Nee als je in Segment B bent, ben je onbereikbaar via segment A

Ik heb een "gast"-segment op mijn thuis-LAN en er is geen netwerkverkeer tussen gast- en privé segment. (Tenzij er bugs in de router zitten.) Waarop moet malware meeliften?

Natuurlijk kan ik malware via een USB stick verspreiden... Of via cloud-opslag op het Internet... Maar dat zijn geen directe netwerkaanvallen van het ene naar het andere segment.

Normaliter heb je een firewall tussen de segmenten. Je staat dan alleen noodzakelijk netwerkverkeer toe tussen de segmenten. Via dat toegestane verkeer kan nog steeds een aanval plaatsvinden, maar je beperkt het aanvalsoppervlak op die manier.

Segmenteren betekent niet altijd dat er geen verkeer tussen de segmenten is. Er kan bijvoorbeeld een firewall tussen de segmenten zitten die bepaald verkeer wel doorlaat. Als de firewall rules te ruim zijn en er kunnen kwetsbare machines aan de andere kant bereikt worden, dan is een aanval op het andere segment mogelijk.

Als een hacker toegang heeft tot het ene netwerk en de router over kan nemen (bijvoorbeeld door het beheerderswachtwoord te "vinden" of door een exploit op de router zelf), dan kan een hacker nog steeds het andere netwerk binnendringen.

Ik heb net een snelle test gedaan, de beheerdersinterface van mijn router is niet toegankelijk van mijn gastennetwerk. Dus ja, via router bugs en/of openstaande poorten in de firewall (of bugs in de ethernet switch als je VLANs gebruikt) zou je een aanval kunnen beginnen op het privé-netwerk. Ik bedenk me net ook dat via een VPN van het ene LAN naar het andere LAN het een en ander aan ongewenst dataverkeer kan meeliften.

Zelfs netwerken die gescheiden zijn met een air-gap zijn te overbruggen.

Belangrijker is om te bepalen wie je mogelijke opponent is, en daarop je beveiliging aanpassen.

Beste hack-tip die ik ooit hoorde: alleen de stekker eruit beschermt je tegen hackers.

Hoe dan?

Met een firewall in bridge mode kun je goed filteren. Echter, als de services die wel worden doorgelaten toch een security-issue hebben ben je alsnog kwetsbaar.

Met sneakernet, a la Stuxnet is een mogelijkheid.

Lees maar eens hoe een firewall werkt en waarom en op welke manieren een firewall een netwerk kan beschermen.

Hoe dan een aanval kan plaatsvinden? Stel je staat verkeer toe naar een webapplicatie in segment b vanuit segment a. Als die applicatie onveilig is dan kan die gehackt worden vanuit segment a en kan vanaf die gehackte webserver segment b verder aangevallen worden.

Dit.
Threat modeling.

Netwerk segmentatie geeft geen extra veiligheid, netwerk segmentatie geeft pas extra veiligheid als er firewalls tussen geplaatst worden.


Ben benieuwd of mijn reactie door de ballotage commissie komt, 9 van de 10 keer wordt mijn bericht niet meer geplaatst als ik via een VPN post. Wel als ik met mijn eigen IP post.

Elke (potentiële) koppeling tussen twee netwerken betekent een risico. Zoals MathFox en anderen schrijven, kan een firewall helpen om een deel van de risico's te mitigeren. Als die firewall bijv. NTP verkeer tussen de twee segmenten blokkeert, kunnen door een aanvaller aan B verzonden gemanipuleerde NTP pakketjes in principe geen systemen aan A bereiken.

Echter als de firewall onjuist is geconfigureerd (wat maar al te vaak gebeurt, bijv. als iets niet goed werkt worden vaak poorten opengezet die men daarna vergeet dicht te zetten, of de beheerder weet niet dat een applicatie niet meer gebruikt wordt, of de beheerder snapt niet hoe firewalls werken en heeft "allow all" als default policy laten staan -wellicht omdat hij een keer moest gaan rijden toen hij vergeten was bidirectioneel ssh verkeer toe te staan- of geheel niet aan IPv6 gedacht heeft), of als die firewall zelf kwetsbaarheden heeft die vanuit A getriggerd kunnen worden, of via A op onveilige wijze z'n updates krijgt, kan een aanvaller mogelijk misbruik maken van deze situatie.

In een "assume compromise" situatie is het verstandig om ook zoveel mogelijk soorten verkeer van B naar A te blokkeren en blauwe zwaailichten aan te zetten en sirenes te laten gillen als er pogingen worden gedaan om ongewenst netwerkverkeer die kant op te sturen.

En, actueel: als je bijv. ESXi hosts aan je management (V-) LAN hebt hangen (segment B), en een virtuele guest daarop gekoppeld is aan segment A (bijv. DMZ) dan zou ik, zodra VMware een patch uitbrengt voor een recente guest2host vulnerability (nog geen CVE bekend voor zover ik weet), deze maar snel installeren (en duimen dat die patch wel in een keer goed is). Zie https://www.theregister.com/2020/11/09/tianfu_cup/ en https://blogs.vmware.com/security/2020/11/vmware-and-tianfu-cup-2020.html.

Aanvulling op problemen met firewalls in mijn vorige bijdrage: er zijn firewalls en NAT-routers die poorten van "vuil" (segment A) naar "schoon" (B) kunnen openzetten op verzoek van iets aan de schone kant. Het originele FTP-protocol is daar een bekend voorbeeld van (na een verzoek van de client daartoe, wordt voor datatransport, geïnitieerd door de server, een poort opengezet van server naar client).

Maar ook UDP verkeer (met name DNS) vormt een risico, omdat de firewall of NAT-router een bepaalde tijd antwoorden van een potentieel vervalste responder zal doorlaten (UDP is immers "connectionless" waardoor pakketjes eenvoudig vervalst kunnen worden, op het onveilige segment dus).

Samy Kamkar, bekend/berucht van de eerste "social media worm" (gebruikmakend van XSS [1]), "How I met your girlfriend" (gebrekkige anonimiteit op Internet [2] en [3]) en SuperCookies, heeft op 31 oktober een artikel gepubliceerd getiteld "NAT Slipstreaming" [4]:

Meer info: [5] en [6]. Een firewall kan helpen, maar vanwege "gebruiksgemak" kunnen daarin allerlei concessies gedaan zijn (waaronder UPnP).

[1] https://en.wikipedia.org/wiki/Samy_(computer_worm)
[2] https://samy.pl/phpwn/BlackHat-USA-2010-Kamkar-How-I-Met-Your-Girlfriend-wp.pdf
[3] https://youtu.be/fWk_rMQiDGc
[4] https://samy.pl/slipstream/
[5] https://isc.sans.edu/forums/diary/Rediscovering+Limitations+of+Stateful+Firewalls+NAT+Slipstreaming+Implications+Detections+and+Mitigations/26766/
[6] https://www.bleepingcomputer.com/news/security/new-slipstream-nat-bypass-attacks-to-be-blocked-by-browsers/

Nu het grootste risico is dat er rekenkracht/processorkracht voor je beveiligde zone staat.
Als je internet relatief traag is zal een computer in onveilige deel hackers meer mogelijkheden geven.
stel het is tv of ander dan zal het niet zo'n vaart lopen maar als het i5,i7 met meerder core veel geheugen zijn niet intersant. voor een firewall .beperken op protocol is ook aangewezen dan haal je al een groot deel weg.

Is bovenstaande quote gegenereerd door een bot? Er is geen touw aan vast te knopen.

Je spreekt jezelf tegen! Je zicht dat de stekker eruit je beschermt tegen hackers, maar eerder had je al gezegd dat
dat niet voldoende is want de air-gap is volgens jou ook te overbruggen.

Nou had ik dat laatst toevallig bij de hand, een server die ergens ver weg was opgesteld daarvan zat per ongeluk de
netwerksteker er niet in.
Maar het lukte niet om dat te overbruggen. En ik heb ook niet het vertrouwen dat dat een uberhacker wel gelukt was.
M.a.w. je hebt wat algemeenheden en kletsverhalen van "onderzoekers" bij elkaar geveegd.

Ik denk dat hij de 220V stekker bedoelde.

En netwerken die niet met de buitenwereld verbonden zijn, kunnen nog steeds besmet worden. Vroeg of laat moet er iets bijgewerkt worden. Hoe ga je dat doen? Met een USB-stick die ergens anders beschreven is. Denk aan Stuxnet.

Ik bedoelde de stekker van de stroomvoorziening!

Er bestaat een onderzoek waar men besmette USB-sticks voor een organisatie op de stoep gooide. Als ik mij goed herinner werd 1 op de 5 gewoon in de pc geplugd en daarmee de computer besmet.