|
|
 | Deling af ADSL og sikkerhed
Fra : Jørn Andersen |
Dato : 30-01-02 16:14 |
|
Hej,
Hvad er egentlig den "rigtige" løsning på følgende, som dukker op igen
og igen i denne gruppe:
Folk får ADSL og efterhånden har man også 2-3-4 eller flere Windows
PC'ere i hjemmet (af varierende alder og "power"), så man vil gerne
opfyldt følgende krav:
1) Alle skal kunne komme på nettet, også uafhængigt af om en bestemt
anden PC i huset er tændt - så man køber en hub (eller switch, hvis
man har flere hastigheder) og samler det hele heri
2) Folk skal kunne dele filer med hinanden og skrive ud på husets
printer(e) - så man laver fil- og udskriftsdeling
Man har så en konflikt med det sidste krav:
3) Man vil ikke dele filer med alle på Internet.
De løsninger jeg har set er:
a) Sæt en ekstra PC op som ADSL'en er koblet, og som så på et andet
netkort har forbindelse til LAN'et + har noget firewall software.
Det er vel den bedste løsning, men koster så lige en ekstra PC
b) Lav fildeling med en anden protokol end TCP/IP
- hvor sikkert er det?
c - d - e ...) ?
Med andre ord:
Hvordan sikrer man sig nogenlunde fornuftigt uden at skulle ud og
investere en halv formue?
Noget jeg heller ikke helt har forstået er:
Hvis man som ADSL router har en Cisco 677 kan den så konfigureres, så
man forhindrer fildeling udadtil?
Altså: Kører fildeling på en særskilt port - eller hur?
Mvh. Jørn
| |
 Henrik Koksby Hansen (30-01-2002)
| Kommentar
Fra : Henrik Koksby Hansen |
Dato : 30-01-02 17:05 |
|
On Wed, 30 Jan 2002 16:13:47 +0100, Jørn Andersen <jorn@jorna.dk>
wrote:
>Noget jeg heller ikke helt har forstået er:
>Hvis man som ADSL router har en Cisco 677 kan den så konfigureres, så
>man forhindrer fildeling udadtil?
>Altså: Kører fildeling på en særskilt port - eller hur?
[...]
Routeren åbner ikke automatisk indgående porte, men kun udadgående.
Derfor kan hvem som helst ikke bare taste din IP og tilslutte dit
netværk gennem routeren. Så får de fat i routeren, men kommer ikke
længere.
Dette skal åbnes i routeren, sådan at trafikken bliver routet videre
til en af maskinerne.
For fil- og udskriftsdeling og NetBIOS:
Port 137-139, mener jeg.
Hvor 137 og 138 benytter UDP-protokollen og 139 TCP...
I hvisse tilfælde kan portene åbnes, hvis en i netværket forsøger at
tilslutte en eksterne computer.
Hvis man vil være sikker på at det ikke sker, kan man benytte
filter-funktionen i routeren, til at blokkere AL trafik på disse
porte.
Et eksempel på filteropsætning, der blokerer AL fildeling og NetBIOS:
set filter 0 on deny incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
protocol TCP srcport 1-65535 destport 139-139
set filter 1 on deny outgoing all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
protocol TCP srcport 1-65535 destport 139-139
set filter 2 on deny incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
protocol UDP srcport 1-65535 destport 137-138
set filter 3 on deny outgoing all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
protocol UDP srcport 1-65535 destport 137-138
set filter 18 on allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
set filter 19 on allow outgoing all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
Der står lidt om det på CC's hjemmeside:
http://www.cybercity.dk/privat/support/adsl_udstyr/cisco_677/filter_firewall/
vh
Henrik
| |
Niels Andersen (30-01-2002)
| Kommentar
Fra : Niels Andersen |
Dato : 30-01-02 19:50 |
|
"Henrik Koksby Hansen" <kaptajnen@koksby.dk> wrote in message
news:de5g5ukqiim0f36ivcp1a2ma9sbebc82uq@4ax.com...
> Routeren åbner ikke automatisk indgående porte, men kun udadgående.
Så vidt jeg ved vil en router med standard konfiguration fra både Tiscali og
Cybercity forwarde *alle* porte, til en bestemt intern IP.
Det er så denne IP de foreslår, at man bruger på sin (primære) maskine.
--
Mvh.
Niels Andersen
| |
 Bjarne Duelund (31-01-2002)
| Kommentar
Fra : Bjarne Duelund |
Dato : 31-01-02 21:29 |
|
"Niels Andersen" <niels-usenet@myplace.dk> skrev i en meddelelse news:yhX58.8887$Eu2.964780@news010.worldonline.dk...
> > Routeren åbner ikke automatisk indgående porte, men kun udadgående.
>
> Så vidt jeg ved vil en router med standard konfiguration fra både Tiscali og
> Cybercity forwarde *alle* porte, til en bestemt intern IP.
> Det er så denne IP de foreslår, at man bruger på sin (primære) maskine.
Og som vi andre foreslår at man IKKE benytter.
--
Mvh Bjarne Duelund, duelund@danbbs.dk
Opsætning af Windows ICS, XP tips, Fjernstyring af PC m.m.:
< http://www.danbbs.dk/~duelund/pcinfo/>
!-! Remove _X_ from Email address
| |
Kasper Mejlgaard (31-01-2002)
| Kommentar
Fra : Kasper Mejlgaard |
Dato : 31-01-02 23:11 |
|
It seems Niels Andersen wrote:
> Så vidt jeg ved vil en router med standard konfiguration fra både Tiscali og
> Cybercity forwarde *alle* porte, til en bestemt intern IP.
CC's routers leveres ikke med dette entry som std. og er aldrig blevet det.
--
Kasper Mejlgaard
| |
Niels Andersen (30-01-2002)
| Kommentar
Fra : Niels Andersen |
Dato : 30-01-02 17:10 |
|
"Jørn Andersen" <jorn@jorna.dk> wrote in message
news:831g5u0g6cnr98b496t6738hu2ho589sdt@4ax.com...
> 1) Alle skal kunne komme på nettet, også uafhængigt af om en bestemt
> anden PC i huset er tændt - så man køber en hub (eller switch, hvis
> man har flere hastigheder) og samler det hele heri
....kræver en router. Husk det.
> 3) Man vil ikke dele filer med alle på Internet.
Det er op til routeren, hvad der er adgang til udefra. Bare slå det fra der,
så er du sikker.
En god ting mht. sikkerhed er at lukke for *alt* indgående på routeren, og
så kun åbne for det, man har brug for. Sådan har jeg selv gjort.
> De løsninger jeg har set er:
> a) Sæt en ekstra PC op som ADSL'en er koblet, og som så på et andet
> netkort har forbindelse til LAN'et + har noget firewall software.
> Det er vel den bedste løsning, men koster så lige en ekstra PC
Så vidt jeg lige kan se, så er det slet ikke en løsning.
> b) Lav fildeling med en anden protokol end TCP/IP
> - hvor sikkert er det?
Det er også helt sikkert. Det er kun IP-trafik der går gennem routeren, og
hvis der ikke er fildeling på en ip-protokol, så kan fildelingen ikke gå
gennem routeren.
Men det har jo den begrænsing, at du ikke kan lave fildeling over tcp/ip.
Det er nok ligegyldigt for de fleste, men jeg synes nu engang det er det
sikreste.
> Med andre ord:
> Hvordan sikrer man sig nogenlunde fornuftigt uden at skulle ud og
> investere en halv formue?
Lær om netværk og internet!
Når du har nogenlunde styr på hvad tcp, udp, porte osv. er for noget, så har
du langt nemmere ved at klare det med firewall og router.
Og så er de styr på det adsl-relaterede. En anden form for sikkerhed er så
de ting, du selv lukker ind. Virus o. lign. som kommer med emails, software
osv. Men det er en helt anden snak.
> Hvis man som ADSL router har en Cisco 677 kan den så konfigureres, så
> man forhindrer fildeling udadtil?
Yep. Du kan enten bruge "whitelist" som jeg gør (hvor jeg angiver hvad der
må komme ind) eller "blacklist" (hvor du fortæller routeren, at de relevante
porte skal spærres, og håber du får dem alle med.)
> Altså: Kører fildeling på en særskilt port - eller hur?
Det er noget med tcp og udp på potr 137-139, og på de nyere Windows er der
noget med port 4??...
--
Mvh.
Niels Andersen
| |
Ormen (30-01-2002)
| Kommentar
Fra : Ormen |
Dato : 30-01-02 18:00 |
|
> > De løsninger jeg har set er:
> > a) Sæt en ekstra PC op som ADSL'en er koblet, og som så på et andet
> > netkort har forbindelse til LAN'et + har noget firewall software.
> > Det er vel den bedste løsning, men koster så lige en ekstra PC
>
> Så vidt jeg lige kan se, så er det slet ikke en løsning.
Hvorfor ikke? Det kører da fino her =)
/TWM
| |
Niels Andersen (30-01-2002)
| Kommentar
Fra : Niels Andersen |
Dato : 30-01-02 19:52 |
|
"Ormen" <mertodinlo@hotmail.com> wrote in message
news:3c5826b0$0$245$edfadb0f@dspool01.news.tele.dk...
> > > a) Sæt en ekstra PC op som ADSL'en er koblet, og som så på et andet
> > > netkort har forbindelse til LAN'et + har noget firewall software.
> > > Det er vel den bedste løsning, men koster så lige en ekstra PC
Bare fordi det er en PC der leger router, så er det stadig en router.
Og med en PC som (eneste) router er der *direkte* adgang fra internettet til
maskine, og så er du nødt til at blande en firewall ind i billedet, for at
lukke af.
--
Mvh.
Niels Andersen
| |
Ormen (30-01-2002)
| Kommentar
Fra : Ormen |
Dato : 30-01-02 20:16 |
|
> > > > a) Sæt en ekstra PC op som ADSL'en er koblet, og som så på et andet
> > > > netkort har forbindelse til LAN'et + har noget firewall software.
> > > > Det er vel den bedste løsning, men koster så lige en ekstra PC
>
> Bare fordi det er en PC der leger router, så er det stadig en router.
> Og med en PC som (eneste) router er der *direkte* adgang fra internettet
til
> maskine, og så er du nødt til at blande en firewall ind i billedet, for at
> lukke af.
Det skriver han jo også: '.... + har noget firewall software'
Jeg har en RedHat kørende.. den deler mit internet og har noget iptables
kørende. Der er _kun_ lukket op for det min Linuxhaj synes var absolut
nødvendigt. Og det triller fint derudaf =)
/TWM
| |
Niels Andersen (30-01-2002)
| Kommentar
Fra : Niels Andersen |
Dato : 30-01-02 20:33 |
|
"Ormen" <mertodinlo@hotmail.com> wrote in message
news:3c58468b$0$245$edfadb0f@dspool01.news.tele.dk...
> > > > > 3) Man vil ikke dele filer med alle på Internet.
[...]
> > > > > a) Sæt en ekstra PC op som ADSL'en er koblet, og som så på et
andet
> > > > > netkort har forbindelse til LAN'et + har noget firewall software.
> > > > > Det er vel den bedste løsning, men koster så lige en ekstra PC
> > > > Så vidt jeg lige kan se, så er det slet ikke en løsning.
> > > Hvorfor ikke? Det kører da fino her =)
> >Bare fordi det er en PC der leger router, så er det stadig en router.
> Det skriver han jo også: '.... + har noget firewall software'
Okay, jeg fokuserede på det der med at lade en PC være router.
Det kan så forkortes til at installere en software firewall, og så koster
det ikke en ekstra PC.
Og det er ikke den bedste løsning, selv om den nu også er meget god.
> Jeg har en RedHat kørende.. den deler mit internet og har noget iptables
> kørende. Der er _kun_ lukket op for det min Linuxhaj synes var absolut
> nødvendigt. Og det triller fint derudaf =)
Yeps, sådan er det. Men nu har man jo også generelt mere styr på tingene i
Linux. Der er ikke den store chance for lige pludselig at have en bagdør.
På min Windows-maskine skal en "indgang" godkendes af mig to steder, før den
fungerer. På min software firewall, samt på routeren.
På min Linux-maskine kommer der slet intet ind i første omgang, uden jeg ved
det. Der tager man altså problemerne et skridt før.
--
Mvh.
Niels Andersen
| |
Jørn Andersen (30-01-2002)
| Kommentar
Fra : Jørn Andersen |
Dato : 30-01-02 20:58 |
|
On Wed, 30 Jan 2002 20:33:10 +0100, "Niels Andersen"
<niels-usenet@myplace.dk> wrote:
>Okay, jeg fokuserede på det der med at lade en PC være router.
>Det kan så forkortes til at installere en software firewall, og så koster
>det ikke en ekstra PC.
Men så skal man - hvis man tager udgangspunkt i mine oprindelige
punkter - have en firewall på alle maskiner, ikke??
Nu er jeg - som det fremgår - ikke særligt bevandret i de dele, men
sådan som jeg har opfattet meningen med en firewall, så virker det
lidt bagvendt at have en firewall på alle maskiner. Normalt vil man
vel placere en firewall mellem sit lokalnet og internettet - eller??
Mvh. Jørn
| |
Niels Andersen (31-01-2002)
| Kommentar
Fra : Niels Andersen |
Dato : 31-01-02 09:09 |
|
"Jørn Andersen" <jorn@jorna.dk> wrote in message
news:ukjg5u48j0qpkl9lk1gm42t5v4ub5pdri2@4ax.com...
> >Okay, jeg fokuserede på det der med at lade en PC være router.
> >Det kan så forkortes til at installere en software firewall, og så koster
> >det ikke en ekstra PC.
>
> Men så skal man - hvis man tager udgangspunkt i mine oprindelige
> punkter - have en firewall på alle maskiner, ikke??
Nej.
> Nu er jeg - som det fremgår - ikke særligt bevandret i de dele, men
> sådan som jeg har opfattet meningen med en firewall, så virker det
> lidt bagvendt at have en firewall på alle maskiner. Normalt vil man
> vel placere en firewall mellem sit lokalnet og internettet - eller??
Yeps.
Her i huset er routeren et stykke hardware. Al indgående trafik bliver pr.
default ignoreret. Det er i princippet en simpel firewall.
Jeg har så sat en port hist og her op til at blive forwardet til en eller
anden maskine. Der er lidt webserver og hvad ved jeg.
De fleste ADSL-routere her i landet er vist default konfigureret til, at al
indgående trafik bliver sendt til én bestemt maskine. Så er den helt
ubeskyttet, og en firewall på den kunne være en god ting.
Man kan også sætte én maskine på nettet, helt uden brug af router. Så er der
ikke så meget som skyggen af beskyttelse, den er direkte på. Så er den
eneste måde du kan beskytte den, at sætte en software firewall på.
Det ændrer intet for den maskine, at der er en software router på den. Den
står stadig helt åben ud mod nettet. De maskiner der sidder bag den, og
benytter den som router, har der imod ikke behov for beskyttelse mod
indgående forbindelser. Dermed behøver der ikke være firewall på alle
maskiner.
En helt anden ting er, at du er måske insteresseret i at installere en
personlig firewall på alle maskinerne alligevel, som kan arbejde på
applikationsniveau.
--
Mvh.
Niels Andersen
| |
Per H. Nielsen (30-01-2002)
| Kommentar
Fra : Per H. Nielsen |
Dato : 30-01-02 22:49 |
|
"Niels Andersen" <niels-usenet@myplace.dk> writes:
>"Jørn Andersen" <jorn@jorna.dk> wrote in message
>news:831g5u0g6cnr98b496t6738hu2ho589sdt@4ax.com...
>> 1) Alle skal kunne komme på nettet, også uafhængigt af om en bestemt
>> anden PC i huset er tændt - så man køber en hub (eller switch, hvis
>> man har flere hastigheder) og samler det hele heri
>...kræver en router. Husk det.
Ikke hvis man har TDC Bredbånd med dynamiske IP-adresser.
Hilsen
Per
--
Per H. Nielsen <phn@dkscan.dkx>
My Danish Scanner Pages: http://www.dkscan.dk
To reply to this change .dkx to .dk in my address.
| |
Niels Andersen (31-01-2002)
| Kommentar
Fra : Niels Andersen |
Dato : 31-01-02 08:35 |
|
"Per H. Nielsen" <phn@dkscan.dkx> wrote in message
news:aTZ58.1093$Cw2.6942@news.get2net.dk...
> Ikke hvis man har TDC Bredbånd med dynamiske IP-adresser.
TDC har altid været mærkelige.
Den løsning sparer måske en router, men for hulen hvor har jeg set det give
mange problemer.
Sådan er det med TDC. Jeg har set adskillige firmaer mangle internet i
dagevis, bare fordi de skulle skifte fra dynamisk til fast IP. De skulle
nemlig have helt nyt udstyr, og sætte det hele op på en helt anden måde.
Bare de direkte udgifter (konsulent-timer mv.) løber ofte op i flere tusinde
kroner.
Personligt undgår jeg dem så vidt muligt. Det betyder desværre, at der er
grænser for hvor godt jeg kender deres produkter.
--
Mvh.
Niels Andersen
| |
Jørn Andersen (30-01-2002)
| Kommentar
Fra : Jørn Andersen |
Dato : 30-01-02 23:04 |
|
On Wed, 30 Jan 2002 17:09:43 +0100, "Niels Andersen"
<niels-usenet@myplace.dk> wrote:
>"Jørn Andersen" <jorn@jorna.dk> wrote in message
>news:831g5u0g6cnr98b496t6738hu2ho589sdt@4ax.com...
>> 1) Alle skal kunne komme på nettet, også uafhængigt af om en bestemt
>> anden PC i huset er tændt - så man køber en hub (eller switch, hvis
>> man har flere hastigheder) og samler det hele heri
>
>...kræver en router. Husk det.
Vel kun en ADSL-router a la Cisco 677?
- Sådan er mit i hvertfald strikket op p.t.:
Cisco 677 -> Hub -> 3 forskellige PC'ere.
Mvh. Jørn
| |
Niels Andersen (31-01-2002)
| Kommentar
Fra : Niels Andersen |
Dato : 31-01-02 08:37 |
|
"Jørn Andersen" <jorn@jorna.dk> wrote in message
news:l8rg5ugo7pl4adv7jsf232ebo6vcldtkm1@4ax.com...
> >...kræver en router. Husk det.
> Vel kun en ADSL-router a la Cisco 677?
Ja, Cisco 677 er en router.
Den har et ADSL-interface på den globale side, og ethernet på den lokale.
Den har mulighed for NAT, DHCP og meget andet sjov. Perfekt til at give
ADSL-forbindelse til et netværk, selv hvis du kun har én global IP.
--
Mvh.
Niels Andersen
| |
|
|