---

Hej NG,

X-post, da jeg ikke ved hvilken gruppe indlægget hører til.

Spørgsmål: Trådløs router: WRT54G - hvad betyder disse, på forståeligt
dansk?

Block WAN Requests
-------------------
1) Block Anonymous Internet Requests
2) Filter Multicast
3) Filter Internet NAT Redirection
4) Filter IDENT (Port 113)

Lige nu har jeg alle sat til. Jeg vil gerne køre noget ftp og
ssh-server, jeg kan tilgå udefra. Samtidigt vil jeg gerne have nødvendig
beskyttelse i hardware-firewall'en, i tilfælde af at jeg engang imellem
slår mine software-firewalls fra osv...

Lidt mærkeligt at når jeg har port-forward slået til så siger log'en
stadigvæk "accept'et" i når jeg f.eks. portscanner udefra, men jeg har
ikke forstået om signalet bliver filtreret væk bagefter eller om
port-forward "ikke bliver"/bliver block'et... hmmm.


mvh.
Martin

---

Martin Jørgensen wrote:
> Hej NG,
>
> X-post, da jeg ikke ved hvilken gruppe indlægget hører til.
>
> Spørgsmål: Trådløs router: WRT54G - hvad betyder disse, på forståeligt
> dansk?
>
> Block WAN Requests
> -------------------
> 1) Block Anonymous Internet Requests
> 2) Filter Multicast
> 3) Filter Internet NAT Redirection
> 4) Filter IDENT (Port 113)

For klarhedens skyld: Det er ovenstående 4 punkter jeg beder om hjælp
til at forstå...


mvh.
Martin

---

Martin Jørgensen wrote:
> Martin Jørgensen wrote:
>> Hej NG,
>>
>> X-post, da jeg ikke ved hvilken gruppe indlægget hører til.
>>
>> Spørgsmål: Trådløs router: WRT54G - hvad betyder disse, på forståeligt
>> dansk?
>>
>> Block WAN Requests
>> -------------------
>> 1) Block Anonymous Internet Requests
>> 2) Filter Multicast
>> 3) Filter Internet NAT Redirection
>> 4) Filter IDENT (Port 113)

Argh... Hvordan finder jeg svaret på hvad disse 4 ting betyder, please
(jeg vil jo gerne have det mest rigtige "sikkerhedsniveau")?


mvh.
Martin

---

On Thu, 24 Apr 2008 23:02:59 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:


>>> Block WAN Requests
>>> -------------------
>>> 1) Block Anonymous Internet Requests

Filtrerer (dropper) ICMP "ping" pakker så pings mod din WAN IP får
time out. Nogle anser dette for en sikkerhedsforanstaltning. Det gør
jeg ikke. Tværtimod kan ping-filtrering give forbindelsesproblemer i
specielle situationer.

>>> 2) Filter Multicast

Forhindrer at multicast IP-pakker fra WAN-siden sendes videre til dit
lokalnet. Kan med fordel anvendes med mindre du postitivt ved at du
har brug for det.

>>> 3) Filter Internet NAT Redirection

Forhindrer maskiner på dit lokale net i at kontakte andre servere på
samme net gennem WAN siden (udgående pakker med din WAN IP adresse som
modtager filtreres).

>>> 4) Filter IDENT (Port 113)

Filtrerer (dropper) forbindelsesforsøg til port 113. IDENT-porten
stammer fra en ældre ide' om at en server du connecter til "connecter
tilbage" til dig for at identificere dig inden du får svar. At
filtrere denne port kan derfor i sjældne tilfælde medføre
forbindelsesproblemer / svartider.

>Argh... Hvordan finder jeg svaret på hvad disse 4 ting betyder, please
>(jeg vil jo gerne have det mest rigtige "sikkerhedsniveau")?

Jeg har prøvet at give en simpel forklaring. Men nu taler du om
"sikkerhedsniveau", men ingen af ovennævnte har reelt ret meget med
sikkerhed at gøre - med mindre man er selvlært pseudosikkerhedsguru
med et stort ego og hedder Gibson f.eks.

Selv ville jeg benytte 2 og 3 - men mest af praktiske årsager.

---

Straight Talk wrote:
> On Thu, 24 Apr 2008 23:02:59 +0200, Martin Jørgensen
> <megafedt@hotmail.com> wrote:
>
>
>>>> Block WAN Requests
>>>> -------------------
>>>> 1) Block Anonymous Internet Requests
>
> Filtrerer (dropper) ICMP "ping" pakker så pings mod din WAN IP får
> time out. Nogle anser dette for en sikkerhedsforanstaltning. Det gør
> jeg ikke. Tværtimod kan ping-filtrering give forbindelsesproblemer i
> specielle situationer.

Hvorfor anser du det ikke for en sikkerhedsforanstaltning?

Hvis ikke man kender min IP i forvejen, så kan man vel ikke så let finde
ud af noget?


>>>> 2) Filter Multicast
>
> Forhindrer at multicast IP-pakker fra WAN-siden sendes videre til dit
> lokalnet. Kan med fordel anvendes med mindre du postitivt ved at du
> har brug for det.

Jeg skal have sat noget server op: FTP, SSH og måske en spilserver i
lidt tid... Jeg vil tro at så kan jeg ikke sætte det til?


>>>> 3) Filter Internet NAT Redirection
>
> Forhindrer maskiner på dit lokale net i at kontakte andre servere på
> samme net gennem WAN siden (udgående pakker med din WAN IP adresse som
> modtager filtreres).

Mange tak: Det har man da aldrig brug for, bortset til test?

Jeg kunne forestille mig lige at slå den fra og så teste om jeg gennem
WAN kan kontakte en lokal computer... Men bagefter når jeg er 100%
sikker på at det virker, så slår jeg den vel bare til?


>>>> 4) Filter IDENT (Port 113)
>
> Filtrerer (dropper) forbindelsesforsøg til port 113. IDENT-porten
> stammer fra en ældre ide' om at en server du connecter til "connecter
> tilbage" til dig for at identificere dig inden du får svar. At
> filtrere denne port kan derfor i sjældne tilfælde medføre
> forbindelsesproblemer / svartider.

Port 113. Den har jeg aldrig hørt om. Kan du uddybe det?


>> Argh... Hvordan finder jeg svaret på hvad disse 4 ting betyder, please
>> (jeg vil jo gerne have det mest rigtige "sikkerhedsniveau")?
>
> Jeg har prøvet at give en simpel forklaring. Men nu taler du om

Og mange tak for.

> "sikkerhedsniveau", men ingen af ovennævnte har reelt ret meget med
> sikkerhed at gøre - med mindre man er selvlært pseudosikkerhedsguru
> med et stort ego og hedder Gibson f.eks.

Hvorfor mener du ikke det har med sikkerhed at gøre? Hvis man slår alle
4 til, så har men vel høj sikkerhed og slår man alle 4 fra, så har man
vel lavere sikkerhed?

> Selv ville jeg benytte 2 og 3 - men mest af praktiske årsager.

hm... Gider du uddybe spørgsmålene herover?


mvh.
Martin

---

Martin Jørgensen wrote:

>>>>> 3) Filter Internet NAT Redirection
>> Forhindrer maskiner på dit lokale net i at kontakte andre servere på
>> samme net gennem WAN siden (udgående pakker med din WAN IP adresse som
>> modtager filtreres).
> Mange tak: Det har man da aldrig brug for, bortset til test?

Jeg bruger det flittigt, således at jeg kan anvende 100% samme setup på
mail hvadenten jeg er hjemme eller ude.


--
Mvh
Jesper Poulsen

---

Jesper Poulsen wrote:
> Martin Jørgensen wrote:
>
>>>>>> 3) Filter Internet NAT Redirection
>>> Forhindrer maskiner på dit lokale net i at kontakte andre servere på
>>> samme net gennem WAN siden (udgående pakker med din WAN IP adresse som
>>> modtager filtreres).
>> Mange tak: Det har man da aldrig brug for, bortset til test?
>
> Jeg bruger det flittigt, således at jeg kan anvende 100% samme setup på
> mail hvadenten jeg er hjemme eller ude.

Så fatter jeg nok ikke det du skriver...

Hvorfor kan du så anvende 100% samme setup???


mvh.
Martin

---

Martin Jørgensen wrote:

> Så fatter jeg nok ikke det du skriver...
> Hvorfor kan du så anvende 100% samme setup???

Jeg tilgår min servers interne IP-adresse via dens eksterne - det som
også kaldes WAN loopback.


--
Mvh
Jesper Poulsen

---

On Sat, 26 Apr 2008 19:34:01 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:

>Straight Talk wrote:
>> On Thu, 24 Apr 2008 23:02:59 +0200, Martin Jørgensen
>> <megafedt@hotmail.com> wrote:
>>
>>
>>>>> Block WAN Requests
>>>>> -------------------
>>>>> 1) Block Anonymous Internet Requests
>>
>> Filtrerer (dropper) ICMP "ping" pakker så pings mod din WAN IP får
>> time out. Nogle anser dette for en sikkerhedsforanstaltning. Det gør
>> jeg ikke. Tværtimod kan ping-filtrering give forbindelsesproblemer i
>> specielle situationer.
>
>Hvorfor anser du det ikke for en sikkerhedsforanstaltning?

Det er kun en sikkerhedsforanstaltning for folk der tror man kan gemme
sig på internettet. Og da du tilsyneladende vil give adgang til
forskellige servere, gi'r det slet ingen mening rent
sikkerhedsmæssigt.

>Hvis ikke man kender min IP i forvejen, så kan man vel ikke så let finde
>ud af noget?

Det forstår jeg ikke. Hvad mener du?

>>>>> 2) Filter Multicast
>>
>> Forhindrer at multicast IP-pakker fra WAN-siden sendes videre til dit
>> lokalnet. Kan med fordel anvendes med mindre du postitivt ved at du
>> har brug for det.
>
>Jeg skal have sat noget server op: FTP, SSH og måske en spilserver i
>lidt tid... Jeg vil tro at så kan jeg ikke sætte det til?

Multicast er en mere effektiv måde at sende samme mængde data til
flere modtagere på (streaming af lyd- og billeder f.eks.). I stedet
for at afsenderen sender til alle modtagere særskilt, sendes data som
multicast pakker, og så spreder netværkets routere det ud til de
segmenter/ klienter som "abbonnerer" på det. Jeg tvivler på det er
relevant for dit forehavende.

>>>>> 3) Filter Internet NAT Redirection
>>
>> Forhindrer maskiner på dit lokale net i at kontakte andre servere på
>> samme net gennem WAN siden (udgående pakker med din WAN IP adresse som
>> modtager filtreres).
>
>Mange tak: Det har man da aldrig brug for, bortset til test?

Jo, det kan nu være meget anvendeligt.

>Jeg kunne forestille mig lige at slå den fra og så teste om jeg gennem
>WAN kan kontakte en lokal computer... Men bagefter når jeg er 100%
>sikker på at det virker, så slår jeg den vel bare til?

Det kan du gøre.

>>>>> 4) Filter IDENT (Port 113)
>>
>> Filtrerer (dropper) forbindelsesforsøg til port 113. IDENT-porten
>> stammer fra en ældre ide' om at en server du connecter til "connecter
>> tilbage" til dig for at identificere dig inden du får svar. At
>> filtrere denne port kan derfor i sjældne tilfælde medføre
>> forbindelsesproblemer / svartider.
>
>Port 113. Den har jeg aldrig hørt om. Kan du uddybe det?

Søg evt. lidt på nettet. Du har sikkert alligevel lidt du skal have
læst op på hvis du vil til at have servere kørende.

>>> Argh... Hvordan finder jeg svaret på hvad disse 4 ting betyder, please
>>> (jeg vil jo gerne have det mest rigtige "sikkerhedsniveau")?
>>
>> Jeg har prøvet at give en simpel forklaring. Men nu taler du om
>
>Og mange tak for.
>
>> "sikkerhedsniveau", men ingen af ovennævnte har reelt ret meget med
>> sikkerhed at gøre - med mindre man er selvlært pseudosikkerhedsguru
>> med et stort ego og hedder Gibson f.eks.
>
>Hvorfor mener du ikke det har med sikkerhed at gøre? Hvis man slår alle
>4 til, så har men vel høj sikkerhed og slår man alle 4 fra, så har man
>vel lavere sikkerhed?

Det kan jeg ikke se. Hvilke konkrete sikkerhedsrisici skulle de
imødegå? - Dine servere og klienter skal jo alligevel sikres. En
router er ikke og har aldrig været tænkt som en sikkerhedsdims.

---

Straight Talk wrote:
> On Sat, 26 Apr 2008 19:34:01 +0200, Martin Jørgensen
> <megafedt@hotmail.com> wrote:
>
>> Straight Talk wrote:
>>> On Thu, 24 Apr 2008 23:02:59 +0200, Martin Jørgensen
>>> <megafedt@hotmail.com> wrote:
>>>
>>>
>>>>>> Block WAN Requests
>>>>>> -------------------
>>>>>> 1) Block Anonymous Internet Requests
>>> Filtrerer (dropper) ICMP "ping" pakker så pings mod din WAN IP får
>>> time out. Nogle anser dette for en sikkerhedsforanstaltning. Det gør
>>> jeg ikke. Tværtimod kan ping-filtrering give forbindelsesproblemer i
>>> specielle situationer.
>> Hvorfor anser du det ikke for en sikkerhedsforanstaltning?
>
> Det er kun en sikkerhedsforanstaltning for folk der tror man kan gemme
> sig på internettet. Og da du tilsyneladende vil give adgang til
> forskellige servere, gi'r det slet ingen mening rent
> sikkerhedsmæssigt.

Det er kun til mig selv. Så jeg mener det giver mening. Du har ikke
overbevist mig om det modsatte endnu.

>> Hvis ikke man kender min IP i forvejen, så kan man vel ikke så let finde
>> ud af noget?
>
> Det forstår jeg ikke. Hvad mener du?

Jeg mener: Hvordan vil du hacke dig ind på min SSH-server, uden at kende
IP-adressen? Du skriver at du tror ikke jeg kan gemme mig på nettet.
Dvs. du påstår at du kan finde ud af min ssh-server IP-adresse. Hvad er
den så?

>>>>>> 2) Filter Multicast
>>> Forhindrer at multicast IP-pakker fra WAN-siden sendes videre til dit
>>> lokalnet. Kan med fordel anvendes med mindre du postitivt ved at du
>>> har brug for det.
>> Jeg skal have sat noget server op: FTP, SSH og måske en spilserver i
>> lidt tid... Jeg vil tro at så kan jeg ikke sætte det til?
>
> Multicast er en mere effektiv måde at sende samme mængde data til
> flere modtagere på (streaming af lyd- og billeder f.eks.). I stedet
> for at afsenderen sender til alle modtagere særskilt, sendes data som
> multicast pakker, og så spreder netværkets routere det ud til de
> segmenter/ klienter som "abbonnerer" på det. Jeg tvivler på det er
> relevant for dit forehavende.

Hvad er fordelen ved at filtrere multicast og ulempen? Jeg googlede
lidt, men det så lidt teknisk ud og var ikke helt udpenslet nok...

>>>>>> 3) Filter Internet NAT Redirection
>>> Forhindrer maskiner på dit lokale net i at kontakte andre servere på
>>> samme net gennem WAN siden (udgående pakker med din WAN IP adresse som
>>> modtager filtreres).
>> Mange tak: Det har man da aldrig brug for, bortset til test?
>
> Jo, det kan nu være meget anvendeligt.

Hvornår?

>> Jeg kunne forestille mig lige at slå den fra og så teste om jeg gennem
>> WAN kan kontakte en lokal computer... Men bagefter når jeg er 100%
>> sikker på at det virker, så slår jeg den vel bare til?
>
> Det kan du gøre.
>
>>>>>> 4) Filter IDENT (Port 113)
>>> Filtrerer (dropper) forbindelsesforsøg til port 113. IDENT-porten
>>> stammer fra en ældre ide' om at en server du connecter til "connecter
>>> tilbage" til dig for at identificere dig inden du får svar. At
>>> filtrere denne port kan derfor i sjældne tilfælde medføre
>>> forbindelsesproblemer / svartider.
>> Port 113. Den har jeg aldrig hørt om. Kan du uddybe det?
>
> Søg evt. lidt på nettet. Du har sikkert alligevel lidt du skal have
> læst op på hvis du vil til at have servere kørende.

Jeg søgte lidt, men jeg tror det er ligegyldigt med den...

>>>> Argh... Hvordan finder jeg svaret på hvad disse 4 ting betyder, please
>>>> (jeg vil jo gerne have det mest rigtige "sikkerhedsniveau")?
>>> Jeg har prøvet at give en simpel forklaring. Men nu taler du om
>> Og mange tak for.
>>
>>> "sikkerhedsniveau", men ingen af ovennævnte har reelt ret meget med
>>> sikkerhed at gøre - med mindre man er selvlært pseudosikkerhedsguru
>>> med et stort ego og hedder Gibson f.eks.
>> Hvorfor mener du ikke det har med sikkerhed at gøre? Hvis man slår alle
>> 4 til, så har men vel høj sikkerhed og slår man alle 4 fra, så har man
>> vel lavere sikkerhed?
>
> Det kan jeg ikke se. Hvilke konkrete sikkerhedsrisici skulle de
> imødegå? - Dine servere og klienter skal jo alligevel sikres. En

Det med ping f.eks: Det forhindrer dig i at pinge en masse adresser og
finde ud af at min computer er der... Ident: lidt ligegyldigt tror jeg,
men jeg tror jeg filtrerer den. NAT redirection + multicast: Jeg er ikke
sikker på helt hvornår/hvornår ikke det skal bruges.

> router er ikke og har aldrig været tænkt som en sikkerhedsdims.

Men nu snakker vi ikke om "en router". Det er en firewall i routeren og
firewalls er tænkt til at forbedre sikkerheden...


mvh.
Martin

---

On Sun, 27 Apr 2008 17:53:45 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:

>Straight Talk wrote:
>> On Sat, 26 Apr 2008 19:34:01 +0200, Martin Jørgensen
>> <megafedt@hotmail.com> wrote:
>>
>>> Straight Talk wrote:
>>>> On Thu, 24 Apr 2008 23:02:59 +0200, Martin Jørgensen
>>>> <megafedt@hotmail.com> wrote:
>>>>
>>>>
>>>>>>> Block WAN Requests
>>>>>>> -------------------
>>>>>>> 1) Block Anonymous Internet Requests
>>>> Filtrerer (dropper) ICMP "ping" pakker så pings mod din WAN IP får
>>>> time out. Nogle anser dette for en sikkerhedsforanstaltning. Det gør
>>>> jeg ikke. Tværtimod kan ping-filtrering give forbindelsesproblemer i
>>>> specielle situationer.
>>> Hvorfor anser du det ikke for en sikkerhedsforanstaltning?
>>
>> Det er kun en sikkerhedsforanstaltning for folk der tror man kan gemme
>> sig på internettet. Og da du tilsyneladende vil give adgang til
>> forskellige servere, gi'r det slet ingen mening rent
>> sikkerhedsmæssigt.
>
>Det er kun til mig selv. Så jeg mener det giver mening. Du har ikke
>overbevist mig om det modsatte endnu.

Det er gået op for mig at du vil holde dine servere internt. Det synes
jeg ikke tidligere er fremgået af tråden, men nuvel, det ændrer ikke
ved at ping ikke er farligt.

Med mindre der er en decideret fejl i implementeringen af ICMP i din
router som kan udnyttes til angreb, hvordan mener du så helt konkret
du er bedre sikret ved ikke at svare på ping? - måske du kan
overbevise mig i stedet?

>>> Hvis ikke man kender min IP i forvejen, så kan man vel ikke så let finde
>>> ud af noget?
>>
>> Det forstår jeg ikke. Hvad mener du?
>
>Jeg mener: Hvordan vil du hacke dig ind på min SSH-server, uden at kende
>IP-adressen? Du skriver at du tror ikke jeg kan gemme mig på nettet.
>Dvs. du påstår at du kan finde ud af min ssh-server IP-adresse. Hvad er
>den så?

Det har jeg sgu da ikke påstået. Jeg er da også bedøvende ligeglad med
din IP-adresse. Det er hackere for øvrigt også. Jeg tror der er noget
du har misforstået.

>>>>>>> 2) Filter Multicast
>>>> Forhindrer at multicast IP-pakker fra WAN-siden sendes videre til dit
>>>> lokalnet. Kan med fordel anvendes med mindre du postitivt ved at du
>>>> har brug for det.
>>> Jeg skal have sat noget server op: FTP, SSH og måske en spilserver i
>>> lidt tid... Jeg vil tro at så kan jeg ikke sætte det til?
>>
>> Multicast er en mere effektiv måde at sende samme mængde data til
>> flere modtagere på (streaming af lyd- og billeder f.eks.). I stedet
>> for at afsenderen sender til alle modtagere særskilt, sendes data som
>> multicast pakker, og så spreder netværkets routere det ud til de
>> segmenter/ klienter som "abbonnerer" på det. Jeg tvivler på det er
>> relevant for dit forehavende.
>
>Hvad er fordelen ved at filtrere multicast og ulempen? Jeg googlede
>lidt, men det så lidt teknisk ud og var ikke helt udpenslet nok...

Jeg har heller ikke kunnet finde nogle sikkerhedsrelaterede
begrundelser for at filtrere det mod wan-siden.

>>>>>>> 3) Filter Internet NAT Redirection
>>>> Forhindrer maskiner på dit lokale net i at kontakte andre servere på
>>>> samme net gennem WAN siden (udgående pakker med din WAN IP adresse som
>>>> modtager filtreres).
>>> Mange tak: Det har man da aldrig brug for, bortset til test?
>>
>> Jo, det kan nu være meget anvendeligt.
>
>Hvornår?
>
>>> Jeg kunne forestille mig lige at slå den fra og så teste om jeg gennem
>>> WAN kan kontakte en lokal computer... Men bagefter når jeg er 100%
>>> sikker på at det virker, så slår jeg den vel bare til?
>>
>> Det kan du gøre.
>>
>>>>>>> 4) Filter IDENT (Port 113)
>>>> Filtrerer (dropper) forbindelsesforsøg til port 113. IDENT-porten
>>>> stammer fra en ældre ide' om at en server du connecter til "connecter
>>>> tilbage" til dig for at identificere dig inden du får svar. At
>>>> filtrere denne port kan derfor i sjældne tilfælde medføre
>>>> forbindelsesproblemer / svartider.
>>> Port 113. Den har jeg aldrig hørt om. Kan du uddybe det?
>>
>> Søg evt. lidt på nettet. Du har sikkert alligevel lidt du skal have
>> læst op på hvis du vil til at have servere kørende.
>
>Jeg søgte lidt, men jeg tror det er ligegyldigt med den...
>
>>>>> Argh... Hvordan finder jeg svaret på hvad disse 4 ting betyder, please
>>>>> (jeg vil jo gerne have det mest rigtige "sikkerhedsniveau")?
>>>> Jeg har prøvet at give en simpel forklaring. Men nu taler du om
>>> Og mange tak for.
>>>
>>>> "sikkerhedsniveau", men ingen af ovennævnte har reelt ret meget med
>>>> sikkerhed at gøre - med mindre man er selvlært pseudosikkerhedsguru
>>>> med et stort ego og hedder Gibson f.eks.
>>> Hvorfor mener du ikke det har med sikkerhed at gøre? Hvis man slår alle
>>> 4 til, så har men vel høj sikkerhed og slår man alle 4 fra, så har man
>>> vel lavere sikkerhed?
>>
>> Det kan jeg ikke se. Hvilke konkrete sikkerhedsrisici skulle de
>> imødegå? - Dine servere og klienter skal jo alligevel sikres. En
>
>Det med ping f.eks: Det forhindrer dig i at pinge en masse adresser og
>finde ud af at min computer er der...

Jeg tænkte nok du var hoppet på den med at din computer er "usynlig"
blot du ikke svarer på ping. Hvis du tror hackere springer dig over
blot fordi du filtrerer ping, kan du godt tro om igen.

>Ident: lidt ligegyldigt tror jeg, men jeg tror jeg filtrerer den.
>NAT redirection + multicast: Jeg er ikke
>sikker på helt hvornår/hvornår ikke det skal bruges.
>
>> router er ikke og har aldrig været tænkt som en sikkerhedsdims.
>
>Men nu snakker vi ikke om "en router".

Jo. Vi snakker om en router med få firewalllignende funktioner hvoraf
nogle end ikke er sikkerhedsrelaterede.

---

Straight Talk wrote:

>>>>>>>> Block WAN Requests
>>>>>>>> -------------------
>>>>>>>> 1) Block Anonymous Internet Requests
>>>>> Filtrerer (dropper) ICMP "ping" pakker så pings mod din WAN IP får
>>>>> time out. Nogle anser dette for en sikkerhedsforanstaltning. Det gør
>>>>> jeg ikke. Tværtimod kan ping-filtrering give forbindelsesproblemer i
>>>>> specielle situationer.
>>>> Hvorfor anser du det ikke for en sikkerhedsforanstaltning?
>>> Det er kun en sikkerhedsforanstaltning for folk der tror man kan gemme
>>> sig på internettet. Og da du tilsyneladende vil give adgang til
>>> forskellige servere, gi'r det slet ingen mening rent
>>> sikkerhedsmæssigt.
>> Det er kun til mig selv. Så jeg mener det giver mening. Du har ikke
>> overbevist mig om det modsatte endnu.
>
> Det er gået op for mig at du vil holde dine servere internt. Det synes
> jeg ikke tidligere er fremgået af tråden, men nuvel, det ændrer ikke
> ved at ping ikke er farligt.

Det er så forkert. Jeg vil holde dem "eksternt".

> Med mindre der er en decideret fejl i implementeringen af ICMP i din
> router som kan udnyttes til angreb, hvordan mener du så helt konkret
> du er bedre sikret ved ikke at svare på ping? - måske du kan
> overbevise mig i stedet?

Du kan ikke hacke mig, uden at kende min IP og du kan ikke let finde min
IP hvis ping ikke besvares.


mvh.
Martin

---

Martin Jørgensen <megafedt@hotmail.com> writes:

> Du kan ikke hacke mig, uden at kende min IP og du kan ikke let finde
> min IP hvis ping ikke besvares.

Hvis du er så paranoid, burde du måske kigge lidt nærmere på hvad der
står i din header, når du poster på usenet.

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

---

On Mon, 28 Apr 2008 21:52:56 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:

>Straight Talk wrote:
>
>>>>>>>>> Block WAN Requests
>>>>>>>>> -------------------
>>>>>>>>> 1) Block Anonymous Internet Requests
>>>>>> Filtrerer (dropper) ICMP "ping" pakker så pings mod din WAN IP får
>>>>>> time out. Nogle anser dette for en sikkerhedsforanstaltning. Det gør
>>>>>> jeg ikke. Tværtimod kan ping-filtrering give forbindelsesproblemer i
>>>>>> specielle situationer.
>>>>> Hvorfor anser du det ikke for en sikkerhedsforanstaltning?
>>>> Det er kun en sikkerhedsforanstaltning for folk der tror man kan gemme
>>>> sig på internettet. Og da du tilsyneladende vil give adgang til
>>>> forskellige servere, gi'r det slet ingen mening rent
>>>> sikkerhedsmæssigt.
>>> Det er kun til mig selv. Så jeg mener det giver mening. Du har ikke
>>> overbevist mig om det modsatte endnu.
>>
>> Det er gået op for mig at du vil holde dine servere internt. Det synes
>> jeg ikke tidligere er fremgået af tråden, men nuvel, det ændrer ikke
>> ved at ping ikke er farligt.
>
>Det er så forkert. Jeg vil holde dem "eksternt".
>
>> Med mindre der er en decideret fejl i implementeringen af ICMP i din
>> router som kan udnyttes til angreb, hvordan mener du så helt konkret
>> du er bedre sikret ved ikke at svare på ping? - måske du kan
>> overbevise mig i stedet?
>
>Du kan ikke hacke mig, uden at kende min IP og du kan ikke let finde min
>IP hvis ping ikke besvares.

Øhh.... er det ikke nærmest en forudsætning for at kunne pinge dig at
jeg kender din IP???

Du forudsætter på det nærmeste at jeg positivt skal have modtaget et
ping reply fra dig før jeg kan foretage mig yderligere. Det er en
misforståelse.

---

Straight Talk wrote:
> On Mon, 28 Apr 2008 21:52:56 +0200, Martin Jørgensen
> <megafedt@hotmail.com> wrote:

>> Du kan ikke hacke mig, uden at kende min IP og du kan ikke let finde min
>> IP hvis ping ikke besvares.
>
> Øhh.... er det ikke nærmest en forudsætning for at kunne pinge dig at
> jeg kender din IP???

Næ. Du kan bare pinge et tilfældigt nummer og se om der er noget at
hacke hvis der kommer svar.

> Du forudsætter på det nærmeste at jeg positivt skal have modtaget et
> ping reply fra dig før jeg kan foretage mig yderligere. Det er en
> misforståelse.

---

On Tue, 29 Apr 2008 19:35:07 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:

>Straight Talk wrote:
>> On Mon, 28 Apr 2008 21:52:56 +0200, Martin Jørgensen
>> <megafedt@hotmail.com> wrote:
>
>>> Du kan ikke hacke mig, uden at kende min IP og du kan ikke let finde min
>>> IP hvis ping ikke besvares.
>>
>> Øhh.... er det ikke nærmest en forudsætning for at kunne pinge dig at
>> jeg kender din IP???
>
>Næ. Du kan bare pinge et tilfældigt nummer og se om der er noget at
>hacke hvis der kommer svar.

Nu har du jo ligesom ikke et tilfældigt nummer...

Det det drejer sig om er at en hacker ikke behøver kære sig en bønne
om at "checke først".

>> Du forudsætter på det nærmeste at jeg positivt skal have modtaget et
>> ping reply fra dig før jeg kan foretage mig yderligere. Det er en
>> misforståelse.

---

Straight Talk wrote:
> On Tue, 29 Apr 2008 19:35:07 +0200, Martin Jørgensen
> <megafedt@hotmail.com> wrote:
>
>> Straight Talk wrote:
>>> On Mon, 28 Apr 2008 21:52:56 +0200, Martin Jørgensen
>>> <megafedt@hotmail.com> wrote:
>>>> Du kan ikke hacke mig, uden at kende min IP og du kan ikke let finde min
>>>> IP hvis ping ikke besvares.
>>> Øhh.... er det ikke nærmest en forudsætning for at kunne pinge dig at
>>> jeg kender din IP???
>> Næ. Du kan bare pinge et tilfældigt nummer og se om der er noget at
>> hacke hvis der kommer svar.
>
> Nu har du jo ligesom ikke et tilfældigt nummer...

Jo, der hvor serveren kører.

> Det det drejer sig om er at en hacker ikke behøver kære sig en bønne
> om at "checke først".
>
>>> Du forudsætter på det nærmeste at jeg positivt skal have modtaget et
>>> ping reply fra dig før jeg kan foretage mig yderligere. Det er en
>>> misforståelse.

Der er en grund til at mange filtrerer ping bort - og hvis du ikke
forstår den grund, så ved jeg ikke rigtigt hvad jeg skal sige til det.

---

On Wed, 30 Apr 2008 04:05:14 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:

>Straight Talk wrote:
>> On Tue, 29 Apr 2008 19:35:07 +0200, Martin Jørgensen
>> <megafedt@hotmail.com> wrote:
>>
>>> Straight Talk wrote:
>>>> On Mon, 28 Apr 2008 21:52:56 +0200, Martin Jørgensen
>>>> <megafedt@hotmail.com> wrote:
>>>>> Du kan ikke hacke mig, uden at kende min IP og du kan ikke let finde min
>>>>> IP hvis ping ikke besvares.
>>>> Øhh.... er det ikke nærmest en forudsætning for at kunne pinge dig at
>>>> jeg kender din IP???
>>> Næ. Du kan bare pinge et tilfældigt nummer og se om der er noget at
>>> hacke hvis der kommer svar.
>>
>> Nu har du jo ligesom ikke et tilfældigt nummer...
>
>Jo, der hvor serveren kører.

Økseskaft.

>> Det det drejer sig om er at en hacker ikke behøver kære sig en bønne
>> om at "checke først".
>>
>>>> Du forudsætter på det nærmeste at jeg positivt skal have modtaget et
>>>> ping reply fra dig før jeg kan foretage mig yderligere. Det er en
>>>> misforståelse.
>
>Der er en grund til at mange filtrerer ping bort

Ja, det er der helt sikkert. Spørgsmålet er, om det er en *god* grund
der bunder i noget reelt.

> - og hvis du ikke forstår den grund, så ved jeg ikke rigtigt hvad jeg skal sige til det.

Nej, jeg forstår du har lidt svært ved at forsvare dit argument.

---

Martin Jørgensen wrote:
> Der er en grund til at mange filtrerer ping bort - og hvis du ikke
> forstår den grund, så ved jeg ikke rigtigt hvad jeg skal sige til det.

Et gæt på årsagerne (i prioriteret rækkefølge) kunne være:

1. Fordi moderne versioner af Windows som standard installerer en
firewall, der blokerer ping.
2. Fordi de gængse SOHO routere som standard blokerer ping på WAN-siden.
3. Fordi uvidende brugere tror, at de opnår større sikkerhed ved at
blokere ping.

Som nummer 4 kan man så sætte de situationer, hvor man efter en konkret
overvejelse vælger at blokere.

--
Per H. Nielsen <phn@dkscan.dkx>
My Danish Scanner Pages: http://www.dkscan.dk
To reply to this change .dkx to .dk in my address.

---

Martin Jørgensen wrote:

> Du kan ikke hacke mig, uden at kende min IP og du kan ikke let finde min

84.238.113.244


--
Mvh
Jesper Poulsen

---

Jesper Poulsen wrote:
> Martin Jørgensen wrote:
>
>> Du kan ikke hacke mig, uden at kende min IP og du kan ikke let finde min
>
> 84.238.113.244

Det er bare ikke den, hvor serveren er på. Desuden kan du ikke hacke mig
på den IP...

---

On Mon, 28 Apr 2008 21:52:56 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:

> Du kan ikke hacke mig, uden at kende min IP og du kan ikke let
> finde min IP hvis ping ikke besvares.

Der er et eller andet helt grundlæggende ved Internet-kommunikation,
du har misforstået.

Når man scanner efter udstyr med åbne porte, gør det i praksis ingen
forskel, om udstyret svarer på ping. Man prøver porten af. Der er
ingen grund til at prøve med ping først.

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

Martin Jørgensen wrote:

>> ShieldsUp er bedre end Videnskabsministeriets fantastiske portscanner.
>
> Enig. ShieldsUp er da ganske udmærket IMO.

Helge Sander's portscanner er totalt til grin og spild af skatteydernes
penge. Det er ikke svært at gøre det bedre end Helge Sander

ShieldsUP er såmænd udemærket til at checke om man har åbne porte eller
lækker NetBios information. Jeg er ikke enig i hans fokus på at "stealth"
er bedre end "closed", og slet ikke ICMP/ping problematikken.

--
Jesper Lund

---

Jesper Lund wrote:
> Martin Jørgensen wrote:
>
>>> ShieldsUp er bedre end Videnskabsministeriets fantastiske portscanner.
>> Enig. ShieldsUp er da ganske udmærket IMO.
>
> Helge Sander's portscanner er totalt til grin og spild af skatteydernes
> penge. Det er ikke svært at gøre det bedre end Helge Sander
>
> ShieldsUP er såmænd udemærket til at checke om man har åbne porte eller
> lækker NetBios information. Jeg er ikke enig i hans fokus på at "stealth"
> er bedre end "closed", og slet ikke ICMP/ping problematikken.
>

ShieldsUP er ihvertfald udmærket.

---

On Tue, 29 Apr 2008 19:33:05 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:

>Jesper Lund wrote:
>> Martin Jørgensen wrote:
>>
>>>> ShieldsUp er bedre end Videnskabsministeriets fantastiske portscanner.
>>> Enig. ShieldsUp er da ganske udmærket IMO.
>>
>> Helge Sander's portscanner er totalt til grin og spild af skatteydernes
>> penge. Det er ikke svært at gøre det bedre end Helge Sander
>>
>> ShieldsUP er såmænd udemærket til at checke om man har åbne porte eller
>> lækker NetBios information. Jeg er ikke enig i hans fokus på at "stealth"
>> er bedre end "closed", og slet ikke ICMP/ping problematikken.
>>
>
>ShieldsUP er ihvertfald udmærket.

Kunne man fravriste dig nogle egentlige argumenter udover din rent
subjektive "fordi det er det"?

Så skal jeg til gengæld gerne gi' dig et par konkrete tekniske
argumenter for hvorfor det stinker.

Hvis du endelig vil bruge en ekstern web-scanner så brug en fornuftig
en som f.eks. gør brug af nmap.

---

Straight Talk wrote:
> On Tue, 29 Apr 2008 19:33:05 +0200, Martin Jørgensen
> <megafedt@hotmail.com> wrote:
>
>> Jesper Lund wrote:
>>> Martin Jørgensen wrote:
>>>
>>>>> ShieldsUp er bedre end Videnskabsministeriets fantastiske portscanner.
>>>> Enig. ShieldsUp er da ganske udmærket IMO.
>>> Helge Sander's portscanner er totalt til grin og spild af skatteydernes
>>> penge. Det er ikke svært at gøre det bedre end Helge Sander
>>>
>>> ShieldsUP er såmænd udemærket til at checke om man har åbne porte eller
>>> lækker NetBios information. Jeg er ikke enig i hans fokus på at "stealth"
>>> er bedre end "closed", og slet ikke ICMP/ping problematikken.
>>>
>> ShieldsUP er ihvertfald udmærket.
>
> Kunne man fravriste dig nogle egentlige argumenter udover din rent
> subjektive "fordi det er det"?

Jeg er ikke den eneste der mener at det er udmærket. Men det burde være
til at forstå, at man kan se resultatet af en portscanning udefra. Jeg
ved ikke rigtigt hvad du ellers vil have jeg skal sige til det.

> Så skal jeg til gengæld gerne gi' dig et par konkrete tekniske
> argumenter for hvorfor det stinker.

Så gør det.

> Hvis du endelig vil bruge en ekstern web-scanner så brug en fornuftig
> en som f.eks. gør brug af nmap.

Hvilken f.eks.?

---

On Wed, 30 Apr 2008 04:00:24 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:

>>> ShieldsUP er ihvertfald udmærket.
>>
>> Kunne man fravriste dig nogle egentlige argumenter udover din rent
>> subjektive "fordi det er det"?
>
>Jeg er ikke den eneste der mener at det er udmærket.

Og det mener du er et gyldigt argument?

>Men det burde være til at forstå, at man kan se resultatet af en portscanning udefra.

Det burde være til at forstå at du ikke rigtig ved hvad du snakker om.

>Jeg ved ikke rigtigt hvad du ellers vil have jeg skal sige til det.
>
>> Så skal jeg til gengæld gerne gi' dig et par konkrete tekniske
>> argumenter for hvorfor det stinker.
>
>Så gør det.

Dig først.

>> Hvis du endelig vil bruge en ekstern web-scanner så brug en fornuftig
>> en som f.eks. gør brug af nmap.
>
>Hvilken f.eks.?

http://www.linux-sec.net/Audit/nmap.test.gwif.html

---

Straight Talk wrote:

>> Så gør det.
> Dig først.

Og du kalder dig for "Straight Talk"...


--
Mvh
Jesper Poulsen

---

On Thu, 01 May 2008 12:23:29 +0200, Jesper Poulsen
<nospam@ingensteder.dk> wrote:

>Straight Talk wrote:
>
>>> Så gør det.
>> Dig først.
>
>Og du kalder dig for "Straight Talk"...

Jeg kan se det kniber gevaldigt med argumenter ud over "fordi det
synes jeg".

---

Straight Talk wrote:

>> Og du kalder dig for "Straight Talk"...
> Jeg kan se det kniber gevaldigt med argumenter ud over "fordi det

Jeg kan se at kniber gevaldigt med at leve op til "Straight Talk".


--
Mvh
Jesper Poulsen

---

On Fri, 02 May 2008 17:55:59 +0200, Jesper Poulsen
<nospam@ingensteder.dk> wrote:

>Straight Talk wrote:
>
>>> Og du kalder dig for "Straight Talk"...
>> Jeg kan se det kniber gevaldigt med argumenter ud over "fordi det
>
>Jeg kan se at kniber gevaldigt med at leve op til "Straight Talk".

Jeg skal love for at de saglige argumenter for hvorfor ShieldsUp er
godt fyger mig om ørerne.

---

Straight Talk wrote:
> On Fri, 02 May 2008 17:55:59 +0200, Jesper Poulsen
> <nospam@ingensteder.dk> wrote:
>
>> Straight Talk wrote:
>>
>>>> Og du kalder dig for "Straight Talk"...
>>> Jeg kan se det kniber gevaldigt med argumenter ud over "fordi det
>> Jeg kan se at kniber gevaldigt med at leve op til "Straight Talk".
>
> Jeg skal love for at de saglige argumenter for hvorfor ShieldsUp er
> godt fyger mig om ørerne.

Du kan jo prøve at google efter det. Det samme med ping-filtrering. Jeg
syntes tråden er blevet lidt latterlig så jeg kan ikke se nogen grund
til at spilde særligt meget mere tid på den medmindre der kommer noget
fornuftigt jeg skal svare på.

---

On Sat, 03 May 2008 13:58:29 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:

>Straight Talk wrote:
>> On Fri, 02 May 2008 17:55:59 +0200, Jesper Poulsen
>> <nospam@ingensteder.dk> wrote:
>>
>>> Straight Talk wrote:
>>>
>>>>> Og du kalder dig for "Straight Talk"...
>>>> Jeg kan se det kniber gevaldigt med argumenter ud over "fordi det
>>> Jeg kan se at kniber gevaldigt med at leve op til "Straight Talk".
>>
>> Jeg skal love for at de saglige argumenter for hvorfor ShieldsUp er
>> godt fyger mig om ørerne.
>
>Du kan jo prøve at google efter det.

Med andre ord: Du aner det ikke...

>Det samme med ping-filtrering.

Ja... Hvad med det?

>Jeg syntes tråden er blevet lidt latterlig

Ja, det skal jeg love for.

>så jeg kan ikke se nogen grund til at spilde særligt meget mere tid på den
>medmindre der kommer noget fornuftigt jeg skal svare på.

Det kan du jo helt åbenlyst heller ikke, så det er selvfølgelig en
meget komfortabel måde at lukke diskussionen på.

---

Straight Talk wrote:

> Ja, det skal jeg love for.

Du lægger standarden her.

> Det kan du jo helt åbenlyst heller ikke, så det er selvfølgelig en
> meget komfortabel måde at lukke diskussionen på.

Du vil jo ikke komme med din "viden". Jeg er sikker på at Martin har
bedre ting at tage jeg til end at spilde tid på dig. Jeg har ihvertfald.


--
Mvh
Jesper Poulsen

---

On Sat, 03 May 2008 19:54:47 +0200, Jesper Poulsen
<nospam@ingensteder.dk> wrote:

>Du vil jo ikke komme med din "viden".

Huh???

>Jeg er sikker på at Martin har
>bedre ting at tage jeg til end at spilde tid på dig. Jeg har ihvertfald.

Jamen, så smut du bare ud sammen med Martin, din kryster.

---

Straight Talk wrote:

> Jamen, så smut du bare ud sammen med Martin, din kryster.

Du vil bare trolle - fint med os... *Plonk*


--
Mvh
Jesper Poulsen

---

On Sun, 04 May 2008 15:27:11 +0200, Jesper Poulsen
<nospam@ingensteder.dk> wrote:

>Straight Talk wrote:
>
>> Jamen, så smut du bare ud sammen med Martin, din kryster.
>
>Du vil bare trolle - fint med os... *Plonk*

Hvis det at anmode om at man begrunder sine løsslupne meninger er
trolling, så ja.

Men det er naturligvis ubehageligt at skulle forsvare sine meninger
når de ikke rigtig bunder i andet end en mavefornemmelse.

I øvrigt er "du troller" den ultimative taberkommentar.

---

Jesper Poulsen wrote:
> Straight Talk wrote:
>
>> Ja, det skal jeg love for.
>
> Du lægger standarden her.
>
>> Det kan du jo helt åbenlyst heller ikke, så det er selvfølgelig en
>> meget komfortabel måde at lukke diskussionen på.
>
> Du vil jo ikke komme med din "viden". Jeg er sikker på at Martin har
> bedre ting at tage jeg til end at spilde tid på dig. Jeg har ihvertfald.

Det er helt rigtigt...

---

On Mon, 05 May 2008 22:26:29 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:

>Jesper Poulsen wrote:
>> Straight Talk wrote:
>>
>>> Ja, det skal jeg love for.
>>
>> Du lægger standarden her.
>>
>>> Det kan du jo helt åbenlyst heller ikke, så det er selvfølgelig en
>>> meget komfortabel måde at lukke diskussionen på.
>>
>> Du vil jo ikke komme med din "viden". Jeg er sikker på at Martin har
>> bedre ting at tage jeg til end at spilde tid på dig. Jeg har ihvertfald.
>
>Det er helt rigtigt...

Rendyrket vrkelighedsflugt.

Sandheden er at du ikke er i stand til at argumentere for dine
meninger fordi de bunder i ingenting.

---

On 2008-05-03, Jesper Poulsen <nospam@ingensteder.dk> wrote:
>
>> Det kan du jo helt åbenlyst heller ikke, så det er selvfølgelig en
>> meget komfortabel måde at lukke diskussionen på.
>
> Du vil jo ikke komme med din "viden". Jeg er sikker på at Martin har
> bedre ting at tage jeg til end at spilde tid på dig. Jeg har ihvertfald.

Indtil videre har martins påstand været at man ikke kan finde hans
maskine uden at pinge den, og det er jo blevet tilbagevist. Dette er det
eneste tekniske argument, der har været på bordet, og det holdt ikke i
byretten. Hvis vi skal debattere noget, så lad os da debattere noget
konkret.

--
Andreas

---

Martin Jørgensen wrote:

> Argh... Hvordan finder jeg svaret på hvad disse 4 ting betyder, please
> (jeg vil jo gerne have det mest rigtige "sikkerhedsniveau")?

Manualen? Det er forklaret i manualen til WRT54GL, så mon ikke det samme
gælder WRT54G.

--
Jesper Lund

---

Jesper Lund wrote:
> Martin Jørgensen wrote:
>
>> Argh... Hvordan finder jeg svaret på hvad disse 4 ting betyder, please
>> (jeg vil jo gerne have det mest rigtige "sikkerhedsniveau")?
>
> Manualen? Det er forklaret i manualen til WRT54GL, så mon ikke det samme
> gælder WRT54G.

Beklager, men du har ret. Firmwaren er ikke original linksys (DD-WRT),
så jeg troede ærligt talt ikke det stod der. Men derudover er det meget
rart lige at høre andres mening på forståeligt dansk.

Hvis du har nogen input til det andet svar jeg skrev, så skriv meget
gerne... Hvilke af de 4 indstillinger bruger du f.eks.?

Det er ikke så interessant, hvis ikke du kører server (kræver fast
IP)... Det er nemlig det jeg vil (FTP + SSH primært). Alle inputs er
velkomne + hints / forslag / andet jeg bør overveje...


mvh.
Martin

---

Martin Jørgensen wrote:

> Hvis du har nogen input til det andet svar jeg skrev, så skriv meget
> gerne... Hvilke af de 4 indstillinger bruger du f.eks.?

Kun filter multicast (jeg har i øvrigt også DD-WRT). Jeg blokerer bevidst
ikke ICMP (ping) pakker. Det er kun til skade for mig selv, da det kan
give forbindelsesproblemer, som andre skriver. Sandsynligvis er IP
87.61.138.254 (min) i brug af en eller anden tosse, hvadenten min router
svarer på ping eller ej, så jeg kan ikke se at jeg opnår noget ved at
filtrere disse pakker.

> Det er ikke så interessant, hvis ikke du kører server (kræver fast
> IP)... Det er nemlig det jeg vil (FTP + SSH primært). Alle inputs er
> velkomne + hints / forslag / andet jeg bør overveje...

Først og fremmest skal du forwarde porte når du kører server
applikationer bag din router. Derudover skal du ikke bruge filter NAT
redirection, hvis du vil tilgå dine egne servere hjemmefra.

Dit reelle sikkerhedsproblem bliver de serverapplikationer som du vil
køre, ikke dine "security settings" i din router. NAT giver dig en vis
sikkerhed ved at du kun kan modtage IP pakker fra adresser som du selv
har kontaktet, men det princip duer jo ikke når du kører en server.
Derfor skal der forwardes porte, så alt ryger lige i gennem på de
pågældende porte.

--
Jesper Lund

---

Jesper Lund wrote:
> Martin Jørgensen wrote:
>
>> Hvis du har nogen input til det andet svar jeg skrev, så skriv meget
>> gerne... Hvilke af de 4 indstillinger bruger du f.eks.?
>
> Kun filter multicast (jeg har i øvrigt også DD-WRT). Jeg blokerer bevidst
> ikke ICMP (ping) pakker. Det er kun til skade for mig selv, da det kan
> give forbindelsesproblemer, som andre skriver. Sandsynligvis er IP
> 87.61.138.254 (min) i brug af en eller anden tosse, hvadenten min router
> svarer på ping eller ej, så jeg kan ikke se at jeg opnår noget ved at
> filtrere disse pakker.

Okay. Når jeg pinger mig selv (kan man det på den samme computer, uden
problemer og måler jeg det jeg tror jeg gør, eller skal jeg bruge en
webtjeneste helt udenfra mit system, f.eks.), får jeg enten:

1) Request timed out.
2) Reply from 192.168.1.1: Destination net unreachable.
3) Reply from (min server-IP-adresse): bytes=32, time=3ms, TTL=58

1 = Block Anonymous Internet Requests sat til
2 = NÃ¥r jeg lige har fjernet fluebenet og apply'ed.
3 = Efter ca. 10 sek.

Hvad er det egentligt der sker fra trin 2) til 3), på de ca. 5-10 sek?
Den ved ikke hvad destination net er og bagefter pinger den rigtigt nok?
Er det routeren der giver svar eller den pc jeg sidder ved (det er vel
det sidste, dvs. 192.168.1.101, gætter jeg på?)...?

>> Det er ikke så interessant, hvis ikke du kører server (kræver fast
>> IP)... Det er nemlig det jeg vil (FTP + SSH primært). Alle inputs er
>> velkomne + hints / forslag / andet jeg bør overveje...
>
> Først og fremmest skal du forwarde porte når du kører server
> applikationer bag din router. Derudover skal du ikke bruge filter NAT
> redirection, hvis du vil tilgå dine egne servere hjemmefra.

Nu kommer mit spørgsmål: Dvs. "Filter Internet NAT Redirection" har
større prioritet end port forwarding indstillinger, korrekt? Jeg var i
tvivl om det var sådan...

Iøvrigt: Er det ikke meget smart at bruge non-standard porte og forwarde
til standard porte? F.eks. port 30000 forwardes til port 21/22 (FTP/SSH
kan ikke huske, noget deromkring)?

> Dit reelle sikkerhedsproblem bliver de serverapplikationer som du vil
> køre, ikke dine "security settings" i din router. NAT giver dig en vis
> sikkerhed ved at du kun kan modtage IP pakker fra adresser som du selv
> har kontaktet, men det princip duer jo ikke når du kører en server.
> Derfor skal der forwardes porte, så alt ryger lige i gennem på de
> pågældende porte.

Det tror jeg godt jeg kan...

Kender du: https://www.grc.com/x/ne.dll?rh1dkyd2 ?
Og lignende steder?

De siger f.eks (fordi jeg tillod ping):

Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP
Echo) requests, making it visible on the Internet. Most personal
firewalls can be configured to block, drop, and ignore such ping
requests in order to better hide systems from hackers. This is highly
recommended since "Ping" is among the oldest and most common methods
used to locate systems prior to further exploitation.


Alt andet lige, har de vil ret i at hvis jeg ikke besvarer ping, så er
der ingen der finder min computer så let og så hacker de mig ikke så let...?

Jeg har lousy passwords, så måske det var noget for mig at blockere
ping? Jeg er også nervøs for folk som kører ufatteligt mange
password-kombinationer af på min pc (automatiseret), hvis de kendte min
IP? Skal jeg være det?



mvh.
Martin

---

Martin Jørgensen wrote:
> Hej NG,

-snip-

[Server-snak]

Okay:

Prøv se her:
------------------------------------------------------
Port   
Service    
Status    Security Implications

0    
<nil>    
Closed    Your computer has responded that this port exists but is
currently closed to connections.

21    
FTP    
Closed    Your computer has responded that this port exists but is
currently closed to connections.

22    
SSH    
OPEN!    Secure Shell provides a secure-connection version of the Telnet
remote console service with additional features. Unfortunately, the SSH
services and their security add-on packages have a long history of many
widely exploited buffer overflow vulnerabilities. If your system has
this port exposed to the outside world you should be vigilant in keeping
your SSH service updated.

23    
Telnet    
Stealth    There is NO EVIDENCE WHATSOEVER that a port (or even any
computer) exists at this IP address!

25    
SMTP    
Closed    Your computer has responded that this port exists but is
currently closed to connections.

79    
Finger    
Closed    Your computer has responded that this port exists but is
currently closed to connections.

80    
HTTP    
Stealth    There is NO EVIDENCE WHATSOEVER that a port (or even any
computer) exists at this IP address!

------------------------------------------------------


Nu har jeg åbnet for port 22. Er der noget problem i at alle de andre
porte ikke er stealth (bortset fra IDENT 113, som sikkert er fin nok er
"closed")?

Faktisk ville jeg gerne have at alle andre porte, end den/dem (= de få)
jeg bruger var stealth... Er dette muligt, på en let måde?


mvh.
Martin

---

---

Martin Jørgensen wrote:

> Okay. Når jeg pinger mig selv (kan man det på den samme computer, uden
> problemer og måler jeg det jeg tror jeg gør, eller skal jeg bruge en
> webtjeneste helt udenfra mit system, f.eks.), får jeg enten:

Det skal være fra WAN siden (udefra). Jeg tog mig den frihed at pinge
84.238.113.244, og det gav et timeout, så jeg formoder at du filtrerer
ICMP. Derimod bør du kunne pinge min adresse 87.61.138.254.

> Nu kommer mit spørgsmål: Dvs. "Filter Internet NAT Redirection" har
> større prioritet end port forwarding indstillinger, korrekt? Jeg var i
> tvivl om det var sådan...

Det er to forskellige ting. Filter NAT redirection bør deaktiveres så du
kan tilgå www.myserver.invalid fra din computer (når den er bag samme
router som din server).

Portforwarding er nødvendig for at omverdenen kan bruge (og hacke) din
server.

> Iøvrigt: Er det ikke meget smart at bruge non-standard porte og forwarde
> til standard porte? F.eks. port 30000 forwardes til port 21/22 (FTP/SSH
> kan ikke huske, noget deromkring)?

Når du primært selv skal bruge det udefra, er det en udemærket ide at
køre disse services på andre porte, eller blot at forwarde SSH fra 47743
til port 22 i DD-WRT. Du skal selvfølgelig stadig beskytte dit SSH login
med username/password eller username+public key authentication (bedre).

Alternative porte er "security through obscurity" og det kan ikke stå
alene. Men du kan forhindre at dine logfiler bliver fyldt op med tonsvis
af forbindelsesforsøg. Hvis nogen vil hacke din server, prøver de bare
alle porte, og så dukker 47743 op før eller siden.

Hvis du vil lave en FTP server til alle dine venner, er det mindre smart
at afvige fra standard portene.

>> Dit reelle sikkerhedsproblem bliver de serverapplikationer som du vil
>> køre, ikke dine "security settings" i din router. NAT giver dig en vis
>> sikkerhed ved at du kun kan modtage IP pakker fra adresser som du selv
>> har kontaktet, men det princip duer jo ikke når du kører en server.
>> Derfor skal der forwardes porte, så alt ryger lige i gennem på de
>> pågældende porte.
>
> Det tror jeg godt jeg kan...

Tjaaah, det er nu ikke nogen helt nem sag at køre en sikker webserver
<http://www.comon.dk/index.php/news/show/id=35816>

> Kender du: https://www.grc.com/x/ne.dll?rh1dkyd2 ? Og lignende steder?
>
> De siger f.eks (fordi jeg tillod ping):
>
> Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP
> Echo) requests, making it visible on the Internet. Most personal
> firewalls can be configured to block, drop, and ignore such ping
> requests in order to better hide systems from hackers. This is highly
> recommended since "Ping" is among the oldest and most common methods
> used to locate systems prior to further exploitation.

Ja, jeg kender <http://www.grc.com> men jeg synes at ovenstående er noget
vrøvl.

Hvis jeg vil checke om <IP> kører en webserver, for derefter at angribe
den, prøver jeg <IP>:80 direkte.

> Alt andet lige, har de vil ret i at hvis jeg ikke besvarer ping, så er
> der ingen der finder min computer så let og så hacker de mig ikke så
> let...?

Du vil gerne køre services, ikke? Og du har fast IP, så der er sikkert en
MX eller A record som peger på din IP adresse.

Hver gang du skriver en email, et usenet indlæg eller besøger et webside,
"afslører" du din IP adresse.

(hvis du vil være "anonym på nettet", skal du kigge på andre løsninger,
for eksempel Tor, men det er en anden problemstilling).

> Jeg har lousy passwords, så måske det var noget for mig at blockere
> ping? Jeg er også nervøs for folk som kører ufatteligt mange
> password-kombinationer af på min pc (automatiseret), hvis de kendte min
> IP? Skal jeg være det?

Du skal ikke sætte en SSH server op, hvis dit password er futte. Det
hjælper ikke noget at "skjule din IP" ved at blokere ICMP.

Jeg bruger selv dette program til at holde styr på mine passwords
<http://passwordsafe.sourceforge.net/>

Jeg skal kun huske et master password, og jeg lader programmeret generere
gode (tilfældige) passwords, som er forskellige fra site til site.

--
Jesper Lund

---

Jesper Lund wrote:
> Martin Jørgensen wrote:
>
>> Okay. Når jeg pinger mig selv (kan man det på den samme computer, uden
>> problemer og måler jeg det jeg tror jeg gør, eller skal jeg bruge en
>> webtjeneste helt udenfra mit system, f.eks.), får jeg enten:
>
> Det skal være fra WAN siden (udefra). Jeg tog mig den frihed at pinge
> 84.238.113.244, og det gav et timeout, så jeg formoder at du filtrerer
> ICMP. Derimod bør du kunne pinge min adresse 87.61.138.254.

Det er så den forkerte IP-adresse du pinger, men okay... Det kunne du
ikke vide.

>> Nu kommer mit spørgsmål: Dvs. "Filter Internet NAT Redirection" har
>> større prioritet end port forwarding indstillinger, korrekt? Jeg var i
>> tvivl om det var sådan...
>
> Det er to forskellige ting. Filter NAT redirection bør deaktiveres så du
> kan tilgå www.myserver.invalid fra din computer (når den er bag samme
> router som din server).

Ok. Og hvornår er det smart at slå den til?

> Portforwarding er nødvendig for at omverdenen kan bruge (og hacke) din
> server.
>
>> Iøvrigt: Er det ikke meget smart at bruge non-standard porte og forwarde
>> til standard porte? F.eks. port 30000 forwardes til port 21/22 (FTP/SSH
>> kan ikke huske, noget deromkring)?
>
> Når du primært selv skal bruge det udefra, er det en udemærket ide at
> køre disse services på andre porte, eller blot at forwarde SSH fra 47743
> til port 22 i DD-WRT. Du skal selvfølgelig stadig beskytte dit SSH login
> med username/password eller username+public key authentication (bedre).

Hvorfor lige 47743?

> Alternative porte er "security through obscurity" og det kan ikke stå

Hvordan vil du foreslå mig bruge det?

> alene. Men du kan forhindre at dine logfiler bliver fyldt op med tonsvis
> af forbindelsesforsøg. Hvis nogen vil hacke din server, prøver de bare
> alle porte, og så dukker 47743 op før eller siden.

Da ikke hvis ikke de kender IP-adressen og hvis jeg filtrerer ping, så
er det vel udmærket.

> Hvis du vil lave en FTP server til alle dine venner, er det mindre smart
> at afvige fra standard portene.

Kun til mig selv. Iøvrigt kan det være jeg dropper FTP. SSH tillader
vist også fil-overførsel. Det eneste jeg overvejer er SSH + måske noget
der giver en grafisk desktop, måske vnc...

>>> Dit reelle sikkerhedsproblem bliver de serverapplikationer som du vil
>>> køre, ikke dine "security settings" i din router. NAT giver dig en vis
>>> sikkerhed ved at du kun kan modtage IP pakker fra adresser som du selv
>>> har kontaktet, men det princip duer jo ikke når du kører en server.
>>> Derfor skal der forwardes porte, så alt ryger lige i gennem på de
>>> pågældende porte.
>> Det tror jeg godt jeg kan...
>
> Tjaaah, det er nu ikke nogen helt nem sag at køre en sikker webserver
> <http://www.comon.dk/index.php/news/show/id=35816>

Jeg skal ikke køre webserver.

>> Kender du: https://www.grc.com/x/ne.dll?rh1dkyd2 ? Og lignende steder?
>>
>> De siger f.eks (fordi jeg tillod ping):
>>
>> Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP
>> Echo) requests, making it visible on the Internet. Most personal
>> firewalls can be configured to block, drop, and ignore such ping
>> requests in order to better hide systems from hackers. This is highly
>> recommended since "Ping" is among the oldest and most common methods
>> used to locate systems prior to further exploitation.
>
> Ja, jeg kender <http://www.grc.com> men jeg synes at ovenstående er noget
> vrøvl.

Ikke forstået. Hvorfor?

> Hvis jeg vil checke om <IP> kører en webserver, for derefter at angribe
> den, prøver jeg <IP>:80 direkte.

Men jeg kører ikke webserver, så det kan du ikke for mig.

>> Alt andet lige, har de vil ret i at hvis jeg ikke besvarer ping, så er
>> der ingen der finder min computer så let og så hacker de mig ikke så
>> let...?
>
> Du vil gerne køre services, ikke? Og du har fast IP, så der er sikkert en
> MX eller A record som peger på din IP adresse.

Hvorfor skulle der være det?

> Hver gang du skriver en email, et usenet indlæg eller besøger et webside,
> "afslører" du din IP adresse.

Næ... Ikke min server-IP...

> (hvis du vil være "anonym på nettet", skal du kigge på andre løsninger,
> for eksempel Tor, men det er en anden problemstilling).

Jeg er anonym. Du ved f.eks. ikke engang hvilken IP vi snakker om...

>> Jeg har lousy passwords, så måske det var noget for mig at blockere
>> ping? Jeg er også nervøs for folk som kører ufatteligt mange
>> password-kombinationer af på min pc (automatiseret), hvis de kendte min
>> IP? Skal jeg være det?
>
> Du skal ikke sætte en SSH server op, hvis dit password er futte. Det
> hjælper ikke noget at "skjule din IP" ved at blokere ICMP.

Det mener jeg så det gør. Hvordan vil du ellers hacke mig, hvis vi nu
siger du skulle?

> Jeg bruger selv dette program til at holde styr på mine passwords
> <http://passwordsafe.sourceforge.net/>
>
> Jeg skal kun huske et master password, og jeg lader programmeret generere
> gode (tilfældige) passwords, som er forskellige fra site til site.

Det bryder jeg mig ikke om, men det er en helt anden snak.


mvh.
Martin

---

Martin Jørgensen wrote:

> 22
> SSH
> OPEN!    Secure Shell provides a secure-connection version of the
Telnet
> remote console service with additional features. Unfortunately, the SSH
> services and their security add-on packages have a long history of many
> widely exploited buffer overflow vulnerabilities. If your system has
> this port exposed to the outside world you should be vigilant in keeping
> your SSH service updated.

Du har en SSH daemon kørende. Det skal du selvfølgelig kun gøre hvis du
ønsker adgang udefra. Derudover skal du selvfølgelig løbende
sikkerhedsopdatere sshd programmet, og du skal vælge gode passwords eller
bruge public key authentication (hvor din private key er sikret med et
godt password/passphrase).

> Nu har jeg åbnet for port 22. Er der noget problem i at alle de andre
> porte ikke er stealth (bortset fra IDENT 113, som sikkert er fin nok er
> "closed")?

Om en port er CLOSED eller STEALTH er fuldstændig lige meget.
<http://sikkerhed-faq.dk/hjemme_pc#stealth>

Desværre er <http://www.grcsucks.com> nedlagt

Du skal ikke køre flere services, og have flere åbne porte, end du har
brug for. Men hvis du har brug for adgang udefra, er SSH meget bedre end
telnet.

--
Jesper Lund

---

Martin Jørgensen wrote:

>> Det er to forskellige ting. Filter NAT redirection bør deaktiveres så
>> du kan tilgå www.myserver.invalid fra din computer (når den er bag
>> samme router som din server).
>
> Ok. Og hvornår er det smart at slå den til?

Hvis du ikke kører services bag din router kan du gøre det, selvom jeg
ikke umiddelbart kan gennemskue hvilken ekstra sikkerhed det skulle give.

>> Når du primært selv skal bruge det udefra, er det en udemærket ide at
>> køre disse services på andre porte, eller blot at forwarde SSH fra
>> 47743 til port 22 i DD-WRT. Du skal selvfølgelig stadig beskytte dit
>> SSH login med username/password eller username+public key
>> authentication (bedre).
>
> Hvorfor lige 47743?

Blot et eksempel. Det kunne også være 45251.

> Kun til mig selv. Iøvrigt kan det være jeg dropper FTP. SSH tillader
> vist også fil-overførsel.

Korrekt, SCP og SFTP (ikke at forveksle med FTPS, der er FTP over SSL/
TLS) er SSH protokoller.

>>> Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP
>>> Echo) requests, making it visible on the Internet. Most personal
>>> firewalls can be configured to block, drop, and ignore such ping
>>> requests in order to better hide systems from hackers. This is highly
>>> recommended since "Ping" is among the oldest and most common methods
>>> used to locate systems prior to further exploitation.
>>
>> Ja, jeg kender <http://www.grc.com> men jeg synes at ovenstående er
>> noget vrøvl.
>
> Ikke forstået. Hvorfor?

Prøv at læse de andre indlæg i tråden. Det er ikke en sikkerhedsrisiko at
du svarer på ping. Hvis du ikke har nogle hackbare services, gør det
ingen forskel, og hvis du har hackbare services, skal de såmænd nok blive
opdaget alligevel ved at scanne diverse IP ranges.

>> Du skal ikke sætte en SSH server op, hvis dit password er futte. Det
>> hjælper ikke noget at "skjule din IP" ved at blokere ICMP.
>
> Det mener jeg så det gør. Hvordan vil du ellers hacke mig, hvis vi nu
> siger du skulle?

Hvis din desktop/laptop computer og din server står bag samme router, vil
de have samme offentlige IP adresse, og du vil "afsløre" IP adressen på
serveren hver gang du surfer på nettet.

Hvis der kun er serveren bag den offentlige IP adresse, giver det ikke
mening at indskyde en router.

--
Jesper Lund

---

Jesper Lund wrote:
> Martin Jørgensen wrote:
...

>>>> Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP
>>>> Echo) requests, making it visible on the Internet. Most personal
>>>> firewalls can be configured to block, drop, and ignore such ping
>>>> requests in order to better hide systems from hackers. This is highly
>>>> recommended since "Ping" is among the oldest and most common methods
>>>> used to locate systems prior to further exploitation.
>>> Ja, jeg kender <http://www.grc.com> men jeg synes at ovenstående er
>>> noget vrøvl.
>> Ikke forstået. Hvorfor?
>
> Prøv at læse de andre indlæg i tråden. Det er ikke en sikkerhedsrisiko at
> du svarer på ping. Hvis du ikke har nogle hackbare services, gør det

Det mener jeg så at det er og jeg har læst de andre indlæg.

> ingen forskel, og hvis du har hackbare services, skal de såmænd nok blive
> opdaget alligevel ved at scanne diverse IP ranges.

Hvordan vil du opdage dem, uden at pinge? Portscan på hvilke porte?

>>> Du skal ikke sætte en SSH server op, hvis dit password er futte. Det
>>> hjælper ikke noget at "skjule din IP" ved at blokere ICMP.
>> Det mener jeg så det gør. Hvordan vil du ellers hacke mig, hvis vi nu
>> siger du skulle?
>
> Hvis din desktop/laptop computer og din server står bag samme router, vil
> de have samme offentlige IP adresse, og du vil "afsløre" IP adressen på
> serveren hver gang du surfer på nettet.

Hvor mange hjemmesider mener du logger ip-adressen, alene for bagefter
at prøve at portscanne ejeren og "hacke tilbage"? I mine øjne er filter
ping da udmærket.

> Hvis der kun er serveren bag den offentlige IP adresse, giver det ikke
> mening at indskyde en router.

Næ.

mvh.
Martin

---

On Sun, 27 Apr 2008 22:48:08 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:

>Jesper Lund wrote:
>> Martin Jørgensen wrote:
>..
>
>>>>> Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP
>>>>> Echo) requests, making it visible on the Internet. Most personal
>>>>> firewalls can be configured to block, drop, and ignore such ping
>>>>> requests in order to better hide systems from hackers. This is highly
>>>>> recommended since "Ping" is among the oldest and most common methods
>>>>> used to locate systems prior to further exploitation.
>>>> Ja, jeg kender <http://www.grc.com> men jeg synes at ovenstående er
>>>> noget vrøvl.
>>> Ikke forstået. Hvorfor?
>>
>> Prøv at læse de andre indlæg i tråden. Det er ikke en sikkerhedsrisiko at
>> du svarer på ping. Hvis du ikke har nogle hackbare services, gør det
>
>Det mener jeg så at det er og jeg har læst de andre indlæg.

Og det mener du vel fordi du har været forbi Gibsons yderst diskutable
ShieldsUp scanner og taget guttens anbefalinger for gode varer?

>> ingen forskel, og hvis du har hackbare services, skal de såmænd nok blive
>> opdaget alligevel ved at scanne diverse IP ranges.
>
>Hvordan vil du opdage dem, uden at pinge? Portscan på hvilke porte?

Hvis de ikke skal være tilgængelige externt kan de selvfølgelig ikke
findes. Men det har intet med ping at gøre.

>>>> Du skal ikke sætte en SSH server op, hvis dit password er futte. Det
>>>> hjælper ikke noget at "skjule din IP" ved at blokere ICMP.
>>> Det mener jeg så det gør. Hvordan vil du ellers hacke mig, hvis vi nu
>>> siger du skulle?
>>
>> Hvis din desktop/laptop computer og din server står bag samme router, vil
>> de have samme offentlige IP adresse, og du vil "afsløre" IP adressen på
>> serveren hver gang du surfer på nettet.
>
>Hvor mange hjemmesider mener du logger ip-adressen, alene for bagefter
>at prøve at portscanne ejeren og "hacke tilbage"? I mine øjne er filter ping
>da udmærket.

Hvad har ping nu med det at gøre?

>> Hvis der kun er serveren bag den offentlige IP adresse, giver det ikke
>> mening at indskyde en router.
>
>Næ.
>
>mvh.
>Martin

---

Straight Talk wrote:

>>>> Ikke forstået. Hvorfor?
>>> Prøv at læse de andre indlæg i tråden. Det er ikke en sikkerhedsrisiko at
>>> du svarer på ping. Hvis du ikke har nogle hackbare services, gør det
>> Det mener jeg så at det er og jeg har læst de andre indlæg.
>
> Og det mener du vel fordi du har været forbi Gibsons yderst diskutable
> ShieldsUp scanner og taget guttens anbefalinger for gode varer?

Næ, jeg mente det også alligevel.

>>> ingen forskel, og hvis du har hackbare services, skal de såmænd nok blive
>>> opdaget alligevel ved at scanne diverse IP ranges.
>> Hvordan vil du opdage dem, uden at pinge? Portscan på hvilke porte?
>
> Hvis de ikke skal være tilgængelige externt kan de selvfølgelig ikke
> findes. Men det har intet med ping at gøre.

De *SKAL* eksternt være tilgængelige. Hvordan vil du opdage dem, uden at
pinge? Portscan på hvilke porte?

>>>>> Du skal ikke sætte en SSH server op, hvis dit password er futte. Det
>>>>> hjælper ikke noget at "skjule din IP" ved at blokere ICMP.
>>>> Det mener jeg så det gør. Hvordan vil du ellers hacke mig, hvis vi nu
>>>> siger du skulle?
>>> Hvis din desktop/laptop computer og din server står bag samme router, vil
>>> de have samme offentlige IP adresse, og du vil "afsløre" IP adressen på
>>> serveren hver gang du surfer på nettet.
>> Hvor mange hjemmesider mener du logger ip-adressen, alene for bagefter
>> at prøve at portscanne ejeren og "hacke tilbage"? I mine øjne er filter ping
>> da udmærket.
>
> Hvad har ping nu med det at gøre?

Du skal først kende min IP før du kan hacke mig... Du påstår at alene
fordi jeg surfer, vil nogen prøve at portscanne mig... Du påstår at folk
ikke vil pinge mig, men bruge webtjenester til at opdage min IP.


mvh.
Martin

---

On 2008-04-28, Martin Jørgensen <megafedt@hotmail.com> wrote:
>>
>> Hvis de ikke skal være tilgængelige externt kan de selvfølgelig ikke
>> findes. Men det har intet med ping at gøre.
>
> De *SKAL* eksternt være tilgængelige. Hvordan vil du opdage dem, uden at
> pinge? Portscan på hvilke porte?

Jeg ville sende en TCP SYN pakke, og så få en SYN/ACK tilbage. Det er
på ingen måde mere besværligt end at pinge (som består i at sende en
ICMP echo og få en ICMP echo-reply tilbage).

--
Andreas

---

Andreas Plesner Jacobsen wrote:
> On 2008-04-28, Martin Jørgensen <megafedt@hotmail.com> wrote:
>>> Hvis de ikke skal være tilgængelige externt kan de selvfølgelig ikke
>>> findes. Men det har intet med ping at gøre.
>> De *SKAL* eksternt være tilgængelige. Hvordan vil du opdage dem, uden at
>> pinge? Portscan på hvilke porte?
>
> Jeg ville sende en TCP SYN pakke, og så få en SYN/ACK tilbage. Det er
> på ingen måde mere besværligt end at pinge (som består i at sende en
> ICMP echo og få en ICMP echo-reply tilbage).

Hvordan sender du den? Program?


mvh.
Martin

---

On 2008-04-29, Martin Jørgensen <megafedt@hotmail.com> wrote:

>> Jeg ville sende en TCP SYN pakke, og så få en SYN/ACK tilbage. Det er
>> på ingen måde mere besværligt end at pinge (som består i at sende en
>> ICMP echo og få en ICMP echo-reply tilbage).
>
> Hvordan sender du den? Program?

netcat, telnet, nmap

--
Andreas

---

Andreas Plesner Jacobsen wrote:
> On 2008-04-29, Martin Jørgensen <megafedt@hotmail.com> wrote:
>
>>> Jeg ville sende en TCP SYN pakke, og så få en SYN/ACK tilbage. Det er
>>> på ingen måde mere besværligt end at pinge (som består i at sende en
>>> ICMP echo og få en ICMP echo-reply tilbage).
>> Hvordan sender du den? Program?
>
> netcat, telnet, nmap

Hvad er fordelen så?

---

On Wed, 30 Apr 2008 04:01:03 +0200, Martin Jørgensen
<megafedt@hotmail.com> wrote:

>> netcat, telnet, nmap

> Hvad er fordelen så?

Hvad er fordelen ved at pinge først?

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

On 2008-04-30, Martin Jørgensen <megafedt@hotmail.com> wrote:
>>
>>>> Jeg ville sende en TCP SYN pakke, og så få en SYN/ACK tilbage. Det er
>>>> på ingen måde mere besværligt end at pinge (som består i at sende en
>>>> ICMP echo og få en ICMP echo-reply tilbage).
>>> Hvordan sender du den? Program?
>>
>> netcat, telnet, nmap
>
> Hvad er fordelen så?

Fordelen ved hvad?

--
Andreas

---

> Du kan ikke hacke mig, uden at kende min IP og du kan ikke let finde min
> IP hvis ping ikke besvares.

Du kan heller ikke bryde ind i mit hus, hvis jeg ikke åbner, når du
ringer på ringeklokken.

..... eller!?

Thomas
--
alias uptime="echo '5:33pm up 22342352324 days, 6:28, 2124315623 users, load average: 2432.40, 12312.31, 123123.19'"