---

Er der nogen der kan argumentere for hvorfor man bør bruge tid på at
lukke/sikre samtlige services i et OS på hver eneste maskine i et netværk
med Internetadgang, fremfor at spærre for al ikke-indefra-startet
udefrakommende traffik i en firewall og sørge for jævnligt at patche
firewallen samt de specifikke programmer på maskinerne der gør brug af
Internettet.

/Jens Ulrik

---

Jens U. K. wrote:

> Er der nogen der kan argumentere for hvorfor man bør bruge tid på at
> lukke/sikre samtlige services i et OS på hver eneste maskine i et netværk
> med Internetadgang, fremfor at spærre for al ikke-indefra-startet
> udefrakommende traffik i en firewall og sørge for jævnligt at patche
> firewallen samt de specifikke programmer på maskinerne der gør brug af
> Internettet.

Jeg tror det var Blaster-ormen/virussen der kom i en e-mail og også
angreb port 135. En sådan fætter på det interne netværk kan en ekstern
firewall ikke beskytte mod.

Desuden findes der jo også "principle of least complexity", der siger at
jo mindre services der findes på en computer, jo færre angrebsveje er
der at angribe.

Ved at lukke alle ikke-essentielle services behøver man jo heller ikke,
alt andet lige, at installere sikeerhedsrettelser så tit, hvis den
sårbare service overhovedet ikke kører på ens maskinpark.

Den eksterne firewall kan jo også vise sig engang i fremtiden at have et
hul der muliggør indgående trafik og hvis maskinerne på det interne
netværk ikke er beskyttet, så bliver de jo angrebet. En ræv har mange
udgange og en sikkerhedsmand stoler på så lidt som muligt.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

"Christian Andersen" <i5qrgl3402@sneakemail.com> wrote in message
news:bpic5f$e9v$1@charybdis.vof.dk...
> Jens U. K. wrote:
>
> > Er der nogen der kan argumentere for hvorfor man bør bruge tid på at
> > lukke/sikre samtlige services i et OS på hver eneste maskine i et
netværk
> > med Internetadgang, fremfor at spærre for al ikke-indefra-startet
> > udefrakommende traffik i en firewall og sørge for jævnligt at patche
> > firewallen samt de specifikke programmer på maskinerne der gør brug af
> > Internettet.
>
> Jeg tror det var Blaster-ormen/virussen der kom i en e-mail og også

Jamen, e-mail programmet er jo patchet.

> angreb port 135. En sådan fætter på det interne netværk kan en ekstern
> firewall ikke beskytte mod.

Irellevant, den kommer slet ikke ind.

> Desuden findes der jo også "principle of least complexity", der siger at
> jo mindre services der findes på en computer, jo færre angrebsveje er
> der at angribe.

Sandt nok, men firewallen sørger jo netop for at ingen services internt er
til rådighed. Så det er kun firewallen man skal koncentrere sig om at
holde opdateret.

> Ved at lukke alle ikke-essentielle services behøver man jo heller ikke,
> alt andet lige, at installere sikeerhedsrettelser så tit, hvis den
> sårbare service overhovedet ikke kører på ens maskinpark.

Det skal vel gøres mindst ligeså tit som hvis der var en firewall.
Og hvad med risikoen for at en bruger med/uden vilje installerer en
tilfældig ny service som måske er sårbar? I tilfældet hvor man har en
firewall er det langt fra så farligt som hvis man ikke har, IMO.

> Den eksterne firewall kan jo også vise sig engang i fremtiden at have et
> hul der muliggør indgående trafik og hvis maskinerne på det interne

Og derfor skal den selvfølgelig løbende opdateres/patches.

> netværk ikke er beskyttet, så bliver de jo angrebet. En ræv har mange
> udgange og en sikkerhedsmand stoler på så lidt som muligt.

Hvis nu du havde skrevet en ræv har mange indgange, ville jeg
tilnærmelsesvis have forstået din analogi. Og så ville jeg have
kommenteret den med at en sikkerhedsmand og en ræv muligvis ikke har de
samme ressourcer og mål, og dermed ikke har samme sikkerhedspolitik.

/Jens Ulrik

---

Jens U. K. wrote:

>>> Er der nogen der kan argumentere for hvorfor man bør bruge tid på at
>>> lukke/sikre samtlige services i et OS på hver eneste maskine i et
>>> netværk

[snip]

>> Jeg tror det var Blaster-ormen/virussen der kom i en e-mail og også

> Jamen, e-mail programmet er jo patchet.

Hvad med den tid der går fra sårbarheden bliver opdaget til patchen
kommer? Den tid der går fra sårbarheden bliver offentliggjort til patchen
kommer? Den tid der går fra patchen kommer til den bliver lagt på
maskinerne?

Eller den tid der går fra virussen/ormen kommer til virusprogrammet er
opdateret, som en anden har gjort opmærksom på?

>> angreb port 135. En sådan fætter på det interne netværk kan en ekstern
>> firewall ikke beskytte mod.

> Irellevant, den kommer slet ikke ind.

Javel, ja. Uautoriserede bærbare, disketter, USB-diske, en medarbejders
hjemmearbejdsplads, osv, osv ...

>> Desuden findes der jo også "principle of least complexity", der siger at
>> jo mindre services der findes på en computer, jo færre angrebsveje er
>> der at angribe.

> Sandt nok, men firewallen sørger jo netop for at ingen services internt er
> til rådighed. Så det er kun firewallen man skal koncentrere sig om at
> holde opdateret.

Der findes andre angrebsveje end firewallen, som en anden også har
svaret.

>> Ved at lukke alle ikke-essentielle services behøver man jo heller ikke,
>> alt andet lige, at installere sikeerhedsrettelser så tit, hvis den
>> sårbare service overhovedet ikke kører på ens maskinpark.

> Det skal vel gøres mindst ligeså tit som hvis der var en firewall.

Jeg forstår ikke den sætning. Desuden siger jeg ikke at man ikke skal
have en firewall, men den skal ikke være den eneste beskyttelse.

En firewall er ikke en magisk tryllestav.

> Og hvad med risikoen for at en bruger med/uden vilje installerer en
> tilfældig ny service som måske er sårbar?

Med ordentligt opdragede brugere og fornuftig "rights management" på
arbejdscomputerne burde det ikke være et problem.

Men det er en anelse utopisk, så lad mig vende tilbage til argumentet med
at lukke services på de andre computere; hvis alle andre computere i
organisationen ikke har den sårbarhed, så spredes infektionen ikke særlig
langt.

> I tilfældet hvor man har en
> firewall er det langt fra så farligt som hvis man ikke har, IMO.

Se ovenfor. Jeg snakker ikke om at undvære en firewall.

>> Den eksterne firewall kan jo også vise sig engang i fremtiden at have et
>> hul der muliggør indgående trafik og hvis maskinerne på det interne

> Og derfor skal den selvfølgelig løbende opdateres/patches.

Du kan ikke forvente 100% oppetid eller 100% beskyttelse fra den.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

"Christian Andersen" <i5qrgl3402@sneakemail.com> wrote in message
news:bpig5s$gqp$1@charybdis.vof.dk...
> Jens U. K. wrote:
>
> >>> Er der nogen der kan argumentere for hvorfor man bør bruge tid på at
> >>> lukke/sikre samtlige services i et OS på hver eneste maskine i et
> >>> netværk
>
> [snip]
>
> >> Jeg tror det var Blaster-ormen/virussen der kom i en e-mail og også
>
> > Jamen, e-mail programmet er jo patchet.
>
> Hvad med den tid der går fra sårbarheden bliver opdaget til patchen
> kommer? Den tid der går fra sårbarheden bliver offentliggjort til
patchen
> kommer? Den tid der går fra patchen kommer til den bliver lagt på
> maskinerne?

Så vil du da have samme problem med de nok så sikrede maskiner. Der vil jo
dukke sårbarheder op på de services maskinerne kører på et eller andet
tidspunkt, og så har du nøjagtig samme problematik. Bevares, i mindre
målestok.

> Eller den tid der går fra virussen/ormen kommer til virusprogrammet er
> opdateret, som en anden har gjort opmærksom på?

Så vil der da stadig være et problem med de sikrede maskiner. Igen i
mindre målestok, men hvis først der har været noget gris indenfor, vil jeg
da have det dårligt med hvad det kan have gjort, sikret maskine eller ej.
Man kan jo ikke vide sig sikker på om der er blevet udnyttet en ukendt
sårbarhed.

> >> angreb port 135. En sådan fætter på det interne netværk kan en
ekstern
> >> firewall ikke beskytte mod.
>
> > Irellevant, den kommer slet ikke ind.
>
> Javel, ja. Uautoriserede bærbare, disketter, USB-diske, en medarbejders
> hjemmearbejdsplads, osv, osv ...

Hvis den kommer ind, så læs ovenfor.
Og hvis man er bange for at brugerne får slæbt virus ind, kan man i
praksis installere en virusscanner som tager sig af alle kendte virusser.
De ukendte vil altid være et problem.

> >> Desuden findes der jo også "principle of least complexity", der siger
at
> >> jo mindre services der findes på en computer, jo færre angrebsveje er
> >> der at angribe.
>
> > Sandt nok, men firewallen sørger jo netop for at ingen services
internt er
> > til rådighed. Så det er kun firewallen man skal koncentrere sig om at
> > holde opdateret.
>
> Der findes andre angrebsveje end firewallen, som en anden også har
> svaret.

Og det er bl.a. dem jeg er interesseret i at høre om.

> >> Ved at lukke alle ikke-essentielle services behøver man jo heller
ikke,
> >> alt andet lige, at installere sikeerhedsrettelser så tit, hvis den
> >> sårbare service overhovedet ikke kører på ens maskinpark.
>
> > Det skal vel gøres mindst ligeså tit som hvis der var en firewall.
>
> Jeg forstår ikke den sætning.

Sagt på en anden måde. Hvis en service ikke er tilgængelig fra
Inmternettet fordi firewallen ikke har åbnet til den, er der ingen grund
til at bruge tid på at patche den. Dvs. det er de samme services der er
tilgængelige gennem firewallen, sikret som usikret maskine, og det er
altså den samme patching der skal foregå.

> Desuden siger jeg ikke at man ikke skal
> have en firewall, men den skal ikke være den eneste beskyttelse.

Og det har du da sandsynligvis ret i, men det kommer sikkert lidt an på
ens sikkerhedspolitik.

>
> En firewall er ikke en magisk tryllestav.
>

Enig. Den gør (forhåbentlig) det den er bedt om.

> > Og hvad med risikoen for at en bruger med/uden vilje installerer en
> > tilfældig ny service som måske er sårbar?
>
> Med ordentligt opdragede brugere og fornuftig "rights management" på
> arbejdscomputerne burde det ikke være et problem.
>
> Men det er en anelse utopisk, så lad mig vende tilbage til argumentet
med
> at lukke services på de andre computere; hvis alle andre computere i
> organisationen ikke har den sårbarhed, så spredes infektionen ikke
særlig
> langt.

Det kommer vel an på hvilken type infektion det er og hvordan maskiner og
brugeres privilegier er sat op.

> > I tilfældet hvor man har en
> > firewall er det langt fra så farligt som hvis man ikke har, IMO.
>
> Se ovenfor. Jeg snakker ikke om at undvære en firewall.

Aha.

> >> Den eksterne firewall kan jo også vise sig engang i fremtiden at have
et
> >> hul der muliggør indgående trafik og hvis maskinerne på det interne
>
> > Og derfor skal den selvfølgelig løbende opdateres/patches.
>
> Du kan ikke forvente 100% oppetid eller 100% beskyttelse fra den.

Tilsvarende kan man vel heller ikke forvente 100% sikkerhed på sine ellers
sikrede maskiner.

/Jens Ulrik

---

"Jens U. K." <1jk2@3bsopatent4.dk> wrote:

>Og hvis man er bange for at brugerne får slæbt virus ind, kan man i
>praksis installere en virusscanner som tager sig af alle kendte virusser.

Det typiske forloeb, baseret paa mine egne observationer, vil
vaere:

1. Sikkerhedshul i program opdages.

2. Efter 1-8 uger frigives sikkerhedsopdatering til program.
Denne opdatering installeres ofte aldrig.


3. Efter 2-6 maaneder udsender nogen en virus/orm/whatever,
som udnytter hullet.

4. Efter 2-12 timer frigives opdatering til
antivirussoftwaren. Denne opdatering installeres typisk med
0-24 timers forsinkelse, eftersom de fleste koerer
antivirusopdatering en gang i doegnet.

Pkt 3 og 4 gentages derefter med jaevne mellemrum.

Dvs. at man ved at basere sin virussikkerhed paa
antivirussoftware er udsat i mange timer, hver gang nogen
gentager pkt. 3.

Ved at udfoere pkt. 2 og i oevrigt opdrage brugerne til
ansvarlig adfaerd kan man derimod een gang for alle sikre sig
mod udnyttelse af den paagaeldende svaghed, vel at maerke
flere uger eller maaneder, foer den forsoeges udnyttet.

>De ukendte vil altid være et problem.

Jeg haaber, at min beskrivelse ovenfor kan faa dig til at
forstaa, hvorfor den udtalelse er forkert. Man kan sagtens
beskytte sig mod en ukendt virus.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

"Allan Olesen" <aolesen@post3.tele.dk> wrote in message
news:3fbe3bd8$0$95058$edfadb0f@dread11.news.tele.dk...
> "Jens U. K." <1jk2@3bsopatent4.dk> wrote:
>
> >Og hvis man er bange for at brugerne får slæbt virus ind, kan man i
> >praksis installere en virusscanner som tager sig af alle kendte virusser.
>
> [snip, beskr. af forløb med virus der udnytter sikkerhedshul]
>
> Ved at udfoere pkt. 2 og i oevrigt opdrage brugerne til
> ansvarlig adfaerd kan man derimod een gang for alle sikre sig
> mod udnyttelse af den paagaeldende svaghed, vel at maerke
> flere uger eller maaneder, foer den forsoeges udnyttet.

Som udgangspunkt er de specifikke programmer som bruger Internettet jo
patchet. Det kræver altså at en uagtsom bruger falder for noget social
engineering for at få aktiveret en virus. Med opdragelse kan det
forhåbentlig undgåes, men i praksis utopi vil de fleste nok mene.

>
> >De ukendte vil altid være et problem.
>
> Jeg haaber, at min beskrivelse ovenfor kan faa dig til at
> forstaa, hvorfor den udtalelse er forkert.

Så misforstår du min udtalelse. Du tænker specifikt på de virusser der
udnytter sikkerhedshuller, jeg snakker om alle typer af virusser der findes.

> Man kan sagtens
> beskytte sig mod en ukendt virus.

Hvordan beskytter man sig let(#1) i perioden fra en sårbarhed opdages til
den offenliggøres og efterfølgende er blevet patchet?
Hvordan beskytter man sig let(#1) mod en social engineering virus?
Hvordan definerer du "beskytter"?

/Jens Ulrik

#1: let = sagtens

---

Jens U. K. skrev:

>Som udgangspunkt er de specifikke programmer som bruger Internettet jo
>patchet. Det kræver altså at en uagtsom bruger falder for noget social
>engineering for at få aktiveret en virus. Med opdragelse kan det
>forhåbentlig undgåes, men i praksis utopi vil de fleste nok mene.

Jeg tror ikke det er utopi. Hvis den energi der nu bruges på at
reklamere for AV-programmer (af alle mulige mennesker), i stedet
blev brugt på at forklare at man beskytter sig mod virus ved at
bruge sin deleteknap, så ville meget være nået.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

"Jens U. K." <1jk2@3bsopatent4.dk> wrote:

>Så misforstår du min udtalelse. Du tænker specifikt på de virusser der
>udnytter sikkerhedshuller, jeg snakker om alle typer af virusser der findes.

Jamen de andre typer er jo ikke farlige. Du har vel laert dine
brugere ansvarlig opfoersel, ikke?

>> Man kan sagtens
>> beskytte sig mod en ukendt virus.
>
>Hvordan beskytter man sig let(#1) i perioden fra en sårbarhed opdages til
>den offenliggøres og efterfølgende er blevet patchet?

Paa det tidspunkt eksisterer den ukendte virus jo som regel
ikke. Virusprogrammoerer er langsomme. De eneste, der er
langsommere, er antivirusproducenterne.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:
>
> Paa det tidspunkt eksisterer den ukendte virus jo som regel
> ikke. Virusprogrammoerer er langsomme. De eneste, der er
> langsommere, er antivirusproducenterne.

Du har lige sagt, at virusproducenterne tager 2-6 måneder
om at lave en virus til et nyt sikkerhedshul, og at
antivirusproducenterne tager 2-12 timer om at lave en
antivirus til en ny virus.

Og nu siger du pludselig at antivirusproducenterne er
langsommere.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont skrev:

>Og nu siger du pludselig at antivirusproducenterne er
>langsommere.

For nogle år siden læste jeg et indlæg fra en AV-producent i en
debatgruppe. Han hånede den sidste nye virus og sagde at det var
lamt at V-programmørerne ikke havde hittet på den fidus for
længst. Han havde haft antikoden (i store træk) liggende klar i
et par måneder.

Det var dengang det var vigtigt at virussen var lille og smart. I
dag skal den jo bare kunne producere en plausibel tekstbesked som
f.eks. "Skynd dig at dobbeltklikke inden det er for sent!".

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Og nu siger du pludselig at antivirusproducenterne er
>langsommere.

Set i forhold til det tidspunkt, hvor svagheden opdages: Ja.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
>
> >Og nu siger du pludselig at antivirusproducenterne er
> >langsommere.
>
> Set i forhold til det tidspunkt, hvor svagheden opdages: Ja.

Det er jo ikke det, det skal ses i forhold til. Man kan
ikke genkende en ukendt virus, heller ikke selvom den
udnytter et kendt sikkerhedshul. Det du skal kigge efter
er:

1) Tiden fra hullet bliver opdaget til det bliver lukket.
2) Tiden fra hullet bliver opdaget til det bliver udnyttet.
3) Tiden fra virusen slippes løs til virusscanneren kan
genkende den.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Den Sat, 22 Nov 2003 21:55:53 +0100 skrev Kasper Dupont:
>Allan Olesen wrote:
>>
>> Kasper Dupont <kasperd@daimi.au.dk> wrote:
>>
>> >Og nu siger du pludselig at antivirusproducenterne er
>> >langsommere.
>>
>> Set i forhold til det tidspunkt, hvor svagheden opdages: Ja.
>
>Det er jo ikke det, det skal ses i forhold til. Man kan
>ikke genkende en ukendt virus,

Det er lige netop det der er problemet med antivirus-programmer.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Det er jo ikke det, det skal ses i forhold til.

Jo. Det fortaeller mig, hvor lang reaktionstid, jeg har til
raadighed ved de to sikringsfilosofier, foer jeg bliver
angrebet foerste gang.

Og jeg foretraekker altsaa at have en positiv reaktionstid til
raadighed...


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Jens U. K. wrote :

>> Jeg tror det var Blaster-ormen/virussen der kom i en e-mail og også
>
> Jamen, e-mail programmet er jo patchet.

blot til orientering så kom Blaster ikke via email men direkte via
TCP-port 135 [1]. Derfor vil en inficeret bærbar uden problemer kunne
smitte andre upatchede systemer på netværket.

[1] http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
--
Jesper Stocholm
http://stocholm.dk
Give a man a fish and he will have food for a day,
give a man an elephant, and he will have food for a week.

---

"Jesper Stocholm" <j@stocholm.invalid> wrote in message
news:Xns943CD7E76C3Dstocholmdk@192.38.208.86...
> Jens U. K. wrote :
>
> >> Jeg tror det var Blaster-ormen/virussen der kom i en e-mail og også
> >
> > Jamen, e-mail programmet er jo patchet.
>
> blot til orientering så kom Blaster ikke via email men direkte via
> TCP-port 135

Det ved de fleste formentlig allerede, jeg svarede bare generelt.

> Derfor vil en inficeret bærbar uden problemer kunne
> smitte andre upatchede systemer på netværket.

Ja, hvis den inficerede bærbare får lov til at blive koblet direkte op på
det interne net.

/Jens Ulrik

---

On Thu, 20 Nov 2003 13:19:18 +0100, Jens U. K. wrote:

> Er der nogen der kan argumentere for hvorfor man bør bruge tid på at
> lukke/sikre samtlige services i et OS på hver eneste maskine i et netværk
> med Internetadgang, fremfor at spærre for al ikke-indefra-startet
> udefrakommende traffik i en firewall og sørge for jævnligt at patche
> firewallen samt de specifikke programmer på maskinerne der gør brug af
> Internettet.

Hvis man føler sig nogenlunde sikker på, at firewall'en kan fjerne alle
"grimme bits", så er firewall'en vel det rationelle valg.

Imidlertid kan man tænke sig alverdens måder, hvorpå gris kan komme ind
på maskiner på éns ellers så beskytte LAN
- e-mails med helt nye virus, som AV endnu ikke kender
- e-mails, der læses på ikke-forudset vis (diverse webmail systmer)
- benyttelse af flytbare medier (disketter, CD'er, USB-nøgleringe, ...)
som firewall'en i sagens natur intet ved om
- gæster, der har kompromitterede laptops med
- ...

Med så ringe muligheder for gennemført sikring gennem en firewall, vil
jeg mene, at man ikke slipper uden om at skabe robusthed internt på
netværket.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

"Troels Arvin" <troels@arvin.dk> wrote in message
news:pan.2003.11.20.12.34.08.825682@arvin.dk...
> On Thu, 20 Nov 2003 13:19:18 +0100, Jens U. K. wrote:
>
> > Er der nogen der kan argumentere for hvorfor man bør bruge tid på at
> > lukke/sikre samtlige services i et OS på hver eneste maskine i et
netværk
> > med Internetadgang, fremfor at spærre for al ikke-indefra-startet
> > udefrakommende traffik i en firewall og sørge for jævnligt at patche
> > firewallen samt de specifikke programmer på maskinerne der gør brug af
> > Internettet.
>
> Hvis man føler sig nogenlunde sikker på, at firewall'en kan fjerne alle
> "grimme bits", så er firewall'en vel det rationelle valg.
>
> Imidlertid kan man tænke sig alverdens måder, hvorpå gris kan komme ind
> på maskiner på éns ellers så beskytte LAN
> - e-mails med helt nye virus, som AV endnu ikke kender

Jeg har stiltiende forudsat at brugere ikke åbner e-mails med virus.
E-mailprogramet er jo patchet, så virus kommer ikke ind uden brugerens
hjælp. Hvis virus kommer ind med brugernes hjælp, vil de da altid udgøre
et problem.

> - e-mails, der læses på ikke-forudset vis (diverse webmail systmer)

Hvordan det?

> - benyttelse af flytbare medier (disketter, CD'er, USB-nøgleringe, ...)
> som firewall'en i sagens natur intet ved om

Som vel kan bruge de tilgængelige services på en maskine, sikret eller
ikke sikret... her er det jo igen brugeren der evt. vil misbruge systemet.

> - gæster, der har kompromitterede laptops med

Her kan jeg klart se problemet med et sårbart internt netværk.
Måske man har sørget for noget MAC-filtrering på sine net-enheder, så der
ikke kommer uautoriserede maskiner på nettet eller også har man et
sideløbende "ikke-trusted" gæste-netværk som er adskilt fra resten af det
interne net.
I bund og grund mener jeg at vi er mere ovre i den fysiske sikkerhed i
dette tilfælde, og en sikkerhedspolitik kan diktere: "uautoriserede
maskiner, nej tak".

> - ...
>
> Med så ringe muligheder for gennemført sikring gennem en firewall, vil
> jeg mene, at man ikke slipper uden om at skabe robusthed internt på
> netværket.

Tjah... er det virkelig så ringe?

/Jens Ulrik

---

"Jens U. K." wrote:
>
> Jeg har stiltiende forudsat at brugere ikke åbner e-mails med virus.

Den antagelse holder ikke.

> E-mailprogramet er jo patchet, så virus kommer ikke ind uden brugerens
> hjælp. Hvis virus kommer ind med brugernes hjælp, vil de da altid udgøre
> et problem.

Problemet er ikke nær så stort, hvis det interne system
er sikret, som det ville være, hvis det eneste, der var
sikkert, var firewallen.

En firewall er en ekstra foranstaltning. Man må aldrig
sætte en firewall op og så glemme, at sikkerheden bag
ved firewallen også skal være i orden. Dit system bag
ved firewallen skal være så sikkert, at firewallen ikke
er nødvendig.

>
> > - e-mails, der læses på ikke-forudset vis (diverse webmail systmer)
>
> Hvordan det?
>
> > - benyttelse af flytbare medier (disketter, CD'er, USB-nøgleringe, ...)
> > som firewall'en i sagens natur intet ved om
>
> Som vel kan bruge de tilgængelige services på en maskine, sikret eller
> ikke sikret... her er det jo igen brugeren der evt. vil misbruge systemet.

Det er jo ikke tale om brugere, der vil misbruge
systemet. Der er blot tale om brugere, der tager en
"uskyldig" disk med og bruger den på systemet uden at
være klar over de mulige konsekvenser.

>
> > - gæster, der har kompromitterede laptops med
>
> Her kan jeg klart se problemet med et sårbart internt netværk.
> Måske man har sørget for noget MAC-filtrering på sine net-enheder, så der
> ikke kommer uautoriserede maskiner på nettet eller også har man et
> sideløbende "ikke-trusted" gæste-netværk som er adskilt fra resten af det
> interne net.

Læste du ikke historien om den orm, der kom ind
gennem en printer (eller noget i den retning)? En
tekniker skulle udføre service på en printer og
sluttede derfor sin medbragte laptop til printeren.
Herfra slap ormen gennem printeren ind på netværket.

> I bund og grund mener jeg at vi er mere ovre i den fysiske sikkerhed i
> dette tilfælde, og en sikkerhedspolitik kan diktere: "uautoriserede
> maskiner, nej tak".

Det kan den godt, men det er urealistisk. Jeg tror
det vil være mere realistisk, at sikre, at alle
autoriserede maskiner er sat sikkert op.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3FBCC721.BBAFE7A9@daimi.au.dk...
> "Jens U. K." wrote:
> >
> > Jeg har stiltiende forudsat at brugere ikke åbner e-mails med virus.
>
> Den antagelse holder ikke.

Det ved jeg da godt (det var bare for at prøve at holde diskussionen lidt
simpel

>
> > E-mailprogramet er jo patchet, så virus kommer ikke ind uden brugerens
> > hjælp. Hvis virus kommer ind med brugernes hjælp, vil de da altid
udgøre
> > et problem.
>
> Problemet er ikke nær så stort, hvis det interne system
> er sikret, som det ville være, hvis det eneste, der var
> sikkert, var firewallen.

Jeg tror at vi skal have en definitionen for hvad en sikret maskine er og
hvad et sikret internt system er.
Jeg antager nu at det sikre interne system er således sat op at alle
maskiner/brugere har noget der minder om administrator-rettigheder.
Samtidig er alle maskiner sikret, og kører altså kun de mest essentielle
services. For mig at se er det da stadig et problem at en bruger slipper
noget gris løs. F.eks. en ms-word-fil med noget gris, som brugeren ligger
et sted hvor alle kan/vil hente filen fra.

>
> En firewall er en ekstra foranstaltning. Man må aldrig
> sætte en firewall op og så glemme, at sikkerheden bag
> ved firewallen også skal være i orden.

Jeg spørger jo efter argumenter til hvorfor.

> Dit system bag
> ved firewallen skal være så sikkert, at firewallen ikke
> er nødvendig.

Som en anden skriver er det jo en anelse utopisk.

> >
> > > - e-mails, der læses på ikke-forudset vis (diverse webmail systmer)
> >
> > Hvordan det?
> >
> > > - benyttelse af flytbare medier (disketter, CD'er, USB-nøgleringe,
....)
> > > som firewall'en i sagens natur intet ved om
> >
> > Som vel kan bruge de tilgængelige services på en maskine, sikret eller
> > ikke sikret... her er det jo igen brugeren der evt. vil misbruge
systemet.
>
> Det er jo ikke tale om brugere, der vil misbruge
> systemet. Der er blot tale om brugere, der tager en
> "uskyldig" disk med og bruger den på systemet uden at
> være klar over de mulige konsekvenser.

For at holde diskussionen simpel, ville jeg undgå at tale om disse
"uskyldige" tilfælde, for det kan jo ligeså godt have konsekvenser på et
sikret system. (se ovenfor).

> >
> > > - gæster, der har kompromitterede laptops med
> >
> > Her kan jeg klart se problemet med et sårbart internt netværk.
> > Måske man har sørget for noget MAC-filtrering på sine net-enheder, så
der
> > ikke kommer uautoriserede maskiner på nettet eller også har man et
> > sideløbende "ikke-trusted" gæste-netværk som er adskilt fra resten af
det
> > interne net.
>
> Læste du ikke historien om den orm, der kom ind
> gennem en printer (eller noget i den retning)? En
> tekniker skulle udføre service på en printer og
> sluttede derfor sin medbragte laptop til printeren.
> Herfra slap ormen gennem printeren ind på netværket.

Det er godt nok også ude i ekstremerne. Men igen kommer det jo også an på
hvad virussen udnytter af kendte/ikke kendte-sårbarheder og hvilke
privilegier maskinen/brugeren i forvejen har.

> > I bund og grund mener jeg at vi er mere ovre i den fysiske sikkerhed i
> > dette tilfælde, og en sikkerhedspolitik kan diktere: "uautoriserede
> > maskiner, nej tak".
>
> Det kan den godt, men det er urealistisk. Jeg tror

Med mac-filtrering og et parallelt usikkert netværk til ikke-autoriserede
maskiner, som jeg har skrevet tidligere. Er det virkelig urealistisk Ikke
skudsikkert fordi:
- printerservicemanden ville kunne snyde og sætte sin bærbare til
printeren
- brugeren ville kunne tage sin hjemmelaptop med og koble til sin pc
- og mange andre muligheder sikkert.

Men hvis brugerne er gjort klart hvad de må og ikke må, samtidig med at de
enten er samvittighedsfulde eller der er tilpas store sanktionsmuligheder
overfor dem hvis de bryder politikken, bør man ikke skulle bekymre sig om
brugerne. Hvis man stadig skal bekymre sig har virksomheden et andet og
mere essentielt problem. (og dem er der sikkert mange af...).
Hvis netadministratoren samtidig har in mente at gris kan komme ind på
systemet fra de mere perifere enheder (servicering af printere, o.lign.)
kan der formentlig træffes forholdsregler for dette. Evt. firewalls i
mellem de perifere enheder og det interne netværk, selv om det nok også
kan skabe driftsproblemer hvis man ikke ved hvad man gør.

> det vil være mere realistisk, at sikre, at alle
> autoriserede maskiner er sat sikkert op.

Tjah... *mere* sikkert vil det helt klart være.

/Jens Ulrik

---

In article <_Olvb.726$Eo2.468@news.get2net.dk>, Jens U. K. wrote:
>> Læste du ikke historien om den orm, der kom ind
>> gennem en printer (eller noget i den retning)? En

Her kan printer/telefon/lager systemmet, være en "sikker" hardware boks,
der i virkeligheden blot er en upatchet windows maskine.

>> tekniker skulle udføre service på en printer og
>> sluttede derfor sin medbragte laptop til printeren.
>> Herfra slap ormen gennem printeren ind på netværket.
>
> Det er godt nok også ude i ekstremerne. Men igen kommer det jo også an på

Er det ude i ekstremerne at man har en konsulent på besøg, som
sætter sin bærbar på netværket?

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbrsgfi.niv.chel@weebo.dmz.spindelnet.dk...
> In article <_Olvb.726$Eo2.468@news.get2net.dk>, Jens U. K. wrote:
> >> Læste du ikke historien om den orm, der kom ind
> >> gennem en printer (eller noget i den retning)? En
>
> Her kan printer/telefon/lager systemmet, være en "sikker" hardware boks,
> der i virkeligheden blot er en upatchet windows maskine.
>

Og hvis det er sådan burde man nok begrænse denne enheds adgang til det
interne netværk. F.eks. med en firewall.

> >> tekniker skulle udføre service på en printer og
> >> sluttede derfor sin medbragte laptop til printeren.
> >> Herfra slap ormen gennem printeren ind på netværket.
> >
> > Det er godt nok også ude i ekstremerne. Men igen kommer det jo også an
på
>
> Er det ude i ekstremerne at man har en konsulent på besøg, som
> sætter sin bærbar på netværket?

Det var jo ikke det jeg skrev. Jeg skrev at det var ude i ekstremerne at en
konsulent sætter sin bærbare til en printer og at printeren blicer inficeret
og derefter spreder sig over netværket.
Men derudover kommer det vel an på sikkerhedspolitikken om man vil lade en
mere eller mindre tilfældig person koble sig på det interne netværk. Selvom
jeg havde mit interne system rigtigt godt sikret, ville jeg have det dårligt
ved at lade det ske. Jeg ville nok foretrække at lade adgangen ske gennem en
til den type lejligheder opsat firewall.

/Jens Ulrik

---

Den Fri, 21 Nov 2003 18:35:46 +0100 skrev Jens U. K.:
>
>"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
>news:slrnbrsgfi.niv.chel@weebo.dmz.spindelnet.dk...
>> In article <_Olvb.726$Eo2.468@news.get2net.dk>, Jens U. K. wrote:
>> >
>> > Det er godt nok også ude i ekstremerne. Men igen kommer det jo også an
>på
>>
>> Er det ude i ekstremerne at man har en konsulent på besøg, som
>> sætter sin bærbar på netværket?
>
>Det var jo ikke det jeg skrev. Jeg skrev at det var ude i ekstremerne at en
>konsulent sætter sin bærbare til en printer og at printeren blicer inficeret
>og derefter spreder sig over netværket.

Som jeg læste det, var det ikke printeren der blev inficeret, men den
indbyggede printserver havde to netstik, som meget belejligt var
forbundet intern som en hub.

Teknikeren proppede sin bærbare i det ledige netstik.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

In article <3fbe4cdb$0$29312$edfadb0f@dread15.news.tele.dk>, Jens U. K. wrote:
>> Her kan printer/telefon/lager systemmet, være en "sikker" hardware boks,
>> der i virkeligheden blot er en upatchet windows maskine.

> Og hvis det er sådan burde man nok begrænse denne enheds adgang til det
> interne netværk. F.eks. med en firewall.

Det er sådan, man tænker blot ikke over det.

>> Er det ude i ekstremerne at man har en konsulent på besøg, som
>> sætter sin bærbar på netværket?

> Det var jo ikke det jeg skrev. Jeg skrev at det var ude i ekstremerne at en
> konsulent sætter sin bærbare til en printer og at printeren blicer inficeret
> og derefter spreder sig over netværket.

Jeg gætter på printeren har kørt et operativ system som enten har været sårbart,
fx en windows NT uden service packs, eller også at printeren har haft routning
slået til, så teknikkeren reelt har siddet på det interne netværk.

> Men derudover kommer det vel an på sikkerhedspolitikken om man vil lade en
> mere eller mindre tilfældig person koble sig på det interne netværk. Selvom
> jeg havde mit interne system rigtigt godt sikret, ville jeg have det dårligt
> ved at lade det ske. Jeg ville nok foretrække at lade adgangen ske gennem en
> til den type lejligheder opsat firewall.

Hvilken type adgang mener du?

Jeg forstiller mig man har en enhed som en teknikker skal servicere, evt.
pga. et drift stop.

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbrsl73.dgj.chel@weebo.dmz.spindelnet.dk...
> In article <3fbe4cdb$0$29312$edfadb0f@dread15.news.tele.dk>, Jens U. K.
wrote:
[...]
> > Men derudover kommer det vel an på sikkerhedspolitikken om man vil
lade en
> > mere eller mindre tilfældig person koble sig på det interne netværk.
Selvom
> > jeg havde mit interne system rigtigt godt sikret, ville jeg have det
dårligt
> > ved at lade det ske. Jeg ville nok foretrække at lade adgangen ske
gennem en
> > til den type lejligheder opsat firewall.
>
> Hvilken type adgang mener du?

Intern net-adgang.

> Jeg forstiller mig man har en enhed som en teknikker skal servicere,
evt.
> pga. et drift stop.

Firewallen sættes sådan op så der kun er adgang til de maskiner og
services der er nødvendige for teknikerens laptop. Firewallen sættes i et
tilgængeligt netværksstik, og konsulentens laptop sættes i firewallen. Det
må da alt andet lige begrænse en evt. kompromiteret laptops muligheder for
at smitte/angribe det interne net.

/Jens Ulrik

---

In article <1J_wb.3618$bi.1476@news.get2net.dk>, Jens U. K. wrote:
>> Jeg forstiller mig man har en enhed som en teknikker skal servicere,
> evt.
>> pga. et drift stop.
>
> Firewallen sættes sådan op så der kun er adgang til de maskiner og
> services der er nødvendige for teknikerens laptop. Firewallen sættes i et
> tilgængeligt netværksstik, og konsulentens laptop sættes i firewallen. Det
> må da alt andet lige begrænse en evt. kompromiteret laptops muligheder for
> at smitte/angribe det interne net.

Få en tilfældig teknikker til at forklarer dig hvilke
protokoller han har brug for adgang til.

Med vores telefonsystem tog det 2 uger, og det passede ikke.

--

Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbsfd7g.5gv.chel@weebo.dmz.spindelnet.dk...
[...]
> Få en tilfældig teknikker til at forklarer dig hvilke
> protokoller han har brug for adgang til.

Det burde han (m/k) imho vide.

> Med vores telefonsystem tog det 2 uger, og det passede ikke.

Og det går jeg ud fra at vi er enige om er for ringe, men desværre heller
ikke unormalt.
Ærligt talt så burde en tekniker hurtigt kunne finde ud af den slags, hvis
han bliver bedt om det.
Måske burde det være et lovkrav at udsendte teknikere havde bestået en basal
sikkerhedseksamen, eller i det mindste at der var en funktion i deres firma,
som kunne svare på hurtigt og sikkert på den slags spørgsmål. Alternativt
kunne der måske eksistere en certificering, men i yderste konsekvens burde
kendskab til sikkerhed være en måde for firmaet at få goodwill på.

/Jens Ulrik

---

In article <3fc8835e$0$29319$edfadb0f@dread15.news.tele.dk>, Jens U. K. wrote:
> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
> news:slrnbsfd7g.5gv.chel@weebo.dmz.spindelnet.dk...
> [...]
>> Få en tilfældig teknikker til at forklarer dig hvilke
>> protokoller han har brug for adgang til.
>
> Det burde han (m/k) imho vide.

Han er typisk teknikker på en printer, telefonsystem, et
kranlager system. Han er ikke netværksmand, har ingen viden
om Ethernet, IP, TCP, sockets, etcetera.

> sikkerhedseksamen, eller i det mindste at der var en funktion i deres firma,
> som kunne svare på hurtigt og sikkert på den slags spørgsmål. Alternativt

Dette var ikke tilfældet med vores telefonleverandør, som ikke er af en af
de mindste.


--

Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Jens U. K. skrev:

> Jeg skrev at det var ude i ekstremerne at en konsulent sætter sin
> bærbare til en printer

Hvordan vil du ellers have at han skal opgradere diverse software som
bruges til at styre diverse funktioner i printeren?

Hos os sker det ganske ofte, som en del af serviceaftalen vi har på
vores store netværksprintere/ kopimaskiner. Pt. bruger vi Canon, tid-
ligere brugte vi OCE som vi havde samme aftale med (endnu tidligere var
det vistnok Xerox, hvis ikke de kaldte sig selv Rank Xerox dengang).

---

On 21 Nov 2003 16:48:48 GMT, "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

> Er det ude i ekstremerne at man har en konsulent på besøg, som
> sætter sin bærbar på netværket?

Nej, men det er da også efterhånden normalt, at man ikke får lov.
Det må du da selv have oplevet?

-A
--
http://www.hojmark.org/

---

In article <ijmvrv4esd2caoqqto6j7fuuqtukmec0ol@news.cybercity.dk>, Asbjorn Hojmark wrote:
>> Er det ude i ekstremerne at man har en konsulent på besøg, som
>> sætter sin bærbar på netværket?
>
> Nej, men det er da også efterhånden normalt, at man ikke får lov.
> Det må du da selv have oplevet?

Jeg sidder på den anden side af bordet i dag.

Men, da jeg arbejdede som konsulent var der 2 kunder der
helt klart havde regler på området det forbød mig at
koble mig på deres netværk. Den ene en bank, og den
anden har jeg "ikke" været hos.


Idag hvor situationen er omvendt, har jeg anskaffet en ADSL
forbindelse som bla. vores konsulenter får lov at sidde på
hvis de skal have forbindelse til deres eget netværk.


Skal de have adgang til vores netværk for at vedligeholde en
kran, printer, router eller en server, er det en nødvendighed at
de sætter en bærbar på vores interne net.

At det så kan være et problem, er noget vi arbejder på, bla.
ved at segmentere vores forretningssystemmer.

---

"Christian E. Lysel" wrote:
>
> Idag hvor situationen er omvendt, har jeg anskaffet en ADSL
> forbindelse som bla. vores konsulenter får lov at sidde på
> hvis de skal have forbindelse til deres eget netværk.

Har virksomheden ikke allerede en netværksforbindelse?
Ville det være noget problem at lade en tilfældig
bærbar blive koblet på denne netværksforbindelse lige
udenfor firewallen eller evt. på en DMZ zone?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <3FC09A3F.DA2E5F8F@daimi.au.dk>, Kasper Dupont wrote:
> "Christian E. Lysel" wrote:
>>
>> Idag hvor situationen er omvendt, har jeg anskaffet en ADSL
>> forbindelse som bla. vores konsulenter får lov at sidde på
>> hvis de skal have forbindelse til deres eget netværk.
>
> Har virksomheden ikke allerede en netværksforbindelse?

Jo, vi har et par stykker.

> Ville det være noget problem at lade en tilfældig
> bærbar blive koblet på denne netværksforbindelse lige
> udenfor firewallen eller evt. på en DMZ zone?

Det vil være et problem da konsulenten så skal sidde i en
kælder på en helt anden adresse end hvor vi sidder.

En test ADSL forbindelse er også god at have liggende når man
skal lokalisere evt. problemmer med ens primærer ISP, vil
fortage en ekstern audit eller skal teste et VPN miljø.

Har en af de bærbare brugere problemmer med deres VPN klient, kan
man også lige smide den på ADSL forbindelsen og teste.

---

"Christian E. Lysel" wrote:
>
> Det vil være et problem da konsulenten så skal sidde i en
> kælder på en helt anden adresse end hvor vi sidder.

Det kunne løses med en tunnel. F.eks. IPinIP, GRE, VLAN,
eller VPN.

>
> En test ADSL forbindelse er også god at have liggende når man
> skal lokalisere evt. problemmer med ens primærer ISP, vil
> fortage en ekstern audit eller skal teste et VPN miljø.

Fejlsøgning af problemer hos ISP kan jeg da godt se, men
det skal vist være en stor virksomhed før det kan betale
sig at have en ADSL forbindelse til det formål. De andre
ting kræver vel blot en tilslutning udenfor firewallen,
en seperat ADSL forbindelse burde ikke være nødvendig.

>
> Har en af de bærbare brugere problemmer med deres VPN klient, kan
> man også lige smide den på ADSL forbindelsen og teste.

Igen burde en tilslutning udenfor firewallen være nok.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <3FC0F15D.E9D0F434@daimi.au.dk>, Kasper Dupont wrote:
>> Det vil være et problem da konsulenten så skal sidde i en
>> kælder på en helt anden adresse end hvor vi sidder.
>
> Det kunne løses med en tunnel. F.eks. IPinIP, GRE, VLAN,
> eller VPN.

På det punkt fortrækker jeg en fysisk adskillelse.

En tunnel alene forhindre ikke adgang til det lokale
net. Lokal trafik udover tunnelen skal også filteres.

> Fejlsøgning af problemer hos ISP kan jeg da godt se, men
> det skal vist være en stor virksomhed før det kan betale
> sig at have en ADSL forbindelse til det formål. De andre

Hvad koster en ADSL forbindelse om måneden?

Sammenlignet med nogle af de andre forbindelser er det en
dråbe i havet.


Den omtalte ADSL forbindelse koster 600 Kr/måned.
Hvad koster det at en ansat skal ud og kører i en
bil for at komme forbi den nærmeste forbindelse?


Jeg har altid anbefaldet mine kunder når vi lavede VPN,
at de anskaffer sig en ADSL forbindelse.

Ligesom vi også har en analog telefonline og ISDN linie, for
at teste opsætningen af nyt udstyr. Det er kedeligt
at sende en ISDN router ud, der er sat op til det
franske ISDN net.

> ting kræver vel blot en tilslutning udenfor firewallen,
> en seperat ADSL forbindelse burde ikke være nødvendig.

For at komme til den nærmeste internet forbindelse skal
jeg finde nøgler og adgangskort, finde ud af om alarm er sat
til på lokationen, finde en ledig bil, kører 15 min., låse mig
ind, arbejde i et larmende serverrum, låse efter mig, kører
tilbage 15 min, aflevere bilen, aflevere nøgler og adgangskort.

Det løber hurtigt op i mere end 600 Kr om måneden.

>> Har en af de bærbare brugere problemmer med deres VPN klient, kan
>> man også lige smide den på ADSL forbindelsen og teste.
> Igen burde en tilslutning udenfor firewallen være nok.

Det kræver igen, jeg køre.

---

"Christian E. Lysel" wrote:
>
> For at komme til den nærmeste internet forbindelse skal
> jeg finde nøgler og adgangskort, finde ud af om alarm er sat
> til på lokationen, finde en ledig bil, kører 15 min., låse mig
> ind, arbejde i et larmende serverrum, låse efter mig, kører
> tilbage 15 min, aflevere bilen, aflevere nøgler og adgangskort.

Din netforbindelse til ydersiden af firewallen skal naturligvis
være placeret fysisk samme sted som du ellers har din ADSL linie.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <3FC10606.559810CA@daimi.au.dk>, Kasper Dupont wrote:
> Din netforbindelse til ydersiden af firewallen skal naturligvis
> være placeret fysisk samme sted som du ellers har din ADSL linie.

Hvorfor? I mit tilfælde har vi en radio kæde, som forbinder to
lokationer.

Den anden lokalition kan få en 4Mb forbindelse til næsten igen
penge, da den er i nærheden af en stor telefoncentral, med
mange ISP'er.

---

"Christian E. Lysel" wrote:
>
> In article <3FC10606.559810CA@daimi.au.dk>, Kasper Dupont wrote:
> > Din netforbindelse til ydersiden af firewallen skal naturligvis
> > være placeret fysisk samme sted som du ellers har din ADSL linie.
>
> Hvorfor? I mit tilfælde har vi en radio kæde, som forbinder to
> lokationer.
>
> Den anden lokalition kan få en 4Mb forbindelse til næsten igen
> penge, da den er i nærheden af en stor telefoncentral, med
> mange ISP'er.

Så mener jeg den optimale løsning burde være, at du udnytter
den allerede eksisterende radio kæde til at få den forbindelse
du har brug for mellem der hvor du sidder, og så ydersiden af
din firewall. Da det næppe kan betale sig at etablere en
seperat fysisk radio kæde får du brug for en eller anden form
for tunnel. Men det er vel allerede VPN trafik du kører over
radiokæden, så jeg kan ikke lige gennemskue, hvorfor der skulle
være nogen forhindring for at få forbindelse via radiokæden til
ydersiden af firewallen.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <3FC11874.88AEA281@daimi.au.dk>, Kasper Dupont wrote:
> Så mener jeg den optimale løsning burde være, at du udnytter
> den allerede eksisterende radio kæde til at få den forbindelse
> du har brug for mellem der hvor du sidder, og så ydersiden af
> din firewall. Da det næppe kan betale sig at etablere en

Du forslår jeg sætte en firewall (firewall A) op hvor jeg sidder.
Det interne netkort forbindelse til konsulents PC,
dette fx være 192.168.1.0/24.

Det eksterne netkort tilsluttes lokalnettet, og firewallen må ikke
transportere trafik imellem de to netkort.


Derefter skal den konfigures til at kører VPN op imod
"Internet firewallen" (firewall B). Det interne net
kalder vi 172.16.0.0/16 (i virkeligheden er der mange
flere intere net, inkl. "ikke-rfc1918" adresser).

Tunnel skal transportere trafik imellem 0.0.0.0/0 og
192.168.1.0/24, undtagen dog 172.16.0.0/16.


Hvordan definere man det i en tilfældig producents firewall?

Nogle firewalls kan ikke håndtere 0.0.0.0/0 i deres
tunnel konfiguration!

IPSEC standarden ligger ikke op til at man i IKE fase 2,
udveksler undtagelser.

Så vidt jeg husker valgte Checkpoint i gamle dage, at nøjes med
at udvekslede host entities, selvom man definerede netværk.
Dette kan en måde at undgå behovet for bruge undtagelser, det
krævede dog man havde den samme producent i begge ender
(hvilket vil gøre løsningen dyr)

Stonegate understøtter stadigvæk dette (SA knyttet til host adresser),
hvis man konfigurer den til det.
(SA knyttet til porte er også muligt)


Det mest oplagte er at bruge IP filter på VPN interfacet på
firewall B, der forhindre adgang til 172.16.0.0/16. Dette
skal selvfølgeligt holdes ved lige når man udvider adresserummet
for sit LAN.
Evt. kan man også bruge netkort i definitionen af filteret
(hvis det er understøttet).

Klienten skal nu have sin adresse oversat til en ekstern adresse,
ellers kan Internet ikke route tilbage til konsulenten.
Nu er forbindelsen ikke længere brugbar til at teste fx VPN.


I den firewall vi bruger kan man godt lave en konfiguration der
implementere ovenstående, men der findes flere firewalls
på markedet der ikke kan.



Jeg vil stadigvæk fortrække at købe en ADSL til 600 Kr,
sandsynligheden for fejl er meget lille da det er to
forskellige segmenter.
Udgiften til en ADSL er meget lille i forhold vores
udgifter på Internet linier.

I øvrigt kan man også bruge den til andre ting, fx er det en stor
hjælp når man skifter ISP, eller hvis man holdet et netparty på
arbejdet. Vores tanke er da også at kunne bruge den som
failover når vores primærer Internet forbindelse går ned.

---

Christian E. Lysel <news.sunsite.dk@spindelnet.dk> wrote:
> I øvrigt kan man også bruge den til andre ting, fx er det en stor
> hjælp når man skifter ISP, eller hvis man holdet et netparty på
> arbejdet. Vores tanke er da også at kunne bruge den som
> failover når vores primærer Internet forbindelse går ned.

Det var mange ting du ville bruge een forbindelse til. Tidligere naevnte
du den skulle bruges til test, til externe audits (hvilket vel falder
under 'produktion') og nu fail-over.

Jeg ville vaere meget forsigtig med at blande den slags sammen.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

In article <6vm791-2ha.ln1@miracle.mongers.org>, Alex Holst wrote:
> Det var mange ting du ville bruge een forbindelse til. Tidligere naevnte
> du den skulle bruges til test, til externe audits (hvilket vel falder

Man tager og sætte en maskine til, under auditeringen, når man er færdig
tager man den af igen.

> under 'produktion') og nu fail-over.

fail-over, er fremtidsmusik...men når vi kommer dertil, køber
vi en selvstændig DSL forbindelse.

I dag bruger vi den primært ved fejl situationer på den primærer forbindelse
til administration af andre systemmer, fx andre firewalls. Dette er praktisk
når man flytter ISP.

> Jeg ville vaere meget forsigtig med at blande den slags sammen.

Ja.

---

"Christian E. Lysel" wrote:
>
> In article <3FC11874.88AEA281@daimi.au.dk>, Kasper Dupont wrote:
> > Så mener jeg den optimale løsning burde være, at du udnytter
> > den allerede eksisterende radio kæde til at få den forbindelse
> > du har brug for mellem der hvor du sidder, og så ydersiden af
> > din firewall. Da det næppe kan betale sig at etablere en
>
> Du forslår jeg sætte en firewall (firewall A) op hvor jeg sidder.
> Det interne netkort forbindelse til konsulents PC,
> dette fx være 192.168.1.0/24.
>
> Det eksterne netkort tilsluttes lokalnettet, og firewallen må ikke
> transportere trafik imellem de to netkort.

Nej, nærmere noget i retning af at køre VPN mellem de to
lokationer og sætte konsulentens PC udenfor VPN udstyret
med direkte adgang til forbindelsen til din anden
lokation.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <3FC1B5A9.2427F360@daimi.au.dk>, Kasper Dupont wrote:
> Nej, nærmere noget i retning af at køre VPN mellem de to

VPN funktionaliteten sker i radiokæde udstyret.

> lokationer og sætte konsulentens PC udenfor VPN udstyret
> med direkte adgang til forbindelsen til din anden
> lokation.

Ok, dvs. omvendt af hvad jeg beskrev.

Hermed sidder internet vel direkte på vores radiokæde, og
kan æde af båndbredden.

---

"Christian E. Lysel" wrote:
>
> In article <3FC1B5A9.2427F360@daimi.au.dk>, Kasper Dupont wrote:
> > Nej, nærmere noget i retning af at køre VPN mellem de to
>
> VPN funktionaliteten sker i radiokæde udstyret.

OK, så kan min løsning ikke umiddelbart lade sig gøre.
Jeg forudsatte, at man kunne slippe udenom VPN og
bruge det fysiske link direkte.

>
> > lokationer og sætte konsulentens PC udenfor VPN udstyret
> > med direkte adgang til forbindelsen til din anden
> > lokation.
>
> Ok, dvs. omvendt af hvad jeg beskrev.
>
> Hermed sidder internet vel direkte på vores radiokæde, og
> kan æde af båndbredden.

Har radiokæden ikke større båndbredde end jeres
eksterne forbindelse? Under alle omstændigheder
ville det problem kunne løses med passende
filtrering der hvor radiokæde, VPN, og internet
forbindelse kobles sammen. Men da du ikke kan
komme ind mellem VPN og den fysiske
radioforbindelse falder løsningen alligevel til
jorden.

Det er selvfølgelig stadig muligt at lave en
tunnel over radiokæden, men det kræver noget
udstyr i hver ende. Det er en simpel opgave, da
du ikke har brug for nogen VPN funktionalitet
til tunnelen.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

On Thu, 20 Nov 2003 14:32:16 +0100, Jens U. K. wrote:

>> - e-mails med helt nye virus, som AV endnu ikke kender
>
> Jeg har stiltiende forudsat at brugere ikke åbner e-mails med virus.
> E-mailprogramet er jo patchet, så virus kommer ikke ind uden brugerens
> hjælp. Hvis virus kommer ind med brugernes hjælp, vil de da altid udgøre
> et problem.

Hvis du fejler mht. opdatering af noget software og/eller dine brugere
ikke opfylder din forudsætning, så er det noget møg, hvis dit LAN
generelt mangler robusthed.

>> - e-mails, der læses på ikke-forudset vis (diverse webmail systmer)
>
> Hvordan det?

Der findes alverdens web-mail systemer, hvorigennem folk kan læse post
uden at bruge det alm. e-mail program. Altså skal dine browsere også
vedligeholdes.

>> - benyttelse af flytbare medier (disketter, CD'er, USB-nøgleringe,
>> ...)
>> som firewall'en i sagens natur intet ved om
>
> Som vel kan bruge de tilgængelige services på en maskine, sikret eller
> ikke sikret... her er det jo igen brugeren der evt. vil misbruge
> systemet.

Ja, men igen: Én sløset bruger kan gøre betydelig mere skade på et
netværk, der primært er beskyttet af en firewall, end han/hun kan på et
netværk, hvor hver enkelt maskine også sikkerhedsvedligeholdes.


Du vil holde Internet-relateret software up-to-date, skrev du. Men hvis du
alligevel skal opbygge et opdateringsberedskab mht. e-mail, browser, osv.,
er du så ikke allerede så godt igang med folks computere, at alm.
sikring af maskinerne ikke vil udgøre en mærkbar ekstra-indsats?

Alternativt: Hvis I synes, det er en pine at skulle vedligeholde
arbejdsstationer (hvilket jeg godt kan forstå), hvad så med en løsning
med "tynde klienter"?

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

"Troels Arvin" <troels@arvin.dk> wrote in message
news:pan.2003.11.20.13.56.54.224623@arvin.dk...
> On Thu, 20 Nov 2003 14:32:16 +0100, Jens U. K. wrote:
>
> >> - e-mails med helt nye virus, som AV endnu ikke kender
> >
> > Jeg har stiltiende forudsat at brugere ikke åbner e-mails med virus.
> > E-mailprogramet er jo patchet, så virus kommer ikke ind uden brugerens
> > hjælp. Hvis virus kommer ind med brugernes hjælp, vil de da altid
udgøre
> > et problem.
>
> Hvis du fejler mht. opdatering af noget software og/eller dine brugere

Ikke mere end hvis man fejler ifm sine "sikre maskiner"

> ikke opfylder din forudsætning, så er det noget møg, hvis dit LAN
> generelt mangler robusthed.

Måske. Hvis en bruger på ukendt vis (evt. ved at eksekvere et program)
sletter/ændrer alle filer maskinen kan komme i nærheden af på det interne
netværk, er det vel ligegyldigt om maskinerne er "sikret". Undtagelsen er
selvfølgelig at den kompromiterede maskinene udnytter en sårbarhed til at
få flere rettigheder end den burde og her den manglende "sikring" et
problem.

[...]
> uden at bruge det alm. e-mail program. Altså skal dine browsere også
> vedligeholdes.

Det havde jeg jo også forudsat.

>
> >> - benyttelse af flytbare medier (disketter, CD'er, USB-nøgleringe,
> >> ...)
> >> som firewall'en i sagens natur intet ved om
> >
> > Som vel kan bruge de tilgængelige services på en maskine, sikret eller
> > ikke sikret... her er det jo igen brugeren der evt. vil misbruge
> > systemet.
>
> Ja, men igen: Én sløset bruger kan gøre betydelig mere skade på et
> netværk, der primært er beskyttet af en firewall, end han/hun kan på et
> netværk, hvor hver enkelt maskine også sikkerhedsvedligeholdes.

Jeg er overordnet enig, men det kommer an på setup'et i netværket. Hvis
brugerne generelt har mange rettigheder, betyder det nok ikke så meget.
Igen er undtagelsen en udnyttelse af en "priviledge escalation sårbarhed".

>
> Du vil holde Internet-relateret software up-to-date, skrev du. Men hvis
du
> alligevel skal opbygge et opdateringsberedskab mht. e-mail, browser,
osv.,
> er du så ikke allerede så godt igang med folks computere, at alm.
> sikring af maskinerne ikke vil udgøre en mærkbar ekstra-indsats?

Det er jo overordnet mit spørgsmål, er det nødvendigt? Hvis firewallen
"virker", folk opfører sig "ordentligt" og man har et skilt der siger:
"Ingen gris-maskiner på vores net, tak", så er svaret vel nej.

/Jens Ulrik

---

Jens U. K. skrev:

> "Troels Arvin" wrote
>> Du vil holde Internet-relateret software up-to-date, skrev du. Men
>> hvis du alligevel skal opbygge et opdateringsberedskab mht. e-mail,
>> browser, osv., er du så ikke allerede så godt igang med folks
>> computere, at alm. sikring af maskinerne ikke vil udgøre en mærkbar
>> ekstra-indsats?

> Det er jo overordnet mit spørgsmål, er det nødvendigt?

Ja, det mener jeg. På samme måde som det er nødvendigt at din bil el-
ler dit oliefyr kommer til jævnlige serviceeftersyn.

Læs eventuelt denne rapport fra United States General Accounting
Office om nødvendigheden af patchmanagement (og deraf nødvendigheden
af at opdatere sine maskiner):

http://www.gao.gov/new.items/d031138t.pdf

> Hvis firewallen "virker", folk opfører sig "ordentligt" og man har et
> skilt der siger: "Ingen gris-maskiner på vores net, tak", så er
> svaret vel nej.

Nej, for folk opfører sig ikke ordentligt.

Hvilket problem forsøger du at løse ved at undlade at opdatere maski-
nerne?

Hvis det er rent økonomiske overvejelser i forbindelse med anskaffelse
af patch-management-værktøjer kan du blot bruge de ting som dine leve-
randører stiller til rådighed (hvis de gør det?). IBM sender f.eks. en
nedskaleret udgave af Tivoli gratis med deres server (IBM Director),
andre leverandører gør noget tilsvarende.

Hvis du kører en ren Microsoft shop, kan du blot bruge de gratis mulig-
heder som Microsoft stiller til rådighed. Startende med deployment, så
er det nemt nok at have sikre maskiner, da stort set hele opsætningen
kan automatiseres ved hjælp af RIS (Remote Installation Services):

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ittasks/deploy/Default.asp

I kan eventuelt opsætte maskinerne med de templates som NSA har udar-
bejdet:

http://nsa2.www.conxion.com/

Hvis i bruger Windows Server 2003, er der kommet en række nye rare ting
i RIS. Man kan f.eks. opsætte det, så en maskine kan komme i luften på
ca. 5-10 minutter fra en tom harddisk (ja, det tager jo nok lidt læn-
gere tid på et produktionsnetværk, men det så godt ud da det blev de-
monstreret, vi kunne ikke engang nå at ryge en smøg førend maskinen
var klar til at komme på netværket).

Microsoft SUS (Software Update Services) anvendes til at opdatere mas-
kinerne og det kan sættes op til at fungere automatisk, efter en person
på serveren har godkendt hvilke rettelser maskinerne skal have adgang
til (man kan også sætte den til at rulle alle opdateringer ud uden god-
kendelse, men det mener jeg er hul i hovedet).

Fra starten af næste år, bliver Microsoft SUS opdateret til at kunne
distribuere patches til al software fra Microsoft, der kommer endelig
også muligheder for at lave rapporter, så man kan bevise overfor sin
ledelse hvad man gør for at holde maskinparken i form (tidligere skulle
man fedte med at rapportere ud fra IIS logfiler).

Tag eventuelt på et af de gratis seminarer Microsoft betaler eksterne
virksomheder for at afholde:

http://msevents-eu.microsoft.com/cui/search.aspx?culture=da-DK

Master Class Windows XP er rimeligt godt, selvom der godt kunne være
mere langhåret teknik.

Microsoft Executive Circle skulle også være godt, selvom de er korte,
jeg har ikke kunnet finde tid til at tage en tur til Københavnstrup til
et 3 timers møde.

---

On Thu, 20 Nov 2003 13:19:18 +0100, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
> Er der nogen der kan argumentere for hvorfor man bør bruge tid på at
> lukke/sikre samtlige services i et OS på hver eneste maskine i et netværk
> med Internetadgang, fremfor at spærre for al ikke-indefra-startet
> udefrakommende traffik i en firewall og sørge for jævnligt at patche
> firewallen samt de specifikke programmer på maskinerne der gør brug af
> Internettet.

Det som jeg ser som et problem her er at du ikke skal opfatte firewallen
som givende dig sikkerhed. Den giver dig en pakkenormalisering paa det
interne netvaerk du saa efterfoelgende kan benytte til at afgoere ting med.


--
Jesper

---

"Jesper Louis Andersen" <jlouis@pc-063.diku.dk> wrote in message
news:slrnbrpn7f.550.jlouis@pc-063.diku.dk...
> On Thu, 20 Nov 2003 13:19:18 +0100, Jens U. K. <1jk2@3bsopatent4.dk>
wrote:
> > Er der nogen der kan argumentere for hvorfor man bør bruge tid på at
> > lukke/sikre samtlige services i et OS på hver eneste maskine i et
netværk
> > med Internetadgang, fremfor at spærre for al ikke-indefra-startet
> > udefrakommende traffik i en firewall og sørge for jævnligt at patche
> > firewallen samt de specifikke programmer på maskinerne der gør brug af
> > Internettet.
>
> Det som jeg ser som et problem her er at du ikke skal opfatte firewallen
> som givende dig sikkerhed. Den giver dig en pakkenormalisering paa det
> interne netvaerk du saa efterfoelgende kan benytte til at afgoere ting
med.

Jeg kan ikke helt gennemskue hvad du mener. Er det noget med bevisførelse?
Hvis en firewall fjerner usikkerheder ved at normalisere noget traffik, så
sikrer den vel tilsvarende.
Sådan som jeg ser det må det da komme an på sikkerhedspolitikken. Hvis den
fysiske sikkerhed er i orden, er der den "elektroniske" tilbage. Jeg
antager at den eneste mulighed for at der komme gris ind på netværket er
via Internetforbindelsen. Altså sættes der en firewall op til at filtrere
traffik i henhold til sikkerhedspolitikken. Altså sikrer firewallen
netværket.

/Jens Ulrik

---

In article <aj2vb.1249$AA5.341@news.get2net.dk>, Jens U. K. wrote:
> Er der nogen der kan argumentere for hvorfor man bør bruge tid på at
> lukke/sikre samtlige services i et OS på hver eneste maskine i et netværk

Du sparer RAM, maskinerne kører/booter hurtigere og mere stabilt. Du kan
sove mere roligt om natten.

> med Internetadgang, fremfor at spærre for al ikke-indefra-startet

De sikkerhedsmæssige aspekter har andre gennemgået...

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbrpq6e.jpb.chel@weebo.dmz.spindelnet.dk...
> In article <aj2vb.1249$AA5.341@news.get2net.dk>, Jens U. K. wrote:
> > Er der nogen der kan argumentere for hvorfor man bør bruge tid på at
> > lukke/sikre samtlige services i et OS på hver eneste maskine i et
netværk
>
> Du sparer RAM, maskinerne kører/booter hurtigere og mere stabilt. Du kan

Se det var et godt argument. Det har dog intet med de sikkerhedsmæssige
aspekter at gøre.

> sove mere roligt om natten.

Man kan sove når man bliver gammel, men rolig om natten er jeg da normalt.

> > med Internetadgang, fremfor at spærre for al ikke-indefra-startet
>
> De sikkerhedsmæssige aspekter har andre gennemgået...

Der er da kommet lidt på bordet, som man siger.

/Jens Ulrik

---

In article <32mvb.870$vy2.200@news.get2net.dk>, Jens U. K. wrote:
>> Du sparer RAM, maskinerne kører/booter hurtigere og mere stabilt. Du kan
>
> Se det var et godt argument. Det har dog intet med de sikkerhedsmæssige
> aspekter at gøre.

Drift sikkerhed?

>> De sikkerhedsmæssige aspekter har andre gennemgået...
>
> Der er da kommet lidt på bordet, som man siger.

Som jeg ser det, mener du at dit interne netværk er sikret, fordi
der ikke er direkte adgang fra Internet?

Men hvis jeg fik et job hos dit rengøringspersonale, hvilke
mekanismer ville beskyttet din interne netværk imod mig, da
har hele natten foran mig?
Vi kan evt. antage at servere og netværksudstyr er ude for min rækkevide,
men at jeg har fysisk adgang til klienterne, herfra kan jeg
angribe serverne eller installere en troj på en klient.

Hvor svært er det at blive ansat i et rengøringsfirma?

Hvor svært er det at angribe via Internet?

---

"Christian E. Lysel" wrote:
>
> Hvor svært er det at blive ansat i et rengøringsfirma?

Rengøringsfirmaerne må hellere holde op med at ansatte
folk med kendskab til computere.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbrsh12.niv.chel@weebo.dmz.spindelnet.dk...
> In article <32mvb.870$vy2.200@news.get2net.dk>, Jens U. K. wrote:
> >> Du sparer RAM, maskinerne kører/booter hurtigere og mere stabilt. Du
kan
> >
> > Se det var et godt argument. Det har dog intet med de
sikkerhedsmæssige
> > aspekter at gøre.
>
> Drift sikkerhed?

Godt ord igen. Nu tænkte jeg specifikt på "inbrudssikkerhed", men du har
ret. Driftsikkerheden er ikke at kimse af.

> >> De sikkerhedsmæssige aspekter har andre gennemgået...
> >
> > Der er da kommet lidt på bordet, som man siger.
>
> Som jeg ser det, mener du at dit interne netværk er sikret, fordi
> der ikke er direkte adgang fra Internet?

Nej, det mener jeg ikke. Jeg er bare interesseret i hvad der er af
argumenter for OS-sikring kontra firewall og deraf kun sikring af de
"udstillede" services. Jeg vil mene at et netværk der er "sikkert nok" vil
gøre det.

> Men hvis jeg fik et job hos dit rengøringspersonale, hvilke
> mekanismer ville beskyttet din interne netværk imod mig, da
> har hele natten foran mig?

De samme som på "dit" netværk?

> Vi kan evt. antage at servere og netværksudstyr er ude for min
rækkevide,
> men at jeg har fysisk adgang til klienterne, herfra kan jeg
> angribe serverne eller installere en troj på en klient.

Hvis der er fysisk adgang, er det da umuligt at kompromitere en klient på
dit netværk?
Hvis nej, så kan et "rengøringsfirma" sikkert nå at kompromitere mange
klienter på en nat og den efterfølgende nat, osv. Så jeg kan ikke se den
store forskel på sikkerheden i os-sikret kontra firewall, når først der er
fysisk adgang.
Eneste "store" undtagelse er at serverne vil være lettere at angribe i et
ikke-sikret netværk, men når først der er fysisk adgang til klienterne og
de kan kompromiteres, så er det nok heller ikke så svært at få adgang til
serverne i den sidste ende.
Bliver der forresten ikke gjort rent i dit serverrum?

>
> Hvor svært er det at blive ansat i et rengøringsfirma?

Jeg skulle nok stramme mig an ved optagelsesprøven

> Hvor svært er det at angribe via Internet?

Svært nok?

/Jens Ulrik

---

In article <bv_wb.3506$hT7.15@news.get2net.dk>, Jens U. K. wrote:
>> Som jeg ser det, mener du at dit interne netværk er sikret, fordi
>> der ikke er direkte adgang fra Internet?
>
> Nej, det mener jeg ikke. Jeg er bare interesseret i hvad der er af
> argumenter for OS-sikring kontra firewall og deraf kun sikring af de
> "udstillede" services. Jeg vil mene at et netværk der er "sikkert nok" vil
> gøre det.

En firewall kan fejle. En ting ikke kører eller ikke er installeret
kan ikke fejle.

> Hvis der er fysisk adgang, er det da umuligt at kompromitere en klient på
> dit netværk?

Nej.

> Hvis nej, så kan et "rengøringsfirma" sikkert nå at kompromitere mange
> klienter på en nat og den efterfølgende nat, osv. Så jeg kan ikke se den
> store forskel på sikkerheden i os-sikret kontra firewall, når først der er
> fysisk adgang.

Jeg havde tolket "din" firewall som en netværksfirewall, ikke en "software"
firewall.

> Eneste "store" undtagelse er at serverne vil være lettere at angribe i et
> ikke-sikret netværk, men når først der er fysisk adgang til klienterne og
> de kan kompromiteres, så er det nok heller ikke så svært at få adgang til
> serverne i den sidste ende.

Men det er sværer at angribe serveren.

> Bliver der forresten ikke gjort rent i dit serverrum?

Nej.

>> Hvor svært er det at blive ansat i et rengøringsfirma?
>
> Jeg skulle nok stramme mig an ved optagelsesprøven
>
>> Hvor svært er det at angribe via Internet?
>
> Svært nok?

Det er nemmest fra et rengøringsfirma, og man får betaling!



--

Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbsfd1r.5gv.chel@weebo.dmz.spindelnet.dk...
> In article <bv_wb.3506$hT7.15@news.get2net.dk>, Jens U. K. wrote:
[...]
> En firewall kan fejle. En ting ikke kører eller ikke er installeret
> kan ikke fejle.

Enig.

> > Hvis der er fysisk adgang, er det da umuligt at kompromitere en klient
på
> > dit netværk?
>
> Nej.
>
> > Hvis nej, så kan et "rengøringsfirma" sikkert nå at kompromitere mange
> > klienter på en nat og den efterfølgende nat, osv. Så jeg kan ikke se den
> > store forskel på sikkerheden i os-sikret kontra firewall, når først der
er
> > fysisk adgang.
>
> Jeg havde tolket "din" firewall som en netværksfirewall, ikke en
"software"
> firewall.

Du har tolket rigtigt. hvad får dig til at tro jeg snakker om en
"software/personal" firewal?

> > Eneste "store" undtagelse er at serverne vil være lettere at angribe i
et
> > ikke-sikret netværk, men når først der er fysisk adgang til klienterne
og
> > de kan kompromiteres, så er det nok heller ikke så svært at få adgang
til
> > serverne i den sidste ende.
>
> Men det er sværer at angribe serveren.

Det var også det jeg mente, men er det svært nok?

>
> > Bliver der forresten ikke gjort rent i dit serverrum?
>
> Nej.

Ok, så er der jo en reel mulighed for at der kommer gris på serverne

>
> >> Hvor svært er det at blive ansat i et rengøringsfirma?
> >
> > Jeg skulle nok stramme mig an ved optagelsesprøven
> >
> >> Hvor svært er det at angribe via Internet?
> >
> > Svært nok?
>
> Det er nemmest fra et rengøringsfirma, og man får betaling!

Men det er formentlig også lettere at blive opdaget, ved en efterfølgende
efterforskning, end hvis man har udført angrebet gennem x antal proxyer via
Internettet. Så spørgsmålet er om det er risikoen værd for en angriber.

/Jens Ulrik

---

In article <3fc88919$0$29329$edfadb0f@dread15.news.tele.dk>, Jens U. K. wrote:
>> Men det er sværer at angribe serveren.
> Det var også det jeg mente, men er det svært nok?

På en tilfældig test maskine (med en standard installation HPUX) får jeg 82 tcp
services der kører. Af disse bliver 4-5 brugt, hvis man tænkte sig om,
kunne ssh være eneste der skulle bruges, dvs. man var nede på én port!

Du spørger mig nu om det er sikre at kører med én service i forhold
til at kører med 82? Mit svar er ja :)

>> Det er nemmest fra et rengøringsfirma, og man får betaling!
> Men det er formentlig også lettere at blive opdaget, ved en efterfølgende

Hvordan, hvilke spor bliver der efterladt?

> efterforskning, end hvis man har udført angrebet gennem x antal proxyer via
> Internettet. Så spørgsmålet er om det er risikoen værd for en angriber.

Hvis ville angribe et internt netværk og jeg blev ansat som rengøringspersonale,
ville jeg finde de ghost images der bliver brugt til at reinstallere maskiner,
installere en troj i imaget.

Når der bliver rullet en maskine ud 1 måned senere, er der ingen der vil tænke på
det er rengøringsmanden der har pillet. Deres antagelse vil være at den
viden har rengøringsmanden ikke.

--

Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbsh3ck.8ua.chel@weebo.dmz.spindelnet.dk...
> In article <3fc88919$0$29329$edfadb0f@dread15.news.tele.dk>, Jens U. K.
wrote:
> >> Men det er sværer at angribe serveren.
> > Det var også det jeg mente, men er det svært nok?
>
> På en tilfældig test maskine (med en standard installation HPUX) får jeg
82 tcp
> services der kører. Af disse bliver 4-5 brugt, hvis man tænkte sig om,
> kunne ssh være eneste der skulle bruges, dvs. man var nede på én port!
>
> Du spørger mig nu om det er sikre at kører med én service i forhold

Nej, jeg spørger om selve det at udføre angrebet er svært nok. Hvad er det
der skal beskyttes, hvad er det værd, kan det betale sig for en angriber at
installere f.eks. en sniffer for at få nok informationer til at kunne bryde
ind i serveren? Er det måske lettere at skaffe sig adgang til serverrummet
fysisk?

> til at kører med 82? Mit svar er ja :)
>
> >> Det er nemmest fra et rengøringsfirma, og man får betaling!
> > Men det er formentlig også lettere at blive opdaget, ved en
efterfølgende
>
> Hvordan, hvilke spor bliver der efterladt?

Det må vi jo kigge på til den tid... se længere nede i mit svar.

>
> > efterforskning, end hvis man har udført angrebet gennem x antal proxyer
via
> > Internettet. Så spørgsmålet er om det er risikoen værd for en angriber.
>
> Hvis ville angribe et internt netværk og jeg blev ansat som
rengøringspersonale,
> ville jeg finde de ghost images der bliver brugt til at reinstallere
maskiner,
> installere en troj i imaget.
>
> Når der bliver rullet en maskine ud 1 måned senere, er der ingen der vil
tænke på
> det er rengøringsmanden der har pillet. Deres antagelse vil være at den
> viden har rengøringsmanden ikke.


Nej, formentlig ikke, men hvis du installerer en troj skal du vel
kommunikere med den og hvis din troj opdages, kan det nok lade sig gøre at
finde dig, hvis du gør brug af den.

/Jens Ulrik

---

In article <3fc8df5c$0$29362$edfadb0f@dread15.news.tele.dk>, Jens U. K. wrote:
>> Du spørger mig nu om det er sikre at kører med én service i forhold
>
> Nej, jeg spørger om selve det at udføre angrebet er svært nok. Hvad er det

Det var blot sådan jeg så dit indlæg.

> der skal beskyttes, hvad er det værd, kan det betale sig for en angriber at
> installere f.eks. en sniffer for at få nok informationer til at kunne bryde
> ind i serveren? Er det måske lettere at skaffe sig adgang til serverrummet
> fysisk?

Enig.

>> det er rengøringsmanden der har pillet. Deres antagelse vil være at den
>> viden har rengøringsmanden ikke.
> Nej, formentlig ikke, men hvis du installerer en troj skal du vel
> kommunikere med den og hvis din troj opdages, kan det nok lade sig gøre at
> finde dig, hvis du gør brug af den.

?

Min troj, kontakter en IRC server. Jeg kontakter en proxy server
som jeg har fundet ved at scanne internettet, dette giver nemt flere 100
servere. Man kan evt. også blot scanner nogle sårbare windows klienter.

Disse har typisk ingen styr på noget som helst.

Herfra skaber jeg en ny forbindelse til en ligenden server, og således
et par gange. Evt. krydret med forholdsregler, ud fra betragtninger
om forskellelige landes lovgivning. Derefter kontakter jeg en IRC
server, og tilslutter mig det forum mine trojer sidder og venter i.

Hvor meget kan man sporer?


Ovenstående er et virkeligt eksempel på hvad man gør for at skjule sine
spor. En i denne gruppe fik angrebet sin ftp server, og ovenstående
var en del af strategien angriberen benyttede for at skjule sig.

Sporet ende på et bibliotek i USA, der ikke kunne finde ud af
konfigurer en webserver. Således kunne man bruge den som en
SOCKS server.

--

Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbsi18f.i9e.chel@weebo.dmz.spindelnet.dk...
> In article <3fc8df5c$0$29362$edfadb0f@dread15.news.tele.dk>, Jens U. K.
wrote:
[...]
> > kommunikere med den og hvis din troj opdages, kan det nok lade sig
gøre at
> > finde dig, hvis du gør brug af den.
>
> ?

Jeg omformulerer min sætning til:
"det nok kan lade sig gøre at finde dig hvis du gør brug af den, men
selvfølgelig kommer an på midlerne, samt alvorligheden af
kompromiteringen,".

I 99,99% af opdagede kompromiteringer, rækker midlerne formentlig ikke;
dette krydret med at måske mange af disse kompromiteringer "bare" er en
ddos-bot eller lignende, for virksomheden, ufarlig kompromitering, gør nok
at din beskrevne metode er "sikker nok" for angriberen. Det er formentlig
utopi at tro at angriberen ifm den slags angreb kan afsløres.

/Jens Ulrik

---

On 2003-11-20, Jens U. K. <1jk2@3bsopatent4.dk> wrote:

> Er der nogen der kan argumentere for hvorfor man bør bruge tid på at

2 større banker i USA kan tilsyneladende:
http://www.theregister.co.uk/content/55/34175.html

--
Andreas Plesner Jacobsen | Q: Why did the WASP cross the road?
| A: To get to the middle.

---

Andreas Plesner Jacobsen wrote:

>> Er der nogen der kan argumentere for hvorfor man bør bruge tid på at

> 2 større banker i USA kan tilsyneladende:
> http://www.theregister.co.uk/content/55/34175.html

"In response to the problem, and to meet their customer's IT requirements,
Diebold next month plans to begin shipping all new Windows-based ATMs
preinstalled with a software-based firewall [...]"

Ja, det er virkelig det firma jeg gerne vil have til at opsætte min banks
kontantautomater. Deres indgangsvinkel til sikkerhed er jo virkelig
professionel.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

Christian Andersen skrev:

> Ja, det er virkelig det firma jeg gerne vil have til at opsætte min
> banks kontantautomater. Deres indgangsvinkel til sikkerhed er jo
> virkelig professionel.

De laver også maskiner som anvendes til at stemme ved valg:

http://www.fcw.com/geb/articles/2003/1020/web-diebold-10-23-03.asp

Prøv at lave en søgning efter "diebold" i arkivet på RISKS-mailing-
listen:

http://catless.ncl.ac.uk/php/risks/search.php

Her er et tilfældigt, ret aktuelt, hit:

http://catless.ncl.ac.uk/Risks/22.95.html#subj7.1