---

Her er nogle spørgsmål og svar om firewalls.

Jeg vil gerne have noget kritik, især om pædagogikken og den logiske
opbygning. Især er jeg lidt i tvivl om det forholdsvis lange afsnit i
midten om TCP/IP SYN/ACK-flag.

Men her er det i hvert fald:

-------------------------------

? Min firewall siger at der er en trojaner der forsøger at angribe mig!

! Din firewall har registreret og stoppet en datapakke der var bestemt
for en bestemt port på din computer. Det betyder ikke nødvendigvis at der
var nogen der forsøgte at angribe dig.

Selvom det var en person med onde hensigter der ville se om du kørte en
bestemt trojaner, betyder det ikke at du har den pågældende trojaner. Et
forbindelsesforsøg mod din computer vil kun kunne lykkedes hvis der kører
en service (et program) på den port. Desuden, firewallen har jo
rappoteret at den stoppede datapakken, så der er ikke noget at være bange
for.

? Skal jeg ringe til politiet, PET, Ekstra Bladet?

! Nej, lad være med det. Der er jo ikke sket noget.

? Jamen, han bliver ved og ved!

! Ok. Hvis det bliver ved i over 5-6 dage, kan du eventuelt tage kontakt
til personens udbyder vha denne adresse [LINK til geektool.s proxy].

? Jeg bliver angrebet af en webside!

! Visse dårlige firewalls kan indimellem "glemme" netværkstrafik der
tidligere har gået igennem den.

Under normale forhold, vil din webbrowser (f.eks. Internet Explorer)
kontakte en webside for at du kan se den nyeste opskrift på mørk
chokolade. Din firewall ser denne udafgående forbindelse og "noterer" at
eventuelle svar på denne udafgående forbindelse skal kunne komme igennem.

Hvordan kender din firewall så forskel på svar på udafgående
netværkstrafik og indafgående netværkstrafik? Ved hjælp af SYN-flaget i
TCP/IP-pakken.

En indgående gennemgang af TCP/IP er uden for denne OSS's område, men
generelt kan siges:

Ved etablering af en forbindelse mellem en klient (din computer) og en
server (websiden) sender klienten en pakke til serveren med indholdet
"Hej med dig, jeg vil gerne snakke med dig!", en pakke hvor SYN-flaget er
sat. SYN står for SYNchronize (synkroniser). Serveren svarer "Ok, jeg har
modtaget dit svar, jeg vil også gerne snakke med dig!", eller en pakke
hvor både SYN og ACK-flaget er sat. ACK står for ACKnowledgement. Til
sidst sender klienten en "Fjong!" pakke tilbage, hvor ACK-flaget igen er
sat.
Dette kaldes et "three-way-handshake" og er en måde at sikre på at
forbindelsen er sat korrekt op og at begge computere er klar over at de
er forbundet med hinanden.

For at opsummere: Hvis SYN (og kun SYN-flaget) er sat i en pakke, er det
starten af en forbindelse og firewallen må tage stilling til om den skal
tillades eller ej. Hvis den ikke skal tillades, bliver pakken sikkert
smidt væk og en besked popper op på brugerens skærm. Hvis den gerne må
tillades, f.eks. hvis du kører en FTP-server eller en web-server på din
computer, må pakken gerne lukkes igennem og .three-way-handshake. kan
afsluttes normalt.

For at vende tilbage til spørgsmålet:

Nogle firewalls har en liste over startede udafgående forbindelser så den
kan holde styr på hvilke pakker der må komme ind (svar på disse
forbindelser) og hvilke der ikke må (alle andre, undtagen pakker bestemt
for servere, f.eks. FTP- eller web-servere).

Disse forbindelser i listen har en "time-out" tid, eller en
gyldighedstid. Efter dette tidsrum bliver de slettet fra listen så den
ikke bliver fyldt med alt for mange, allerede afsluttede forbindelser.

På et langsomt netværk, eller en liste med en for kort time-out tid, kan
forbindelser blive .glemt. mens de stadig er i gang. Dette betyder at
resten af denne forbindelse bliver droppet af firewallen fordi den ikke
kender til den. Samtidig bliver der poppet en meddelelse op på din skærm
og det er denne du ser.

? Min internetudbyder prøver at angribe mig!

! For at vi kan tage stilling til dette spørgsmål skal vi have lidt at
vide om hvad der sker, f.eks. ved uddrag fra din logfil.

Hvis "angrebet" drejer sig om indgående trafik på port 53 er din firewall
fejlkonfigureret. Port 53 er en del af Internettets navneopslagssystem og
skal altid lukkes igennem.

Hvis "angrebet" drejer sig om indgående trafik på port 67 er din firewall
også fejlkonfigureret. Port 67 bruges af DHCP og er en nødvendighed på
visse ADSL- og kabelmodemforbindelser.

? Min internetforbindelse fungerer fint i op til en time, men så går den
død og jeg bliver nødt til at genstarte computeren.

! Dette spørgsmål har sikkert noget med det foregående at gøre. Din
computer har fået en IP-adresse via DHCP, men når den prøver at forny
adressen, bliver dette blokeret af din firewall. Du skal åbne for
udafgående trafik på UDP port 68 og indafgående trafik på UDP port 67 for
at vende tilbage til normale tilstande (ok, alt er relativt).

--------------------------

--
..signature

---

Christian Andersen wrote:
> Her er nogle spørgsmål og svar om firewalls.

Hvad men eksempler på hvordan loggen kan se ud, og forklarer punkt for
punkt, hvad den siger og skrive det sammen med afsnittet omkring hvorfor
ens udbyder angriber en?

---

Christian Andersen wrote:
>
> ? Min internetudbyder prøver at angribe mig!
>
> ! For at vi kan tage stilling til dette spørgsmål skal vi have lidt at
> vide om hvad der sker, f.eks. ved uddrag fra din logfil.
>
> Hvis "angrebet" drejer sig om indgående trafik på port 53 er din firewall
> fejlkonfigureret. Port 53 er en del af Internettets navneopslagssystem og
> skal altid lukkes igennem.

Det er vist ikke helt rigtigt. Det er rigtigt, at svar på DNS forespørgsler
har source port 53. Men pakker med source port 53 behøves ikke altid være
svar på DNS forespørgsler. En god firewall vil vide, om det er tilfældet.
Med en mere primitiv firewall, vil det være nødvendigt at lukke alle pakker
sendt fra port 53 på DNS serveren igennem. Men undlad at lukke alle pakker
sendt fra port 53 igennem, da en evt. angriber også kender til denne brug
af port 53.

>
> Hvis "angrebet" drejer sig om indgående trafik på port 67 er din firewall
> også fejlkonfigureret. Port 67 bruges af DHCP og er en nødvendighed på
> visse ADSL- og kabelmodemforbindelser.

Korrekt, det er vigtigt at bemærke, at disse pakker sendes fra port 67 på
serveren til port 68 på klienten. Man skal ikke lukke pakker ind til en
vilkårlig port på ens computer blot fordi de kommer fra port 67. Pakkerne
kan have mange "mærklige" afsender og modtager IP addresse, da de starter
allerede inden maskinen har en IP addresse.

>
> ? Min internetforbindelse fungerer fint i op til en time, men så går den
> død og jeg bliver nødt til at genstarte computeren.
>
> ! Dette spørgsmål har sikkert noget med det foregående at gøre. Din
> computer har fået en IP-adresse via DHCP, men når den prøver at forny
> adressen, bliver dette blokeret af din firewall. Du skal åbne for
> udafgående trafik på UDP port 68 og indafgående trafik på UDP port 67 for
> at vende tilbage til normale tilstande (ok, alt er relativt).

Det er også korrekt. Men hvis den første DHCP pakke udveksling går godt,
og det først går galt anden gang et antal timer senere, kan det være et
symptom på, at maskinen er på nettet et kort stykke tid inden firewallen
bliver aktiveret.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Christian Andersen <tcd977fzm1001@sneakemail.com> wrote:

>Her er nogle spørgsmål og svar om firewalls.

Fint initiativ!

>Jeg vil gerne have noget kritik, især om pædagogikken og den logiske
>opbygning. Især er jeg lidt i tvivl om det forholdsvis lange afsnit i
>midten om TCP/IP SYN/ACK-flag.

Min umiddelbare fornemmelse er at du forklarer det for omstændeligt.

Måske kan man nøjes med at fortælle noget i stil med at en tcp-forbindelse
skal oprettes vha. nogle særlige og let identificerbare pakker, og at en
firewall bl.a. derfor kan holde styr på hvad der findes af forbindelser,
hvilke pakker der hører til hvilken forbindelse, og hvilken side der har
taget initiativ til en forbindelse? Og så måske noget om at hvis en
forbindelse har været tavs længe, tror firewallen at den er færdig, og vil
ikke slippe pakkerne igennem hvis forbindelsen alligevel vågner op og får
trafik.

Evt. med et link til en mere teknisk beskrivelse for de særligt
interesserede; den kan så til gengæld være endnu mere omhyggelig end den
du her har skrevet.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

> Min umiddelbare fornemmelse er at du forklarer det for omstændeligt.

Det er også mit indtryk. Jeg afbrød min læsning, og da jeg formodentlig
interesserer mig mere for emnet end gennemsnitskunden ved de danske
ISPer, vil disse nok/måske/muligvis gøre det samme.

> Måske kan man nøjes med at fortælle noget i stil med at en tcp-forbindelse
> skal oprettes vha. nogle særlige og let identificerbare pakker, og at en
> firewall bl.a. derfor kan holde styr på hvad der findes af forbindelser,
> hvilke pakker der hører til hvilken forbindelse, og hvilken side der har
> taget initiativ til en forbindelse? Og så måske noget om at hvis en
> forbindelse har været tavs længe, tror firewallen at den er færdig, og vil
> ikke slippe pakkerne igennem hvis forbindelsen alligevel vågner op og får
> trafik.

Med lidt snilde kunne man med fordel omskrive ovenstående til en
glimrende forklaring. Der er den korrekte længde og indholdet er kort og
præcist. Jeg prøver lige:

En TCP-forbindelse oprettes ved hjælp af nogle særlig og
letidentificérbare pakker. En firewall kan derfor holde styr på, hvad
der findes af forbindelser, og hvem der har oprettet dem. Hvis en
forbindelse har været tavs længe (ikke sendt pakker), kan firewallen
tro, at forbindelsen er brudt derfor blokere for eventuelle forsinkede
pakker tilhørende forbindelsen.


> Evt. med et link til en mere teknisk beskrivelse for de særligt
> interesserede; den kan så til gengæld være endnu mere omhyggelig end den
> du her har skrevet.

Dette vil jeg lade en anden om. Jeg er helt udmattet oven på den store
indsats.

Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Christian Andersen wrote:

> Her er nogle spørgsmål og svar om firewalls.

Tak for alle jeres svar. Jeg har foretaget ændringerne og vil nu lægge
dem op på en hjemmeside, så denne gruppe ikke bliver oversvømmet med de
nye versioner.

Dog vil jeg stadig gerne have at forslag til forbedringer og kritik
bliver holdt i gruppen, så alle kan være med.

Jeg har desuden også sat navne(t/ne) på bidragydere ind i OSS'en. Hvis
der er nogen der har noget imod dette, kan I bare sige til.

Christian - dit forslag om gennemgang af de enkelte felter i loggene på
de enkelte firewalls var godt, men det kræver lige lidt arbejde at finde
dem. Det kommer snart

Adressen på hjemmesiden kommer også snart

--
..signature

---

Hej Christian Andersen <tcd977fzm1001@sneakemail.com>

>Adressen på hjemmesiden kommer også snart

Nu er det på udviklingsstadiet kan jeg forstå, men på lidt længere
sigt synes jeg vi (gruppen) skal arbejde mod at have een OSS og at den
er samlet på et websted.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund wrote:

> Nu er det på udviklingsstadiet kan jeg forstå, men på lidt længere
> sigt synes jeg vi (gruppen) skal arbejde mod at have een OSS og at den
> er samlet på et websted.

Ja, jeg er enig. Det har aldrig været min hensigt at tage noget som helst
væk fra Alex's OSS. Det har altid været meningen at de skulle skrives
sammen.

Det er dog min vurdering at Alex's hensigt med sin OSS har været at
fortælle folk at en firewall ikke er en magisk løsning på alle problemer
og at brugeropførsel og lukning af ikke-nødvendige services er meget
bedre.

Dette synspunkt er jeg 100% enig i, men når nu der kommer så mange
spørgsmål om personlige firewalls er det bedst at få dem besvaret een
gang for alle.

Dog er en dk.edb.sikkerhed.firewall gruppe på trapperne (vi får se) og så
kan det oplæg jeg er kommet med tjene som basis for en OSS for den
gruppe.

--
..signature

---

Lars Kim Lund <lkl@fabel.dk> wrote:
> Nu er det på udviklingsstadiet kan jeg forstå, men på lidt længere
> sigt synes jeg vi (gruppen) skal arbejde mod at have een OSS og at den
> er samlet på et websted.

Jeg kan godt give CVS over SSH adgang til http://a.area51.dk/sikkerhed/
til udvalgte, eller folk kan blot sende mig diffs.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Christian Andersen wrote:

> Adressen på hjemmesiden kommer også snart

Og her er den:

http://home1.stofanet.dk/chran/stuff/oss.html

Det skal siges at eventuelle fejl udelukkende er mine, selvom der er
skrevet en bidragyder til svaret.

Den bliver desuden løbende udbygget over de kommende dage.

Desuden skal det siges at OSS'en ikke er designet til at være permanent,
så jeg har gjort mit bedste for at sikre den ikke bliver arkiveret af
søgemaskiner. Desuden har jeg brugt X-No-archive på dette indlæg, så folk
ikke finder dette link senere. Respekter venligst dette og lad være med
at citere adressen i eventuelle svar på dette indlæg.

--
..signature

---

Hej Christian Andersen <tcd977fzm1001@sneakemail.com>

>Og her er den:

[klip]

En del er i en eller anden udstrækning allerede skrevet glimrende på
http://a.area51.dk/sikkerhed/hjemme_net#fwbesked - og jeg synes det
ville være smartere at bruge den som udgangspunkt, og tilføje de
uddybninger der er i din version.

Derudover vil jeg lige tilføje at nogle Windows-udgaver resolver NBT
gennem DNS med source 137/udp mod 53/udp.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund wrote:

> En del er i en eller anden udstrækning allerede skrevet glimrende på
> http://a.area51.dk/sikkerhed/hjemme_net#fwbesked - og jeg synes det
> ville være smartere at bruge den som udgangspunkt, og tilføje de
> uddybninger der er i din version.

Du har ret. Jeg har taget konsekvensen og har nu kun trafik-signaturer
med i mit dokument.

> Derudover vil jeg lige tilføje at nogle Windows-udgaver resolver NBT
> gennem DNS med source 137/udp mod 53/udp.

Tilføjet.

--
..signature

---

Hej Christian Andersen <tcd977fzm1001@sneakemail.com>

>> En del er i en eller anden udstrækning allerede skrevet glimrende på
>> http://a.area51.dk/sikkerhed/hjemme_net#fwbesked - og jeg synes det
>> ville være smartere at bruge den som udgangspunkt, og tilføje de
>> uddybninger der er i din version.
>
>Du har ret. Jeg har taget konsekvensen og har nu kun trafik-signaturer
>med i mit dokument.

Det var ikke sådant ment. Der var uddybet noget fra OSS'en, som jeg
syntes var meget relevant. Jeg syntes blot ikke der var nogen grund
til at skrive det samme to steder.

>> Derudover vil jeg lige tilføje at nogle Windows-udgaver resolver NBT
>> gennem DNS med source 137/udp mod 53/udp.
>
>Tilføjet.

Ikke helt. Bemærk at det er et normalt UDP DNS-opslag men med 137 som
sourceport for delmængden af DNS opslag der bruges til NBT
navne-opløsning. Det gælder for især Win2k og formentlig XP. De andre
udgaver bruger WINS / lmhosts / broadcast (osv. blabla) til NBT
opslag.

--
Lars Kim Lund
http://www.net-faq.dk/