---

Hej,

Hvis man nu på et eller andet tidspunkt vælger at skifte til ADSL og en
fast IP-adresse, er Norton Internet Security så tilstrækkelig til at bevare
sikkerheden mod hackere og andet snavs, eller skal der større og mere
effektive programmer installeres? Hvad er jeres erfaring med Norton
Internet Security?

Som Antivirus bruger jeg pt. InoculateIT så jeg ved godt at det også
kræver et antivirusprogram. Jeg tænker mere på om Norton Internet
Security er anvendelig som firewall, eller hvad pokker det nu hedder.

--
Mvh. Madsen
Remove »who« in email.

---

Madsen skrev:

>Hvis man nu på et eller andet tidspunkt vælger at skifte til ADSL og en
>fast IP-adresse, er Norton Internet Security så tilstrækkelig til at bevare
>sikkerheden mod hackere og andet snavs, eller skal der større og mere
>effektive programmer installeres?

Jeg kører med en gratis firewall (Sygate Personal Firewall).
Andre bruger Zonealarm. Uden at kende et klap til Nortons (eller
egentlig ret meget til firewalls), vil jeg gætte på at de er lige
gode.

Der er lidt forskellige meninger om hvad der er nødvendigt, men
til privat brug har jeg det fint med at installere noget nemt og
så blive klogere hen ad vejen. Andre anbefaler at man sætter sig
grundigt ind i tingene (det er naturligvis altid en god ting) så
man bliver klar over hvad man har af problemer og hvordan man kan
ordne dem - med eller uden en firewall.

Dem der ved mere end jeg, er vist blevet trætte af at folk smider
en firewall på systemet og så belemrer sikkerhedgrupperne hver
gang den laver en lille rød klat i loggen. Men det er da udmærket
at den kan spærre for nogle ting, og det er meget skægt at se på
hvad der egentlig foregår omkring ens computer.

>kræver et antivirusprogram. Jeg tænker mere på om Norton Internet
>Security er anvendelig som firewall, eller hvad pokker det nu hedder.

Lille note:
Du skriver det skam rigtigt nok.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

"Bertel Lund Hansen" <nospamto@lundhansen.dk> skrev:

> Dem der ved mere end jeg, er vist blevet trætte af at folk smider
> en firewall på systemet og så belemrer sikkerhedgrupperne hver
> gang den laver en lille rød klat i loggen. Men det er da udmærket
> at den kan spærre for nogle ting, og det er meget skægt at se på
> hvad der egentlig foregår omkring ens computer.

Det interesserer mig ikke ret meget hvad der står i den log.
Faktisk kigger jeg aldrig i den. Jeg ønsker blot at programmet skal
afvise dem der prøver at komme ind og så ellers lade mig være i
fred så jeg kan arbejde videre. Jeg ønsker ikke at belemres med
alle mulige underlige beskeder fra programmet og det synes jeg
egentlig Norton Internet Security klarer meget godt, men er så
ikke sikker på om det er fordi programmet ikke er effektivt nok.
Jeg har prøvet at være inde på <http://grc.com/> og køre deres
"Shiels Up" og får at vide at min computer er ovenud godt beskyt-
tet, men er det mon også noget man kan stole på? Det var det jeg
stillede spørgsmålstegn ved.

> >kræver et antivirusprogram. Jeg tænker mere på om Norton Internet
> >Security er anvendelig som firewall, eller hvad pokker det nu hedder.
>
> Lille note:
> Du skriver det skam rigtigt nok.

Jeg har ikke forstand på sådan noget, så jeg var ikke helt sikker :)

--
Mvh. Madsen
Remove »who« in email.

---

Madsen skrev:

>Jeg har prøvet at være inde på <http://grc.com/> og køre deres
>"Shiels Up"

Ditto.

> og får at vide at min computer er ovenud godt beskyt-
>tet, men er det mon også noget man kan stole på? Det var det jeg
>stillede spørgsmålstegn ved.

De sider fik jeg anbefalet her i gruppen, og der var ingen
protester om at Gibson skulle være en klamphugger. Derudover
tyder siderne på at han ved en hel del (og er stolt af det), så
jeg regner med at det er brugbart.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

"Bertel Lund Hansen" <nospamto@lundhansen.dk> skrev:

> Madsen skrev:
>
> >Jeg har prøvet at være inde på <http://grc.com/> og køre deres
> >"Shiels Up"
>
> Ditto.

Ja og jeg mente jo så "Shields up", men det gik jo så alligevel.

> > og får at vide at min computer er ovenud godt beskyt-
> >tet, men er det mon også noget man kan stole på? Det var det jeg
> >stillede spørgsmålstegn ved.
>
> De sider fik jeg anbefalet her i gruppen, og der var ingen
> protester om at Gibson skulle være en klamphugger. Derudover
> tyder siderne på at han ved en hel del (og er stolt af det), så
> jeg regner med at det er brugbart.

Okay. Jeg regner så også med Gibson og må formode at hans
test er noget der fungerer og er nogenlunde pålidelig.

Tak for svaret Bertel.

--
Mvh. Madsen
Remove »who« in email.

---

Bertel Lund Hansen <nospamto@lundhansen.dk> wrote:
> De sider fik jeg anbefalet her i gruppen, og der var ingen
> protester om at Gibson skulle være en klamphugger.

Gibson er en klamhugger :)

Hans evner og vaerker har tidligere vaeret diskuteret her i gruppen. Han er
rigtigt god til at saette et spin paa ting saa han faar opmaerksomhed. Han
paastaar selv at kunne en masse ting, men noget af det han skriver beviser
at han ikke fatter ret meget.

F.eks. bruger han betegnelser som "hidden internet server" og "stealth mode"
i teksten til hans portscanner og det goer ikke noget for at fremme
forstaaelsen blandt normale mennesker. Hans recent (dansk?) artikel om de
forfaerdelige sikkerhedsproblemer i Windows 2000 (mht. raw sockets) beviser
ogsaa at der er noget han ikke har forstaaet.

Han skriver i sit "Open Letter to the Internet's Hackers":

"I surrender.

I surrender right now, completely and unconditionally.

And I'm not kidding.

It is my intention to carefully and completely explain, to the entire world,
exactly why there is no defense against the sorts of clever Internet attacks
you guys can create.

I want to do that because the world still doesn't get it.

It occurred to me that you might think that I think I'm invulnerable after
managing to block the IRC Zombie/Bot attacks, so I wanted to be SURE that
you understood that I AM UNDER NO SUCH DELUSION.

I was talking to a reporter on the phone a few hours ago, during the first
REAL, non-blockable attack we have ever experienced. And I calmly explained
that we were under attack and off the Net. In a bit of a panic, he asked
what I was going to do about it. So I told him that I was going to take a
long walk on the beach - because you and I both know there's absolutely
NOTHING I CAN DO to defend against a real, professional, Internet Denial of
Service attack. So I might as well enjoy the day."

1) Der er intet som helst "clever" over at sende meget traffik til en
maskine. Mennesker uden nogen som helst viden om operativ systemer eller
netvaerk goer det dagligt. 2) Det kraever god kommunikation og er
irriterende at bruge tid paa, men med tilstraekkelig hjaelp fra sin ISP og
denne's IP feeds er det muligt at blokere et DoS.

Han skriver i http://grc.com/dos/grcdos.htm historien:

"It is incredibly fortuitous for the Internet that the massive population of
Windows-based machines has never enjoyed this complete "Unix Sockets"
support which is so prone to abuse."

Han forveksler raw sockets med UNIX sockets. UNIX sockets bruger
filsystemet, ikke IP, til at sende data mellem applikationer der koere paa
samme maskine.

Jeg bryder mig ikke om de forvanskede billeder han maler i mange menneskers
hoveder, og jeg ved ikke hvor jeg skal begynde for at rette op paa skaden
han laver.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> skrev:

[En masse ubehageligheder om Gibson]

Siden du har så meget viden på området, kunne du så ikke komme
med et råd der kan forklare almindelige dødelige, hvordan man så
skal teste om ens firewall fungerer efter hensigten?

--
Mvh. Madsen
Remove »who« in email.

---

Madsen <madsens@whomail.dk> wrote:
> [En masse ubehageligheder om Gibson]

s/ubehageligheder/fakta/

> Siden du har så meget viden på området, kunne du så ikke komme
> med et råd der kan forklare almindelige dødelige, hvordan man så
> skal teste om ens firewall fungerer efter hensigten?

Joda. Til dette formaal skal man bruge to ting:

a) en sikkerhedspolitik der definerer hvordan din firewall skal opfoere sig

b) viden nok om TCP/IP til at bekraefte den opfoerer sig som forventet.

En hjemmepc (workstation) boer ikke koere nogen form for service (web eller
ftp server, dele drev, etc) og har ofte derfor ikke brug for en personal
firewall.

Mange folk goer det alligevel, og under de fleste operativ systemer hvor
dette finder sted, er firewallen blot endnu en process som kan slaas ihjel
eller hvor konfigurationen kan aendres.

Saa laenge mennesker bruger teknologi forkert og hellere vil smide mere
teknologi efter problemet i stedet for at forstaa hvad problemet egenligt
er, bliver situationen ikke bedre.

Loesningen er at

1) forstaa hvordan man slukker for NetBIOS, ftp, linuxconf, RPC eller hvad
der nu er aktuelt for det OS man bruger som arbejdsstation.
2) Koer ikke tilfaeldige programmer uden man har grund til at stole paa
dem. (Isaer Outlook orme og venner er synlige her).

Jeg svarer gerne paa flere spoergsmaal.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> skrev:

> Madsen <madsens@whomail.dk> wrote:
> > [En masse ubehageligheder om Gibson]
>
> s/ubehageligheder/fakta/

Det skal jeg ikke kunne sige, så muligvis har du ret :)

> En hjemmepc (workstation) boer ikke koere nogen form for service (web eller
> ftp server, dele drev, etc) og har ofte derfor ikke brug for en personal
> firewall.

Så vidt jeg ved så har jeg ikke sådanne services kørende og alligevel
har jeg en slags personal firewall kørende. Så må jeg vel bare være
ovenud godt beskyttet, eller?

> Saa laenge mennesker bruger teknologi forkert og hellere vil smide mere
> teknologi efter problemet i stedet for at forstaa hvad problemet egenligt
> er, bliver situationen ikke bedre.

Det har du sikkert ret i, men sådan er der jo så meget. Man kan umuligt
være altvidende. Som nævnt ønsker jeg bare at jeg kan bruge min PC
til det jeg nu engang ønsker at bruge den til, og så vil jeg gerne have at
et eller andet stykke software kan holde eventuelle ubudne gæster væk.
Måske er det en håbløs drøm, men man skulle da tro at et sådant stykke
software eksisterer.

> Loesningen er at
>
> 1) forstaa hvordan man slukker for NetBIOS, ftp, linuxconf, RPC eller hvad
> der nu er aktuelt for det OS man bruger som arbejdsstation.

Ja og det har jeg ikke nogen anelse om hvordan man gør.

> 2) Koer ikke tilfaeldige programmer uden man har grund til at stole paa
> dem. (Isaer Outlook orme og venner er synlige her).

Det er jeg også ret så forsigtig med.

> Jeg svarer gerne paa flere spoergsmaal.

Tak for hjælpsomheden.

--
Mvh. Madsen
Remove »who« in email.

---

Madsen <madsens@whomail.dk> wrote:
> Så vidt jeg ved så har jeg ikke sådanne services kørende og alligevel
> har jeg en slags personal firewall kørende. Så må jeg vel bare være
> ovenud godt beskyttet, eller?

Ikke noedvendigvis. Det vil du kun vaere saa laenge der ikke er
implementations fejl i dit firewall software. Hvis nogen kan sende en
underlig IP pakke til dit system og faa det til at gaa ned eller udfoere en
kommando af deres valg saa er svaret nej.

Hvis du ikke har brug for det, boer det slaas fra. Altid. Men det er din PC,
saa jeg lader dig bestemme :)

>> Saa laenge mennesker bruger teknologi forkert og hellere vil smide mere
>> teknologi efter problemet i stedet for at forstaa hvad problemet egenligt
>> er, bliver situationen ikke bedre.
>
> Det har du sikkert ret i, men sådan er der jo så meget. Man kan umuligt
> være altvidende. Som nævnt ønsker jeg bare at jeg kan bruge min PC
> til det jeg nu engang ønsker at bruge den til, og så vil jeg gerne have at
> et eller andet stykke software kan holde eventuelle ubudne gæster væk.
> Måske er det en håbløs drøm, men man skulle da tro at et sådant stykke
> software eksisterer.

Nej, og enhver der paastaar andet har enten en manglende forstaaelse for
hvor *svaert* det er at laese brugerens tanker, og ud fra disse tanker
bedoemme hvilke nuller og et-taller der er gode og hvilke der er onde, eller
vedkommende forsoeger at saelge dig noget.

Du skal bestemt ikke vide alt, men du siger det selv: din computer er et
vaerktoej. Hvis du ikke bruger lidt tid paa at forstaa hvordan det virker
skal du forvente problemer.

>> 1) forstaa hvordan man slukker for NetBIOS, ftp, linuxconf, RPC eller hvad
>> der nu er aktuelt for det OS man bruger som arbejdsstation.
>
> Ja og det har jeg ikke nogen anelse om hvordan man gør.

Maaske en venlig Windows person her i gruppen kan fortaelle hvordan man
slaar NetBIOS fra?


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Sun, 1 Jul 2001 23:21:17 +0200, a@area51.dk (Alex Holst) wrote:

>Maaske en venlig Windows person her i gruppen kan fortaelle hvordan man
>slaar NetBIOS fra?

Jeg har selv brugt vejledningen på Gibsons homepage.
<http://grc.com/su-bondage.htm>
Netbios kan ikke uden videre slås fra i Windows 9x, i stedet skal der
installeres en dummy-protokol (fx NetBEUI) til at binde de forskellige
protokoller til.

Citat fra Gibson:

Our goals for optimal adapter bindings are:

Bind the TCP/IP transport only to adapter(s) that connect to the
Internet. This is not strictly necessary, since there's really no harm
in leaving TCP/IP bound to all hardware adapters (if you have more
than one), but there's also no good reason to have your system
cluttered with unnecessary bindings. NetBEUI - which was designed for
local area networking - much more elegantly handles all local area
networking needs with absolutely NO configuration. TCP/IP - which was
designed for global networking - requires significant configuration.

Bind the NetBEUI transport only to adapters that will be used for
local area networking, if any. To keep NetBEUI from disappearing due
to the Windows 9x network configuration bug, it must always be
anchored to at least one adapter. So, if your system only has a single
network adapter be sure to bind NetBEUI to it. But if you have a
choice of adapters and one or more are not used to connect to the
Internet, you can bind NetBEUI to those and unbind it from any others.

Unbind all other unneeded network transports (like IPX/SPX in the
example above) from ALL network adapters. This will release the
unneeded and unused transports along with any services which are bound
only to them

---

On Sun, 1 Jul 2001 13:45:25 +0200, a@area51.dk (Alex Holst) wrote:

>En hjemmepc (workstation) boer ikke koere nogen form for service (web eller
>ftp server, dele drev, etc) og har ofte derfor ikke brug for en personal
>firewall.

Min verdensopfattelse hænger på at Windows-firewalls bl.a. er blevet
udbredte pga.:

1. Med diverse forbindelser med router, hvor default-trafik bliver
routet hen til Windows-maskine, vil man have sine shared drev åbne, i
modsætning til hvis Windows-computeren havde en decideret
opkaldsforbindelse, hvor Windows selv ville advare.

2. Det er en "airbag" i form af at man er doven til at opdatere sin
viruskiller.

Primært pga. nr. 1 har firewall-programmer nydt stor popularitet...


--
- Pede
Professionel nørd

---

a@area51.dk (Alex Holst) wrote:

> En hjemmepc (workstation) boer ikke koere nogen form for service (web eller
> ftp server, dele drev, etc) og har ofte derfor ikke brug for en personal
> firewall.

Så vidt jeg kan se er en personal firewall som ZoneAlarm det eneste der
forhindrer trojanske heste i fx at logge på en IRC-kanal hvor de kan
styres fra.

Udover selvfølgelig at lade være med at installere den trojanske hest,
men det har jo vist sig at være meget svært for mange.

--
Niels, The Offspring Mailinglist www.image.dk/~teglsbo
PGP ID: 0x79701FB3 FP: 14CE E6BA 29CC 4ECE D7A3 30D3 FB74 A1CB 7970 1FB3

---

Den Mon, 02 Jul 2001 03:33:53 +0200 skrev Niels Teglsbo:
>a@area51.dk (Alex Holst) wrote:
>
>> En hjemmepc (workstation) boer ikke koere nogen form for service (web eller
>> ftp server, dele drev, etc) og har ofte derfor ikke brug for en personal
>> firewall.
>
>Så vidt jeg kan se er en personal firewall som ZoneAlarm det eneste der
>forhindrer trojanske heste i fx at logge på en IRC-kanal hvor de kan
>styres fra.
>
>Udover selvfølgelig at lade være med at installere den trojanske hest,
>men det har jo vist sig at være meget svært for mange.

Man kan også bare lade være med at formatere sin harddisk - men du ser
da ikke folk anbefale at man installerer et anti-formaterings-program...

Mvh
Kent
--
Hvis man ikke kan lide klassisk musik, er det sandsynligvis fordi
lydkvaliteten er for dårlig. Klassisk musik kræver et godt anlæg.

---

Kent Friis skrev:

>Man kan også bare lade være med at formatere sin harddisk - men du ser
>da ikke folk anbefale at man installerer et anti-formaterings-program...

Man kan også lade være med at smide sin computer ud ad vinduet,
og alligevel sælges der ikke ret mange vinduestremmer på den
konto.

Hvis du ikke kan kende forskel på de tre situationer og de vidt
forskellige sikkerhedskrav der stilles til dem, så mangler du
noget basal viden.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrn9jto9b.1u8p.a@F-Control.Area51.DK...
> Bertel Lund Hansen <nospamto@lundhansen.dk> wrote:
> > De sider fik jeg anbefalet her i gruppen, og der var ingen
> > protester om at Gibson skulle være en klamphugger.
>
> Gibson er en klamhugger :)
>
> Hans evner og vaerker har tidligere vaeret diskuteret her i gruppen. Han
er
> rigtigt god til at saette et spin paa ting saa han faar opmaerksomhed. Han
> paastaar selv at kunne en masse ting, men noget af det han skriver beviser
> at han ikke fatter ret meget.

> Han skriver i sit "Open Letter to the Internet's Hackers":
>
> It is my intention to carefully and completely explain, to the entire
world,
> exactly why there is no defense against the sorts of clever Internet
attacks
> you guys can create.

Hej Alex,

Nu skal vi være fair.

1) Han taler angiveligt om et DDoS (Distributed Denial of Service - hvor
flere klienter angriber på samme tid). Det er MEGET - omend umuligt, at
beskytte sig mod DDoS. Det kan afværges ved angreb, men man kan af gode
grunde ikke sætte ind før det igangsættes.
2) "clever Internet attacks" kan man fortolke, men i denne sammenhæng vælger
jeg altså at tro, at Steve Gibson mener når flere maskiner angriber (med
forskellige mønstre) over længere tid.
3) Gibson's Shieldsup er en udemærket service for en almindelig bruger som
vil se hvordan andre vil kunne opleve han/hendes forsvar.

Og så den evindelige snak om personlige firewalls. Dertil kan jeg kun give
dig ret i, at man bør køre et minimum af services på sin hjemmePC - herunder
flere af de som du nævner i et andet indlæg (der er andre .

Men når støvet har lagt sig, og brugeren gennem anvendelse af en personlig
firewall bliver klogere (ligesom med alt andet software) på den trafik der
foregår fra en PC til en anden, er det, efter min mening en god investering.
Dertil kommer, at hvis en bruger på en hjemmePC (der kan være flere brugere
i et hjem - og det er ikke sikkert at man har valgt at lave forskelligt
adgangsniveau for disse brugere) kan Maren, Mikkel og Mick køre noget
software som indeholder ondsindet kode. Hvis en personlig firewall
konfigureres korrekt har disse brugere ikke adgang til at foretage ændringer
i den PFW (personlig firewall). Det betyder, at når en server forsøger at
tage adgang til Internet vil en PFW fange den og blokkere trafikken indtil
den får tilladelse.

Det kan Maren, Mikkel og Mick ikke give og dermed er skaden forhåbentligt
begrænset. Jeg mener også, at vi tidligere i denne nyhedsgruppe har set
indelysende eksempler på hvordan en PFW kan hjælpere med at lokalisere en
kompromittering, f.eks. den posting som omhandlende Troj_Bymer.

Afslutningsvis kan vi ligeså godt vende os til tanken om en PFW på vores
hjemmePC. Den næste version af Windows indeholder en PFW, som installeres
pr. default. Lad det dermed ikke være sagt, at jeg betragter Windows som et
sikkert OS blot at det næppe viger fra sin position som det det mest
udbredte OS de næste par år ...

Venligst
Peter Kruse

---

Peter Kruse <Peter.kruse@it.dk> wrote:
> 1) Han taler angiveligt om et DDoS (Distributed Denial of Service - hvor
> flere klienter angriber på samme tid). Det er MEGET - omend umuligt, at
> beskytte sig mod DDoS. Det kan afværges ved angreb, men man kan af gode
> grunde ikke sætte ind før det igangsættes.

Saa vidt jeg laeste ud af artikelen var hans netvaerk jo netop under angreb
mens han talte med jounalisten, og hans svar var, at man intet kan goere.
Det er et spoergsmaal om baandvidde, og ved at maale deltas og snakke med
sin upstream provider kan man blokere for de adresser hvorfra trafikken
kommer.

Man kan ikke "beskytte" sig imod et angreb som udelukkende virker ved at
fylde ens netvaerk, men man kan vaere forberedt paa det.

> 2) "clever Internet attacks" kan man fortolke, men i denne sammenhæng vælger
> jeg altså at tro, at Steve Gibson mener når flere maskiner angriber (med
> forskellige mønstre) over længere tid.
> 3) Gibson's Shieldsup er en udemærket service for en almindelig bruger som
> vil se hvordan andre vil kunne opleve han/hendes forsvar.

Der kan ligge en del personlig fortolkning i begge disse punkter, afhaengig
af erfaring og forstaaelse af baade teknologien og det engelske sprog. Naar
jeg laeser hans artikler foeler jeg mig ofte overvaeldet af daarlige
formuleringer og fejltagelser som virker til at vaere et gennemgaaende tema
hos ham.

Jeg ville ikke vide hvor jeg skulle begynde at rette paa ham. Jeg har vaeret
i dialog med jericho@attrition.org og han gjorde mig opmaerksom paa, at
Steve Gibson var et af de mennesker som faar opmaerksomhed paa attrition's
errata side i den naermeste fremtid, og jeg maa tilstaa at det glaeder mig.

http://www.attrition.org/errata/

[Personlige firewalls]
> Men når støvet har lagt sig, og brugeren gennem anvendelse af en personlig
> firewall bliver klogere (ligesom med alt andet software) på den trafik der
> foregår fra en PC til en anden, er det, efter min mening en god investering.

Jeg synes denne diskussion koerer lidt i ring. Hvor mange flere beviser skal
der til for at se, at langt de fleste netop _ikke_ laerer men istedet raaber
op i nyhedsgrupper eller kontakter politiet? Af alle de beskeder der har
vaeret om emnet, er Bertel Lund den eneste jeg kan mindes der lod til at
ville forstaa i stedet for blot at raabe op. (Godt dansk, Alex).

> Dertil kommer, at hvis en bruger på en hjemmePC (der kan være flere brugere
> i et hjem - og det er ikke sikkert at man har valgt at lave forskelligt
> adgangsniveau for disse brugere) kan Maren, Mikkel og Mick køre noget
> software som indeholder ondsindet kode. Hvis en personlig firewall
> konfigureres korrekt har disse brugere ikke adgang til at foretage ændringer
> i den PFW (personlig firewall). Det betyder, at når en server forsøger at
> tage adgang til Internet vil en PFW fange den og blokkere trafikken indtil
> den får tilladelse.

Meget faa servere vil tage adgang til fjern systemer. Hvis operativsystemet
(f.eks. 95 eller 98) ikke har en sikkerhedsmodel som goer at ZoneAlarm kan
koere i fred, kan man jo ikke stole paa den i det oejeblik man lukker ondt
kode ind paa maskinen evt. via en email worm.

Kun under NT, W2K og UNIX vil dette goere sig gaeldende og kun hvis den onde
kode koeres med et andet userid end det som styrer firewallen.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

a@area51.dk (Alex Holst) wrote:

> Saa vidt jeg laeste ud af artikelen var hans netvaerk jo netop under angreb
> mens han talte med jounalisten, og hans svar var, at man intet kan goere.
> Det er et spoergsmaal om baandvidde, og ved at maale deltas og snakke med
> sin upstream provider kan man blokere for de adresser hvorfra trafikken
> kommer.

Hvad nytter det ved forfalskede afsenderadresser?

Den eneste metode jeg har hørt om er at få udbyderen til at finde ud af
hvor pakkerne kommer ind fra og de lade dem kontakte deres udbyder ...
der så lukker for den maskine - kedeligt hvis der er 300 inficerede
bokse i gang.

Gad vide hvor længe der går inden det er normalt for alle udbydere at
forhindre forfalskede afsenderadresser.

--
Niels, The Offspring Mailinglist www.image.dk/~teglsbo
PGP ID: 0x79701FB3 FP: 14CE E6BA 29CC 4ECE D7A3 30D3 FB74 A1CB 7970 1FB3

---

Niels Teglsbo skrev:

>Gad vide hvor længe der går inden det er normalt for alle udbydere at
>forhindre forfalskede afsenderadresser.

Det kan de ikke så vidt jeg kan se. Hvordan skulle udbyderen
opdage om du brugte én af mine mailadresser? Hvis man lukker for
ugyldige adresser, vil forfalskerne vel bare bruge andres
gyldige?

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

In article <qv20kt0r2tdkqq6bqo9l1fuu3as237vh4t@sunsite.dk>, Bertel Lund Hansen wrote:
>
>>Gad vide hvor længe der går inden det er normalt for alle udbydere at
>>forhindre forfalskede afsenderadresser.
>
> Det kan de ikke så vidt jeg kan se. Hvordan skulle udbyderen
> opdage om du brugte én af mine mailadresser? Hvis man lukker for
> ugyldige adresser, vil forfalskerne vel bare bruge andres
> gyldige?

Ikke mail, men IP-adresser.

--
Andreas Plesner Jacobsen | Having a wonderful wine, wish you were beer.

---

In article <19ivjtg1pdknhlibo3gcljd8v1603cedff@news.image.dk>, Niels Teglsbo wrote:
>
>> Saa vidt jeg laeste ud af artikelen var hans netvaerk jo netop under angreb
>> mens han talte med jounalisten, og hans svar var, at man intet kan goere.
>> Det er et spoergsmaal om baandvidde, og ved at maale deltas og snakke med
>> sin upstream provider kan man blokere for de adresser hvorfra trafikken
>> kommer.
>
> Hvad nytter det ved forfalskede afsenderadresser?
>
> Den eneste metode jeg har hørt om er at få udbyderen til at finde ud af
> hvor pakkerne kommer ind fra og de lade dem kontakte deres udbyder ...

Ikke det store problem, selv med forfalskede source adresser. Et DoS
angreb efterlader sig typisk nogle ret store fodaftryk.

--
Andreas Plesner Jacobsen | Secretary's Revenge:
| Filing almost everything under "the".

---

On Mon, 2 Jul 2001 06:11:37 +0000 (UTC), apj@daarligstil.dk (Andreas
Plesner Jacobsen) wrote:

>Ikke det store problem, selv med forfalskede source adresser. Et DoS
>angreb efterlader sig typisk nogle ret store fodaftryk.

Et spørgsmål lidt i samme boldgade: Hvor udbredt er
antispoofing-filtre på de større udbyderes udstyr?


--
- Pede
Professionel nørd

---

In article <5fp0ktokgqmo18dmff0vuii55fcrhnoj0a@news.worldonline.dk>, Peter Brodersen wrote:
>
>>Ikke det store problem, selv med forfalskede source adresser. Et DoS
>>angreb efterlader sig typisk nogle ret store fodaftryk.
>
> Et spørgsmål lidt i samme boldgade: Hvor udbredt er
> antispoofing-filtre på de større udbyderes udstyr?

Ihvertfald til stede hos CC, Tiscali og TDC så vidt jeg er orienteret.

--
Andreas Plesner Jacobsen | Default, n.:
| The hardware's, of course.

---

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

>> Et spørgsmål lidt i samme boldgade: Hvor udbredt er
>> antispoofing-filtre på de større udbyderes udstyr?
> Ihvertfald til stede hos CC, Tiscali og TDC så vidt jeg er orienteret.

Og, hvis min hukommelse ikke svigter og vores mærkelige routerfolk ikke
har lavet det om, også hos Telia.

--
Allan Joergensen (AJ1382-RIPE) - [DW] on the Undernet
Homepage: <URL:http://www.nowhere.dk/>
NT scales to quad Xeons? Linux scales to S/390. Benchmark that, soft ones.
I know karate (and seven other Japanese words).

---

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> wrote in message
news:slrn9k044v.j6v.apj@slartibartfast.nerd.dk...
> In article <19ivjtg1pdknhlibo3gcljd8v1603cedff@news.image.dk>, Niels
Teglsbo wrote:
> > Den eneste metode jeg har hørt om er at få udbyderen til at finde ud af
> > hvor pakkerne kommer ind fra og de lade dem kontakte deres udbyder ...

Efter min opfattelse handler det om (jvf. tidligere) at finde ud af
1) Hvor angrebet er indledt fra -> blokkere data fra den IP/ flere IP'ere
som angriber (den kan en god firewall gøre, Raptor og PIX, f1 og sikkert
andre)
2) Hvor pakkebombningen landen -> Lukke service på destination

---

> Ikke det store problem, selv med forfalskede source adresser. Et DoS
> angreb efterlader sig typisk nogle ret store fodaftryk.

Og et DDoS endnu størrere !

Og hvad skal man egentlig med forfalskede sourceadresser når det
indgangsættes af deamons (soldater) på kompromitterede systemer?
Måske der er noget jeg ikke helt forstår? Eller er det disse deamons som er
"forfalskede".

Venligst
Peter Kruse

---

In article <3b40c352$0$3242$d40e179e@nntp03.dk.telia.net>, Peter Kruse wrote:

>> > Den eneste metode jeg har hørt om er at få udbyderen til at finde ud af
>> > hvor pakkerne kommer ind fra og de lade dem kontakte deres udbyder ...
>
> Efter min opfattelse handler det om (jvf. tidligere) at finde ud af
> 1) Hvor angrebet er indledt fra -> blokkere data fra den IP/ flere IP'ere
> som angriber (den kan en god firewall gøre, Raptor og PIX, f1 og sikkert
> andre)

Det hjælper ikke stort at sidde i den anden ende af en 512kbps linie og
blokere en pakkestorm på 45Mbps.

>> Ikke det store problem, selv med forfalskede source adresser. Et DoS
>> angreb efterlader sig typisk nogle ret store fodaftryk.
>
> Og et DDoS endnu størrere !

Et DDoS angreb er blot en variation af temaet.

> Og hvad skal man egentlig med forfalskede sourceadresser når det
> indgangsættes af deamons (soldater) på kompromitterede systemer?
> Måske der er noget jeg ikke helt forstår? Eller er det disse deamons
> som er "forfalskede".

Ja. Disse "daemons" er jo et aktiv for angriberen, så det gælder om at
maskere dem så effektivt som muligt. Derfor vil det være bedst for
ham/hende hvis de benytter spoofede source adresser.

--
Andreas Plesner Jacobsen | Nothing recedes like success.
|    -- Walter Winchell

---

On Mon, 2 Jul 2001 20:49:27 +0200, "Peter Kruse" <Peter.kruse@it.dk>
wrote:

>Og hvad skal man egentlig med forfalskede sourceadresser når det
>indgangsættes af deamons (soldater) på kompromitterede systemer?
>Måske der er noget jeg ikke helt forstår? Eller er det disse deamons som er
>"forfalskede".

At det bliver endnu sværere at stoppe/filtrere de inficerede
computere, såfremt de får lov til at requeste fra en tilfældig
IP-adresse hver gang.

--
- Pede
Professionel nørd

---

"Peter Brodersen" <professionel@nerd.dk> wrote in message
news:8ki1kt4sffldo8e3ffj30h5k0bjpafhmt0@news.worldonline.dk...
> On Mon, 2 Jul 2001 20:49:27 +0200, "Peter Kruse" <Peter.kruse@it.dk>
> wrote:
>
> >Og hvad skal man egentlig med forfalskede sourceadresser når det
> >indgangsættes af deamons (soldater) på kompromitterede systemer?
> >Måske der er noget jeg ikke helt forstår? Eller er det disse deamons som
er
> >"forfalskede".
>
> At det bliver endnu sværere at stoppe/filtrere de inficerede
> computere, såfremt de får lov til at requeste fra en tilfældig
> IP-adresse hver gang.
>
Ja, det er jeg med på, men hvad har det med forfalskede source adresser at
gøre?

Venligst
Peter

---

On Mon, 2 Jul 2001 22:22:31 +0200, "Peter Kruse" <Peter.kruse@it.dk>
wrote:

>> At det bliver endnu sværere at stoppe/filtrere de inficerede
>> computere, såfremt de får lov til at requeste fra en tilfældig
>> IP-adresse hver gang.
>>
>Ja, det er jeg med på, men hvad har det med forfalskede source adresser at
>gøre?

At det bliver endnu sværere at stoppe/filtrere de inficerede computer,
såfremt de får lov til at requeste fra en tilfældig IP-adresse hver
gang?

Hvis 100 maskiner fx forsøger at SYN-flood'e, ville det efter lidt tid
være muligt at få filtreret de 100 IP-adresser væk. Hvis de samme 100
maskiner tillige spoof'er deres egen adresse, vil man ikke bare kunne
filtrere de 100 IP-adresser væk, idet pakkerne ikke kommer fra dem.


--
- Pede
Professionel nørd

---

apj@daarligstil.dk (Andreas Plesner Jacobsen) wrote:

> > Den eneste metode jeg har hørt om er at få udbyderen til at finde ud af
> > hvor pakkerne kommer ind fra og de lade dem kontakte deres udbyder ...
> Ikke det store problem, selv med forfalskede source adresser. Et DoS
> angreb efterlader sig typisk nogle ret store fodaftryk.

Også hvis det er DDoS? Så kan det jo sætte mindre fodaftryk en hel masse
steder undtagen hos den angrebne udbyder og tildels dens
båndbreddeleverandører.

--
Niels, The Offspring Mailinglist www.image.dk/~teglsbo
PGP ID: 0x79701FB3 FP: 14CE E6BA 29CC 4ECE D7A3 30D3 FB74 A1CB 7970 1FB3

---

In article <uen1ktgnde4hbomkhvughq6m057me5eied@news.image.dk>, Niels Teglsbo wrote:
>
>> > Den eneste metode jeg har hørt om er at få udbyderen til at finde ud af
>> > hvor pakkerne kommer ind fra og de lade dem kontakte deres udbyder ...
>> Ikke det store problem, selv med forfalskede source adresser. Et DoS
>> angreb efterlader sig typisk nogle ret store fodaftryk.
>
> Også hvis det er DDoS? Så kan det jo sætte mindre fodaftryk en hel masse
> steder undtagen hos den angrebne udbyder og tildels dens
> båndbreddeleverandører.

Det er stadig ikke svært at følge det på basis af destinationsadressen.
Man vil sandsynligvis ramme nogle flere maskiner der ikke er inficeret,
men som har gyldig trafik til serveren.

--
Andreas Plesner Jacobsen | "MOKE DAT YIGARETTE"
|    -- "The Last Coin", James P. Blaylock