---

Er Netbios-protokollen usikker at bruge ?

Jeg har 3 Pc´er koblet sammen bag en D-link 604 router, uden at firewall´en
er aktiveret på denne.

Alle maskinerne er beskyttet af deres egen firewall.

Skal jeg sætte det op så TCI/IP-protokollen kan bruges ??

Jan Rysz

---

In article <3e4eb195$0$144$edfadb0f@dtext01.news.tele.dk>, Jan Rysz wrote:
> Er Netbios-protokollen usikker at bruge ?

NetBIOS kører ovenpå alt muligt, såsom Novel, TCP/IP, NetBEUI etc.
Anvendes typisk til at dele printere/diske etc.

Er dit spørgsmål om det er usikkert at dele sin harddisk ? Så
er svaret ja.

>
> Jeg har 3 Pc´er koblet sammen bag en D-link 604 router, uden at firewall´en
> er aktiveret på denne.

Men den laver vel NAT, og dermed er der ikke åbnt udefra
og ind eller hvad ?
>
> Alle maskinerne er beskyttet af deres egen firewall.
>
> Skal jeg sætte det op så TCI/IP-protokollen kan bruges ??

Det er den eneste der virker på Internet. Du kan godt køre NetBIOS
over denne.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

In dk.edb.sikkerhed, Jan Rysz <jrysz@jubiimail.dk> says...
> Alle maskinerne er beskyttet af deres egen firewall.

Hvis du sidder bag en NAT-router er det ikke nødvendigt med firewalls på
maskinerne. Personlige firewalls giver ofte mere bøvl end de gør gavn.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

---

"Jesper G. Poulsen" wrote:

> Hvis du sidder bag en NAT-router er det ikke nødvendigt med firewalls på
> maskinerne. Personlige firewalls giver ofte mere bøvl end de gør gavn.

Det er da en forsimpling der er til at få øje på, det bliver den
nu ikke korrekt af..

NAT laver intet check på pakkernes indhold. Det er korrekt at du
kan bruge NAT til at lukke af for port 139 som netbios normalt
benytter, men kan du være sikker på at du ikke på et tidspunkt har
fået downloadet et eller andet snavs sammen med et program som
router netbios til en anden port som står åben??

Personal firewalls har efter min mening ikke meget med firewalls
at gøre, de er efter min mening ikke sikrere end NAT. De holder
øje med hvilke predefinerede porte der er i brug og brokker sig
hvis der kommer trafik.

En fornuftig firewall kigger på indholdet af pakkerne også og
checker fx. at trafik til port 80 nu også er http og ikke netbios
trafik.

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

Thomas Strandtoft wrote:

>> Hvis du sidder bag en NAT-router er det ikke nødvendigt med firewalls på
>> maskinerne. Personlige firewalls giver ofte mere bøvl end de gør gavn.

> Det er da en forsimpling der er til at få øje på, det bliver den
> nu ikke korrekt af..

Din fremstilling af NAT er da også, om ikke ukorrekt, så i hvert fald til
dels vildledende.

> NAT laver intet check på pakkernes indhold.

Rigtigt.

> Det er korrekt at du
> kan bruge NAT til at lukke af for port 139 som netbios normalt
> benytter,

"Lukke af" og "lukke af", det er vist så meget sagt. Hellere "undlade at
forwarde".

> men kan du være sikker på at du ikke på et tidspunkt har
> fået downloadet et eller andet snavs sammen med et program som
> router netbios til en anden port som står åben??

Det er sådan set underordnet. Hvis et program på computeren
videresender trafik til port 139 til f.eks. port 80 vil det ikke
betyde noget, da NAT-"devicet" alligevel ikke forwarder port 139 ind til
computeren og trafik derfor aldrig vil nå det onde program[1].

> Personal firewalls har efter min mening ikke meget med firewalls
> at gøre, de er efter min mening ikke sikrere end NAT.

NAT der ikke forwarder nogle porte er, alt andet lige (vi ser bort fra
kompromittering af "devicet"), sikrere end personlige firewalls. Intet
udefra-initieret trafik vil kunne komme ind til nogen af computerne på
LANet.

> En fornuftig firewall kigger på indholdet af pakkerne også og
> checker fx. at trafik til port 80 nu også er http og ikke netbios
> trafik.

Det er en "forwarding proxy" eller hvad den tekniske betegnelse nu er.
Det er ikke en firewall.

[1] Det er dog muligt, på den lokale computer, at "viderestille" port 80
til port 139, sende NetBIOS-trafik på port 80 gennem et NAT-"device" der
forwarder port 80 til den lokale computer og derefter kunne kommunikere
på "NetBIOSsk" med computeren, men det er et scenarie jeg vil anse for
usandsynligt, især fordi folk der forwarder en port oftest forwarder den
fordi de har tjenester til at lytte på den.

--
Save aix1!

---

"Christian Andersen" <w9luodn02@sneakemail.com> wrote in message
news:b2ob8e$2agl$1@news.cybercity.dk...

> Det er en "forwarding proxy" eller hvad den tekniske betegnelse nu er.
> Det er ikke en firewall.

Findes der en definition, der gør at man kan udtale
sig om hvad der er en firewall eller ej.
Som jeg ser det, må begrebet firewall siges at være meget
lidt veldefineret. Jeg synes kun at jeg kan se at det er
en eller anden form for gateway, der beskytter dit private
net mod udefra kommende brugere.
Skulle en eller anden sidde med et link til en side med fornuftige
definitioner på firewalls og omegn, vil jeg blive taknemmelig

vh
Jan

---

Christian Andersen wrote:
>>NAT laver intet check på pakkernes indhold.
> Rigtigt.

Enig, hvis vi snakker om NAT og ikke PAT, og vi snakker om pakken som IP
pakken og ikke TCP/IP pakken :)

>>Det er korrekt at du
>>kan bruge NAT til at lukke af for port 139 som netbios normalt
>>benytter,
> "Lukke af" og "lukke af", det er vist så meget sagt. Hellere "undlade at
> forwarde".

"Forward" er ikke en egenskab NAT kan tillægges. NAT er adresse
oversættelse, om pakken blivere filteret/routeret er afhængigt af evt.
filter/routnings-regler.

> Det er sådan set underordnet. Hvis et program på computeren
> videresender trafik til port 139 til f.eks. port 80 vil det ikke
> betyde noget, da NAT-"devicet" alligevel ikke forwarder port 139 ind til
> computeren og trafik derfor aldrig vil nå det onde program[1].

Dette kan NAT ikke styre.

>>Personal firewalls har efter min mening ikke meget med firewalls
>>at gøre, de er efter min mening ikke sikrere end NAT.
> NAT der ikke forwarder nogle porte er, alt andet lige (vi ser bort fra
> kompromittering af "devicet"), sikrere end personlige firewalls. Intet
> udefra-initieret trafik vil kunne komme ind til nogen af computerne på
> LANet.

NAT har intet med ovenstående at gøre.

Hvis gatewayen foran NAT enheden kan route RFC1819 adresser til NAT
enheden, ville denne blot route det til det private net.

>>En fornuftig firewall kigger på indholdet af pakkerne også og
>>checker fx. at trafik til port 80 nu også er http og ikke netbios
>>trafik.
> Det er en "forwarding proxy" eller hvad den tekniske betegnelse nu er.
> Det er ikke en firewall.

Du mener vel en applikationsfirewall, om den er baseret på proxy
teknologi eller noget andet, er en anden historie.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

Christian E. Lysel wrote:

>>> NAT laver intet check på pakkernes indhold.

>> Rigtigt.

> Enig, hvis vi snakker om NAT og ikke PAT, [...]

NAT og PAT bruges i flæng og er efterhånden kommet til at betyde det
samme. Jvf. hacker/cracker.
Ikke engang net-faq.dk opretholder nogen forskel mellem dem:
http://www.net-faq.dk/faq.pl?get=pat henviser til
http://www.net-faq.dk/faq.pl?get=nat

De "fleste" (er vi ikke dejligt vage her til aften?) SOHO-routere laver
et sammensurium af PAT og NAT. F.eks videresendes trafik til
[ekstern IP]:80 til 192.168.1.5:80, mens trafik til [ekstern IP]:25,
videresendes til 192.168.1.7:25. Dog kan man også sende trafik til
[ekstern IP]:80 OG [ekstern IP]:25 videre til hhv. 192.168.1.5:80 og
192.168.15:25.

Hvis ikke det er et sammensurium af PAT og NAT, ved jeg ikke hvad er.

> og vi snakker om pakken som IP
> pakken og ikke TCP/IP pakken :)

Det er vist ikke særligt relevant for vores diskussion. Se desuden
nedenfor.

>>> Det er korrekt at du
>>> kan bruge NAT til at lukke af for port 139 som netbios normalt
>>> benytter,

>> "Lukke af" og "lukke af", det er vist så meget sagt. Hellere "undlade at
>> forwarde".

> "Forward" er ikke en egenskab NAT kan tillægges. NAT er adresse
> oversættelse, om pakken blivere filteret/routeret er afhængigt af evt.
> filter/routnings-regler.

Vil du blive sur hvis jeg kalder dig anal-fikseret? Selvfølgelig i den
pyskologiske mening af ordet.

Men ja, du har ret. NAT oversætter kun adresser på IP-niveau, men det har
ingen relevans for validiteten af mine argumenter set fra et overordnet
"bruger"-perspektiv.

>> Det er sådan set underordnet. Hvis et program på computeren
>> videresender trafik til port 139 til f.eks. port 80 vil det ikke
>> betyde noget, da NAT-"devicet" alligevel ikke forwarder port 139 ind til
>> computeren og trafik derfor aldrig vil nå det onde program[1].

> Dette kan NAT ikke styre.

Nej, det var jo ligesom også min pointe.

>>> Personal firewalls har efter min mening ikke meget med firewalls
>>> at gøre, de er efter min mening ikke sikrere end NAT.

>> NAT der ikke forwarder nogle porte er, alt andet lige (vi ser bort fra
>> kompromittering af "devicet"), sikrere end personlige firewalls. Intet
>> udefra-initieret trafik vil kunne komme ind til nogen af computerne på
>> LANet.

> NAT har intet med ovenstående at gøre.

Igen har du ret, igen har det ingen betydning. Se ovenfor.

> Hvis gatewayen foran NAT enheden kan route RFC1819 adresser til NAT
> enheden, ville denne blot route det til det private net.

RFC1819: Internet Stream Protocol Version 2 (ST2)

What the hell?

Anyway, RFC1918 er den du mener og ja, igen har du ret. Dog har det igen
ingen betydning. Se min diskussion ovenfor om de "fleste" SOHO-"devices".

>>>En fornuftig firewall kigger på indholdet af pakkerne også og
>>>checker fx. at trafik til port 80 nu også er http og ikke netbios
>>>trafik.
>> Det er en "forwarding proxy" eller hvad den tekniske betegnelse nu er.
>> Det er ikke en firewall.

> Du mener vel en applikationsfirewall, om den er baseret på proxy
> teknologi eller noget andet, er en anden historie.

Yes, applikationsfirewall.

--
Save aix1!

---

Christian Andersen wrote:
> NAT og PAT bruges i flæng og er efterhånden kommet til at betyde det
> samme. Jvf. hacker/cracker.
> Ikke engang net-faq.dk opretholder nogen forskel mellem dem:
> http://www.net-faq.dk/faq.pl?get=pat henviser til
> http://www.net-faq.dk/faq.pl?get=nat

FAQ'en er overfladisk.

> De "fleste" (er vi ikke dejligt vage her til aften?) SOHO-routere laver
> et sammensurium af PAT og NAT. F.eks videresendes trafik til

Og ip-filter og routning, krydret med lidt stateful inspection og
intrusion detection, IPSec, PPTP, QoS, ectetera på de lag producenten
mener er relevant. Typisk er det dog ikke muligt at få nogen
dokumentation på hvordan skidtet i virkligheden virker.

> [ekstern IP]:80 til 192.168.1.5:80, mens trafik til [ekstern IP]:25,
> videresendes til 192.168.1.7:25. Dog kan man også sende trafik til
> [ekstern IP]:80 OG [ekstern IP]:25 videre til hhv. 192.168.1.5:80 og
> 192.168.15:25.
> Hvis ikke det er et sammensurium af PAT og NAT, ved jeg ikke hvad er.

Ovenstående er en lækker blandning, ja.

>>"Forward" er ikke en egenskab NAT kan tillægges. NAT er adresse
>>oversættelse, om pakken blivere filteret/routeret er afhængigt af evt.
>>filter/routnings-regler.
> Vil du blive sur hvis jeg kalder dig anal-fikseret? Selvfølgelig i den
> pyskologiske mening af ordet.

Kun hvis du mener routeren sidder i min ende. Eller hvis du mener NAT er
det samme som et pakkefilter.

>>>Det er sådan set underordnet. Hvis et program på computeren
>>>videresender trafik til port 139 til f.eks. port 80 vil det ikke
>>>betyde noget, da NAT-"devicet" alligevel ikke forwarder port 139 ind til
>>>computeren og trafik derfor aldrig vil nå det onde program[1].
>>Dette kan NAT ikke styre.
> Nej, det var jo ligesom også min pointe.

Som jeg læser din pointe, kan NAT bruges til at beskytte de lokale
noder. Dette mener jeg er naivt.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

Christian E. Lysel wrote:

> Som jeg læser din pointe, kan NAT bruges til at beskytte de lokale
> noder. Dette mener jeg er naivt.

Vi er enige om at NAT i sig selv ikke skaber nogen sikkerhed.

Jeg har så lært i aften at før jeg belærer andre (Thomas Strandtoft) om
NAT, så skal jeg passe med at kvalificere begreberne ordentligt.

Dette betyder ikke at jeg ikke hvad jeg snakker om, men derimod at jeg
skal huske på at inkludere ordene "filtrering" og "routning" når jeg
snakker om at NAT beskytter computere på LANet bagved.

FAQen har dog samme måde som mig at forklare det på:

   I de tilfælde hvor der benyttes en NAT funktion (f.eks. privatbrug
   af ADSL), vil der ofte heller ikke være brug for en firewall. NAT
   tillader kun indgående trafik fra IP adresser og porte som tidligere
   er blevet kontaktet af en maskine inde i NAT området.

http://a.area51.dk/sikkerhed/hjemme_pc#firewall (nederst)

Dermed ikke være sagt at jeg gemmer mig bag Alex' skørter, på ingen
måde. Fejlen var helt min egen.

Jeg tænker på en anden, mere korrekt måde at forklare det på i morgen.

Nu skal jeg i seng.

--
Save aix1!

---

Christian Andersen wrote:
>    I de tilfælde hvor der benyttes en NAT funktion (f.eks. privatbrug
>    af ADSL), vil der ofte heller ikke være brug for en firewall. NAT
>    tillader kun indgående trafik fra IP adresser og porte som tidligere
>    er blevet kontaktet af en maskine inde i NAT området.

Er det ikke falsk sikkerhed?

Jeg har set store og små kunder, hvor der var trivielt at kører GRE til
deres ISP's gateway, herfra var det simpelt at sende RFC1819 adresse rum
til kundens firewall.

Nogle firewall konfigurationer antager at ISP'ens gateway ikke router
RFC1819 pakker.

Min ISP filtere fx ikke RFC1819 adresse som source for indgående pakker.

Endvidere findes der flere teknokologier til at probe enheder der er
"beskyttet" af en NAT enhed.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

In dk.edb.sikkerhed, Christian E. Lysel <news.sunsite.dk@spindelnet.dk>
says...
> Christian Andersen wrote:
> >    I de tilfælde hvor der benyttes en NAT funktion (f.eks. privatbrug
> >    af ADSL), vil der ofte heller ikke være brug for en firewall. NAT
> >    tillader kun indgående trafik fra IP adresser og porte som tidligere
> >    er blevet kontaktet af en maskine inde i NAT området.
>
> Er det ikke falsk sikkerhed?

Det mener jeg ikke.
Jeg sidder selv bag en NAT-router og har _intet_ andet til at beskytte
mine computere. Der er ingen vej ind. Ingen.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

---

"Jesper G. Poulsen" wrote:

> > Er det ikke falsk sikkerhed?
>
> Det mener jeg ikke.
> Jeg sidder selv bag en NAT-router og har _intet_ andet til at beskytte
> mine computere. Der er ingen vej ind. Ingen.

Mener du også dit argument "Hvis du sidder bag en NAT-router er
det ikke nødvendigt med firewalls på maskinerne." holder hvis du
har forwardet blot en enkelt port, fx. til en ftpserver eller en
webserver?

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

In dk.edb.sikkerhed, Thomas Strandtoft <thomas.strandtoft@anderledes.dk>
says...
> Mener du også dit argument "Hvis du sidder bag en NAT-router er
> det ikke nødvendigt med firewalls på maskinerne." holder hvis du
> har forwardet blot en enkelt port, fx. til en ftpserver eller en
> webserver?

Ja.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

---

"Jesper G. Poulsen" wrote:

> > Mener du også dit argument "Hvis du sidder bag en NAT-router er
> > det ikke nødvendigt med firewalls på maskinerne." holder hvis du
> > har forwardet blot en enkelt port, fx. til en ftpserver eller en
> > webserver?
>
> Ja.

Gider du forklare lidt om hvordan du sikrer at den port du har
åbnet ind ikke kan misbruges?

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

In dk.edb.sikkerhed, Thomas Strandtoft <thomas.strandtoft@anderledes.dk>
says...
> Gider du forklare lidt om hvordan du sikrer at den port du har
> åbnet ind ikke kan misbruges?

Ved at det stykke software der lytter ikke er hullet som en si.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

---

"Jesper G. Poulsen" wrote:

> > Gider du forklare lidt om hvordan du sikrer at den port du har
> > åbnet ind ikke kan misbruges?
>
> Ved at det stykke software der lytter ikke er hullet som en si.

Aha, så dit argument for at fortælle Jan Rysz at han kan undvære
en firewall når bare han har NAT er altså baseret på at du har
blind tillid til den software du selv kører? Mon ikke det burde
have været en del af dit svar dengang du fortalte ham at bare man
har NAT så er man sikkert i havn, eller er den software du
benytter ligefrem så sikker at den gavner Jan??

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

> Aha, så dit argument for at fortælle Jan Rysz at han kan undvære
> en firewall når bare han har NAT er altså baseret på at du har
> blind tillid til den software du selv kører? Mon ikke det burde
> have været en del af dit svar dengang du fortalte ham at bare man
> har NAT så er man sikkert i havn, eller er den software du
> benytter ligefrem så sikker at den gavner Jan??

Jeg er ikke helt inde i de begreber som I snakker om, men konklusionen på
spørgsmålet må være at :

Jeg kun deler mapperne i det øjeblik, der skal flyttes filer frem og
tilbage, mellem de interne pc´er
Jeg beholder Firewall´en installeret på alle maskiner.

Jeg må umiddelbart sige at, som jeg ser det er systemet hullet som en si (
for nu at bruge det samme udtryk ), da jeg ikke har skulle røre nogle
indstillinger overhovedet, for at bruge div. P2P, messenger osv....!

Jan Rysz

---

Jan Rysz wrote:
> Jeg kun deler mapperne i det øjeblik, der skal flyttes filer frem og
> tilbage, mellem de interne pc´er

Hvis du kun skal dele filer internt kan du fx bruge IPX til dette, denne
protokol kan ikke routes af en IP router (Dvs. ud på Internet)


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

Jan Rysz wrote:

> Jeg er ikke helt inde i de begreber som I snakker om, men konklusionen på
> spørgsmålet må være at :
>
> Jeg kun deler mapperne i det øjeblik, der skal flyttes filer frem og
> tilbage, mellem de interne pc´er

Alternativt kan du bruge en anden protocol end netBIOS til at dele
mapperne, fx. netbeui eller ipx/spx som ikke umiddelbart lader sig
transportere via tcp/ip (som internettet benytter).

Rend din netværksopsætning igennem og fjern netBIOS, både hvis du
har den som selvstændig protokol og under tcp/ip hvis du har hak i
"Enable netBIOS over TCP/IP". Hvis det er sort snak, så spørg..

> Jeg må umiddelbart sige at, som jeg ser det er systemet hullet som en si (
> for nu at bruge det samme udtryk ), da jeg ikke har skulle røre nogle
> indstillinger overhovedet, for at bruge div. P2P, messenger osv....!

Så meget mere grund til at undgå netBIOS understøttelsen..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

On Mon, 17 Feb 2003 23:19:35 +0100, Thomas Strandtoft
<thomas.strandtoft@anderledes.dk> wrote:

>Alternativt kan du bruge en anden protocol end netBIOS til at dele
>mapperne, fx. netbeui eller ipx/spx som ikke umiddelbart lader sig
>transportere via tcp/ip (som internettet benytter).

Bare for at bidrage til forvirringen; NetBIOS kommer man stadigvæk til
at bruge. Ved almindelig Microsoft-fildeling over IPX, så kører man
stadigvæk NetBIOS - bare over IPX og ikke TCP/IP.

Så en løsning er ikke at undlade at bruge NetBIOS - men undlade at
bruge NetBIOS over TCP/IP.

En mulighed, hvor man rent faktisk kan bruge sin firewall til noget
fornuftigt, er, når applikationen ikke selv har mulighed for en
IP-restriction, så sætte det i firewall'en.

--
- Peter Brodersen

---

Jesper G. Poulsen wrote:
> Det mener jeg ikke.
> Jeg sidder selv bag en NAT-router og har _intet_ andet til at beskytte

Jeg antager du regner med din ISP beskytter dig.

> mine computere. Der er ingen vej ind. Ingen.

Antagelse, du har to maskiner.

1) Interne maskine, ip adresse 192.168.0.1

2) Ekstern maskine (angriberen), ip adresse 172.16.1.1

Og du har endvidere en router med interfacene 192.168.0.2 og 172.16.1.2,
denne router NAT'er 192.168.0/24 til 172.16.1.2.


På den eksterne maskine laver du nu en host route:

route add 192.168.0.1 netmask 255.255.255.255 gw 172.16.1.2


Hvilke routnings og NAT mekanismer forhindre "ping 192.168.0.1" i at få
svar fra 192.168.0.1 når det bliver kørt fra 172.16.1.1?

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

In dk.edb.sikkerhed, Christian E. Lysel <news.sunsite.dk@spindelnet.dk>
says...
> > Jeg sidder selv bag en NAT-router og har _intet_ andet til at beskytte
> Jeg antager du regner med din ISP beskytter dig.

Forkert antagelse.

> > mine computere. Der er ingen vej ind. Ingen.
> Hvilke routnings og NAT mekanismer forhindre "ping 192.168.0.1" i at få
> svar fra 192.168.0.1 når det bliver kørt fra 172.16.1.1?

Ingen. Men derfor er der stadig ingen vej ind til min maskine.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

---

Christian E. Lysel <news.sunsite.dk@spindelnet.dk> wrote:
> Christian Andersen wrote:
>>    I de tilfælde hvor der benyttes en NAT funktion (f.eks. privatbrug
>>    af ADSL), vil der ofte heller ikke være brug for en firewall. NAT
>>    tillader kun indgående trafik fra IP adresser og porte som tidligere
>>    er blevet kontaktet af en maskine inde i NAT området.
>
> Er det ikke falsk sikkerhed?

Kun hvis man tror NAT loeser problemer som det ikke loeser, vel?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Christian Andersen wrote:

> Din fremstilling af NAT er da også, om ikke ukorrekt, så i hvert fald til
> dels vildledende.

Det skal jeg så beklage..

> > Det er korrekt at du
> > kan bruge NAT til at lukke af for port 139 som netbios normalt
> > benytter,
>
> "Lukke af" og "lukke af", det er vist så meget sagt. Hellere "undlade at
> forwarde".

Jep, det er en bedre formulering. Jeg tænkte på at NAT i min
router har "lukket af" udefra for port 139 trafik til min maskine,
men det er mere korrekt at sige at den ikke forwarder trafikken..

> > Personal firewalls har efter min mening ikke meget med firewalls
> > at gøre, de er efter min mening ikke sikrere end NAT.
>
> NAT der ikke forwarder nogle porte er, alt andet lige (vi ser bort fra
> kompromittering af "devicet"), sikrere end personlige firewalls. Intet
> udefra-initieret trafik vil kunne komme ind til nogen af computerne på
> LANet.

Enig. Min pointe var at personlige firewalls ikke gør andet end at
blokere eller åbne for forskellige porte, dvs. ikke andet end man
lige så godt kan gøre vhja. routerens NAT.

> > En fornuftig firewall kigger på indholdet af pakkerne også og
> > checker fx. at trafik til port 80 nu også er http og ikke netbios
> > trafik.
>
> Det er en "forwarding proxy" eller hvad den tekniske betegnelse nu er.
> Det er ikke en firewall.

Okay.

> [1] Det er dog muligt, på den lokale computer, at "viderestille" port 80
> til port 139, sende NetBIOS-trafik på port 80 gennem et NAT-"device" der
> forwarder port 80 til den lokale computer og derefter kunne kommunikere
> på "NetBIOSsk" med computeren, men det er et scenarie jeg vil anse for
> usandsynligt, især fordi folk der forwarder en port oftest forwarder den
> fordi de har tjenester til at lytte på den.

På gyngende grund: Kan det lade sig gøre at lave et program der
agerer "front end" til fx. en browser, der inspicerer al trafik
til port 80 og sorterer så trafik til en webserver ryger den ene
vej og fx. netbios trafik ryger den anden? Et program der lader to
forskellige services dele samme port? Hos modtageren af trafikken
skal der naturligvis køre et tilsvarende program der splitter
tingene op igen..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

Thomas Strandtoft wrote:

> På gyngende grund: Kan det lade sig gøre at lave et program der
> agerer "front end" til fx. en browser, der inspicerer al trafik
> til port 80 og sorterer så trafik til en webserver ryger den ene
> vej og fx. netbios trafik ryger den anden? Et program der lader to
> forskellige services dele samme port? Hos modtageren af trafikken
> skal der naturligvis køre et tilsvarende program der splitter
> tingene op igen..

Ja, det kan godt lade sig gøre.

--
Save aix1!

---

Christian Andersen wrote:

> > På gyngende grund: Kan det lade sig gøre at lave et program der
> > agerer "front end" til fx. en browser, der inspicerer al trafik
> > til port 80 og sorterer så trafik til en webserver ryger den ene
> > vej og fx. netbios trafik ryger den anden? Et program der lader to
> > forskellige services dele samme port? Hos modtageren af trafikken
> > skal der naturligvis køre et tilsvarende program der splitter
> > tingene op igen..
>
> Ja, det kan godt lade sig gøre.

Okay, dvs. hvis man har en webserver snurrende på port 80, så kan
man i realiteten være så uheldig efterfølgende at downloade en
applikation der har ovenstående funktion. En router det har NAT'et
port 80, men ikke port 139 op til maskinen med webserveren, kan
altså også lade netbios trafik passere ind og ud. En personal
firewall fanger heller ikke trafikken, for man har jo allerede
givet lov til at der sendes og modtages på port 80. Løsningen er
en form for packet inspection der opsnapper hvis der kommer pakker
af en forkert type på en utraditionel port..

Med dette synes jeg egentlig at jeg er tilbage ved indholdet i mit
oprindelige indlæg..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

Thomas Strandtoft wrote:

> Okay, dvs. hvis man har en webserver snurrende på port 80, så kan
> man i realiteten være så uheldig efterfølgende at downloade en
> applikation der har ovenstående funktion. En router det har NAT'et
> port 80, men ikke port 139 op til maskinen med webserveren, kan
> altså også lade netbios trafik passere ind og ud. En personal
> firewall fanger heller ikke trafikken, for man har jo allerede
> givet lov til at der sendes og modtages på port 80. Løsningen er
> en form for packet inspection der opsnapper hvis der kommer pakker
> af en forkert type på en utraditionel port..
>
> Med dette synes jeg egentlig at jeg er tilbage ved indholdet i mit
> oprindelige indlæg..

Det er du også.

Dog var mit indlæg mest rettet mod din påstand om at NAT ikke var sikrere
end personlige firewalls.

Men du har ret i at hvis trafikken _lokalt_ på en computer omdirigeres
til en anden port, vil routning+firewalling+NAT ikke hjælpe.

I det tilfælde vil en applikationfirewall (tak, Christian) hjælpe.

--
Save aix1!

---

Christian Andersen wrote:

> Dog var mit indlæg mest rettet mod din påstand om at NAT ikke var sikrere
> end personlige firewalls.

Det var nu ment den anden vej rundt, at en personlig firewall
oftest ikke er sikrere end NAT..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

Thomas Strandtoft wrote:
> Okay, dvs. hvis man har en webserver snurrende på port 80, så kan
> man i realiteten være så uheldig efterfølgende at downloade en
> applikation der har ovenstående funktion. En router det har NAT'et

Specielt under Windows kan dette være et problem da enhver bruger på
systemet kan starte en nye listner på port 80, også selvom der kører en
i forvejen.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

Den Sun, 16 Feb 2003 23:54:18 +0100 skrev Thomas Strandtoft:
>Christian Andersen wrote:
>
>> > På gyngende grund: Kan det lade sig gøre at lave et program der
>> > agerer "front end" til fx. en browser, der inspicerer al trafik
>> > til port 80 og sorterer så trafik til en webserver ryger den ene
>> > vej og fx. netbios trafik ryger den anden? Et program der lader to
>> > forskellige services dele samme port? Hos modtageren af trafikken
>> > skal der naturligvis køre et tilsvarende program der splitter
>> > tingene op igen..
>>
>> Ja, det kan godt lade sig gøre.
>
>Okay, dvs. hvis man har en webserver snurrende på port 80, så kan
>man i realiteten være så uheldig efterfølgende at downloade en
>applikation der har ovenstående funktion. En router det har NAT'et
>port 80, men ikke port 139 op til maskinen med webserveren, kan
>altså også lade netbios trafik passere ind og ud. En personal
>firewall fanger heller ikke trafikken, for man har jo allerede
>givet lov til at der sendes og modtages på port 80. Løsningen er
>en form for packet inspection der opsnapper hvis der kommer pakker
>af en forkert type på en utraditionel port..

Det ville være lidt langt ude at liste netbios ind via HTTP, hvis
man absolut skal lave skade vha. port 80, med en webserver kørende er
det nok nemmere at liste en WebDAV server ind, og share hele maskinen
den vej.

Så slipper man også for bøvlet med at få sin egen maskine til at
sende netbios til port 80.

Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"

---

Kent Friis wrote:

> Det ville være lidt langt ude at liste netbios ind via HTTP, hvis
> man absolut skal lave skade vha. port 80, med en webserver kørende er
> det nok nemmere at liste en WebDAV server ind, og share hele maskinen
> den vej.
>
> Så slipper man også for bøvlet med at få sin egen maskine til at
> sende netbios til port 80.

Nu var netbios og port 80 grebet ud af luften for eksemplets
skyld, pointen er at hvis man har en port stående åben til
"lovlig" trafik kan man ikke være sikker på at den ikke også
misbruges til andre typer af trafik..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

Den Mon, 17 Feb 2003 19:17:03 +0100 skrev Thomas Strandtoft:
>Kent Friis wrote:
>
>> Det ville være lidt langt ude at liste netbios ind via HTTP, hvis
>> man absolut skal lave skade vha. port 80, med en webserver kørende er
>> det nok nemmere at liste en WebDAV server ind, og share hele maskinen
>> den vej.
>>
>> Så slipper man også for bøvlet med at få sin egen maskine til at
>> sende netbios til port 80.
>
>Nu var netbios og port 80 grebet ud af luften for eksemplets
>skyld, pointen er at hvis man har en port stående åben til
>"lovlig" trafik kan man ikke være sikker på at den ikke også
>misbruges til andre typer af trafik..

Og det har du fuldkommen ret i.

Det er en af grundene til at det ikke giver mening med en firewall
på en enkelt maskine. De ting der kører på maskinen, kører
(forhåbentlig[1]) fordi de skal køre, og dem gør det mere skade end
gavn at blokere for. Og en lukket port giver det ingen mening at
sætte en firewall foran.

(Men det ved du vel allerede)

Mvh
Kent

[1] Hvis ikke admin kan finde ud af at konfigurere sin server, så er
han livsfarlig i nærheden af en firewall.
--
Hvis man ikke kan lide klassisk musik, er det sandsynligvis fordi
lydkvaliteten er for dårlig. Klassisk musik kræver et godt anlæg.

---

Thomas Strandtoft <thomas.strandtoft@anderledes.dk> wrote:

>Nu var netbios og port 80 grebet ud af luften for eksemplets
>skyld, pointen er at hvis man har en port stående åben til
>"lovlig" trafik kan man ikke være sikker på at den ikke også
>misbruges til andre typer af trafik..

....og modpointen er saa, at hvis man aabner for trafik til en
bestemt port, lader man naturligvis kun sikker software lytte paa
den port.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:

> >Nu var netbios og port 80 grebet ud af luften for eksemplets
> >skyld, pointen er at hvis man har en port stående åben til
> >"lovlig" trafik kan man ikke være sikker på at den ikke også
> >misbruges til andre typer af trafik..
>
> ...og modpointen er saa, at hvis man aabner for trafik til en
> bestemt port, lader man naturligvis kun sikker software lytte paa
> den port.

Helt enig, men det kræver at man har et indgående kendskab til den
software man installerer på maskinen, hvilket i sidste ende er en
tillidssag (med mindre man da manuelt gennemgår kildekoden)..

Hvem siger at det grafikprogram man netop har downloadet for at
redigere feriebillederne ikke som skjult funktion har mulighed for
at lave netværkskommunikation??

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

Den Mon, 17 Feb 2003 23:10:51 +0100 skrev Thomas Strandtoft:
>Allan Olesen wrote:
>
>> >Nu var netbios og port 80 grebet ud af luften for eksemplets
>> >skyld, pointen er at hvis man har en port stående åben til
>> >"lovlig" trafik kan man ikke være sikker på at den ikke også
>> >misbruges til andre typer af trafik..
>>
>> ...og modpointen er saa, at hvis man aabner for trafik til en
>> bestemt port, lader man naturligvis kun sikker software lytte paa
>> den port.
>
>Helt enig, men det kræver at man har et indgående kendskab til den
>software man installerer på maskinen, hvilket i sidste ende er en
>tillidssag (med mindre man da manuelt gennemgår kildekoden)..
>
>Hvem siger at det grafikprogram man netop har downloadet for at
>redigere feriebillederne ikke som skjult funktion har mulighed for
>at lave netværkskommunikation??

Hvem siger at den personal "firewall" man netop har downloadet for at
undgå suspekte connections ikke som skjult funktion har mulighed for
at fjernstyre ens PC?

Mvh
Kent
--
Linux 0.12 is out
Windows XP is now obsolete!!!

---

leeloo@phreaker.net (Kent Friis) wrote:

>>Hvem siger at det grafikprogram man netop har downloadet for at
>>redigere feriebillederne ikke som skjult funktion har mulighed for
>>at lave netværkskommunikation??
>
>Hvem siger at den personal "firewall" man netop har downloadet for at
>undgå suspekte connections ikke som skjult funktion har mulighed for
>at fjernstyre ens PC?

Det kan godt være at de eksisterende personlige firewalls er
noget bras (det ved jeg ikke), men ovenstående er altså ikke et
holdbart argument.

Pointen er jo netop at man kun har én firewall, men man har 117
applikationer. Firewallens formål er at man kun skal stole på ét
at de 118 programmer man har installeret (udover de uundgåelige
dele af operativsystemet). Det ene program (firewallen) skal man
så vælge med mere omhu end man ofrer på hvert af de 117 andre.

Det gælder temmelig generelt i sikkerhedsmæssige sammenhænge at
jo lavere niveau man kan sikre sig mod en bestemt type angreb på,
jo færre stumper programmel behøver være sikre for at man samlet
er beskyttet mod den type angreb. Og sikkerhed der er spredt
over mange stumper programmel, er uoverskuelig; den har dels en
tendens til ikke at blive ved med at være konfigureret korrekt,
dels en større sårbarhed overfor programmelfejl. Det ultimative
eksempel er den beskyttelse man får ved at hive netstikket ud.

Det er da rigtigt at hvis man kører alting med
administratorrettigheder, som mange jo gør på Windows, så kan
enhver applikation, hvis den vil, slå firewallen fra og lave sine
ulykker. Men det er jo ikke noget en applikation gør ved et
uheld; det er heller ikke noget en applikation gør for at lave fx
en suspekt forbindelse til sit ophavsfirma for at registrere
brugere; det er derimod noget som en applikation kun gør hvis den
decideret er beregnet på at være en ondskabsfuld trojansk hest.
Og risikoen for at en given uskyldigt udseende applikation er
ondskabsfuld er trods alt meget mindre end risikoen for at den
snakker ukritisk på nettet og indeholder banale sikkerhedsfejl.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

On Tue, 18 Feb 2003 19:52:17 +0100, Jesper Dybdal <jdunet@u8.dybdal.dk> wrote:
>
> Pointen er jo netop at man kun har én firewall, men man har 117
> applikationer. Firewallens formål er at man kun skal stole på ét
> at de 118 programmer man har installeret (udover de uundgåelige
> dele af operativsystemet). Det ene program (firewallen) skal man
> så vælge med mere omhu end man ofrer på hvert af de 117 andre.

Indtil et af de 117 andre vælger at disable firewallen og køre videre
som om intet var hændt.

> Det gælder temmelig generelt i sikkerhedsmæssige sammenhænge at
> jo lavere niveau man kan sikre sig mod en bestemt type angreb på,
> jo færre stumper programmel behøver være sikre for at man samlet
> er beskyttet mod den type angreb.

Jeg er overordnet enig. Dog ville jeg aldrig benytte den ordlyd som du
gør i ovenstående.

> Og sikkerhed der er spredt over mange stumper programmel, er
> uoverskuelig; den har dels en tendens til ikke at blive ved med at
> være konfigureret korrekt, dels en større sårbarhed overfor
> programmelfejl. Det ultimative eksempel er den beskyttelse man får
> ved at hive netstikket ud.

Jeg vil nu stadig luge ud i programmellet først. Det er bedre end at
installere en firewall, imo.

> Det er da rigtigt at hvis man kører alting med
> administratorrettigheder, som mange jo gør på Windows, så kan enhver
> applikation, hvis den vil, slå firewallen fra og lave sine ulykker.
> Men det er jo ikke noget en applikation gør ved et uheld; det er
> heller ikke noget en applikation gør for at lave fx en suspekt
> forbindelse til sit ophavsfirma for at registrere brugere; det er
> derimod noget som en applikation kun gør hvis den decideret er
> beregnet på at være en ondskabsfuld trojansk hest. Og risikoen for at
> en given uskyldigt udseende applikation er ondskabsfuld er trods alt
> meget mindre end risikoen for at den snakker ukritisk på nettet og
> indeholder banale sikkerhedsfejl.

Jeg synes nu allerede vi har tabt når et program installerer spyware på
ens maskine.

--
Jesper

---

Thomas Strandtoft <thomas.strandtoft@anderledes.dk> wrote:

>Hvem siger at det grafikprogram man netop har downloadet for at
>redigere feriebillederne ikke som skjult funktion har mulighed for
>at lave netværkskommunikation??

Nu var udgangspunktet for mit svar beskyttelse mod ondsindet
trafik udefra. Jeg gaar ud fra, at man ikke installer tilfaeldig
software paa vigtige maskiner.

Men naar vi nu er ved det, bliver jeg nysgerrig. Hvis en
application firewall skal filtrere indefra kommende trafik, ser
det for mig ud til, at den kommer paa en haard opgave. De data,
som et ondsindet program forsoeger at smugle ud, kan jo bare
sendes med en almindeligt brugt protokol, f.eks. http. Hvordan
beskytter firewallen mod det? Samarbejder den med software
installeret lokalt paa klienterne?

--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.