home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack / secure_wingate.txt < prev    next >
Encoding:
Text File  |  1998-07-18  |  7.9 KB  |  136 lines
  1. How to secure your WinGate installation from abuse
  2.  
  3.  
  4.                 Internet security and WinGate
  5.                 There has been increasing amounts of press and publicity concerning
  6.                 unauthorized use of proxy/firewalls to perform illicit activities which may be
  7.                 attributable to a firewall user. A number of these instances have involved the
  8.                 use of WinGate. This page is an information source to tell users of the issues,
  9.                 and how they can defend themselves against abuse of their systems.
  10.  
  11.                 Why should I do anything?
  12.                 There are unfortunately people out there who spend a great deal of time
  13.                 looking for a way to bypass security measures used increasingly by ISPs to
  14.                 thwart spammers - people who send large volumes of unsolicited mail to large
  15.                 numbers of email addresses. One way to bypass ISP security for sending mail
  16.                 is to appear to be a valid ISP client. This can be done through proxy software
  17.                 such as WinGate, if it is not securely configured.
  18.  
  19.                 So. In general, in order to stop people doing things that may be attributed to
  20.                 you, which could result in things like you getting your account shut down, you
  21.                 should ensure that your proxy server installation is secure from unauthorized
  22.                 use.
  23.  
  24.                 How do I do it?
  25.                 There are a number of methods of securing WinGate, which should not take
  26.                 you longer than a couple of minutes to implement.
  27.  
  28.                 There are two main ways to secure access.
  29.  
  30.                   1.Logically, by rule. This involves setting up rules as to who may or may
  31.                      not do certain things in WinGate. 
  32.                   2.Physically. By binding a service to a specific interface (see below), that
  33.                      service is simply not available from any other interface, so by binding a
  34.                      service to your LAN adapter, you can easily block all access from the
  35.                      Internet. 
  36.  
  37.                 You may also choose a mixture of these two methods, depending on your
  38.                 requirements for access. Here are some examples of some typical ways of
  39.                 securing your access. 
  40.  
  41.                 Example: A small LAN using WinGate Lite or free version for
  42.                 net access. Not running any servers that need to be accessed
  43.                 from the internet.
  44.  
  45.                 This is by far the most common scenario. 
  46.  
  47.                 Option 1
  48.  
  49.                 If all the services are using the default security arrangement as installed, then
  50.                 perform the following steps.
  51.  
  52.                   1.Open GateKeeper and log into WinGate as Administrator. 
  53.                   2.Double click on Policies, and double click on "Default Policies" 
  54.                   3.Select the right "Users can access services" 
  55.                   4.There will be one recipient there - "Everyone". Double click on this
  56.                      recipient. 
  57.                   5.Select the Location tab. 
  58.                   6.Select "Specify locations from where this recipient has rights" 
  59.                   7.Add the following IP addresses under Included locations: 127.0.0.1,
  60.                      and the first three numbers of your WinGate machine's network card
  61.                      followed by a .* - for example if your network card has IP address
  62.                      192.168.0.1, then you would add 192.168.0.*. If you have more than
  63.                      one network card in the WinGate machine then add an entry for each
  64.                      one that will be requiring access to WinGate. 
  65.                   8.Hit OK, and remember to save changes. 
  66.  
  67.                 Now only your LAN users can access any service in WinGate. If some of your
  68.                 services are using their own rules rather than the global ones, you can perform
  69.                 this action for each recipient in those service-specific rules. 
  70.  
  71.                 Alternative method using option 2.
  72.  
  73.                 Because the Lite version of WinGate cannot bind a service to more than one
  74.                 interface (WinGate 2.1 Pro can do it), in order to use option 2, of binding
  75.                 services, then you need to create a separate service for each interface you
  76.                 need to bind to. Minimum is 2 - the localhost interface, which is used for your
  77.                 second free user license, and the interface of your WinGate machine LAN
  78.                 card. For each LAN card in your machine you need to create another service
  79.                 and bind it to that LAN card IP address. 
  80.  
  81.                 To bind a service to an interface do the following:
  82.  
  83.                   1.Open GateKeeper and log into WinGate as Administrator. 
  84.                   2.Double click on "Services" in the right hand pane. 
  85.                   3.Double click on the service you want to modify. 
  86.                   4.The "General" tab you see in front of you has an option on it - "Bind to
  87.                      specific interface" - enable this option, and type in the address of the
  88.                      interface you are binding to. The interface address is the IP address of a
  89.                      LAN card in your WinGate machine, or 127.0.0.1 for the free user
  90.                      (localhost). 
  91.  
  92.                 Note - You cannot change the binding in the Remote Control Service in
  93.                 WinGate Lite.
  94.  
  95.                 What if I am running a server behind WinGate that requires
  96.                 public access?
  97.  
  98.                 We recommend that you do not run Telnet or SOCKS servers with public
  99.                 access. If you do, you will want to restrict what requests the server will
  100.                 perform. You could require users of these services to be authenticated if they
  101.                 connect from the internet. This will ensure no unauthorized use. Otherwise you
  102.                 can specify where a user can connect to, or at what times.
  103.  
  104.                 For WWW, if say you are running a WWW server behind WinGate, you can
  105.                 stipulate that internet users can only connect to your internal WWW server,
  106.                 and internal users can connect out. 
  107.  
  108.                 General techniques and hints.
  109.  
  110.                 This first question is "Do I really need to allow access to this service from the
  111.                 Internet, and Why?". Basically the reasons to require access from the internet
  112.                 are relatively few.
  113.  
  114.                   1.You may be running mail, WWW or other servers on your LAN that
  115.                      require access from the internet. 
  116.                   2.You may require field staff to telnet into your Unix server from the field. 
  117.                   3.You may have a requirement for some secure inter-office
  118.                      communication. 
  119.  
  120.                 If none of these apply, you need to seriously question why you would allow
  121.                 access from the internet to a service.
  122.  
  123.                 There are ways and means to specify different access rights depending on
  124.                 where a user accesses WinGate from. You can either create duplicate services
  125.                 bound to the different interfaces with different policies per service, or you can
  126.                 do it with a single service, with location based policies.
  127.  
  128.                 E.g. POP3 service using service specific rules. Create two recipients called
  129.                 everyone - the first one is restricted by location, and must connect from your
  130.                 LAN. The second can connect from anywhere, but is restricted by request -
  131.                 say only allow connections to certain servers or ports. 
  132.  
  133.                 More help is at hand.
  134.  
  135.                 The help documentation that comes with WinGate has more information on
  136.                 security, and you can always find help in the users forum and the support list.