---

Hej alle

Det følgende angår Windowssystemer (og mest XP naturligvis).

Det er mest et hypotetisk spørgsmål fordi jeg benytter NetBEUI
som LAN-protokol, men der var en der påstod at man kan opnå det
samme ved en korrekt opsætning af TCP.

Spørgsmålet er altså om man kan sætte Windows op med TCP som
LAN-protokol på en sådan måde at det er 'sikkert' at sætte den
direkte til internettet. Fil- og udskriftsdeling er aktiveret og
knyttet til TCP.

Det forudsættes at der overhovedet ikke er anden beskyttelse,
altså ingen firewall, AV-programmer eller andet og ingen router.

'Sikkert' er naturligvis ikke 100% sikkert. Det er vel ingenting.
Jeg mener lige så sikkert som NetBEUI som ikke kan routes på
internettet.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen wrote:
>
> Det forudsættes at der overhovedet ikke er anden beskyttelse,
> altså ingen firewall, AV-programmer eller andet og ingen router.

Der vil da altid være en router. Hvis du ikke selv har en stående,
så kommunikerer du jo bare direkte med en af udbyderens routere.
Jeg går ud fra, at det du mener er, at der ikke foregår NAT eller
filtrering i nogen af routerne.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

---

Kasper Dupont skrev:

> Der vil da altid være en router.

Det var ikke svar på mit spørgsmål.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

On Mon, 30 Jan 2006 13:36:50 +0100, Kasper Dupont
<82888867477440375150@expires.13.mar.2006.kasperd.net.invalid> wrote:

> Der vil da altid være en router.

Ja, men hvis den står ved udbyderen, router den ikke NetBEUI -- Det
kan ikke routes -- hvilket kan give et niveau af sikkerhed (næsten)
svarende til slet ikke at have de pågældende services kørende, fordi
de ikke kan nås fra Internet.

-A

---

Asbjorn Hojmark wrote:
>
> On Mon, 30 Jan 2006 13:36:50 +0100, Kasper Dupont
> <82888867477440375150@expires.13.mar.2006.kasperd.net.invalid> wrote:
>
> > Der vil da altid være en router.
>
> Ja, men hvis den står ved udbyderen, router den ikke NetBEUI -- Det
> kan ikke routes -- hvilket kan give et niveau af sikkerhed (næsten)
> svarende til slet ikke at have de pågældende services kørende, fordi
> de ikke kan nås fra Internet.

Så er det interessante spørgsmål hvordan man er stillet, hvis
der skulle vise sig at være et sikkerhedshul i den pågældende
router. Er man sikret såfremt en angriber kunne overtage routeren
og sende vilkårlig trafik på interfacet imod kundens netværk. Det
kommer nok an på, hvad der ellers er af udstyr imellem routeren
og computerne. Der vil nok være en eller anden form for modem og
en switch.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

---

On Mon, 30 Jan 2006 14:53:52 +0100, Kasper Dupont
<28566044074572845450@expires.13.mar.2006.kasperd.net.invalid> wrote:

> Så er det interessante spørgsmål hvordan man er stillet, hvis der
> skulle vise sig at være et sikkerhedshul i den pågældende router.
> Er man sikret såfremt en angriber kunne overtage routeren og sende
> vilkårlig trafik på interfacet imod kundens netværk.

Nej, det er man ikke sikret mod.

> Det kommer nok an på, hvad der ellers er af udstyr imellem routeren
> og computerne. Der vil nok være en eller anden form for modem og
> en switch.

Hverken et modem eller en switch vil stoppe NetBEUI, der udbredes fri
på Lag 2 (givet at der ikke filtreres på det, selvfølgelig, men det er
ganske givet ikke typisk). Det var noget af det, jeg var inde på i det
næst-sidste afsnit af <o02st1t6618eiafokihsi5e4d07mjjp0cq@4ax.com>

-A

---

On Mon, 30 Jan 2006 13:23:59 +0100, Bertel Lund Hansen
<nospamfilius@lundhansen.dk> wrote:

> Det er mest et hypotetisk spørgsmål fordi jeg benytter NetBEUI som
> LAN-protokol, men der var en der påstod at man kan opnå det samme
> ved en korrekt opsætning af TCP.

Du skal ikke bruge for alt meget tid på at forsøge at finde mening i
hvad Axel Hammerschmidt skriver...

> Spørgsmålet er altså om man kan sætte Windows op med TCP som LAN-
> protokol på en sådan måde at det er 'sikkert' at sætte den direkte
> til internettet. Fil- og udskriftsdeling er aktiveret og knyttet
> til TCP.

Brug af NetBEUI er jo en administrativt nem måde at få deling af fil-
og print, uden at exponere (yderligere) services mod Internet. Der er
ikke nogen nem måde at gøre det samme på ved brug af CIFS over IP isf
CIFS over NetBEUI.

Man kan bruge personlige firewalls, simpel ip-filtrering etc., men det
vil du jo ikke.

Det mest oplagte er IMO at bruge en router med NAT, når man har et
lille LAN, og i sådan et setup er NetBEUI ikke nødvendigt. En Linksys
WRT54G koster fx mindre end 500 kr, og så får man trådløst og fire
kablede pc'er på nettet. Det er IMO en bedre investering end at bruge
tid på NetBEUI. But YMMV.

Når du sætter maskiner 'direkte' på Internet med NetBEUI, så skal du i
øvrigt være *helt* sikker på, hvad det er for en type af forbindelse,
hvis sikkerheden faktisk skal være bedre end med TCP/IP. Hvis det fx
er et bolig-net, kan der sidde mange brugere i samme broadcast-domæne,
og de kan også alle 'se' NetBEUI-maskinerne. Der er andre Internet-
forbindelser, der også er baseret på Ethernet og/eller broadcast-
teknologi, hvor problemstillingen vil være det samme.

Endelig kan man selvfølgelig diskutere, hvor dårlig sikkerheden er i
fil- og printerdeling. Hvis det er en fuldt patchet maskine med gode
passwords, er det vel begrænset, hvor farligt det er at have den på
nettet. Personligt ville jeg nok ikke gøre det, but YMMV.

-A

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:

> On Mon, 30 Jan 2006 13:23:59 +0100, Bertel Lund Hansen
> <nospamfilius@lundhansen.dk> wrote:
>
> > Det er mest et hypotetisk spørgsmål fordi jeg benytter NetBEUI som
> > LAN-protokol, men der var en der påstod at man kan opnå det samme
> > ved en korrekt opsætning af TCP.
>
> Du skal ikke bruge for alt meget tid på at forsøge at finde mening i
> hvad Axel Hammerschmidt skriver...

Det var nu Calle der skrev det, som OP forsøger at gengive her. Det er
selvfølgelig tidskrævende, når folk selv ikke læser det der faktisk
bliver skrevet. Og det gælder jo osse dig.

---

Asbjorn Hojmark skrev:

> Man kan bruge personlige firewalls, simpel ip-filtrering etc., men det
> vil du jo ikke.

Nu var jeg primært interesseret i det hypotetiske spørgsmål.
Firewallen i min Linksys router (og kundens) er aktiv fordi den
ikke generer på nogen måde, og jeg kender også godt princippet i
NAT.

> Det mest oplagte er IMO at bruge en router med NAT, når man har et
> lille LAN, og i sådan et setup er NetBEUI ikke nødvendigt.

Okay.

> Når du sætter maskiner 'direkte' på Internet med NetBEUI, så
> skal du i øvrigt være *helt* sikker på, hvad det er for en
> type af forbindelse, hvis sikkerheden faktisk skal være bedre
> end med TCP/IP.

Ja.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Asbjorn Hojmark wrote in
<news:o02st1t6618eiafokihsi5e4d07mjjp0cq@4ax.com>:

>> Det er mest et hypotetisk spørgsmål fordi jeg benytter NetBEUI som
>> LAN-protokol, men der var en der påstod at man kan opnå det samme
>> ved en korrekt opsætning af TCP.
>
> Du skal ikke bruge for alt meget tid på at forsøge at finde mening i
> hvad Axel Hammerschmidt skriver...

I second that notion.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

This space for rant.

---

Niels Callesøe skrev

: Asbjorn Hojmark wrote

<snip>

: > Du skal ikke bruge for alt meget tid på at forsøge at finde mening i
: > hvad Axel Hammerschmidt skriver...
:
: I second that notion.

Callesøe. Calle...?

---

Bertel Lund Hansen wrote:
> Spørgsmålet er altså om man kan sætte Windows op med TCP som
> LAN-protokol på en sådan måde at det er 'sikkert' at sætte den
> direkte til internettet. Fil- og udskriftsdeling er aktiveret og
> knyttet til TCP.

Ja, du kan pakke alt lokal trafik ind i IPsec, Windows 2000 og nyere
understøtter dette i default installationen.

http://www.microsoft.com/technet/itsolutions/network/ipsec/default.mspx

> Det forudsættes at der overhovedet ikke er anden beskyttelse,
> altså ingen firewall, AV-programmer eller andet og ingen router.

Hmmm, ovenstående benytter vist nok nogle IP filter regler lokalt på
maskinerne...er dog ikke 100% sikker, det er for lang tid siden jeg har
læst på det.

Ellers kan du jo segmenteret nettene, og smide to netværkskort i alle
PC'er, de gamle til Internet og det nye til Fildeling, og binde
Fildeling servicen og klienten til de nye netværkskort.

> 'Sikkert' er naturligvis ikke 100% sikkert. Det er vel ingenting.
> Jeg mener lige så sikkert som NetBEUI som ikke kan routes på
> internettet.

IPX kan bruges som en afløser til NetBEUI :)

---

Den Mon, 30 Jan 2006 21:42:36 +0100 skrev Christian E. Lysel:
> Bertel Lund Hansen wrote:
>>
>> 'Sikkert' er naturligvis ikke 100% sikkert. Det er vel ingenting.
>> Jeg mener lige så sikkert som NetBEUI som ikke kan routes på
>> internettet.
>
> IPX kan bruges som en afløser til NetBEUI :)

Fordelen ved NetBEUI er at den ikke kan routes. Det kan IPX sagtens.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On 30 Jan 2006 21:05:54 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>> IPX kan bruges som en afløser til NetBEUI :)

> Fordelen ved NetBEUI er at den ikke kan routes. Det kan IPX sagtens.

Well, den bliver det ikke i Internet. (NetBEUI kunne tilsvarende
principielt godt bridges rundt, men det er der ingen fornuftige folk,
der gør).

-A

---

Den Mon, 30 Jan 2006 23:58:03 +0100 skrev Asbjorn Hojmark:
> On 30 Jan 2006 21:05:54 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>> IPX kan bruges som en afløser til NetBEUI :)
>
>> Fordelen ved NetBEUI er at den ikke kan routes. Det kan IPX sagtens.
>
> Well, den bliver det ikke i Internet.

Men hvad det er ikke nødvendigvis nogen garanti for at den
enkelte udbyder ikke gør det.

> (NetBEUI kunne tilsvarende
> principielt godt bridges rundt, men det er der ingen fornuftige folk,
> der gør).

Alt kan bridges. Det skal folk nu nok lade være med, det lærer man
hurtigt når man har set hvad der sker når man forsøger at bridge
100mbit over en 64 kbit...

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:
>>Well, den bliver det ikke i Internet.
> Men hvad det er ikke nødvendigvis nogen garanti for at den
> enkelte udbyder ikke gør det.

Du er sjov :)

Der er ej nogen garanti for en udbyders NAT router, kører NAT.

Ej er der ikke nogen garanti for en udbyder køre IPv6.

> Alt kan bridges. Det skal folk nu nok lade være med, det lærer man
> hurtigt når man har set hvad der sker når man forsøger at bridge
> 100mbit over en 64 kbit...

Et det ikke kun et hub'et net der lider af det du tænker på?

Ellers giver det samme resultat som at route 100Mbit over en 64kbit.


*/ offtopic

100mbit svare til at bruge ca. 0,000000145% af kapaciteten i en 64kbit
forbindelse.

100 / 1024^2
------------ * 100
64 * 1024


/*

---

Den Tue, 31 Jan 2006 18:48:06 +0100 skrev Christian E. Lysel:
> Kent Friis wrote:
>>>Well, den bliver det ikke i Internet.
>> Men hvad det er ikke nødvendigvis nogen garanti for at den
>> enkelte udbyder ikke gør det.
>
> Du er sjov :)
>
> Der er ej nogen garanti for en udbyders NAT router, kører NAT.

Nu plejer det heller ikke at være hos udbyderen man kører NAT, men
på kundens egen router.

> Ej er der ikke nogen garanti for en udbyder køre IPv6.

Og derfor baserer jeg heller ikke min sikkerhed på en forventning
om at de gør.

>> Alt kan bridges. Det skal folk nu nok lade være med, det lærer man
>> hurtigt når man har set hvad der sker når man forsøger at bridge
>> 100mbit over en 64 kbit...
>
> Et det ikke kun et hub'et net der lider af det du tænker på?

Den primære forskel på en hub og en bridge er en hub er en "dum"
enhed, næsten bare et kabel, hvorimod en bridge kan køre forskellige
netværkstyper og hastigheder på hver side.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:
>>Der er ej nogen garanti for en udbyders NAT router, kører NAT.
> Nu plejer det heller ikke at være hos udbyderen man kører NAT, men
> på kundens egen router.

Som kan være leveret af udbyderen.

>>Ej er der ikke nogen garanti for en udbyder køre IPv6.
> Og derfor baserer jeg heller ikke min sikkerhed på en forventning
> om at de gør.

Jeg håber du baserer din sikkerhed på at de gør, således en evt. IPv6
stak også er beskyttet.

>>Et det ikke kun et hub'et net der lider af det du tænker på?
>
>
> Den primære forskel på en hub og en bridge er en hub er en "dum"
> enhed, næsten bare et kabel, hvorimod en bridge kan køre forskellige
> netværkstyper og hastigheder på hver side.

Enig, men spørgmålet gik på om ikke en bridget WAN forbindelse får de
problemmer du tænker på, hvis det lokale net er forbundet med en hub?

---

Den Tue, 31 Jan 2006 20:31:50 +0100 skrev Christian E. Lysel:
> Kent Friis wrote:
>>>Der er ej nogen garanti for en udbyders NAT router, kører NAT.
>> Nu plejer det heller ikke at være hos udbyderen man kører NAT, men
>> på kundens egen router.
>
> Som kan være leveret af udbyderen.

I så fald har du ret i at der ikke er nogen garanti for NAT. Der er
faktisk ikke nogen garanti for noget som helst, fx kan de - selvom
der er NAT - have forwardet alt ind med ens computer alligevel.

(Hvilket iøvrigt ikke er unormalt).

>>>Ej er der ikke nogen garanti for en udbyder køre IPv6.
>> Og derfor baserer jeg heller ikke min sikkerhed på en forventning
>> om at de gør.
>
> Jeg håber du baserer din sikkerhed på at de gør, således en evt. IPv6
> stak også er beskyttet.

Nej, min sikkerhed er indrettet så det er bedøvende ligegyldigt om
de gør eller ej.

Forskellen? At hvis min sikkerhed er baseret på at de gør, har jeg
et problem hvis de ikke gør.

>>>Et det ikke kun et hub'et net der lider af det du tænker på?
>>
>>
>> Den primære forskel på en hub og en bridge er en hub er en "dum"
>> enhed, næsten bare et kabel, hvorimod en bridge kan køre forskellige
>> netværkstyper og hastigheder på hver side.
>
> Enig, men spørgmålet gik på om ikke en bridget WAN forbindelse får de
> problemmer du tænker på, hvis det lokale net er forbundet med en hub?

Så er jeg ikke helt med. I modsætning til hvad? Til en switch, eller
i modsætning til switch + eth-eth-router? Eller noget helt tredje?

Mvh
kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:
>>Jeg håber du baserer din sikkerhed på at de gør, således en evt. IPv6
>>stak også er beskyttet.
>
> Nej, min sikkerhed er indrettet så det er bedøvende ligegyldigt om
> de gør eller ej.

Enig.

> Forskellen? At hvis min sikkerhed er baseret på at de gør, har jeg
> et problem hvis de ikke gør.

Du tabte mig i det argument. Hvordan kan et IPv6 filter for en IPv6
stak, udgøre et sikkerhedsproblem hvis udbyderen ikke understøtter IPv6?

> Så er jeg ikke helt med. I modsætning til hvad? Til en switch, eller
> i modsætning til switch + eth-eth-router? Eller noget helt tredje?

I modsætning til et switchet lokalnet forbundet til en bridget WAN linie.

---

Den Tue, 31 Jan 2006 21:42:08 +0100 skrev Christian E. Lysel:
> Kent Friis wrote:
>>>Jeg håber du baserer din sikkerhed på at de gør, således en evt. IPv6
>>>stak også er beskyttet.
>>
>> Nej, min sikkerhed er indrettet så det er bedøvende ligegyldigt om
>> de gør eller ej.
>
> Enig.
>
>> Forskellen? At hvis min sikkerhed er baseret på at de gør, har jeg
>> et problem hvis de ikke gør.
>
> Du tabte mig i det argument. Hvordan kan et IPv6 filter for en IPv6
> stak, udgøre et sikkerhedsproblem hvis udbyderen ikke understøtter IPv6?

Det var dig der startede med at nævne IPv6 da vi snakkede om IPX. Og
ligesom jeg ikke ønsker at basere sikkerheden på en forudsætning
om hvorvidt udbyderen router IPX, ønsker jeg naturligvis heller ikke
basere den på en forudsætning om hvorvidt de router IPv6.

Det drejede sig overhovedet ikke om IP-filtre, men om IPX som
alternativ til NetBeui.

>> Så er jeg ikke helt med. I modsætning til hvad? Til en switch, eller
>> i modsætning til switch + eth-eth-router? Eller noget helt tredje?
>
> I modsætning til et switchet lokalnet forbundet til en bridget WAN linie.

Det kommer an på lokalnettets størrelse i forhold til størrelsen af
switchens (eller bridgens for den sags skyld) Mac-tabel.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On 31 Jan 2006 20:53:27 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Det var dig der startede med at nævne IPv6 da vi snakkede om IPX. Og
> ligesom jeg ikke ønsker at basere sikkerheden på en forudsætning
> om hvorvidt udbyderen router IPX, ønsker jeg naturligvis heller ikke
> basere den på en forudsætning om hvorvidt de router IPv6.

Men du vil godt basere den på, at de ikke bridge'er NetBEUI? Med det
udstyr, der typisk står hos SP'er, og det software de typisk bruger,
vil jeg sige, det er mere sandsynligt, at de bridge'er (det kan nemlig
lade sig gøre) end at de router IPX (det kan nemlig typisk ikke lade
sig gøre).

-A