---

Hej Gruppe
Jeg har en web/ft-server på en windows 2000 maskine med en Apache webserver
og vil gerne have en firewall kørende på denne. Jeg har forsøgt flere uden
større held. Problemet er med Norton Personal Firewall f. eks. at jeg åbner
Apache på port 80 og til at starte med virker det udmærket men efter et
stykke tid lukker den for adgang. Det samme gør sig i øvrigt gældende for
ftpserveren (G6). Er der nogen der har et forslag til en firewall, der egner
sig til mit behov? Den behøver ikke at være særlig fancy.

Mvh Kim Eichen

---

Kim Eichen wrote:

> Jeg har en web/ft-server på en windows 2000 maskine med en Apache webserver
> og vil gerne have en firewall kørende på denne.

Hvorfor vil du gerne have en firewall kørende på den?

Hvis den eneste service du tilbyder er http (og åbenbart også FTP),
behøver du ikke en firewall.

Forestil dig en lang væg med 65536 låste døre i. Sådan ser din computer
ud fra internettet når du ikke har startet nogle servere.

Når du starter en server, bliver en af dørene låst op. Men kun een.

Det betyder at en computer ikke kan brydes ind i, hvis den ikke tilbyder
nogle services. Ligesom et hus ikke kan brydes ind i hvis man murer
dørene og viduerne til (nej, man kan ikke bryde væggen ned).

--
"...in Spain!"

---

Christian Andersen wrote:

> Hvorfor vil du gerne have en firewall kørende på den?

Nu er jeg godtnok ikke nogen ørn til netværk, men min observation er at da
serveren har ip: 192.168.1.2 og min egen maskine 192.168.1.3 er der en del
trafik, der går til serveren og ikke til min maskine. Denne trafik vil jeg
gerne undgå. Allerhelst vil jeg dog tage mig sammen og sørge for at det kun
er trafik til port 80 samt 21, som går til serveren, men jeg har ikke lige
fået taget mig sammen til at sætte mig ind i hvordan jeg konfigurerer min
router (soho 77).

Mvh Kim Eichen

---

"Christian Andersen" skrev

> Forestil dig en lang væg med 65536 låste døre i.

Stakkels computer, at køre med så mange aktive services. For at analo-
gien holder, skal der være en beskyttet service for hver dør.

> Når du starter en server, bliver en af dørene låst op. Men kun een.

Nej, det svarer til at der bankes hul i væggen og opsættes en dør.

Døren låses op, når der udveksles og accepteres f.eks. brugernavn/kode-
org.

Med venlig hilsen

Peder

---

Peder Vendelbo Mikkelsen wrote:

>> Forestil dig en lang væg med 65536 låste døre i.

> Stakkels computer, at køre med så mange aktive services. For at analo-
> gien holder, skal der være en beskyttet service for hver dør.

Nej.

Dørene er jo låst. Hvis en pakke kommer hen til en "låst dør", får den
jo en RST smidt tilbage i hovedet. Døren er der, den siger bare æv-bæv
til pakken. Jeg bliver nødt til at have alle "dørene" i min analogi for
at kunne smide RST-pakker tilbage.

>> Når du starter en server, bliver en af dørene låst op. Men kun een.

> Nej, det svarer til at der bankes hul i væggen og opsættes en dør.

Jeg er uenig.

--
"...in Spain!"

---

Christian Andersen wrote:

> Forestil dig en lang væg med 65536 låste døre i. Sådan ser din computer
> ud fra internettet når du ikke har startet nogle servere.


Eksistere dør nummer 0? Mener du ikke 65535 døre? (1-65535).


> Når du starter en server, bliver en af dørene låst op. Men kun een.
>
> Det betyder at en computer ikke kan brydes ind i, hvis den ikke tilbyder
> nogle services. Ligesom et hus ikke kan brydes ind i hvis man murer
> dørene og viduerne til (nej, man kan ikke bryde væggen ned).


Problemet er jo at en hacker hurtigt kan scanne maskinen og få et
overblik over hvad der er lukket og hvad der åbent.

Med en firewall kan denne sættes op til ikke at svarer tilbage med ICMP
eller RST, dvs. man kan sætte en låst dør op der er usynlig (hmmm, lidt
åndsvag parallel :)

---

Den Thu, 24 Jan 2002 18:36:36 +0100 skrev Christian E. Lysel:
>Christian Andersen wrote:
>
>> Når du starter en server, bliver en af dørene låst op. Men kun een.
>>
>> Det betyder at en computer ikke kan brydes ind i, hvis den ikke tilbyder
>> nogle services. Ligesom et hus ikke kan brydes ind i hvis man murer
>> dørene og viduerne til (nej, man kan ikke bryde væggen ned).
>
>
>Problemet er jo at en hacker hurtigt kan scanne maskinen og få et
>overblik over hvad der er lukket og hvad der åbent.

Det er ikke noget problem. Hvis de døre der skal være lukket er lukket,
er det da kun en fordel, at angriberen kan se at han lige så godt kan
opgive på forhånd. Hvis der står nogen åbent, som ikke burde, så har man
et meget større problem.

>Med en firewall kan denne sættes op til ikke at svarer tilbage med ICMP
>eller RST, dvs. man kan sætte en låst dør op der er usynlig (hmmm, lidt
>åndsvag parallel :)

Faktisk så hjælper det ikke en sk*d, for om man får en RST tilbage,
eller intet svar giver samme resultat. Det der er interessant er hvis
man får en SYN-ACK.

Mvh
Kent
--
Der' ingen bånd der binder mig
ingen holder på mig, nej...

---

Kent Friis wrote:

> opgive på forhånd. Hvis der står nogen åbent, som ikke burde, så har man
> et meget større problem.


Hvilket man også meget hurtigt ville kunne finde ud af hvis der svares
tilbage med icmp eller rst!

Tidsforskellen på en scanning af en host der svarer rst eller ej, er
faktisk meget stor!

> Faktisk så hjælper det ikke en sk*d, for om man får en RST tilbage,
> eller intet svar giver samme resultat. Det der er interessant er hvis
> man får en SYN-ACK.


Dvs. for en server der ingen services kører, er det ok at den fortæller
at den er til stede, ved at sende rst eller icmp?

Endvidere kan både icmp og rst, i nogle tilfælde give information
omkring netværkstopologien.

---

Den Thu, 24 Jan 2002 20:40:29 +0100 skrev Christian E. Lysel:
>Kent Friis wrote:
>
>> opgive på forhånd. Hvis der står nogen åbent, som ikke burde, så har man
>> et meget større problem.
>
>Hvilket man også meget hurtigt ville kunne finde ud af hvis der svares
>tilbage med icmp eller rst!
>
>Tidsforskellen på en scanning af en host der svarer rst eller ej, er
>faktisk meget stor!

Det er fordi de mest gængse portscannings-værktøjer pænt venter på et
svar. Hvis man går udenom TCP-stakken, kan man sagtens sende et par
tusinde SYN-pakker, og så bare vente fx. fem sekunder og se om der
var noget der svarede positivt. Tusinde porte scannet på fem sekunder,
uanset om serveren svarer eller ej.

>> Faktisk så hjælper det ikke en sk*d, for om man får en RST tilbage,
>> eller intet svar giver samme resultat. Det der er interessant er hvis
>> man får en SYN-ACK.
>
>Dvs. for en server der ingen services kører, er det ok at den fortæller
>at den er til stede, ved at sende rst eller icmp?

Ja da. Det er et helt klart signal om at man lige så godt kan opgive
at angribe den. En server der lader som om den ikke findes, men svarer
på httpd kunne derimod godt være et tegn på en netværksadministrator
der ikke har fattet en sk*d, og dermed en muligt offer for fx. en
tre måneder gammel IIS-exploit

>Endvidere kan både icmp og rst, i nogle tilfælde give information
>omkring netværkstopologien.

Hvis netværksadministratoren ved hvad han gør, så hjælper de
informationer ikke. Pakker til offentlig tilgængelige servere skal
naturligvis ikke routes igennem maskiner der ikke er offentligt
tilgængelige.

Mvh
Kent
--
Der' ingen bånd der binder mig
ingen holder på mig, nej...

---

Kent Friis wrote:

> Det er fordi de mest gængse portscannings-værktøjer pænt venter på et
> svar. Hvis man går udenom TCP-stakken, kan man sagtens sende et par


De fleste portscanner går udenom TCP-stakken, og bygger selv deres egne
IP pakker.

> tusinde SYN-pakker, og så bare vente fx. fem sekunder og se om der
> var noget der svarede positivt. Tusinde porte scannet på fem sekunder,
> uanset om serveren svarer eller ej.


Denne metode er ikke god, da der ved pakketab går vigtig information tabt.

En scanning bør undgå pakketab, da der ikke retransmitteres på disse
typer pakker.

>>Dvs. for en server der ingen services kører, er det ok at den fortæller
>>at den er til stede, ved at sende rst eller icmp?
> Ja da. Det er et helt klart signal om at man lige så godt kan opgive
> at angribe den. En server der lader som om den ikke findes, men svarer


Helt klart signal?

Det er da kun et signal om at der en maskine til stede.

Hvis maskinen ikke fortæller den er til stede, er det så ikke sværer at
se den?

> på httpd kunne derimod godt være et tegn på en netværksadministrator
> der ikke har fattet en sk*d, og dermed en muligt offer for fx. en
> tre måneder gammel IIS-exploit


Hvis han har sat det op med en personlig firewall og en iis-server.

Men hvis han bygger et filter i sin router eller firewall, der skjuler
serveren, undtagen http lytteren, så plejer dette at kræve så meget
viden at man også undlader at kører iis, eller kan finde ud af at
strippe den.

---

Den Thu, 24 Jan 2002 23:02:07 +0100 skrev Christian E. Lysel:
>Kent Friis wrote:
>
>> Det er fordi de mest gængse portscannings-værktøjer pænt venter på et
>> svar. Hvis man går udenom TCP-stakken, kan man sagtens sende et par
>
>De fleste portscanner går udenom TCP-stakken, og bygger selv deres egne
>IP pakker.

Lyder fornuftigt.

>> tusinde SYN-pakker, og så bare vente fx. fem sekunder og se om der
>> var noget der svarede positivt. Tusinde porte scannet på fem sekunder,
>> uanset om serveren svarer eller ej.
>
>
>Denne metode er ikke god, da der ved pakketab går vigtig information tabt.

Hmm, nå ja - programmet kan ikke vide hvor hurtig linien er...

>En scanning bør undgå pakketab, da der ikke retransmitteres på disse
>typer pakker.
>
>>>Dvs. for en server der ingen services kører, er det ok at den fortæller
>>>at den er til stede, ved at sende rst eller icmp?
>> Ja da. Det er et helt klart signal om at man lige så godt kan opgive
>> at angribe den. En server der lader som om den ikke findes, men svarer
>
>Helt klart signal?
>
>Det er da kun et signal om at der en maskine til stede.

Det er også et signal om at der ikke er nogen service på den pågældende
port. Og man får ikke noget ud af at angribe en service der ikke er
der.

>Hvis maskinen ikke fortæller den er til stede, er det så ikke sværer at
>se den?

Der skal bare være en åben port for at man kan se maskinen er tilstede.
Det kunne fx. være ICQ der lytter, eller en server.

>> på httpd kunne derimod godt være et tegn på en netværksadministrator
>> der ikke har fattet en sk*d, og dermed en muligt offer for fx. en
>> tre måneder gammel IIS-exploit
>
>
>Hvis han har sat det op med en personlig firewall og en iis-server.
>
>Men hvis han bygger et filter i sin router eller firewall, der skjuler
>serveren, undtagen http lytteren, så plejer dette at kræve så meget
>viden at man også undlader at kører iis, eller kan finde ud af at
>strippe den.

Hvis folk kan finde ud af at have sikkerheden på serveren iorden, kan
de som regel også se der ikke er nogen fordel i det der kaldes "stealth"
i personal "firewalls".

Mvh
Kent
--
Der' ingen bånd der binder mig
ingen holder på mig, nej...

---

Christian E. Lysel wrote:

>> Forestil dig en lang væg med 65536 låste døre i. Sådan ser din computer
>> ud fra internettet når du ikke har startet nogle servere.

> Eksistere dør nummer 0? Mener du ikke 65535 døre? (1-65535).

Tja. Jeg begyndte at tælle fra 0. Desuden eksisterer port 0, men det er
vist mere teoretisk.

http://www.robertgraham.com/pubs/firewall-seen.html

Afsnit 1.1 (om port 0):

"Commonly used to help determine the operating system. This works because
on some systems, port 0 is "invalid" and will generate a different response
when you connect to it vs. a normal closed port."

Så i hvert fald "on some systems" findes den.

> Problemet er jo at en hacker hurtigt kan scanne maskinen og få et
> overblik over hvad der er lukket og hvad der åbent.

Hvad er problemet i det?

"Security through obscurity" er altså ikke et holdbart koncept.

> Med en firewall kan denne sættes op til ikke at svarer tilbage med ICMP
> eller RST, dvs. man kan sætte en låst dør op der er usynlig (hmmm, lidt
> åndsvag parallel :)

Jeg synes parral... parell... parill... analogien holder fint.

--
"...in Spain!"

---

Christian Andersen wrote:

>>Eksistere dør nummer 0? Mener du ikke 65535 døre? (1-65535).
> Tja. Jeg begyndte at tælle fra 0. Desuden eksisterer port 0, men det er
> vist mere teoretisk.
>

> Så i hvert fald "on some systems" findes den.


Ifølge http://www.iana.org/assignments/port-numbers er port 0
reserveret, men det er der jo så mange andre porte der også er, hmmmm
antallet af brugbare porte er faktisk meget mindre, det har jeg aldig
tænkt over :)

>>Problemet er jo at en hacker hurtigt kan scanne maskinen og få et
>>overblik over hvad der er lukket og hvad der åbent.
> Hvad er problemet i det?
> "Security through obscurity" er altså ikke et holdbart koncept.


Du har ikke ret, et svar med rst eller icmp, vil betyder at man siger
der eksistere en host.

For en NIDS er dette ikke interessant da den skal være usynlig.

Endvidere kan en firewall installation godt benyttes af en mængde
interne klienter, der bliver NAT'et af firewall. Firewallen selv behøver
ikke at tilbyde nogen service for Internet. Denne bør ikke svarer
tilbage med rst eller icmp ved en scanning, da det således vil være
oplagt at den eksitere, endvidere vil man i nogle tilfælde kunne se
hvilket OS det er og evt. hvilken version!

Det modsatte kunne benyttes til at sløve Code Red ned, se
http://www.threenorth.com/LaBrea/

---

Den Thu, 24 Jan 2002 20:55:02 +0100 skrev Christian E. Lysel:
>Christian Andersen wrote:
>
>>>Eksistere dør nummer 0? Mener du ikke 65535 døre? (1-65535).
>> Tja. Jeg begyndte at tælle fra 0. Desuden eksisterer port 0, men det er
>> vist mere teoretisk.
>>
>
>> Så i hvert fald "on some systems" findes den.
>
>
>Ifølge http://www.iana.org/assignments/port-numbers er port 0
>reserveret, men det er der jo så mange andre porte der også er, hmmmm
>antallet af brugbare porte er faktisk meget mindre, det har jeg aldig
>tænkt over :)
>
>>>Problemet er jo at en hacker hurtigt kan scanne maskinen og få et
>>>overblik over hvad der er lukket og hvad der åbent.
>> Hvad er problemet i det?
>> "Security through obscurity" er altså ikke et holdbart koncept.
>
>
>Du har ikke ret, et svar med rst eller icmp, vil betyder at man siger
>der eksistere en host.
>
>For en NIDS er dette ikke interessant da den skal være usynlig.

Lige i det tilfælde, har det faktisk et formål at den er usynlig.
Umiddelbart ville jeg nu ikke gøre det ved at den ikke sender svar-
pakker, men derimod ved ikke at give den et ip-nummer (eller give
den et 192.168 nummer).

>Endvidere kan en firewall installation godt benyttes af en mængde
>interne klienter, der bliver NAT'et af firewall. Firewallen selv behøver
>ikke at tilbyde nogen service for Internet. Denne bør ikke svarer
>tilbage med rst eller icmp ved en scanning, da det således vil være
>oplagt at den eksitere, endvidere vil man i nogle tilfælde kunne se
>hvilket OS det er og evt. hvilken version!

Security through obscurity igen. Jo, selvfølgelig skal firewall'en da
svare med en RST, aka. connection refused. Jo før angriberen opgiver,
jo bedre.

Og igen, hvis det er et problem at angriberen kan se hvilket OS det
drejer sig om, bør man overveje hvorfor det er et problem, og så
løse det i stedet for (fx. ved at installere et mere sikkert OS).

Mvh
Kent
--
Der' ingen bånd der binder mig
ingen holder på mig, nej...

---

Kent Friis wrote:

>>For en NIDS er dette ikke interessant da den skal være usynlig.
> Lige i det tilfælde, har det faktisk et formål at den er usynlig.
> Umiddelbart ville jeg nu ikke gøre det ved at den ikke sender svar-
> pakker, men derimod ved ikke at give den et ip-nummer (eller give
> den et 192.168 nummer).


Jeg plejer nu at pille TCP/IP stakken af maskinen, og hvis jeg er rigtig
sjov bygger jeg et netværkskabel der virker som et diode filter.

> Security through obscurity igen. Jo, selvfølgelig skal firewall'en da
> svare med en RST, aka. connection refused. Jo før angriberen opgiver,
> jo bedre.


Hvem siger angriberen opgiver?

Hvordan opdager angriberen en host der ikke svarer?

Disse to spørgsmål er da ret vigtige, før man kan snakke om "Security
through obscurity"


> Og igen, hvis det er et problem at angriberen kan se hvilket OS det
> drejer sig om, bør man overveje hvorfor det er et problem, og så
> løse det i stedet for (fx. ved at installere et mere sikkert OS).


Er du også typen der i din DNS server bruger TXT-records til at fortælle
verden hvilket OS du kører?


Hvis jeg var hacker, ville jeg scanne på må og få, resultatet ville jeg
smide i en database. Derefter ville jeg læse bugtraq, og ligende lister.
Hver gang der kommer en ny sårbarhed ville jeg da teste denne op imod de
maskiner der ifølge min database er sårbar.

---

Den Thu, 24 Jan 2002 23:09:21 +0100 skrev Christian E. Lysel:
>Kent Friis wrote:
>
>>>For en NIDS er dette ikke interessant da den skal være usynlig.
>> Lige i det tilfælde, har det faktisk et formål at den er usynlig.
>> Umiddelbart ville jeg nu ikke gøre det ved at den ikke sender svar-
>> pakker, men derimod ved ikke at give den et ip-nummer (eller give
>> den et 192.168 nummer).
>
>
>Jeg plejer nu at pille TCP/IP stakken af maskinen, og hvis jeg er rigtig
>sjov bygger jeg et netværkskabel der virker som et diode filter.
>
>> Security through obscurity igen. Jo, selvfølgelig skal firewall'en da
>> svare med en RST, aka. connection refused. Jo før angriberen opgiver,
>> jo bedre.
>
>Hvem siger angriberen opgiver?

Hvis han er så dum at han ikke opgiver at angribe en lukket port, så
opgiver han heller ikke at angribe en maskine der ikke eksisterer.

>Hvordan opdager angriberen en host der ikke svarer?

Hvis den slet ikke svarer - og heller ingen trafik selv sender, så
opdager han den ikke. Men så er den i de fleste tilfælde også
ubrugelig.

>Disse to spørgsmål er da ret vigtige, før man kan snakke om "Security
>through obscurity"
>
>
>> Og igen, hvis det er et problem at angriberen kan se hvilket OS det
>> drejer sig om, bør man overveje hvorfor det er et problem, og så
>> løse det i stedet for (fx. ved at installere et mere sikkert OS).
>
>Er du også typen der i din DNS server bruger TXT-records til at fortælle
>verden hvilket OS du kører?

Nej - det er for besværligt at vedligeholde.

>Hvis jeg var hacker, ville jeg scanne på må og få, resultatet ville jeg
>smide i en database. Derefter ville jeg læse bugtraq, og ligende lister.
>Hver gang der kommer en ny sårbarhed ville jeg da teste denne op imod de
>maskiner der ifølge min database er sårbar.

Du er da også så besværlig. Langt de fleste fyrer bare exploiten af mod
en række tilfældige ip-numre indtil der er gevinst.

Mvh
Kent
--
Der' ingen bånd der binder mig
ingen holder på mig, nej...

---

Kent Friis wrote:

>>Hvem siger angriberen opgiver?
> Hvis han er så dum at han ikke opgiver at angribe en lukket port, så
> opgiver han heller ikke at angribe en maskine der ikke eksisterer.


Porten kan fx være åben hvis source porten er 53 eller et andet magisk
tal, hvilket faktisk er set et par gange i filter regler..

>>Hvis jeg var hacker, ville jeg scanne på må og få, resultatet ville jeg
>>smide i en database. Derefter ville jeg læse bugtraq, og ligende lister.
>>Hver gang der kommer en ny sårbarhed ville jeg da teste denne op imod de
>>maskiner der ifølge min database er sårbar.
> Du er da også så besværlig. Langt de fleste fyrer bare exploiten af mod
> en række tilfældige ip-numre indtil der er gevinst.


Ovennævnte vil da give et bedre resultat :)

---

Den Sun, 27 Jan 2002 23:14:31 +0100 skrev Christian E. Lysel:
>Kent Friis wrote:
>
>>>Hvem siger angriberen opgiver?
>> Hvis han er så dum at han ikke opgiver at angribe en lukket port, så
>> opgiver han heller ikke at angribe en maskine der ikke eksisterer.
>
>
>Porten kan fx være åben hvis source porten er 53 eller et andet magisk
>tal, hvilket faktisk er set et par gange i filter regler..

Helt klart en konfigurationsfejl. Hvis ens filter ikke er mere
avanceret, er det jo blot et spørgsmål at åbne for UDP fra port
53 på *den DNS-server man bruger*.

>>>Hvis jeg var hacker, ville jeg scanne på må og få, resultatet ville jeg
>>>smide i en database. Derefter ville jeg læse bugtraq, og ligende lister.
>>>Hver gang der kommer en ny sårbarhed ville jeg da teste denne op imod de
>>>maskiner der ifølge min database er sårbar.
>> Du er da også så besværlig. Langt de fleste fyrer bare exploiten af mod
>> en række tilfældige ip-numre indtil der er gevinst.
>
>
>Ovennævnte vil da give et bedre resultat :)

Men kræve at man kan tænke, og gider bruge tid på det. Langt det meste
er script-kiddies, der knapt aner hvad et ip-nummer er.

Mvh
Kent
--
Der' ingen bånd der binder mig
ingen holder på mig, nej...