jezelfde subnet liggen en welke niet.

De vraag houdt inhoudelijk dus geen steek.

Waarschijnlijk bedoel je of PC's uit verschillende subnetten erlkaar kunnen besmetten?

Uiteraard, want communicatie tussen verschillende subnetten is mogelijk, het verschil zit louter in de layer 2 adressering van hosts.

Er van uitgaande dat je lokaal over een Ethernetnetwerk beschikt, zal intrasubnet IP communicatie rechtstreeks naar het doel gestuurd worden via MAC adressen (ARP), intersubnet communicatie zal steeds geadresseerd worden aan het MAC adress van een geconfigureerde router.

Op een router kan de communicatie gefilterd worden, maar ook op een lokaal netwerk zelf, of de doelhost.

Dus ja het zou kunnen, maar of het mogelijk is, hangt af of er filtering wordt toegepast in het communicatietraject en of het doel kan besmet worden door de malware.
21-10-2019, 22:44 door Anoniem
Een subnetmask kan niet besmet zijn, een subnet wel. Een subnetmask is slechts een rijtje bits om één of meer andere bits te maskeren.

Hoe selecteer ik bits 3,4 5 uit een byte?
Byte AND 00011100

Eerst je basiskennis digitale techniek op orde hebben en dan verder kijken.
22-10-2019, 08:26 door Anoniem
Is het plaatsen van in een aparte subnetmask hetzelfde als het segementeren van je netwerk?
22-10-2019, 11:46 door Anoniem
Dit is niet een beantwoordbare vraag.

Misschien is de vraag niet juist gesteld, maar de bedoeling is helder. Waardoor het wel te beantwoorden is. Gewoon kwestie van begrijpend lezen, en snappen wat iemand eigenlijk bedoeld. Zie de meer inhoudelijke antwoorden boven....
22-10-2019, 11:59 door Tha Cleaner
Door Anoniem: Wanneer je zeg maar een subnetmask A hebt en deze is "besmet" zou subnetmask B ook besmet kunnen raken?
(Niet via mails die collegas sturen maar via netwerk)
Weer een huiswerk topic hier?

Daarnaast heb je de vraag wel goed overtyped? Want dit is een open vraag, waar geen direct eenduidig antwoord op te geven is.

Het antwoord is namelijk "Misschien", of Ja of Nee..... Ofwel het hangt er vanaf.
22-10-2019, 12:02 door Erik van Straten - Bijgewerkt: 22-10-2019, 12:12
Door Anoniem: Is het plaatsen van in een aparte subnetmask hetzelfde als het segementeren van je netwerk?
Je kunt in een IP-over-ethernet (of -WiFi) netwerk inderdaad bijv. 2 subnets gebruiken, bijvoorbeeld 1 subnet voor PC's en het tweede, niet (deels) met het eerste overlappende, voor printers. PC's kunnen dan niet via IP direct met de printers communiceren en vice versa: daar heb je een routerend OSI layer 3 device voor nodig dat beide subnetmask "begrijpt'.

Maar dit is meer een "beggars-" dan een "poor mans solution", want zelfs met een passieve sniffer ziet een aanvaller zo waar jouw beveiliging uit bestaat (o.a. aan voorbijkomende ARP-broadcasts uit beide subnets). En zodra de aanvaller het subnetmask kan wijzigen, is jouw "beveiliging" doorbroken.

Subnetmask voor leken
Voor degenen die moeite hebben met het concept subnetmask (zelf vraag ik me nog steeds af waarom het niet omgekeerd is, dus 0.0.0.255 i.p.v. 255.255.255.0, c.q. /8 i.p.v. /24, wat rekenen met -tegenwoordig vaak kleine- subnets met subclassing zou vereenvoudigen): stel je een straat voor met de huisnummers 1 t/m hooguit 9999. In die straat staat een flat van bijv. 6 (irrelevant) etages en 10 woningen per etage, waarbij de eerste woning huisnummer 300 heeft. Op de begane grond heb je dan de huisnummers 300 t/m 309, op de eerste verdieping 310 t/m 319 enzovoorts.

Als een bewoner van een appartement op bezoek wil op een willekeurig ander huisnummer in de straat, kan hij een subnetmask gebruiken om te bepalen of hij:
- ofwel op dezelfde gallerij kan blijven
- ofwel met de lift/trap moet en wellicht de flat uitmoet (allemaal een stuk lastiger).

Ja duh zul je misschien denken, dat zie je zo. Maar het wordt lastiger als de huisnummers in de flat met bijv. 307 beginnen (is bijv. 316 dan op dezelfde etage?).

Als we in de netwerktechniek met decimale getallen zouden werken, zouden we zeggen dat het netwerkadres van de flat 0300 is, en het subnetmask in de flat 9990. Om te bepalen of de bewoner zijn gallerij af moet, trekt de gebruiker, van zijn eigen huisnummer en het huisnummer waar hij naartoe wil, het laagste van het hoogste af. Als het resultaat daarvan geen cijfers bevat die op dezelfde posities staan als de cijfers '9' in het subnetmask (9990), kan de bewoner op dezelfde gallerij blijven; anders moet hij met de lift en/of de flat uit.

Bij IP-netwerken geven de '1' bits in een subnetmask dus aan of een "verschil" (feitelijk een bitwise XOR) tussen bron- en doel-adres adres zo groot is, dat het andere IP-adres niet via layer 2 (maar via layer 3, routeren dus) bereikbaar is, en dus naar de juiste "gateway" gestuurd moet worden; als het verschil niet te groot is, kan er direct (op layer 2) met het doelapparaat worden gecommuniceerd.
22-10-2019, 16:07 door Anoniem
zoek het verschil tussen een subnet en een vLAN eens op.

Als ik met mijn verse gehackte machine in jouw netwerk zit, en je hebt alles netjes gesubnet en gefirewalled en gerouteerd, dan kan ik buiten de firewall/detectie om alles in mijn subnetje scannen en betasten, maar niet daarbuiten. ik skip dan x.x.x.1 en x.x.x.250/1/2/3/4 zodat die firewall/router me niet echt goed ziet. (als je promisc.mode in je SIEM hebt zitten dan laat maar, en hack ik wel een ander)

Echter, als nieuwe mede-eigenaar van de machine kan ikzelf mijn ip en subnet aanpassen binnen het vLAN, en zo rustig buiten de router en firewall om alles in het vLAN scannen, en zodra ik een machine vind met meer dan een netwerkkaart, hop ik mogelijk ook over naar een ander vLAN.
23-10-2019, 10:41 door Anoniem
Door Erik van Straten:

Knip heel nette uitleg van subnetting.
Applaus voor je geduld en inzet.

Ik wil hier ook nog wel eens parels voor de zwijnen gooien, maar zelf ben ik niet bereid om een duidelijke huiswerk vraag van iemand die geen eigen poging tot antwoord laat zien (' zelf denk ik zus en zo maar dit of dat snap ik niet') te belonen met een cut&paste klaar top antwoord.

Op sommige fora is er een soort van traditie om overduidelijke huiswerk vragen te beantwoorden met technisch perfecte maar niet gevraagde of erg obscure antwoorden. Iets dat de nakijkende prof of TA doet grinniken en meteen duidelijk maakt dat de student geen moeite gedaan heeft, als die het 1:1 inlevert.
23-10-2019, 12:59 door Anoniem
Het subnetmask kan niet besmet raken, dat is een masker getal welke gebruikt wordt om binnen de tcp/ip stack te kunnen bepalen welk ip adres er wel of juist niet binnen je eigen subnet(supernet) past.

Maar ik zou je willen adviseren om eerst een een CCNA cursus te gaan doen voor je verdere minder slimme opmerkingen maakt.
23-10-2019, 15:32 door Anoniem
Door Anoniem: Is het plaatsen van in een aparte subnetmask hetzelfde als het segementeren van je netwerk?

Meestal is dat hetzelfde.
Maar waarom zoek je niet zelf naar het antwoord ? Je hebt blijkbaar gehoord van het begrip 'segmenteren' - zoek op wat dat precies is.
En dan beantwoord je de vraag of dit hetzelfde is als 'plaatsen in een apart subnet' .
En even mierenneuken - de subnet_masken_ kunnen prima hetzelfde zijn in een netwerkomgeving.
Alle maskers 255.255.255.0 [ '/24' ] is lekker makkelijk.

Overigens heeft de historische reden waarom segmenteren nuttig/nodig/goed is/was niets te maken met security.
En is security maar deels de reden waarom je tegenwoordig ook nog wilt (of moet- soms) segmenteren.
23-10-2019, 19:26 door Anoniem
Door Erik van Straten:
Door Anoniem: Is het plaatsen van in een aparte subnetmask hetzelfde als het segementeren van je netwerk?
Je kunt in een IP-over-ethernet (of -WiFi) netwerk inderdaad bijv. 2 subnets gebruiken, bijvoorbeeld 1 subnet voor PC's en het tweede, niet (deels) met het eerste overlappende, voor printers. PC's kunnen dan niet via IP direct met de printers communiceren en vice versa: daar heb je een routerend OSI layer 3 device voor nodig dat beide subnetmask "begrijpt'.

Maar dit is meer een "beggars-" dan een "poor mans solution", want zelfs met een passieve sniffer ziet een aanvaller zo waar jouw beveiliging uit bestaat (o.a. aan voorbijkomende ARP-broadcasts uit beide subnets). En zodra de aanvaller het subnetmask kan wijzigen, is jouw "beveiliging" doorbroken.

Ehh... nee. Je moet natuurlijk niet 2 subnetten (geen idee waarom men het hier subnetmasks noemt) op hetzelfde
fysieke netwerk gebruiken als je doel is om de boel te beveiligen. Zet je subnetten op een verschillend netwerk en
zorg ervoor dat devices alleen toegang tot 1 van die netwerken hebben. Bijv bij WiFi maak je 2 aparte SSID's aan
en koppel je die ieder aan een segment waarop je een subnet definieert. De router bepaalt wat er voor verkeer
tussen die subnetten mogelijk is en naar buiten. Ik heb hier bijvoorbeeld een apart subnet voor mijn eigen spullen,
voor gasten spullen, en voor IoT spullen (ook van mezelf maar niet op mijn LAN). Dat zijn dan dus 3 SSID's en 3
netwerken (VLAN's) en in de router staat dat die 3 niet onderling mogen communiceren maar wel naar internet toe
mogen. Dat is in een beetje router allemaal te doen (zelfs simpele routers kunnen dat vaak al als je je beperkt tot
2 netwerken, een eigen netwerk en een gastnetwerk dan wel IoT netwerk, wat je er mee wilt doen).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.