---

Hej Gruppe

Som følge af Cybercity's landsdækkende opgradering af deres DSL-udstyr, har
jeg modtaget en ny router der hedder Cisco 677 som bla. har indbygget et
sikkerhedsfilter. En bekendt fortæller mig nu, at routeren er så sikker at
jeg ikke behøver at have Norton Internet security (eller andre firewalls)
installeret længere. Jeg har min tvivl men er ikke ekspert, så mit spørgsmål
til gruppen her er, om det virkelig kan være sandt ?

--
Hilsen Naess

" Før var jeg indbilsk, nu er jeg fuldkommen ".

---

"Naess" <Nomail@nomail.com> wrote in message
news:9vg2tl$d43$1@news.cybercity.dk...
> Som følge af Cybercity's landsdækkende opgradering af deres DSL-udstyr,
har
> jeg modtaget en ny router der hedder Cisco 677 som bla. har indbygget et
> sikkerhedsfilter. En bekendt fortæller mig nu, at routeren er så sikker at
> jeg ikke behøver at have Norton Internet security (eller andre firewalls)
> installeret længere. Jeg har min tvivl men er ikke ekspert, så mit
spørgsmål
> til gruppen her er, om det virkelig kan være sandt ?

Norton Internet security er ligesom din router en firewall og derfor vil det
være ulogisk at køre begge to. Desuden er jeg også ret sikkert på at Cisco
677 giver dig flere muligheder for at indstille din firewall og dermed
større sikkerhed.

mvh
db

---

On Sat, 15 Dec 2001 19:06:46 +0100, "Daniel Blankensteiner"
<db@traceroute.dk> wrote:

> Norton Internet security er ligesom din router en firewall og
> derfor vil det være ulogisk at køre begge to. Desuden er jeg
> også ret sikkert på at Cisco 677 giver dig flere muligheder
> for at indstille din firewall og dermed større sikkerhed.

En Cisco 677 indeholder ikke firewall-funktionalitet i den mest
gængse betydning af udtrykket. Boxen kan køre NAT og man kan lave
filtre, men det gør den i min begrebsverden ikke til en firewall.

.... Da du selv hænger dig strengt i betydningen af ord, burde du
maximalt kalde den 'en router med NAT- og filter-funktionalitet'.

-A
--
http://www.hojmark.org/

---

Hvad skal der mere til for at kalde en "box" / "noget software" for en
firewall ?

Jeg opfatter ordet "firewall" brugt om stort set alt der filtrerer ?

"Firewall" er også blevet mosbrugt af marketingafdelinger....

Derfor opfatter jeg en firewall for en næsten "alt" der kan filtrere
IP-trafik... også en box med NAT!

Så må man spørge:
Hvordan er det en firewall ?
Hvor stor en sikkerhed er der i den der firewall ?

Jeg er hverken netværks- eller sikkerhedsekspert -- så du/I må meget gerne
fortælle mig:
Hvor meget funktionalitet skal der være i en device før "I" vil kalde det
for en "rigtig" firewall ?
Skal den nødvendigvis køre stateful inspection ?


Med venlig hilsen

CLAUS HANSEN

---

"CLAUS HANSEN" <claushansen@claushansen.dk> skrev i en meddelelse
news:2kZT7.454$aS.62499@news010.worldonline.dk...
> Hvad skal der mere til for at kalde en "box" / "noget software" for en
> firewall ?
>
> Jeg opfatter ordet "firewall" brugt om stort set alt der filtrerer ?
>
> "Firewall" er også blevet mosbrugt af marketingafdelinger....
>
> Derfor opfatter jeg en firewall for en næsten "alt" der kan filtrere
> IP-trafik... også en box med NAT!
>
> Så må man spørge:
> Hvordan er det en firewall ?
> Hvor stor en sikkerhed er der i den der firewall ?
>
> Jeg er hverken netværks- eller sikkerhedsekspert -- så du/I må meget gerne
> fortælle mig:
> Hvor meget funktionalitet skal der være i en device før "I" vil kalde det
> for en "rigtig" firewall ?
> Skal den nødvendigvis køre stateful inspection ?
>
>
> Med venlig hilsen
>
> CLAUS HANSEN

Hvis du kan li' at læse så kan jeg anbefale: Building Internet Firewalls 2. udg.
af Zwicky, Cooper & Chapman.

Jeg har fået kigget lidt i min og jeg synes den er ret god!

/Jens Ulrik

---

CLAUS HANSEN wrote:
>
> Hvad skal der mere til for at kalde en "box" / "noget software" for en
> firewall ?
>
> Jeg opfatter ordet "firewall" brugt om stort set alt der filtrerer ?

Du vil sikkert af og til se betegnelsen firewall brugt om simple
pakke filtrer.

>
> "Firewall" er også blevet mosbrugt af marketingafdelinger....

Utvivlsomt.

>
> Derfor opfatter jeg en firewall for en næsten "alt" der kan filtrere
> IP-trafik... også en box med NAT!

Normalt vil NAT også kræve stateful inspection, så en NAT boks
kan vel med rimelighed kaldes for en firewall. Men det vil
muligvis være en firewall med meget få muligheder for at vælge
sin egen opsætning.

>
> Så må man spørge:
> Hvordan er det en firewall ?

Det er et definitionsspørgsmål, og folk er ikke enige. Nogen
mener ethvert pakkefilter kan kaldes for en firewall, mens
andre mener at der skal være en grad af stateful inspection.

> Hvor stor en sikkerhed er der i den der firewall ?

Ethvert system bør sættes op så det er sikkert uden firewall.
Firewallen skal kun fungere som et ekstra sikkerhedsnet. Og
det er ikke alle problemer som en firewall kan forhindre,
nogen problemer løses bedst andre stedder. Hvis en firewall
bliver for compliceret kan den i sig selv udgøre et potentielt
sikkerhedshul.

>
> Jeg er hverken netværks- eller sikkerhedsekspert -- så du/I må meget gerne
> fortælle mig:
> Hvor meget funktionalitet skal der være i en device før "I" vil kalde det
> for en "rigtig" firewall ?
> Skal den nødvendigvis køre stateful inspection ?

Lad os ikke skændes om hvad den skal kaldes, jeg vil i stedet
fortælle hvilke features jeg foretrækker at se i en firewall.
Stateful inspection på TCP/UDP/ICMP laget er en så stor fordel,
at det bør være til stedet. Derimod mener jeg ikke at stateful
inspection af højere protokol lag hører til i en firewall. De
højere lag bør håndteres af serverne selv, at indføre dem i en
firewall giver mulighed for fejl og sikkerhedshuller i selve
firewallen.

>
> Med venlig hilsen
>
> CLAUS HANSEN

--
Kasper Dupont

---

On Thu, 20 Dec 2001 01:40:05 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

> Normalt vil NAT også kræve stateful inspection, så en NAT boks
> kan vel med rimelighed kaldes for en firewall.

De fleste opfatter firewalling som noget med filtrering, og der
er ikke (nødvendigvis) noget filtrering i det at køre NAT. Så jeg
er uenig.

-A
--
http://www.hojmark.org/

---

On Sat, 22 Dec 2001 01:35:10 +0100,
Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
> On Thu, 20 Dec 2001 01:40:05 +0100, Kasper Dupont
><kasperd@daimi.au.dk> wrote:
>
>> Normalt vil NAT også kræve stateful inspection, så en NAT boks
>> kan vel med rimelighed kaldes for en firewall.
>
> De fleste opfatter firewalling som noget med filtrering, og der
> er ikke (nødvendigvis) noget filtrering i det at køre NAT. Så jeg
> er uenig.

Jeg ser en hver router som en firewall. Måske en miskonfigureret
firewall, men stadig en firewall. Den har jo software der tillader
filtrering. Og hvis man kører NAT, så vil man ofte ikke åbne for
incoming på alle porte, og så har man ihvertfald en firewall. Og
hvis du har 2 maskiner bag den, så kan den kun fungere som firewall
(ihvertfald hvis den kun har en ekstern IP - Da vil tilgang på
f.eks. port 80 kun kunne forwardes til en maskine, og den anden er
firewalled).

Mange arbejdsstationer er også servere.

---

Asbjorn Hojmark wrote:
>
> On Thu, 20 Dec 2001 01:40:05 +0100, Kasper Dupont
> <kasperd@daimi.au.dk> wrote:
>
> > Normalt vil NAT også kræve stateful inspection, så en NAT boks
> > kan vel med rimelighed kaldes for en firewall.
>
> De fleste opfatter firewalling som noget med filtrering, og der
> er ikke (nødvendigvis) noget filtrering i det at køre NAT. Så jeg
> er uenig.

Jeg vil formode, at de fleste NAT systemer frasorterer indkommende
pakker, der ikke matcher nogen indgang i NAT tabelen. Der er jo
intetet andet, der ville give mening. Man kan ikke sende pakkerne
videre uden IP og portaddresse, og hvis man blot sender dem videre
uden ændringer, vil ingen maskine på nettet bagved tage imod pakken,
da den jo har routerens IP addresse.

--
Kasper Dupont

---

In article <3C2479BF.1561AEE0@daimi.au.dk>, Kasper Dupont wrote:
>>
>> De fleste opfatter firewalling som noget med filtrering, og der
>> er ikke (nødvendigvis) noget filtrering i det at køre NAT. Så jeg
>> er uenig.
>
> Jeg vil formode, at de fleste NAT systemer frasorterer indkommende
> pakker, der ikke matcher nogen indgang i NAT tabelen. Der er jo
> intetet andet, der ville give mening. Man kan ikke sende pakkerne
> videre uden IP og portaddresse, og hvis man blot sender dem videre
> uden ændringer, vil ingen maskine på nettet bagved tage imod pakken,
> da den jo har routerens IP addresse.

Alle Tiscalis leverede ADSL-routere har en catch-all NAT entry. Det har
CCs mig bekendt også

--
Andreas Plesner Jacobsen | For courage mounteth with occasion.
|    -- William Shakespeare, "King John"

---

Andreas Plesner Jacobsen <apj@daarligstil.dk> writes:

> Alle Tiscalis leverede ADSL-routere har en catch-all NAT entry. Det har
> CCs mig bekendt også
CCs routere har ikke nogen catch-all som standard.

---

Andreas Plesner Jacobsen wrote:
>
> In article <3C2479BF.1561AEE0@daimi.au.dk>, Kasper Dupont wrote:
> >>
> >> De fleste opfatter firewalling som noget med filtrering, og der
> >> er ikke (nødvendigvis) noget filtrering i det at køre NAT. Så jeg
> >> er uenig.
> >
> > Jeg vil formode, at de fleste NAT systemer frasorterer indkommende
> > pakker, der ikke matcher nogen indgang i NAT tabelen. Der er jo
> > intetet andet, der ville give mening. Man kan ikke sende pakkerne
> > videre uden IP og portaddresse, og hvis man blot sender dem videre
> > uden ændringer, vil ingen maskine på nettet bagved tage imod pakken,
> > da den jo har routerens IP addresse.
>
> Alle Tiscalis leverede ADSL-routere har en catch-all NAT entry. Det har
> CCs mig bekendt også

Først og fremest burde denne catch-all entry kun matche
nye forbindelser udefra, der vil altså være filtrering på
pakkerne så nogle overtrædelser af f.eks. TCP protokollen
ikke slipper igennem. Desuden burde man kunne slå denne
catch-all entry fra eller lade den pege på en ikke
eksisterende maskine, dermed har man en simpel firewall.

--
Kasper Dupont

---

On Sat, 22 Dec 2001 13:17:03 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>> De fleste opfatter firewalling som noget med filtrering, og der
>> er ikke (nødvendigvis) noget filtrering i det at køre NAT. Så jeg
>> er uenig.

> Jeg vil formode, at de fleste NAT systemer frasorterer indkommende
> pakker, der ikke matcher nogen indgang i NAT tabelen.

Nej. NAT er egentlig (oprindelig) 'oversæt adresse X til adresse
A', altså en-til-en. At man med PAT (port address translation),
NAT overload, eller hvad man nu vælger at kalde det, kører mange-
til-en er en udvidelse af NAT.

> Man kan ikke sende pakkerne videre uden IP og portaddresse

Hvis man kører NAT, sender men en pakke adresseret til X videre
til A. Så simpelt er det. Der er ingen statefulness i det.

> og hvis man blot sender dem videre uden ændringer, vil ingen maskine
> på nettet bagved tage imod pakken, da den jo har routerens IP addresse.

Nej. Pakken har en ekstern adresse som destination, og det
behøver ikke have noget som helst med routerens adresse at gøre.

Du tænker PAT, når du siger (skriver) NAT.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:

>Du tænker PAT, når du siger (skriver) NAT.

Er NAT ikke almindeligt anerkendt som en generisk term for alle
typer oversættelse af IP-adresser og/eller portnumre?

Jeg plejer kun at bruge termen "PAT" hvis jeg specifikt vil
fokusere på portoversættelsen. Til daglig siger jeg "NAT-ruter"
når jeg mener sådan en ganske almindelig mange-til-én
NAT+PAT-sag, som vel nu til dags er langt den almindeligste type
NAT.

Det er unægtelig rigtigt at en konsekvent terminologi hvor man
skelnede mellem det ene og det andet ville være smart, men jeg
mistænker at termen "NAT" om alle mulige slags oversættelser
efterhånden er så udbredt at det er umuligt. (Og jeg har i
øvrigt altid opfattet "Network Address" (NA i NAT) som bestående
af IP-adresse plus lag-4-adresse, fx port.)

Teknisk kan jeg ikke være uenig med dig: det er naturligvis kun
hvis der også er PAT involveret at man kan stole på at en
NAT-ruter er "stateful".

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

On Sun, 23 Dec 2001 00:13:13 +0100, Jesper Dybdal
<jdunet@u6.dybdal.dk> wrote:

>> Du tænker PAT, når du siger (skriver) NAT.

> Er NAT ikke almindeligt anerkendt som en generisk term for alle
> typer oversættelse af IP-adresser og/eller portnumre?

Mjo, det er ofte brugt sådan, men det er li'som ikke pointen.

Jeg skrev: "[...] og der er ikke (nødvendigvis) noget filtrering
i det at køre NAT", og konkluderede ud fra det, at jeg ikke synes
det er rimeligt at omtale en NAT-box som en firewall.

Selv hvis man skrev 'en PAT-box' (der nødvendigvis må være
stateful), ville jeg ikke bruge betegnelsen firewall om den. Det
ville inkludere 677'eren (der både kan køre PAT og filtrere), og
det er min erfaring, at den box ikke normalt opfattes som en
firewall, men blot en router der kører PAT og kan filtrere.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:

>Selv hvis man skrev 'en PAT-box' (der nødvendigvis må være
>stateful), ville jeg ikke bruge betegnelsen firewall om den. Det
>ville inkludere 677'eren (der både kan køre PAT og filtrere), og
>det er min erfaring, at den box ikke normalt opfattes som en
>firewall, men blot en router der kører PAT og kan filtrere.

Jeg ville heller ikke kalde en 677 eller en lignende lille ruter
for en firewall, selvom jeg i tilpas enkle situationer ville være
tilfreds med den beskyttelse den trods alt giver.

Men sjovt nok tenderer jeg alligevel til at bruge ordet
"firewall" om fx en Linux-box der ikke gør ret meget andet end
det 677'eren også kan. Men det er nok fordi Linux-boksen om
nødvendigt kan udvides til at gøre de andre ting man kan have
brug for i en firewall - efterhånden som man får brug for dem.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

On Wed, 19 Dec 2001 10:17:30 +0100, "CLAUS HANSEN"
<claushansen@claushansen.dk> wrote:

> Hvad skal der mere til for at kalde en "box" / "noget software"
> for en firewall ?

"Firewall" er ikke en teknisk term, så anvendelsen varierer. Den
mest almindelige brug er 'noget der filtrerer (state-fuldt) på
protokoller (højere end L4)'.

> Derfor opfatter jeg en firewall for en næsten "alt" der kan filtrere
> IP-trafik... også en box med NAT!

Hverken jeg, mine kollegaer, de fleste af mine kunder eller andre
bekendte i branchen bruger normalt "firewall" om fx. en router
der filtrerer.


Pointen var imidlertid, at Daniel efterlyste en sproglig nøjag-
tighed i anvendelsen af "hacker", og jeg efterlyste en tilsva-
rende sproglig nøjagtighed hos ham selv i karakteristikken af
Ciscos 677 router.

-A
--
http://www.hojmark.org/

---

"Naess" <Nomail@nomail.com> skrev:
> Hej Gruppe
> Som følge af Cybercity's landsdækkende opgradering af deres DSL-udstyr,
har
> jeg modtaget en ny router der hedder Cisco 677 som bla. har indbygget et
> sikkerhedsfilter. En bekendt fortæller mig nu, at routeren er så sikker at
> jeg ikke behøver at have Norton Internet security (eller andre firewalls)
> installeret længere. Jeg har min tvivl men er ikke ekspert, så mit
spørgsmål
> til gruppen her er, om det virkelig kan være sandt ?
> --
> Hilsen Naess
> " Før var jeg indbilsk, nu er jeg fuldkommen ".
>
Der er én ting som gælder for både router, firewall ... og alt andet vedr.
pc; hvis du ikke sætter dig ind i hvad du har med at gøre, så er der større
mulighed for at lave skade, end at gavne. Kort sagt, så skal du læse på
lektien, og derefter konfigurere routeren til dit behov. Gør du det, kan den
være et fint filter / en god firewall ... gør du det ikke, så inviterer du
til gilde på din pc!
.... er DHCP serveren f.eks. startet i routeren?
.... har du oprettet NAT tabeller til dine services?

Med venlig hilsen
Aagaard

---

"Aagaard" <skriv@ikke.til> skrev i en meddelelse
news:9vggej$18mv$1@news.cybercity.dk...
> "Naess" <Nomail@nomail.com> skrev:
> Der er én ting som gælder for både router, firewall ... og alt andet vedr.
> pc; hvis du ikke sætter dig ind i hvad du har med at gøre, så er der
større
> mulighed for at lave skade, end at gavne. Kort sagt, så skal du læse på
> lektien, og derefter konfigurere routeren til dit behov. Gør du det, kan
den
> være et fint filter / en god firewall ... gør du det ikke, så inviterer du
> til gilde på din pc!


Hejsa

Tak for jeres svar.
Jeg har imidlertidig fundet en webside hos CyberCity om Cisco routeren.

http://www.cybercity.dk/privat/support/adsl_udstyr/cisco_677/



--
Sincerely
Naess

( Please notice that my e-mail address is intended not to work )

http://www.shibumi.org/eoti.htm

---

Naess wrote:

> Hej Gruppe
>
> Som følge af Cybercity's landsdækkende opgradering af deres DSL-udstyr, har
> jeg modtaget en ny router der hedder Cisco 677 som bla. har indbygget et
> sikkerhedsfilter. En bekendt fortæller mig nu, at routeren er så sikker at
> jeg ikke behøver at have Norton Internet security (eller andre firewalls)
> installeret længere. Jeg har min tvivl men er ikke ekspert, så mit spørgsmål
> til gruppen her er, om det virkelig kan være sandt ?


Hvilke logfiler får du fra routeren?