---

Hej

I dag har ingen Internet adgang fra vores lokal net.

Hvis en firewall/nat sættes op til at alt er forbudt, undtagen udgående http
på port 80

Er man så helt sikker på at hacker ikke kan komme ind på vores lokalnet ?

Nogen siger nej , nogen siger ja

Hvad er sandt

---

Torben c tried to tell us something, and all I got was:
>
> Hvis en firewall/nat sættes op til at alt er forbudt, undtagen udgående http
> på port 80
>
> Er man så helt sikker på at hacker ikke kan komme ind på vores lokalnet ?
>

Det kommer an paa hvilken webserver du benytter, og hvilket indhold du
laegger op paa webserveren. Det kommer ligeledes an paa, hvilken
firewall du benytter.. Fx. saa er der stoerre chance for at ZoneAlarm
indeholder huller/sploit end fx. en Cisco PIX.

Det er ikke et ja/nej spoergsmaal - det afhaenger nemlig af en masse
faktorer.

Haaber det kan hjaelpe..

--
Regards,
Michael L. Hostbaek
-= So long, and thanks for all the fish.. =-

---

Michael L. Hostbaek wrote:

> Det kommer an paa hvilken webserver du benytter, og hvilket indhold du
> laegger op paa webserveren. Det kommer ligeledes an paa, hvilken


Torben skriver om interne brugere der skal ud.

---

"Torben c" <nomail@fffxxx.com> wrote in
news:3c6ce948$0$62868$edfadb0f@dspool01.news.tele.dk:

> Hej
>
> I dag har ingen Internet adgang fra vores lokal net.
>
> Hvis en firewall/nat sættes op til at alt er forbudt, undtagen
> udgående http på port 80

Nu kommer det an på firewallen men, hvis det er muligt så sæt den til at
acceptere udgående forbindelse og destenations porten til 80. grunden til
det er at din computer bruger en hører port, til at få forbindelse til
destanitions porten som er 80 når det er http vi snakker om. Du skal dog
være opmærksom på, der er sikkert nogne sider med java applets du ikke
kan få forbindelse til. Eks jubii chat.

> Er man så helt sikker på at hacker ikke kan komme ind på vores
> lokalnet ?

Nej. Hvis du vil være helt sikker, så lad være med at få internet. Men du
er et stykke på vej til at være sikker. De hackere der vil ind (De
rigtige dygtige) finder vej ind hvis de vil ind. Men jeg vil våge at
påstå at 99% ikke gider at spilde tid på en computer med en ordenlig
firewall opsat.

--
Mvh
Heine Laursen

---

> Du skal dog
> være opmærksom på, der er sikkert nogne sider med java applets du ikke
> kan få forbindelse til. Eks jubii chat.

Der er SVJH ikke en eneste java applet på Jubii Chat - det er andre ting der
gør, at man ikke umiddelbart kan anvende den fulde udgave af klienten gennem
en firewall. Men ellers har du ret.

--
Mvh. Jesper

---

Torben c wrote:
>
> I dag har ingen Internet adgang fra vores lokal net.
> Hvis en firewall/nat sættes op til at alt er forbudt, undtagen udgående http
> på port 80
> Er man så helt sikker på at hacker ikke kan komme ind på vores lokalnet ?
> Nogen siger nej , nogen siger ja
> Hvad er sandt

Hvis man kan sende pakker ud, kan der også komme pakker ind: Sæt en SSH
server op, ude i byen, der lytter på port 80. Lav så (indefra) en
'ssh -R 10000:localhost:22 brugernavn@eksternmaskine -p 80'. Det vil
gøre det muligt, udefra at tilgå port 10000 på den eksterne maskine,
og dukke op på port 22 inde på jeres lokalnet.

For at forhindre dette i at ske, bør adgang til port 80 på eksterne
adresser kun kunne ske fra en webproxy-server. Alle andre, interne
maskiner bør ikke kunne tilgå eksterne adresser, heller ikke på
port 80. Sørg dernæst for at sikre webproxy-serveren, så det ikke er muligt
for uautoriserede brugere at logge på den, og så lave port forwardingen
derfra i stedet.

Husk også at forhindre dine medarbejdere i at installere MODEM'er i
deres pc'er og/eller foretage telefonopkald.

Vh,

Ole Michaelsen

---

Ole Michaelsen <omic+usenet3@fys.ku.dk> wrote:

>Husk også at forhindre dine medarbejdere i at installere MODEM'er i
>deres pc'er og/eller foretage telefonopkald.

Hvis han forhindrer medarbejderne i at foretage telefonopkald, er der
ingen grund til at beskytte netværket. Firmaet er alligevel snart nødt
til at lukke.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Den Fri, 15 Feb 2002 11:56:07 +0100 skrev Torben c:
>Hej
>
>I dag har ingen Internet adgang fra vores lokal net.
>
>Hvis en firewall/nat sættes op til at alt er forbudt, undtagen udgående http
>på port 80
>
>Er man så helt sikker på at hacker ikke kan komme ind på vores lokalnet ?
>
>Nogen siger nej , nogen siger ja

Man er aldrig helt sikker.

Det nærmeste man kan komme er at støbe hele netværket ind i en stor
betonklods, der _ingen_ kabler går ud af (heller ikke power-kabler).

Mvh
Kent
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.

---

"Kent Friis" <kfr@fleggaard.dk> wrote in message
news:a4ir0e$no2$1@sunsite.dk...

> Man er aldrig helt sikker.
>
> Det nærmeste man kan komme er at støbe hele netværket ind i en stor
> betonklods, der _ingen_ kabler går ud af (heller ikke power-kabler).

Hmm, mon ikke man kan aflytte elektromagnetisk stråling fra udstyret inde i
betonklodsen? ;)

--
Mvh. Mogens
B.Sc. i datalogi. Søger IT-job på Fyn!
www.momech.dk

---

Den Sat, 16 Feb 2002 04:56:08 +0100 skrev Mogens Meier Christensen:
>"Kent Friis" <kfr@fleggaard.dk> wrote in message
>news:a4ir0e$no2$1@sunsite.dk...
>
>> Man er aldrig helt sikker.
>>
>> Det nærmeste man kan komme er at støbe hele netværket ind i en stor
>> betonklods, der _ingen_ kabler går ud af (heller ikke power-kabler).
>
>Hmm, mon ikke man kan aflytte elektromagnetisk stråling fra udstyret inde i
>betonklodsen? ;)

Ikke uden powerkabler (medmindre du vil køre på UPS).

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Railroad
Tycoon II and Unreal Tournament run side by side

---

On Fri, 15 Feb 2002 11:21:50 +0000 (UTC), kfr@fleggaard.dk (Kent
Friis) wrote:

>Den Fri, 15 Feb 2002 11:56:07 +0100 skrev Torben c:
>>Hej
>>
>>I dag har ingen Internet adgang fra vores lokal net.
>>
>>Hvis en firewall/nat sættes op til at alt er forbudt, undtagen udgående http
>>på port 80
>>
>>Er man så helt sikker på at hacker ikke kan komme ind på vores lokalnet ?
>>
>>Nogen siger nej , nogen siger ja
>
>Man er aldrig helt sikker.
>
>Det nærmeste man kan komme er at støbe hele netværket ind i en stor
>betonklods, der _ingen_ kabler går ud af (heller ikke power-kabler).
>
Ja og husk: sluk alle monitorer, de kan aflyttes på ca 2 Km afstand.

--
Arne Keller
Jeg udtaler mig, på usenet, alene på egne vegne.

---

Den Sat, 16 Feb 2002 09:58:27 GMT skrev Arne Keller:
>On Fri, 15 Feb 2002 11:21:50 +0000 (UTC), kfr@fleggaard.dk (Kent
>Friis) wrote:
>
>>Den Fri, 15 Feb 2002 11:56:07 +0100 skrev Torben c:
>>>Hej
>>>
>>>I dag har ingen Internet adgang fra vores lokal net.
>>>
>>>Hvis en firewall/nat sættes op til at alt er forbudt, undtagen udgående http
>>>på port 80
>>>
>>>Er man så helt sikker på at hacker ikke kan komme ind på vores lokalnet ?
>>>
>>>Nogen siger nej , nogen siger ja
>>
>>Man er aldrig helt sikker.
>>
>>Det nærmeste man kan komme er at støbe hele netværket ind i en stor
>>betonklods, der _ingen_ kabler går ud af (heller ikke power-kabler).
>>
>Ja og husk: sluk alle monitorer, de kan aflyttes på ca 2 Km afstand.

Går det ikke helt af sig selv, når du fjerner powerkablerne?

Mvh
Kent
--
.~. .~.
/V\ From Palm Pilot to S/390 /V\
// \\ Truly scalable operating system // \\
/( )\ Linux /( )\
^^-^^ ^^-^^

---

Torben c wrote:

> Hej
>
> I dag har ingen Internet adgang fra vores lokal net.
>
> Hvis en firewall/nat sættes op til at alt er forbudt, undtagen udgående http
> på port 80
>
> Er man så helt sikker på at hacker ikke kan komme ind på vores lokalnet ?
>
> Nogen siger nej , nogen siger ja


Nej, du kan aldrig være sikker.

Dem der siger ja, ved ikke hvad de snakker om!

Hvis du vil sikre dig meget, kan du sætte en applikationsfirewall, der
sørger for at http protokollen bliver overholdt. Fx en Raptor Firewall.
Endvidere kan du validere dine brugere i firewall, således at kun
valideret brugere kan surfe, dette forhindre også simple trojs der
kommunikere på http.

Vil du sikre dig mere, kan du stille en Raptor firewall op på ydersiden.
Denne firewall skal være udstyret med to netkort, et til ydesiden og et
til en DMZ. På det DMZ'en sætte du en citrix server med en internet
browser installeret. Raptoren skal kun tillade citrix serveren i at gå
på internet segmentet med http.

På det selvsamme segment sætter du en filter firewall som er forbundet
til det interne net. I denne skal implementeres filtre der kun tillade
ICA fra det interne segment til citrix serveren.

På det interne segment, installere dine arbejdsstationer citrix klienten.


Hvis du vil være _helt_ sikker, bygger du et fysisk uafhængigt net, som
intet har med det interne net at gøre. På dette net smide du nogle
arbejdsstationer med en internet browser.

---

On Fri, 15 Feb 2002 11:56:07 +0100,
Torben c <nomail@fffxxx.com> wrote:
> Hej
>
> I dag har ingen Internet adgang fra vores lokal net.
>
> Hvis en firewall/nat sættes op til at alt er forbudt, undtagen udgående http
> på port 80
>
> Er man så helt sikker på at hacker ikke kan komme ind på vores lokalnet ?

Nej. Han kan bare gå ind ad døren, og sætte sig ved den første ledige
maskine. Sikkerhed er mere end bare Internet.

Hvis en hacker vil ind, så skal han enten sende en e-mail til
en bruger der anvender Outlook Expres, eller lokke en bruger
hen til en webside. Så medmindre alle jeres Microsoft produkter
altid er opdaterede med de seneste patches, så er der en stor
mulighed for at en hacker kan få den dumme brugers maskine til
at lege server, herunder åbne en tunnel indefra og ud, som han
kan få adgang til.

En Proxy server er bedre end ren NAT, da det besværliggør den
tunnel der skal åbnes. Men teoretisk kan man godt lave en
tunnel gennem lovlige HTTP requests via en proxy.

> Nogen siger nej , nogen siger ja
>
> Hvad er sandt

Det eneste der er sikkert er, at intet er sikkert.

---

Den Sun, 17 Feb 2002 15:19:59 +0000 (UTC) skrev Povl H. Pedersen:
>
>En Proxy server er bedre end ren NAT, da det besværliggør den
>tunnel der skal åbnes. Men teoretisk kan man godt lave en
>tunnel gennem lovlige HTTP requests via en proxy.

"Teoretisk"? Har du nogensinde hørt om SOAP, som bl.a. Microsoft er ret
glade for, og bruger ret meget i .NET? Det er netop en metode til at
bruge http til at snige trafik forbi en firewall eller proxy.

Mvh
Kent
--
unsigned long main = 0xC8C70FF0;

---

Kent Friis wrote:
>
> unsigned long main = 0xC8C70FF0;

Kan man rent faktisk lægge en pentium ned med
så kort en sourcekode?

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Den Mon, 18 Feb 2002 10:39:45 +0100 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> unsigned long main = 0xC8C70FF0;
>
>Kan man rent faktisk lægge en pentium ned med
>så kort en sourcekode?

Det siges. Det virker dog ikke under linux, da denne implementerer
Intels fix.

(Koden giver en warning under GCC).

Mvh
Kent
--
.~. .~.
/V\ From Palm Pilot to S/390 /V\
// \\ Truly scalable operating system // \\
/( )\ Linux /( )\
^^-^^ ^^-^^

---

On Mon, 18 Feb 2002 16:28:55 +0000 (UTC), Kent Friis <kfr@fleggaard.dk> wrote:
> Det siges. Det virker dog ikke under linux, da denne implementerer
> Intels fix.
>
> (Koden giver en warning under GCC).

Hvem implementerer _ikke_ de workarounds?

--
Jesper -
Giv mig en ML-, Miranda- eller Scheme-dialekt og jeg er glad - JLA

---

Den Mon, 18 Feb 2002 17:25:51 +0000 (UTC) skrev Jesper Louis Andersen:
>On Mon, 18 Feb 2002 16:28:55 +0000 (UTC), Kent Friis <kfr@fleggaard.dk> wrote:
>> Det siges. Det virker dog ikke under linux, da denne implementerer
>> Intels fix.
>>
>> (Koden giver en warning under GCC).
>
>Hvem implementerer _ikke_ de workarounds?

Jeg har aldrig hørt om at Microsoft skulle gøre det.

Mvh
Kent
--
Indlæringskurven til Linux er stejl, til tider lodret... Men for katten
hvor er udsigten på toppen dog fantastisk
- Michael G. Vendelbo i dk.snak

---

Povl H. Pedersen wrote:

>>I dag har ingen Internet adgang fra vores lokal net.
>>Hvis en firewall/nat sættes op til at alt er forbudt, undtagen udgående http
>>på port 80
> Nej. Han kan bare gå ind ad døren, og sætte sig ved den første ledige
> maskine. Sikkerhed er mere end bare Internet.


Han spørger i forhold til at han giver internet adgang. I forhold til
dette er hans fysiske sikkerhed vel ikke forringet.


> Det eneste der er sikkert er, at intet er sikkert.


Det vil sige, både dit og mit udsagn heller ikke er sikkert.

---

On Sun, 17 Feb 2002 17:14:42 +0100,
Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> Povl H. Pedersen wrote:
>
>>>I dag har ingen Internet adgang fra vores lokal net.
>>>Hvis en firewall/nat sættes op til at alt er forbudt, undtagen udgående http
>>>på port 80
>> Nej. Han kan bare gå ind ad døren, og sætte sig ved den første ledige
>> maskine. Sikkerhed er mere end bare Internet.
>
> Han spørger i forhold til at han giver internet adgang. I forhold til
> dette er hans fysiske sikkerhed vel ikke forringet.

Enig. Men man bør henlede opmærksomheden på, at Internet ikke
er den eneste fare. Og såfremt virksomheden kommer på nettet,
så vokser faren vel også, idet man så bare skal stikke en
diskette ind i en maskine i virksomheden, hvorefter denne
installerer software der gør at du kan overtage den udefra.

Man kan sagtens lave en boot floppy med Linux, NTFS support,
og så rode så der næste gang maskinen bootes hentes det
resterende ned fra nettet.

Uden Internet skulle man have tid til at kopiere data over
mens man var på lokationen.

>> Det eneste der er sikkert er, at intet er sikkert.
>
> Det vil sige, både dit og mit udsagn heller ikke er sikkert.

Skrev linien for den er selvmodsigende.