|
|
 | Firewallkonflikter ?
Fra : Ukendt |
Dato : 11-12-05 13:36 |
|
Efter et råd her fra gruppen har jeg netop installeret en bredbåndsrouter,
der blot skal udnyttes som "Hardware Firewall" for min stand alone PC.
Jeg købte en DI-604 fra D-Link.
Ved installation af routeren fik jeg besked om, at Firewall'en i WindowsXP
skulle deaktiveres (det blev den automatisk) da der skulle kunne opstå
konflikter mellem de to Firewalls.
Dette undrer mig umiddelbart meget, da jeg blot opfatter virkningen af
routeren DI-604 som en ydre skærm, der da ikke burde kunne konflikte med
Windows Firewall ?
Efter denne oplysning skulle det jo ikke være muligt at gardere sig med
såvel en Hardware Firewall som en Software Firewall, hvad der da ikke kan
passe ?
Jeg har endnu ikke forsøgt at aktivere WindowsXP's Firewall igen.
Er der nogen i gruppen der kan hjælpe mig med en kommentar til ovenstående ?
Med venlig hilsen
Jensen
| |
 Aage Andersen (11-12-2005)
| Kommentar
Fra : Aage Andersen |
Dato : 11-12-05 13:43 |
|
"J. Jensen"
> Efter denne oplysning skulle det jo ikke være muligt at gardere sig med
> såvel en Hardware Firewall som en Software Firewall, hvad der da ikke kan
Jeg har et tillægsspørgsmaal 
Hvorfor leveres en PC ikke med indbygget hardware firewall?.
Aage
| |
Klaus Ellegaard (11-12-2005)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 11-12-05 13:52 |
|
"Aage Andersen" <aaa(REMOVE)@email.dk> writes:
>Hvorfor leveres en PC ikke med indbygget hardware firewall?.
Som udgangspunkt fordi det koster penge. En hardware-firewall
er i sig selv en hel mini-pc, og selvom 3Com godtnok har et
sådan kort til "kun" 1.300 kroner, så er det mange penge at
lægge til prisen på en pc.
Mvh.
Klaus.
| |
Kent Friis (11-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 11-12-05 16:17 |
|
Den Sun, 11 Dec 2005 13:42:41 +0100 skrev Aage Andersen:
>
> "J. Jensen"
>> Efter denne oplysning skulle det jo ikke være muligt at gardere sig med
>> såvel en Hardware Firewall som en Software Firewall, hvad der da ikke kan
>
> Jeg har et tillægsspørgsmaal
>
> Hvorfor leveres en PC ikke med indbygget hardware firewall?.
Fordi det ikke giver mening. En firewalls opgave er at holde to netværk
delvist adskilt, så services på det ene net ikke er tilgængelige på det
andet.
På en enkeltstående PC er der ikke nogen at tilbyde disse services
til, og derfor giver det ikke mening at tilbyde dem, medmindre
naturligvis at man ønsker at tilbyde dem på internettet (fx en
webserver) - og i begge tilfælde er en firewall unødvendig, i det
ene tilfælde vil man bruge den til at blokere noget der ikke eksisterer,
og i det andet tilfælde skal den åbne for den samme trafik som
PC'en. Firewall'en vil altså skulle gøre præcis det samme som PC'en
allerede gør.
Iøvrigt er en hardware-firewall ikke noget specielt, der er software
inde i den, præcis som i en PC. Softwaren kører bare i en separat
kasse.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
 Aage Andersen (11-12-2005)
| Kommentar
Fra : Aage Andersen |
Dato : 11-12-05 18:31 |
|
"Kent Friis" <
>>
>> Jeg har et tillægsspørgsmaal
>>
>> Hvorfor leveres en PC ikke med indbygget hardware firewall?.
>
> Fordi det ikke giver mening. En firewalls opgave er at holde to netværk
> delvist adskilt, så services på det ene net ikke er tilgængelige på det
> andet.
>
> På en enkeltstående PC er der ikke nogen at tilbyde disse services
> til, og derfor giver det ikke mening at tilbyde dem, medmindre
> naturligvis at man ønsker at tilbyde dem på internettet (fx en
> webserver) - og i begge tilfælde er en firewall unødvendig, i det
> ene tilfælde vil man bruge den til at blokere noget der ikke eksisterer,
> og i det andet tilfælde skal den åbne for den samme trafik som
> PC'en. Firewall'en vil altså skulle gøre præcis det samme som PC'en
> allerede gør.
Du mener altsaa at det raad som J Jensen har faaet her i gruppen er forkert?
> Iøvrigt er en hardware-firewall ikke noget specielt, der er software
> inde i den, præcis som i en PC. Softwaren kører bare i en separat
> kasse.
Vil den ikke aflaste PC'en saa det gaar lidt hurtigere?
Aage
| |
Kent Friis (11-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 11-12-05 18:38 |
|
Den Sun, 11 Dec 2005 18:31:01 +0100 skrev Aage Andersen:
>
> "Kent Friis" <
>>>
>>> Jeg har et tillægsspørgsmaal
>>>
>>> Hvorfor leveres en PC ikke med indbygget hardware firewall?.
>>
>> Fordi det ikke giver mening. En firewalls opgave er at holde to netværk
>> delvist adskilt, så services på det ene net ikke er tilgængelige på det
>> andet.
>>
>> På en enkeltstående PC er der ikke nogen at tilbyde disse services
>> til, og derfor giver det ikke mening at tilbyde dem, medmindre
>> naturligvis at man ønsker at tilbyde dem på internettet (fx en
>> webserver) - og i begge tilfælde er en firewall unødvendig, i det
>> ene tilfælde vil man bruge den til at blokere noget der ikke eksisterer,
>> og i det andet tilfælde skal den åbne for den samme trafik som
>> PC'en. Firewall'en vil altså skulle gøre præcis det samme som PC'en
>> allerede gør.
>
> Du mener altsaa at det raad som J Jensen har faaet her i gruppen er forkert?
Ikke direkte forkert, men overflødigt.
>> Iøvrigt er en hardware-firewall ikke noget specielt, der er software
>> inde i den, præcis som i en PC. Softwaren kører bare i en separat
>> kasse.
>
> Vil den ikke aflaste PC'en saa det gaar lidt hurtigere?
Teoretisk kan man vel spare et par nanosekunder i CPU-tid, men til
gengæld vil det ekstra hop give et par millisekunder mere i round
trip time.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Christian E. Lysel (11-12-2005)
| Kommentar
Fra : Christian E. Lysel |
Dato : 11-12-05 13:56 |
|
J. Jensen wrote:
> Efter denne oplysning skulle det jo ikke være muligt at gardere sig med
> såvel en Hardware Firewall som en Software Firewall, hvad der da ikke kan
> passe ?
Er det ikke for at undgå at konflikte med UPnP?
Generelt vil jeg dog ikke anbefalde at bruge UPnp, da en troj
herved kan rette i din hardware firewall.
http://www.microsoft.com/windowsxp/using/setup/expert/crawford_02july22.mspx:
...NAT Traversal Technology
NAT traversal technology allows network applications to detect that they
are behind a UPnP-enabled NAT device. Then the applications can learn
the shared, globally-routable IP address, and configure port mappings to
forward packets from the external port of the NAT to the internal port
used by the application—and all automatically so the user doesn't have
to manually configure port mappings or other such rigmarole. NAT
traversal allows network devices or peer-to-peer applications to
traverse a NAT gateway by dynamically opening and closings ports for
communication with outside services...
| |
Michael Rasmussen (11-12-2005)
| Kommentar
Fra : Michael Rasmussen |
Dato : 11-12-05 13:59 |
|
"J. Jensen" <ajgj(A)stofanetNOSPAM.dk> wrote:
>Efter et råd her fra gruppen har jeg netop installeret en bredbåndsrouter,
>der blot skal udnyttes som "Hardware Firewall" for min stand alone PC.
>Jeg købte en DI-604 fra D-Link.
Udmærket ide...
>Ved installation af routeren fik jeg besked om, at Firewall'en i WindowsXP
>skulle deaktiveres (det blev den automatisk) da der skulle kunne opstå
>konflikter mellem de to Firewalls.
Hvem / hvad gav dig den besked ?
>Dette undrer mig umiddelbart meget, da jeg blot opfatter virkningen af
>routeren DI-604 som en ydre skærm, der da ikke burde kunne konflikte med
>Windows Firewall ?
Helt korrekt !
Men bliver der problemer med netværket, er fejlsøgningen selvfølgelig
mere besværlig, hvis der er flere firewalls involveret.
>Efter denne oplysning skulle det jo ikke være muligt at gardere sig med
>såvel en Hardware Firewall som en Software Firewall, hvad der da ikke kan
>passe ?
Selvfølgelig kan du kombinerer flere firewall's, herunder hardware plus
software...
Det er endda ganske almindeligt f.eks i den finansielle sektor.
Man er ikke interesseret i at en simpel fejl i en firewall blotlægger
hele institutionens netværk, så der har man to-eller-flere forskellige
firewalls i serie. Bryder en hacker igennem den første firewall venter
der ham en overraskelse i form af endnu en firewall.....
>Jeg har endnu ikke forsøgt at aktivere WindowsXP's Firewall igen.
Men den slags narrestreger er helt unødvendige for os almindelige
dødelige...
Du er godt beskyttet bag DLink'en - Der er ingen grund til at spilde
hukommelse og CPU-tid på XP's softwarefirewall...
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Ukendt (11-12-2005)
| Kommentar
Fra : Ukendt |
Dato : 11-12-05 20:33 |
|
Michael Rasmussen stillede et spørgsmål:
>
>>Efter et råd her fra gruppen har jeg netop installeret en bredbåndsrouter,
>>der blot skal udnyttes som "Hardware Firewall" for min stand alone PC.
>>Jeg købte en DI-604 fra D-Link.
>>Ved installation af routeren fik jeg besked om, at Firewall'en i WindowsXP
>>skulle deaktiveres (det blev den automatisk) da der skulle kunne opstå
>>konflikter mellem de to Firewalls.
>
> Hvem / hvad gav dig den besked ?
Et med DI-604 medfølgende installationsprogram.
Og så er jeg desværre blevet temmelig forvirret. Michael har du kommentarer
til Kent Friis's indlæg ?
Forhåbentlig kan der svares uden at det bliver alt for teknisk.
Vedrørende prisen på en router med NAT firewall, så ligger den i dag i
størrelsesordenen 300 kr. Funktionen må i givet faldt kunne medleveres i en
PC til en merpris der er langt mindre end de 300 kr.
Venlig hilsen
Jensen
| |
Kent Friis (11-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 11-12-05 20:40 |
|
Den Sun, 11 Dec 2005 20:33:10 +0100 skrev J. Jensen:
>
> Vedrørende prisen på en router med NAT firewall, så ligger den i dag i
> størrelsesordenen 300 kr. Funktionen må i givet faldt kunne medleveres i en
> PC til en merpris der er langt mindre end de 300 kr.
Funktionen er allerede medleveret, den hedder "Windows firewall".
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Klaus Ellegaard (11-12-2005)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 11-12-05 20:42 |
|
Kent Friis <nospam@nospam.invalid> writes:
>> Vedrørende prisen på en router med NAT firewall, så ligger den i dag i
>> størrelsesordenen 300 kr. Funktionen må i givet faldt kunne medleveres i en
>> PC til en merpris der er langt mindre end de 300 kr.
>Funktionen er allerede medleveret, den hedder "Windows firewall".
Kun til dels. En software-firewall er væsentligt mere sårbar over
for malware end en hardware-firewall.
Mvh.
Klaus.
| |
Kent Friis (11-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 11-12-05 21:03 |
|
Den Sun, 11 Dec 2005 19:42:29 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>> Vedrørende prisen på en router med NAT firewall, så ligger den i dag i
>>> størrelsesordenen 300 kr. Funktionen må i givet faldt kunne medleveres i en
>>> PC til en merpris der er langt mindre end de 300 kr.
>
>>Funktionen er allerede medleveret, den hedder "Windows firewall".
>
> Kun til dels. En software-firewall er væsentligt mere sårbar over
> for malware end en hardware-firewall.
Ikke enig. Ingen af dem er specielt sårbare for angreb udefra[1]. Og
er skidtet først kommet ind, er en firewall bedøvende ligegyldig.
Ok, en hardware firewall behøver skal ikke sættes op forfra når PC'en
er geninstalleret, men det var nok ikke lige det du mente.
Mvh
Kent
[1] Med forbehold for Microsofts ofte manglende evner hvad angår
sikkerhed.
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Klaus Ellegaard (11-12-2005)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 11-12-05 21:08 |
|
Kent Friis <nospam@nospam.invalid> writes:
>> Kun til dels. En software-firewall er væsentligt mere sårbar over
>> for malware end en hardware-firewall.
>Ikke enig. Ingen af dem er specielt sårbare for angreb udefra[1]. Og
>er skidtet først kommet ind, er en firewall bedøvende ligegyldig.
Ja, man har selvfølgelig tabt, men de umiddelbare følger kan nu og
da reduceres.
En spammende virus kommer indenfor. Den kan ikke spamme, fordi den
kære Windows Firewall ikke vil lade den snakke med alverden. Da de
fleste brugere alligevel kører som Administrator, slår vores flinke
virus naturligvis bare firewallen fra og spammer løs.
Hvad ville der ske med en hardware-firewall foran? Da vira ikke er
meget for lokale udbydere (Sober kommer endda med sin helt egen
liste), kan vores kære virus slet ikke sende mail.
Mere generelt: når folk alligevel kører som Administrator (og det
gør de; mig selv inkluderet for den sags skyld), hvad hjælper en
software-firewall så overhovedet?
Mvh.
Klaus.
| |
Kent Friis (11-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 11-12-05 21:15 |
|
Den Sun, 11 Dec 2005 20:08:23 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>> Kun til dels. En software-firewall er væsentligt mere sårbar over
>>> for malware end en hardware-firewall.
>
>>Ikke enig. Ingen af dem er specielt sårbare for angreb udefra[1]. Og
>>er skidtet først kommet ind, er en firewall bedøvende ligegyldig.
>
> Ja, man har selvfølgelig tabt, men de umiddelbare følger kan nu og
> da reduceres.
>
> En spammende virus kommer indenfor. Den kan ikke spamme, fordi den
> kære Windows Firewall ikke vil lade den snakke med alverden. Da de
> fleste brugere alligevel kører som Administrator, slår vores flinke
> virus naturligvis bare firewallen fra og spammer løs.
>
> Hvad ville der ske med en hardware-firewall foran?
Du kan springe over trinnet med at slå firewall'en fra. Vi snakker
om en NAT-router, og i standard-konfiguration (alt udgående trafik
tilladt) vil den ikke blokere noget som helst.
> Da vira ikke er
> meget for lokale udbydere (Sober kommer endda med sin helt egen
> liste), kan vores kære virus slet ikke sende mail.
Hvis du vil over i en specifik konfiguration hvor der kun kan oprettes
forbindelser på port 25 til TDC's mailserver (eller hvem man nu har
valgt), så er vi ovre i noget der er mere kompliceret end at lade
være med at logge ind som administrator.
Og så mangler du lige at tage højde for alle andre slags malware,
fx den der lavede DDOS mod Windows update. Hvem ville blokere for
trafik til Windows update? Igen, er den først kommet ind er slaget
tabt.
> Mere generelt: når folk alligevel kører som Administrator (og det
> gør de; mig selv inkluderet for den sags skyld), hvad hjælper en
> software-firewall så overhovedet?
Lige så lidt som en NAT-router. Den kan blokere for trafik til nogle
services der slet ikke burde køre, men er skidtet først kommet
ind, så har man tabt uanset.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Klaus Ellegaard (11-12-2005)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 11-12-05 21:25 |
|
Kent Friis <nospam@nospam.invalid> writes:
[Snip]
>Lige så lidt som en NAT-router. Den kan blokere for trafik til nogle
>services der slet ikke burde køre, men er skidtet først kommet
>ind, så har man tabt uanset.
Der er nu en reel forskel: lige grundigt opsatte software- og
hardware-firewalls har meget forskellig virkning. Hardware-
firewallen kan ikke påvirkes af andet programmel på pc'en. Det
kan software-udgaven.
I praksis er der måske ikke så stor forskel, men i teorien er
din henvisning til Windows Firewall som erstatning for en
hardware-baseret løsning meget forkert. I praksis er den en
del mere rigtig.
Mvh.
Klaus.
| |
Kent Friis (11-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 11-12-05 21:45 |
|
Den Sun, 11 Dec 2005 20:25:26 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
> [Snip]
>
>>Lige så lidt som en NAT-router. Den kan blokere for trafik til nogle
>>services der slet ikke burde køre, men er skidtet først kommet
>>ind, så har man tabt uanset.
>
> Der er nu en reel forskel: lige grundigt opsatte software- og
> hardware-firewalls har meget forskellig virkning. Hardware-
> firewallen kan ikke påvirkes af andet programmel på pc'en. Det
> kan software-udgaven.
Hvad tænker du på med "påvirkes"? Den kan ikke afinstalleres, nej,
men hvad forskel gør det, når det alligevel tillader alt udgående
trafik?
Og så er der lige UPNP der komplet ødelægger teorien, så er der
snart ikke noget et ondsindet program ikke kan.
> I praksis er der måske ikke så stor forskel, men i teorien er
> din henvisning til Windows Firewall som erstatning for en
> hardware-baseret løsning meget forkert. I praksis er den en
> del mere rigtig.
Vi snakker om en enkelt-stående PC. Begge dele er overflødige,
blot maskinen er konfigureret fornuftigt (hvilket den bør være
uanset om der er en firewall eller ej), så vi er der ude hvor
vi diskuterer om et overflødigt produkt er en erstatning for et
andet overflødigt produkt...
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Klaus Ellegaard (11-12-2005)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 11-12-05 21:47 |
|
Kent Friis <nospam@nospam.invalid> writes:
>> Der er nu en reel forskel: lige grundigt opsatte software- og
[..]
>Hvad tænker du på med "påvirkes"? Den kan ikke afinstalleres, nej,
>men hvad forskel gør det, når det alligevel tillader alt udgående
>trafik?
Det gør "grundigt opsatte" systemer vel ikke?
>Og så er der lige UPNP der komplet ødelægger teorien, så er der
>snart ikke noget et ondsindet program ikke kan.
Samme som ovenstående: det gør grundigt opsatte systemer ikke.
>Vi snakker om en enkelt-stående PC. Begge dele er overflødige,
>blot maskinen er konfigureret fornuftigt (hvilket den bør være
>uanset om der er en firewall eller ej), så vi er der ude hvor
>vi diskuterer om et overflødigt produkt er en erstatning for et
>andet overflødigt produkt...
Hvilket også er årsagen til, at jeg skrev "i *teorien*".
Mvh.
Klaus.
| |
Kent Friis (11-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 11-12-05 22:10 |
|
Den Sun, 11 Dec 2005 20:47:24 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>> Der er nu en reel forskel: lige grundigt opsatte software- og
> [..]
>
>>Hvad tænker du på med "påvirkes"? Den kan ikke afinstalleres, nej,
>>men hvad forskel gør det, når det alligevel tillader alt udgående
>>trafik?
>
> Det gør "grundigt opsatte" systemer vel ikke?
Så du snakker om den ene procent (eller mindre) af NAT-routere og
firewalls, hvor ejeren er nørdet nok til at sætte sig ned og definere
hvilke porte han selv må kunne connecte til? (Jeg kunne godt
forestille mig at Alex kunne finde på det, men ikke ret mange andre).
Hvor stor er sandsynligheden lige for ondsindet software på den persons
computer?
>>Vi snakker om en enkelt-stående PC. Begge dele er overflødige,
>>blot maskinen er konfigureret fornuftigt (hvilket den bør være
>>uanset om der er en firewall eller ej), så vi er der ude hvor
>>vi diskuterer om et overflødigt produkt er en erstatning for et
>>andet overflødigt produkt...
>
> Hvilket også er årsagen til, at jeg skrev "i *teorien*".
Det er en meget teoretisk diskussion det her
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Asbjorn Hojmark (11-12-2005)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 11-12-05 23:56 |
|
On 11 Dec 2005 21:09:30 GMT, Kent Friis <nospam@nospam.invalid> wrote:
> Så du snakker om den ene procent (eller mindre) af NAT-routere og
> firewalls, hvor ejeren er nørdet nok til at sætte sig ned og definere
> hvilke porte han selv må kunne connecte til?
Stort set alle professionelt opsatte firewalls er konfigureret på den
måde: Man lukker kun op for det, man *ved*, man har brug for.
-A
| |
Christian E. Lysel (12-12-2005)
| Kommentar
Fra : Christian E. Lysel |
Dato : 12-12-05 16:50 |
|
Asbjorn Hojmark wrote:
>>Så du snakker om den ene procent (eller mindre) af NAT-routere og
>>firewalls, hvor ejeren er nørdet nok til at sætte sig ned og definere
>>hvilke porte han selv må kunne connecte til?
>
>
> Stort set alle professionelt opsatte firewalls er konfigureret på den
> måde: Man lukker kun op for det, man *ved*, man har brug for.
Checkpoints firewall havde i lang tid uheldige default regler.
De kaldte dem "impliced rules".
Jeg mener de stadigvæk har dem, men hvilken firewall har
ikke det?
Det var bla. grunden til at følgende var sårbart i default installationen:
http://www.checkpoint.com/services/techsupport/alerts/openssl.html
| |
Kent Friis (12-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 12-12-05 22:14 |
|
Den Sun, 11 Dec 2005 23:55:56 +0100 skrev Asbjorn Hojmark:
> On 11 Dec 2005 21:09:30 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> Så du snakker om den ene procent (eller mindre) af NAT-routere og
>> firewalls, hvor ejeren er nørdet nok til at sætte sig ned og definere
>> hvilke porte han selv må kunne connecte til?
>
> Stort set alle professionelt opsatte firewalls er konfigureret på den
> måde: Man lukker kun op for det, man *ved*, man har brug for.
Udgående?
For det første snakker vi om privatpersoner, så professionelt?
For det andet, er det begrænset hvor stort et firma behøver være for
at man ingen anelse har om hvad forskellige afdelinger har brug for,
medmindre man kører et meget diktatorisk koncept med ansøgninger
i tre eksemplarer og fire ugers leveringstid på at få åbnet for
noget der skulle have virket igår, og iøvrigt koster en bunke
penge at det ikke virker.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Asbjorn Hojmark (12-12-2005)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 12-12-05 22:50 |
|
On 12 Dec 2005 21:13:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>> Stort set alle professionelt opsatte firewalls er konfigureret på den
>> måde: Man lukker kun op for det, man *ved*, man har brug for.
> Udgående?
Ja.
> For det første snakker vi om privatpersoner, så professionelt?
Næh, det var dig, der snakkede om den "ene procent (eller mindre) af
*alle* NAT-routere og firewalls" (min fremhævning), hvor det skulle
være konfigureret sådan.
Min pointe var blot, at dit overblik over (hele) firewall-markedet nok
er ret begrænset, hvis du mener, det drejer sig om 1% eller mindre,
hvor man gør det.
> For det andet, er det begrænset hvor stort et firma behøver være for
> at man ingen anelse har om hvad forskellige afdelinger har brug for,
Nej, det er det ikke. Tvært imod.
Man starter med at lukke for (næsten) alt, og når man så har noget
nyt, man gerne vil have til at virke, så lukker man op for det og
dokumenterer, hvorfor man gjorde det. (Dog naturligvis kun hvis det i
øvrigt er i overensstemmelse med ens sikkerhedspolitik).
På den måde får man et fantastisk fint indblik i, hvad man har brug
for, og man får lukket for den slags (mere eller mindre bevidst)
misbrug, man *ikke* har brug for, samtidig med at sikkerheden højnes.
Det burde være oplagt, hvorfor modellen er meget udbredt.
-A
| |
Kent Friis (13-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 13-12-05 17:53 |
|
Den Mon, 12 Dec 2005 22:49:36 +0100 skrev Asbjorn Hojmark:
> On 12 Dec 2005 21:13:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Stort set alle professionelt opsatte firewalls er konfigureret på den
>>> måde: Man lukker kun op for det, man *ved*, man har brug for.
>
>> Udgående?
>
> Ja.
>
>> For det første snakker vi om privatpersoner, så professionelt?
>
> Næh, det var dig, der snakkede om den "ene procent (eller mindre) af
> *alle* NAT-routere og firewalls" (min fremhævning), hvor det skulle
> være konfigureret sådan.
Så ret det til "en procent af alle NAT-routere"...
> Min pointe var blot, at dit overblik over (hele) firewall-markedet nok
> er ret begrænset, hvis du mener, det drejer sig om 1% eller mindre,
> hvor man gør det.
>
>> For det andet, er det begrænset hvor stort et firma behøver være for
>> at man ingen anelse har om hvad forskellige afdelinger har brug for,
>
> Nej, det er det ikke. Tvært imod.
>
> Man starter med at lukke for (næsten) alt, og når man så har noget
> nyt, man gerne vil have til at virke, så lukker man op for det og
> dokumenterer, hvorfor man gjorde det. (Dog naturligvis kun hvis det i
> øvrigt er i overensstemmelse med ens sikkerhedspolitik).
Og det tager typisk 3-4 uger hos de store firmaer, imens den afdeling
der har bestilt ændringen taber bunker af penge. Jeg har flere gange
været "i den anden ende" af sådan et setup, hvor man virkelig har
hastet noget igennem, og folk virkelig har knoklet for at få software-
siden op at køre til tiden - og når alt så er klart, overtidsbetalingen
udbetalt osv, må projektet udskydes i ugevis imens man venter på at de
rigtige personer skal godkende at der bliver åbnet i firewall'en.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Asbjorn Hojmark (13-12-2005)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 13-12-05 18:12 |
|
On 13 Dec 2005 16:52:50 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>> Man starter med at lukke for (næsten) alt, og når man så har noget
>> nyt, man gerne vil have til at virke, så lukker man op for det og
>> dokumenterer, hvorfor man gjorde det. (Dog naturligvis kun hvis det i
>> øvrigt er i overensstemmelse med ens sikkerhedspolitik).
> Og det tager typisk 3-4 uger hos de store firmaer,
Det er nu ikke min erfaring. Det er nok nogle andre store firmaer, end
dem du har erfaring med.
Men en eller anden behandlingstid kan der da sagtens være. Nogle
steder har man også gjort det meget besværligt for IT-folkene at lave
ændringer (må kun laves i 'vinduer' etc), og det kan selvfølgelig gøre
det værre.
> Jeg har flere gange været "i den anden ende" af sådan et setup, hvor
> man virkelig har hastet noget igennem, og folk virkelig har knoklet
> for at få software-siden op at køre til tiden - og når alt så er klart,
> overtidsbetalingen udbetalt osv, må projektet udskydes i ugevis imens
> man venter på at de rigtige personer skal godkende at der bliver åbnet
> i firewall'en.
Det lyder som om, det er nogle ret uprofessionelt ledede projekter, du
har været en del af (eller i nærheden af), hvis en basal diskussion om
'sikkerhed og åbne porte' er noget, man først kigger på, når man 'er
færdig'. Yikes.
-A
| |
Kent Friis (13-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 13-12-05 18:17 |
|
Den Tue, 13 Dec 2005 18:12:05 +0100 skrev Asbjorn Hojmark:
> On 13 Dec 2005 16:52:50 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Man starter med at lukke for (næsten) alt, og når man så har noget
>>> nyt, man gerne vil have til at virke, så lukker man op for det og
>>> dokumenterer, hvorfor man gjorde det. (Dog naturligvis kun hvis det i
>>> øvrigt er i overensstemmelse med ens sikkerhedspolitik).
>
>> Og det tager typisk 3-4 uger hos de store firmaer,
>
> Det er nu ikke min erfaring. Det er nok nogle andre store firmaer, end
> dem du har erfaring med.
>
> Men en eller anden behandlingstid kan der da sagtens være. Nogle
> steder har man også gjort det meget besværligt for IT-folkene at lave
> ændringer (må kun laves i 'vinduer' etc), og det kan selvfølgelig gøre
> det værre.
>
>> Jeg har flere gange været "i den anden ende" af sådan et setup, hvor
>> man virkelig har hastet noget igennem, og folk virkelig har knoklet
>> for at få software-siden op at køre til tiden - og når alt så er klart,
>> overtidsbetalingen udbetalt osv, må projektet udskydes i ugevis imens
>> man venter på at de rigtige personer skal godkende at der bliver åbnet
>> i firewall'en.
>
> Det lyder som om, det er nogle ret uprofessionelt ledede projekter, du
> har været en del af (eller i nærheden af), hvis en basal diskussion om
> 'sikkerhed og åbne porte' er noget, man først kigger på, når man 'er
> færdig'. Yikes.
Nej nej, fire uger til at åbne firewall'en, men kun to uger til
projectet skal køre drift. Projektet bliver hastet igennem, for
det skal bare køre om to uger. Når det så er klar til at gå i
drift mangler man stadig to uger før "ansøgningen i tre eksemplarer"
om at åbne et hul i firewall'en er færdig-behandlet.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Michael Rasmussen (11-12-2005)
| Kommentar
Fra : Michael Rasmussen |
Dato : 11-12-05 21:03 |
|
"J. Jensen" <ajgj(A)stofanetNOSPAM.dk> wrote:
>>>Efter et råd her fra gruppen har jeg netop installeret en bredbåndsrouter,
>>>der blot skal udnyttes som "Hardware Firewall" for min stand alone PC.
>>>Jeg købte en DI-604 fra D-Link.
>>>Ved installation af routeren fik jeg besked om, at Firewall'en i WindowsXP
>>>skulle deaktiveres (det blev den automatisk) da der skulle kunne opstå
>>>konflikter mellem de to Firewalls.
>>
>> Hvem / hvad gav dig den besked ?
>
>Et med DI-604 medfølgende installationsprogram.
Ok, jeg var ikke klar over der følger et installationsprogram med
DI-604....
Men rådet om at deaktivere XP's firewall er for så vidt godt nok. Den
har intet formål når computeren sidder bag en router.
>Og så er jeg desværre blevet temmelig forvirret. Michael har du kommentarer
>til Kent Friis's indlæg ?
Kent har for så vidt ret: Firewall'en skal adskille dit lokalnet fra det
store internet.
I dit tilfælde består lokalnettet af een computer. Og så kunne
firewall'en godt være knyttet til computeren.
Mit lokalnet består i øjeblikket af 6 computere samlet i et lokalnetværk
bag en bredbåndsrouter / firewall. Det betyder at jeg kan dele filer og
printere på lokalnettet uden at I andre på internettet kan 'kigge med'.
Hvis jeg erstattede den centrale router/firewall med firewall's lokalt
på computerne, ville mine maskiner eksistere i 6 forskellige netværk. Og
fil- og printerdeling ville ske over internettet så du og alle andre på
internettet kunne følge med. Det er jeg med skam at melde helst fri for
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Kent Friis (11-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 11-12-05 21:20 |
|
Den Sun, 11 Dec 2005 21:03:22 +0100 skrev Michael Rasmussen:
> "J. Jensen" <ajgj(A)stofanetNOSPAM.dk> wrote:
>
>>>>Efter et råd her fra gruppen har jeg netop installeret en bredbåndsrouter,
>>>>der blot skal udnyttes som "Hardware Firewall" for min stand alone PC.
>>>>Jeg købte en DI-604 fra D-Link.
>>>>Ved installation af routeren fik jeg besked om, at Firewall'en i WindowsXP
>>>>skulle deaktiveres (det blev den automatisk) da der skulle kunne opstå
>>>>konflikter mellem de to Firewalls.
>>>
>>> Hvem / hvad gav dig den besked ?
>>
>>Et med DI-604 medfølgende installationsprogram.
>
> Ok, jeg var ikke klar over der følger et installationsprogram med
> DI-604....
>
> Men rådet om at deaktivere XP's firewall er for så vidt godt nok. Den
> har intet formål når computeren sidder bag en router.
Det kommer an på. Den er lige så meget et ekstra lag af beskyttelse
som NAT-routeren er - eller lige så overflødig, afhængig af synsvinkel.
>>Og så er jeg desværre blevet temmelig forvirret. Michael har du kommentarer
>>til Kent Friis's indlæg ?
>
> Kent har for så vidt ret: Firewall'en skal adskille dit lokalnet fra det
> store internet.
>
> I dit tilfælde består lokalnettet af een computer. Og så kunne
> firewall'en godt være knyttet til computeren.
Eller helt undværes. Der er ikke behov for at computeren udbyder
nogen services på lokalnettet (Til hvem? Der er jo ikke andre), og
dermed er der heller ikke behov for en firewall til at forhindre
andre i at få adgang til de services der slet ikke skal være der.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Michael Rasmussen (11-12-2005)
| Kommentar
Fra : Michael Rasmussen |
Dato : 11-12-05 21:39 |
|
Kent Friis <nospam@nospam.invalid> wrote:
>> I dit tilfælde består lokalnettet af een computer. Og så kunne
>> firewall'en godt være knyttet til computeren.
>
>Eller helt undværes. Der er ikke behov for at computeren udbyder
>nogen services på lokalnettet (Til hvem? Der er jo ikke andre), og
>dermed er der heller ikke behov for en firewall til at forhindre
>andre i at få adgang til de services der slet ikke skal være der.
Tja, windows maskiner har det med at åbne en hulens masse porte. Du med
dit store intellekt og dybe viden om windows kan sikkert håndtere den
situation og deaktivere alle unødvendige tjenester / services. Men vi
andre dødelige har altså problemer med den slags
Det blev selvfølgelig noget bedre med XP SP2 og den indbyggede firewall.
Men der bliver jævnlig fundet sikkerhedsproblemer i windows, og hvis man
ikke er oppe på mærkerne med opdateringer, står man hurtigt med et
sårbart system.
Derfor er jeg stor fortaler for NAT'ende bredbåndsroutere der effektivt
isolerer windows maskiner fra internettets farer....
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Klaus Ellegaard (11-12-2005)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 11-12-05 21:42 |
|
Michael Rasmussen <mic@NO_SPAMdou.dk> writes:
>Tja, windows maskiner har det med at åbne en hulens masse porte. Du med
>dit store intellekt og dybe viden om windows kan sikkert håndtere den
>situation og deaktivere alle unødvendige tjenester / services. Men vi
>andre dødelige har altså problemer med den slags
Faktisk skal man bare læse gruppens FAQ:
Første link under "Værtsmaskiner: UNIX og Windows" på
http://sikkerhed-faq.dk/videre
Mvh.
Klaus.
| |
Kent Friis (11-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 11-12-05 21:52 |
|
Den Sun, 11 Dec 2005 21:38:30 +0100 skrev Michael Rasmussen:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>>> I dit tilfælde består lokalnettet af een computer. Og så kunne
>>> firewall'en godt være knyttet til computeren.
>>
>>Eller helt undværes. Der er ikke behov for at computeren udbyder
>>nogen services på lokalnettet (Til hvem? Der er jo ikke andre), og
>>dermed er der heller ikke behov for en firewall til at forhindre
>>andre i at få adgang til de services der slet ikke skal være der.
>
> Tja, windows maskiner har det med at åbne en hulens masse porte. Du med
> dit store intellekt og dybe viden om windows kan sikkert håndtere den
> situation og deaktivere alle unødvendige tjenester / services. Men vi
> andre dødelige har altså problemer med den slags
Det findes der scripts der kan klare helt automatisk.
> Det blev selvfølgelig noget bedre med XP SP2 og den indbyggede firewall.
> Men der bliver jævnlig fundet sikkerhedsproblemer i windows, og hvis man
> ikke er oppe på mærkerne med opdateringer, står man hurtigt med et
> sårbart system.
>
> Derfor er jeg stor fortaler for NAT'ende bredbåndsroutere der effektivt
> isolerer windows maskiner fra internettets farer....
Jeg er ikke enig i ordet "effektivt". Den største fare mod Windows-
maskiner er e-mails kombineret med fejl 40. Hverken NAT eller Windows
firewall yder nogen form for beskyttelse mod disse to ting.
Jeg kan ikke komme på nogen form for angreb, der virker mod en
fornuftigt konfigureret maskine (se ovennævnte script), som en
NAT-router beskytter imod. Fejl i TCP-stakken er det mange år siden
vi har set, fejl i Intenet Explorer yder NAT ingen beskyttelse
imod, ej heller e-mails...
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Michael Rasmussen (11-12-2005)
| Kommentar
Fra : Michael Rasmussen |
Dato : 11-12-05 22:15 |
|
Kent Friis <nospam@nospam.invalid> wrote:
>> Tja, windows maskiner har det med at åbne en hulens masse porte. Du med
>> dit store intellekt og dybe viden om windows kan sikkert håndtere den
>> situation og deaktivere alle unødvendige tjenester / services. Men vi
>> andre dødelige har altså problemer med den slags
>
>Det findes der scripts der kan klare helt automatisk.
Jeg som troede at det bedste middel mod problemer var dyb viden og
indsigt i hvad der foregår bag facaden i windows.
Og så er det i virkeligheden bare at køre et simpelt script hvis
virkninger fortaber sig i tågerne
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Kent Friis (11-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 11-12-05 22:19 |
|
Den Sun, 11 Dec 2005 22:14:46 +0100 skrev Michael Rasmussen:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Tja, windows maskiner har det med at åbne en hulens masse porte. Du med
>>> dit store intellekt og dybe viden om windows kan sikkert håndtere den
>>> situation og deaktivere alle unødvendige tjenester / services. Men vi
>>> andre dødelige har altså problemer med den slags
>>
>>Det findes der scripts der kan klare helt automatisk.
>
> Jeg som troede at det bedste middel mod problemer var dyb viden og
> indsigt i hvad der foregår bag facaden i windows.
Det bedste middel er indsigt i hvad man har brug for af services,
og så disable alt andet.
> Og så er det i virkeligheden bare at køre et simpelt script hvis
> virkninger fortaber sig i tågerne
Tricket er at scriptet disabler alt hvad der lytter på netværket,
og hvis man så alligevel har brug for en af dem (fx en webserver),
så skal man selv enable den bagefter.
Det er nemmere at opdage at der er noget der ikke kører, end at
der er noget der kører som man ikke har brug for.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Alex Holst (11-12-2005)
| Kommentar
Fra : Alex Holst |
Dato : 11-12-05 22:37 |
|
Michael Rasmussen wrote:
> Tja, windows maskiner har det med at åbne en hulens masse porte. Du med
> dit store intellekt og dybe viden om windows kan sikkert håndtere den
> situation og deaktivere alle unødvendige tjenester / services. Men vi
> andre dødelige har altså problemer med den slags
Mangler der noget i OSSen, synes du?
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Axel Hammerschmidt (12-12-2005)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 12-12-05 12:45 |
|
Alex Holst <a@mongers.org> wrote:
> Mangler der noget i OSSen, synes du?
En god søgefunktion.
F.eks klikkede jeg et sted på linket: Hvad er en orm, og kom så frem til
en side med mange gode forklaringer, men bare ikke om hvad en orm er.
| |
Alex Holst (12-12-2005)
| Kommentar
Fra : Alex Holst |
Dato : 12-12-05 22:55 |
|
Axel Hammerschmidt wrote:
> Alex Holst <a@mongers.org> wrote:
>
>> Mangler der noget i OSSen, synes du?
>
> En god søgefunktion.
Google, site:sikkerhed-faq.dk men jeg skal overveje at inkludere sådan
et search box i fremtiden.
> F.eks klikkede jeg et sted på linket: Hvad er en orm, og kom så frem til
> en side med mange gode forklaringer, men bare ikke om hvad en orm er.
Hm, det er vist et anchor der er sluppet ud af udviklingsudgaven før tid.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Christian E. Lysel (11-12-2005)
| Kommentar
Fra : Christian E. Lysel |
Dato : 11-12-05 21:33 |
|
Michael Rasmussen wrote:
> Men rådet om at deaktivere XP's firewall er for så vidt godt nok. Den
> har intet formål når computeren sidder bag en router.
Når routeren tillader UPnP, kan routeren omgåes, hvilket XP's firewall
alligevel nok ikke vil forhindre.
| |
Jan Andersen (11-12-2005)
| Kommentar
Fra : Jan Andersen |
Dato : 11-12-05 22:14 |
|
Er det rigtigt? Kan man fra Internetsiden se og udnytte at en Router er
UPnP enabled?
J. Andersen
"Christian E. Lysel" <sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:439c8cde$0$1765$edfadb0f@dread11.news.tele.dk...
Michael Rasmussen wrote:
> Men rådet om at deaktivere XP's firewall er for så vidt godt nok. Den
> har intet formål når computeren sidder bag en router.
Når routeren tillader UPnP, kan routeren omgåes, hvilket XP's firewall
alligevel nok ikke vil forhindre.
| |
Christian E. Lysel (11-12-2005)
| Kommentar
Fra : Christian E. Lysel |
Dato : 11-12-05 22:48 |
|
Jan Andersen wrote:
> Er det rigtigt? Kan man fra Internetsiden se og udnytte at en Router er
> UPnP enabled?
Ikke direkte, se evt. http://www.knoxscape.com/Upnp/NAT.htm
Evt. kan rigtigt bygget HTML forms, også trigger regler i firewalls
bliver åbnet via UPnP.
Det største problem er nok at få "SOAPAction" headeren med i klientens
HTTP POST til UPnP'en.
>>Men rådet om at deaktivere XP's firewall er for så vidt godt nok. Den
>>har intet formål når computeren sidder bag en router.
> Når routeren tillader UPnP, kan routeren omgåes, hvilket XP's firewall
> alligevel nok ikke vil forhindre.
Min pointe er blot, ikke at ligge for meget i en hardware firewall, den
har evt. samme problemstillinger som en software firewall, hvis den
lokale maskine er komprimiteret.
| |
Michael Rasmussen (11-12-2005)
| Kommentar
Fra : Michael Rasmussen |
Dato : 11-12-05 22:39 |
|
"Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote:
>Når routeren tillader UPnP, kan routeren omgåes, hvilket XP's firewall
>alligevel nok ikke vil forhindre.
Her du lidt flere oplysninger om UPnP - Måske links til værktøjer der
kan bruges i denne sammenhæng. Jeg kan ikke lige finde noget interessant
på goggle....
Checkede min router, og selvfølgelig var UPnP aktiveret. Og værre endnu
er der åbenbart defineret en virtuel server via UPnP, der sender al
trafik til WAN sidens UDP port 6073 ud som broadcast på lokalnettet...
Det er muligvis noget ganske uskyldigt - Microsoft DirectPlay - men jeg
bryder mig ikke om der foregår den slags aktivitet bag min ryg
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Christian E. Lysel (11-12-2005)
| Kommentar
Fra : Christian E. Lysel |
Dato : 11-12-05 23:04 |
|
Michael Rasmussen wrote:
> Her du lidt flere oplysninger om UPnP - Måske links til værktøjer der
> kan bruges i denne sammenhæng. Jeg kan ikke lige finde noget interessant
> på goggle....
Jo, du kan:
http://www.google.dk/search?q=upnp+firewall
Søger du rent på upnp, giver første hit:
http://www.upnp.org
Hvor http://www.upnp.org/standardizeddcps/igd.asp er mest interessant.
> Checkede min router, og selvfølgelig var UPnP aktiveret. Og værre endnu
> er der åbenbart defineret en virtuel server via UPnP, der sender al
> trafik til WAN sidens UDP port 6073 ud som broadcast på lokalnettet...
Ja, dejligt ikk'?
> Det er muligvis noget ganske uskyldigt - Microsoft DirectPlay - men jeg
> bryder mig ikke om der foregår den slags aktivitet bag min ryg
Du er ikke den eneste....denne gut har vedlagt et trace:
http://www.governmentsecurity.org/archive/t15070.html
| |
Axel Hammerschmidt (12-12-2005)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 12-12-05 23:37 |
|
Christian E. Lysel <sunsite.dk@spindelnet.dk> wrote:
> Michael Rasmussen wrote:
<snip>
> > Checkede min router, og selvfølgelig var UPnP aktiveret. Og værre endnu
> > er der åbenbart defineret en virtuel server via UPnP, der sender al
> > trafik til WAN sidens UDP port 6073 ud som broadcast på lokalnettet...
>
> Ja, dejligt ikk'?
Under routerens Setup, i UPnP: Do you want to enable the UPnP monitoring
and logging function? er sat til "No" i min router; en SMC7004ABR. Kan
Windows, uden min medvirken, åbne for adgang?
| |
Axel Hammerschmidt (12-12-2005)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 12-12-05 23:48 |
|
Axel Hammerschmidt <hlexa@hotmail.com> wrote:
> Under routerens Setup, i UPnP: Do you want to enable the UPnP monitoring
> and logging function? er sat til "No" i min router; en SMC7004ABR. Kan
> Windows, uden min medvirken, åbne for adgang?
Der er password på til opsætning på routeren.
| |
Christian E. Lysel (12-12-2005)
| Kommentar
Fra : Christian E. Lysel |
Dato : 12-12-05 23:58 |
|
Axel Hammerschmidt wrote:
>>Under routerens Setup, i UPnP: Do you want to enable the UPnP monitoring
>>and logging function? er sat til "No" i min router; en SMC7004ABR. Kan
>>Windows, uden min medvirken, åbne for adgang?
> Der er password på til opsætning på routeren.
Hvis din windows køre en netværks- eller keyboard sniffer, eller en
lokal proxy, vil man selvfølgelig også kunne få adgang til routeren. Men
det kræver selfølgelig man har en troj på indersiden.
Måske kan XSS benyttes i et angreb, hvis sysadm læser logfiler fra
routerens webserver.
| |
Christian E. Lysel (12-12-2005)
| Kommentar
Fra : Christian E. Lysel |
Dato : 12-12-05 23:51 |
|
Axel Hammerschmidt wrote:
>>>Checkede min router, og selvfølgelig var UPnP aktiveret. Og værre endnu
>>>er der åbenbart defineret en virtuel server via UPnP, der sender al
>>>trafik til WAN sidens UDP port 6073 ud som broadcast på lokalnettet...
Selv en XBOX kan finde ud at åbne.
>>Ja, dejligt ikk'?
> Under routerens Setup, i UPnP: Do you want to enable the UPnP monitoring
> and logging function? er sat til "No" i min router; en SMC7004ABR. Kan
Hvordan skal det forståes "monitoring and logging" ... er det ikke kun
logningsmulighederne der slåes fra, køre UPnP stadigvæk, eller har de
blot brugt en uheldig formulering?
> Windows, uden min medvirken, åbne for adgang?
Ikke via UPnP, hvis UPnP er slået fra.
| |
Axel Hammerschmidt (13-12-2005)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 13-12-05 13:46 |
|
Christian E. Lysel <sunsite.dk@spindelnet.dk> wrote:
> Axel Hammerschmidt wrote:
> >>>Checkede min router, og selvfølgelig var UPnP aktiveret. Og værre endnu
> >>>er der åbenbart defineret en virtuel server via UPnP, der sender al
> >>>trafik til WAN sidens UDP port 6073 ud som broadcast på lokalnettet...
>
> Selv en XBOX kan finde ud at åbne.
>
> >>Ja, dejligt ikk'?
> > Under routerens Setup, i UPnP: Do you want to enable the UPnP monitoring
> > and logging function? er sat til "No" i min router; en SMC7004ABR. Kan
>
> Hvordan skal det forståes "monitoring and logging" ... er det ikke kun
> logningsmulighederne der slåes fra, køre UPnP stadigvæk, eller har de
> blot brugt en uheldig formulering?
Virkelig godt spørgsmål!
Jeg opfattede det i første omgang overfladisk som at UPnP monitoring i
routeren var en "lyttefunktion" for trafik på port nr 5000, som så ikke
blev afvist. Hvor trafikken så sendes hen på LAN-siden er et andet
spørgsmål.
Men det kan lige så godt være at routeren bare logger trafik på port
5000 og gemmer det. Og så skal funktionen være slået til.
Der står ikke et dyt om UPnP i manualen - som er på "Cirkus Engelsk".
> > Windows, uden min medvirken, åbne for adgang?
>
> Ikke via UPnP, hvis UPnP er slået fra.
Slået fra hvor?
På Gibsons side kan man hente en (.bat?) fil som slår UPnP fra i
Windows. Til min overraskelse kunne jeg læse at filen også bruges med
Win2K - det Windows styresystem jeg normalt bruger. Jeg troede UPnP var
et Xp "problem".
Desuden scanner jeg regelmæssigt på Steve Gibsons sider (fordi jeg
aldrig kan huske adresserne på de andre ganske udemærkede tilsvarende
sider) og der har aldrig været respons på port 5000.
Hvis jeg skulle gætte, så kunne UPnP være noget i retning af en "bagdør"
i Windows.
| |
Christian E. Lysel (13-12-2005)
| Kommentar
Fra : Christian E. Lysel |
Dato : 13-12-05 18:01 |
|
Axel Hammerschmidt wrote:
> Der står ikke et dyt om UPnP i manualen - som er på "Cirkus Engelsk".
>>>Windows, uden min medvirken, åbne for adgang?
>>Ikke via UPnP, hvis UPnP er slået fra.
> Slået fra hvor?
Jeg tænkte på routeren.
> På Gibsons side kan man hente en (.bat?) fil som slår UPnP fra i
Som slår en windows klient service fra.
> Hvis jeg skulle gætte, så kunne UPnP være noget i retning af en "bagdør"
> i Windows.
Nej, det er omvendt, et API som spil og diverse programmer kan bruge til
at pille i en NAT router, der forhindre applikationerne i at virke.
Eller kan det også bruges til at pille i XP's firewall?
| |
Kent Friis (13-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 13-12-05 18:14 |
|
Den Tue, 13 Dec 2005 18:00:45 +0100 skrev Christian E. Lysel:
> Axel Hammerschmidt wrote:
>> Der står ikke et dyt om UPnP i manualen - som er på "Cirkus Engelsk".
>
>>>>Windows, uden min medvirken, åbne for adgang?
>>>Ikke via UPnP, hvis UPnP er slået fra.
>
>> Slået fra hvor?
>
> Jeg tænkte på routeren.
>
>> På Gibsons side kan man hente en (.bat?) fil som slår UPnP fra i
>
> Som slår en windows klient service fra.
>
>> Hvis jeg skulle gætte, så kunne UPnP være noget i retning af en "bagdør"
>> i Windows.
>
> Nej, det er omvendt, et API som spil og diverse programmer kan bruge til
> at pille i en NAT router, der forhindre applikationerne i at virke.
>
> Eller kan det også bruges til at pille i XP's firewall?
I første version kunne det faktisk bruges til at angribe en
computer. Eller rettere, mange computere, for det virkede også
med broadcast.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Peder Vendelbo Mikke~ (18-12-2005)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 18-12-05 02:16 |
|
Christian E. Lysel skrev:
> Nej, det er omvendt, et API som spil og diverse programmer kan
> bruge til at pille i en NAT router, der forhindre applikationerne i
> at virke.
> Eller kan det også bruges til at pille i XP's firewall?
Jeg aner ikke om upnp kan anvendes til det, men så kan et
installationsprogram eller
et eventuelt medfølgende fejlsøgningsprogram bare anvende netsh, da
brugeren
naturligvis skal køre med adminkontoen når programmet skal installeres
og derfor kan
lave ændringer i firewallopsætningen.
Denne kommando giver en udmærket kort beskrivelse af mulighederne for at
åbne en
port:
"netsh firewall add portopening /?"
Denne kommando giver en udmærket kort beskrivelse af mulighederne for at
tillade
at et program får adgang gennem firewallen:
"netsh firewall add allowedprogram /?"
--
Hvis livet er en lang læringsproces, hvornår har man så gennemført en
lang
videregående uddannelse?
| |
Kent Friis (13-12-2005)
| Kommentar
Fra : Kent Friis |
Dato : 13-12-05 17:54 |
|
Den Mon, 12 Dec 2005 23:37:00 +0100 skrev Axel Hammerschmidt:
> Christian E. Lysel <sunsite.dk@spindelnet.dk> wrote:
>
>> Michael Rasmussen wrote:
>
> <snip>
>
>> > Checkede min router, og selvfølgelig var UPnP aktiveret. Og værre endnu
>> > er der åbenbart defineret en virtuel server via UPnP, der sender al
>> > trafik til WAN sidens UDP port 6073 ud som broadcast på lokalnettet...
>>
>> Ja, dejligt ikk'?
>
> Under routerens Setup, i UPnP: Do you want to enable the UPnP monitoring
> and logging function? er sat til "No" i min router; en SMC7004ABR. Kan
> Windows, uden min medvirken, åbne for adgang?
At du har slået log'ning fra gør kun at du ikke kan SE at den gør
det.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
poul.b.hansen. (27-02-2006)
| Kommentar
Fra : poul.b.hansen. |
Dato : 27-02-06 19:40 |
|
"J. Jensen" <ajgj(A)stofanetNOSPAM.dk> skrev i en meddelelse
news:439c1c6b$0$10871$ba624c82@nntp02.dk.telia.net...
> Efter et råd her fra gruppen har jeg netop installeret en bredbåndsrouter,
> der blot skal udnyttes som "Hardware Firewall" for min stand alone PC.
> Jeg købte en DI-604 fra D-Link.
> Ved installation af routeren fik jeg besked om, at Firewall'en i WindowsXP
> skulle deaktiveres (det blev den automatisk) da der skulle kunne opstå
> konflikter mellem de to Firewalls.
> Dette undrer mig umiddelbart meget, da jeg blot opfatter virkningen af
> routeren DI-604 som en ydre skærm, der da ikke burde kunne konflikte med
> Windows Firewall ?
> Efter denne oplysning skulle det jo ikke være muligt at gardere sig med
> såvel en Hardware Firewall som en Software Firewall, hvad der da ikke kan
> passe ?
> Jeg har endnu ikke forsøgt at aktivere WindowsXP's Firewall igen.
> Er der nogen i gruppen der kan hjælpe mig med en kommentar til ovenstående
> ?
> Med venlig hilsen
> Jensen
>
>
hej
prøv at gå ind på http:\www,grc.com,kør shilds up,se hvad den siger,prøv så
at slå windows firewall til og prøv igen
| |
Kent Friis (27-02-2006)
| Kommentar
Fra : Kent Friis |
Dato : 27-02-06 21:01 |
|
Den Mon, 27 Feb 2006 19:40:04 +0100 skrev poul.b.hansen.:
>
> "J. Jensen" <ajgj(A)stofanetNOSPAM.dk> skrev i en meddelelse
> news:439c1c6b$0$10871$ba624c82@nntp02.dk.telia.net...
>> Efter et råd her fra gruppen har jeg netop installeret en bredbåndsrouter,
>> der blot skal udnyttes som "Hardware Firewall" for min stand alone PC.
>> Jeg købte en DI-604 fra D-Link.
>> Ved installation af routeren fik jeg besked om, at Firewall'en i WindowsXP
>> skulle deaktiveres (det blev den automatisk) da der skulle kunne opstå
>> konflikter mellem de to Firewalls.
>> Dette undrer mig umiddelbart meget, da jeg blot opfatter virkningen af
>> routeren DI-604 som en ydre skærm, der da ikke burde kunne konflikte med
>> Windows Firewall ?
>> Efter denne oplysning skulle det jo ikke være muligt at gardere sig med
>> såvel en Hardware Firewall som en Software Firewall, hvad der da ikke kan
>> passe ?
>> Jeg har endnu ikke forsøgt at aktivere WindowsXP's Firewall igen.
>> Er der nogen i gruppen der kan hjælpe mig med en kommentar til ovenstående
>> ?
>> Med venlig hilsen
>> Jensen
>>
>>
> hej
> prøv at gå ind på http:\www,grc.com,kør shilds up,se hvad den siger,prøv så
> at slå windows firewall til og prøv igen
1. Hvad hjælper det på en forklaring på hvor konflikten ligger imellem
en D-link router og Windows firewall?
2. http://www.grcsucks.com/
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
|
|