---

Hej NG

Hvilkem sikkerhedsmæssig risiko er der ved at have en port, som ikke har en
service tilknyttet, der står åben?

På forhånd tak
Mike

---

"Mike" <no@spam.com> writes:

>Hvilkem sikkerhedsmæssig risiko er der ved at have en port, som ikke har en
>service tilknyttet, der står åben?

En port kan ikke stå åben, medmindre en service lytter på den.

Det er netop definitionen på "åben".

Mvh.
   Klaus.

---

>>Hvilkem sikkerhedsmæssig risiko er der ved at have en port, som ikke har
>>en
>>service tilknyttet, der står åben?
>
> En port kan ikke stå åben, medmindre en service lytter på den.
>
> Det er netop definitionen på "åben".
>

Det besvarer halvt hvad jeg søger.
Jeg tænkte nemlig, med henblik på, om det har nogen betydning at lukke en
port med en firewall, hvis der alligevel ikke står en service og lyttede på
den.
Men hvad vis man bliver offer for DoS angreb eller en trojaner. Vil det have
nogen betydning at lukke en port i firewallen så?

På forhånd tak.
Mike.

---

"Mike" <no@spam.com> writes:

>Jeg tænkte nemlig, med henblik på, om det har nogen betydning at lukke en
>port med en firewall, hvis der alligevel ikke står en service og lyttede på
>den.

Det har ingen umiddelbar betydning. Man kan argumentere for, at
firewallen måske kan "redde" situationen, hvis noget malware en
dag finder på at åbne en port. Uden firewall kan malware snakke
med omverdenen. Men det meste malware kører som Administrator,
og så kan det jo bare lukke firewallen ned selv.

En hardware-firewall er derfor en god plan, hvis man har sådanne
bekymringer. Omvendt er det stort set underordnet at "beskytte"
sig, når man først har fået malware inden for døren. Den slags
kan lave rigelig skade uden at skulle åbne en port først.

>Men hvad vis man bliver offer for DoS angreb eller en trojaner.

De fleste DoS-angreb kræver en tilgængelig service for at virke.
DDoS (Distributed Denial of Service) kan man ikke beskytte sig
mod. Her er det alene den massive mængde af IP-trafik, der er
problemet. Om der er en service eller ej, har ingen betydning.

Trojaner: se malware ovenfor.

Mvh.
   Klaus.

---

Mike skrev:
>>> Hvilkem sikkerhedsmæssig risiko er der ved at have en port, som ikke har
>>> en
>>> service tilknyttet, der står åben?
>> En port kan ikke stå åben, medmindre en service lytter på den.
>>
>> Det er netop definitionen på "åben".
>>
>
> Det besvarer halvt hvad jeg søger.
> Jeg tænkte nemlig, med henblik på, om det har nogen betydning at lukke en
> port med en firewall, hvis der alligevel ikke står en service og lyttede på
> den.
> Men hvad vis man bliver offer for DoS angreb eller en trojaner. Vil det have
> nogen betydning at lukke en port i firewallen så?
>

Jeg vil helt klart mene at firewallen skal have alt lukket undtagen de
porte der er nødvendige. Det både indgående men også udgåendende.
Netop hvis der komme en trojaner ind vil det at der er lukket både ind
og ud på forhindre eller besværliggøre det for trojaneren at "ringe hjem".

/Andreas

---

On Sun, 08 Jul 2007 14:20:13 +0200, Andreas Lorensen
<andlo@sodemark.dk> wrote:

>Jeg vil helt klart mene at firewallen skal have alt lukket undtagen de
>porte der er nødvendige. Det både indgående men også udgåendende.
>Netop hvis der komme en trojaner ind vil det at der er lukket både ind
>og ud på forhindre eller besværliggøre det for trojaneren at "ringe hjem".

Hvad vil du filtrere på for at forhindre en trojaner i at "ringe
hjem"?

---

On Sun, 8 Jul 2007 14:05:03 +0200, "Mike" <no@spam.com> wrote:

>>>Hvilkem sikkerhedsmæssig risiko er der ved at have en port, som ikke har
>>>en
>>>service tilknyttet, der står åben?
>>
>> En port kan ikke stå åben, medmindre en service lytter på den.
>>
>> Det er netop definitionen på "åben".
>>
>
>Det besvarer halvt hvad jeg søger.
>Jeg tænkte nemlig, med henblik på, om det har nogen betydning at lukke en
>port med en firewall, hvis der alligevel ikke står en service og lyttede på
>den.

En firewall åbner og lukker som sådan ikke porte. Den filtrer blot
trafikken til og fra - d.v.s. den kan f.eks. forhindre trafik i at nå
frem til en åben port - men porten er for så vidt stadig åben.

Med en firewall at "lukke" en port som der ikke i forvejen er nogen
lyttende service på betyder blot at porten går fra at fremstå som
værende "lukket" til at være "filtreret".

Nogen mener stadig det giver mening at "lukke" porte med en firewall
selv om de er lukkede i forvejen. Det gi'r følgende forskel: Når man
kontakter en lukket port vil man normalt få et svar tilbage der
fortæller at porten er lukket (en såkaldt TCP RST). Med en firewall
kan man helt lade være med at svare. Det er der nogen der anser for en
yderligere sikkerhedsmekanisme (jeg gør ikke) - og det kan der komme
en vældig lang religiøs debat ud af.

---

Den Sun, 08 Jul 2007 13:31:42 GMT skrev Straight Talk:
>
> Nogen mener stadig det giver mening at "lukke" porte med en firewall
> selv om de er lukkede i forvejen. Det gi'r følgende forskel: Når man
> kontakter en lukket port vil man normalt få et svar tilbage der
> fortæller at porten er lukket (en såkaldt TCP RST).

Det samme vil man med en ordentlig firewall.

> Med en firewall kan man helt lade være med at svare.

Hvilket er i strid med TCP-protokollen. Altså det der hedder "defekt".

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 08 Jul 2007 13:36:45 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Den Sun, 08 Jul 2007 13:31:42 GMT skrev Straight Talk:
>>
>> Nogen mener stadig det giver mening at "lukke" porte med en firewall
>> selv om de er lukkede i forvejen. Det gi'r følgende forskel: Når man
>> kontakter en lukket port vil man normalt få et svar tilbage der
>> fortæller at porten er lukket (en såkaldt TCP RST).
>
>Det samme vil man med en ordentlig firewall.
>
>> Med en firewall kan man helt lade være med at svare.
>
>Hvilket er i strid med TCP-protokollen. Altså det der hedder "defekt".

Jeg er enig.

---

On 08 Jul 2007 13:36:45 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Den Sun, 08 Jul 2007 13:31:42 GMT skrev Straight Talk:
>>
>> Nogen mener stadig det giver mening at "lukke" porte med en firewall
>> selv om de er lukkede i forvejen. Det gi'r følgende forskel: Når man
>> kontakter en lukket port vil man normalt få et svar tilbage der
>> fortæller at porten er lukket (en såkaldt TCP RST).
>
>Det samme vil man med en ordentlig firewall.
>
>> Med en firewall kan man helt lade være med at svare.
>
>Hvilket er i strid med TCP-protokollen. Altså det der hedder "defekt".

Enig. Men desværre mere og mere udbredt. Stort set alle hjemmeroutere
tilbyder det. Selv windows egen "firewall" fungerer sådan.

---

Den Sun, 08 Jul 2007 13:44:18 GMT skrev Straight Talk:
> On 08 Jul 2007 13:36:45 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>Hvilket er i strid med TCP-protokollen. Altså det der hedder "defekt".
>
> Selv windows egen "firewall" fungerer sådan.

Har Microsoft nogensinde kunnet finde ud af at følge en standard?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 08 Jul 2007 13:47:52 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Den Sun, 08 Jul 2007 13:44:18 GMT skrev Straight Talk:

>> Selv windows egen "firewall" fungerer sådan.
>
>Har Microsoft nogensinde kunnet finde ud af at følge en standard?

Næh. Men det er jo desværre med den slags som det er med det danske
sprog. Når noget forkert bliver gentaget tit nok ender det med at
blive rigtigt.

---

>> Med en firewall kan man helt lade være med at svare.
>
> Hvilket er i strid med TCP-protokollen. Altså det der hedder "defekt".

Hvilket problem ligger der i at firewallen ikke svarer ud over det er i
strid med TCP protokollen? Er der overhovedet en fordel ved at lade være med
at svare?

Mike.

---

"Mike" <no@spam.com> writes:

>> Hvilket er i strid med TCP-protokollen. Altså det der hedder "defekt".

>Hvilket problem ligger der i at firewallen ikke svarer ud over det er i
>strid med TCP protokollen?

Som udgangspunkt intet. Man kan på teoretisk plan argumentere for,
at der vil være lang timeout for dem, der forsøger at connecte.

Men hvis folk er dumme nok til at connecte til noget, de ikke har
noget at gøre på, hvorfor så "hjælpe" dem?

Jeg plejer at sige, at dem, der hænger sig i RFC'erne på det niveau,
ikke har noget at gøre på USENET. Man overtræder nemlig RFC1036 på
det groveste, når man poster et indlæg. Så hvorfor må de skælde ud
på andre, der overtræder en RFC, når de ikke er et hak bedre selv?

>Er der overhovedet en fordel ved at lade være med at svare?

Nope. Det er bare gået hen og blevet "default behavior" for langt
de fleste slutbruger-systemer.

Mvh.
   Klaus.

---

On Sun, 8 Jul 2007 19:16:38 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:

>Jeg plejer at sige, at dem, der hænger sig i RFC'erne på det niveau,
>ikke har noget at gøre på USENET. Man overtræder nemlig RFC1036 på
>det groveste, når man poster et indlæg. Så hvorfor må de skælde ud
>på andre, der overtræder en RFC, når de ikke er et hak bedre selv?

Nu er det jo ikke alle RFC'er der er ophøjet til standarder.

---

Straight Talk <b__nice@hotmail.com> writes:

>Nu er det jo ikke alle RFC'er der er ophøjet til standarder.

Men der er heller ingen lov, der siger, at man skal overholde de
RFC'er, de er i Standards Track. Det hele handler om, at man er
relativt enige om, hvad der skal ske.

For nu at omskrive Postel en smule: Hvis det er et problem (i
praksis) for én, at nogen ikke vælger at svare på en TCP SYN,
skyldes det udelukkende, at ens eget system er noget skrammel.

Mvh.
   Klaus.

---

On Sun, 8 Jul 2007 13:10:51 +0200, "Mike" <no@spam.com> wrote:

>Hej NG
>
>Hvilkem sikkerhedsmæssig risiko er der ved at have en port, som ikke har en
>service tilknyttet, der står åben?

Har du da et eksempel på det?

---

On Sun, 2007-07-08 at 14:05 +0200, Mike wrote:
> Jeg tænkte nemlig, med henblik på, om det har nogen betydning at lukke en
> port med en firewall, hvis der alligevel ikke står en service og lyttede på
> den.

Du kan logge hvad der sker....hvad du skal bruge det til ved jeg ikke.

> Men hvad vis man bliver offer for DoS angreb eller en trojaner. Vil det have
> nogen betydning at lukke en port i firewallen så?

En maskine med en software firewall skal igennem mere kode, dvs. den
skal bruge mere CPU kraft og disk I/O (skrivning til logfiler). I et DoS
angreb kan det godt give problemer. Nogle er dog så fornuftige at de
skriver "beskeden er gentaget 1000 gange" istedet for at logge 1000
linier.

---

Den Mon, 09 Jul 2007 08:05:26 +0200 skrev Christian E. Lysel:
> On Sun, 2007-07-08 at 14:05 +0200, Mike wrote:
>> Jeg tænkte nemlig, med henblik på, om det har nogen betydning at lukke en
>> port med en firewall, hvis der alligevel ikke står en service og lyttede på
>> den.
>
> Du kan logge hvad der sker....hvad du skal bruge det til ved jeg ikke.
>
>> Men hvad vis man bliver offer for DoS angreb eller en trojaner. Vil det have
>> nogen betydning at lukke en port i firewallen så?
>
> En maskine med en software firewall skal igennem mere kode, dvs. den
> skal bruge mere CPU kraft og disk I/O (skrivning til logfiler). I et DoS
> angreb kan det godt give problemer. Nogle er dog så fornuftige at de
> skriver "beskeden er gentaget 1000 gange" istedet for at logge 1000
> linier.

For at gøre det helt tydelig: En form for denial of service består
faktisk i at fylde serverens disk op med log-filer, så programmer der
har brug for at oprette filer ikke kan køre pga. disk full.

Det forudsætter naturligvis at der ikke er nogen begrænsninger i
logfilens størrelse. Alternativt, hvis begrænsningerne gør at ting
holder op med at virke når log-filen har nået max størrelse, kan
det tilsvarende udnyttes (fx er det kun administrator der må logge
ind på en Windows-maskine hvor security-loggen er fyldt).

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).