---

1. Emne:

Personlige firewalls

2. Beskrivelse:

Installation, opsaetning og brug af personlig firewall
123456789 123456789 123456789 123456789 123456789 12345

3. Fundats:

Gruppen har til formål at være et debatforum omkring installation og
brug af personlige firewalls.

Eksempler på emner i gruppen kunne være:
Hvilken personlig firewall skal jeg vælge?
Min firewall vil ikke lade min x-program forbinde til nettet.
Min firewall forhindrer udefrakommende brugere i at forbinde til min y-
server.
Min firewall giver problem med mit lokalnetværk.
Jeg har fået følgende alarm fra min firewall. Er det noget jeg skal
bekymre mig om?
Hvordan skal jeg tolke følgende i logfilen?

Spørgsmål om dedikerede hardwarefirewalls henvises til dk.edb.sikkerhed

Der henvises i øvrigt til de overordnede retningslinier for dk-
hierarkiet angående den korrekte brug af gruppen. Disse kan læses på
http://usenet.dk/grupper.pl?get=dk

4. Begrundelse:

Spørgsmål om personlige firewall fylder en del i dk.edb.sikkerhed, og
da flere og flere installerer personlige firewalls, vil denne trafik
sandsynligvis øges med fare for, at mere specialiserede emner omkring
sikkerhed drukner.

5. Eksisterende trafik:

dk.edb.sikkerhed. Der er dog også spørgsmål om emnet i
dk.edb.internet.*

6. Forslag til navn(e):

dk.edb.sikkerhed.personlig-firewall

7. Moderering:

Nej

8. Forslagsstiller:

Lars Kyndi Laursen <spam_me_senseless@mail.dk>

9. Debatperiode:

06-07-02 til 06-08-02
Forlænget pga ferie

--
Lars Kyndi Laursen, representatum nixi

All, most, or some of the above may or may not work yet.

---

Lars Kyndi Laursen wrote:

> Installation, opsaetning og brug af personlig firewall


Hmm...
Jeg er ikke sikker på jeg kan lide forslaget. Jeg kan godt se problemet,
men det snerper lidt hen af at d.e.s kun er for proffesionelle.
Folk kommer jo her for at få svar på deres oprigtige spørgsmål og det er
jo da altid noget at de overhovedet bekymrer sig.
Man kunne måske godt ønske at de læste FAQ'en lidt mere, men det er jo
overkill (IMHO) at løse det problem med en ny gruppe.
Måske skulle man bare gøre med ud af FAQ'en.

Hmm... personlige firewalls. Betyder det så også at man ikke må stille
spørgsmål om pakke-filtre ala IP-tables her?
Hardware-firewalls...hmmm... når jeg har en separat disk-løs 486 til at
kører LEAF (http://leaf.sf.net), hører det så til her eller i den nye
gruppe? ja, jeg ved godt det er dk.edb.system.unix, når det drejer sig
om adminitrative problemer.
.... men så burde man vel også henvise folk der ikke forstår hvordan man
installerer ZoneAlarm til dk.edb.system.noget-med-windows

Peter

NB:
X-post: dk.admin,dk.edb.sikkerhed
FUT: dk.admin

---

---

---

---

---

---

---

---

---

---

---

"Bent Fleron" <bent@fleron.dk> wrote:

>>> brugere. Jeg har derfor ikke kendskab til andre programmer der
>>> uden en god firewall kan holde uvedkommende ude.
>>
>> Der kræves slet ingen programmer. Man skal bare slå de ladeporte
>> fra som Windows åbner til internettet (samt gøre sig kold over
>> for systemets grædende bønner om man dog ikke vil åbne i det
>> mindste én af dem bare en lille bitte smule).
>>
>Dybt suk herfra - det er jo netop det ZA gør for mig.

Nej, det er det ikke. ZA slaar ikke portene fra. ZA er saa at
sige en doervogter, du saetter op foran portene, men der er
altsaa stadig noget, der lytter paa portene.

Det vil sige, at du nu har 2 usikkerheder, hvor du foer kun havde
1:

- Nogen kan snige sig ind gennem porten, hvis doervogteren
ikke passer sit job.

- Nogen kan faa magten over doervogteren og derefter faa
doervogterens hjaelp til at lukke sig ind paa computeren,
helt uden om porten.

Det er langt bedre at soerge for, at intet lytter paa porten. Det
kan du stort set sammenligne med en tilmuret port. Dermed har du
0 usikkerheder i stedet for de 2, du ville have med ZA.

Man kommer derfor langt laengere ved at koere en 'netstat -na',
se hvad der lytter paa det udvendige netkort og derefter enten
lukke disse services, hvis man ikke har brug for dem, eller
omkonfigurere dem, saa de ikke lytter paa det udvendige netkort.

Det lyder maaske som en uoverkommelig opgave, men det viser sig
som regel i praksis, at der i en standard Windows-installation
kun lyttes paa port 139, som er fil- og printerdeling, og det er
trivielt at slaa fra. Derefter sidder man stort set med en
PC-udgave af Fort Knox.

(Jeg skriver stort set, for det er jo stadig muligt, at der er en
fejl i Windows' netvaerkssoftware, som kan udnyttes, uanset om
der lyttes paa en bestemt port eller ej, men paa trods af MS'
daarlige sikkerhedshistorik finder jeg stadig sandsynligheden for
en saadan fejl langt mindre end sandsynligheden for fejl i en
tilfaeldig closed-source personlig firewall.)

Men alt det her har ikke noget med dk.admin at goere, saa:
XFUT: dk.edb.sikkerhed

--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen skrev:

>Man kommer derfor langt laengere ved at koere en 'netstat -na',
>se hvad der lytter paa det udvendige netkort og derefter enten
>lukke disse services, hvis man ikke har brug for dem, eller
>omkonfigurere dem, saa de ikke lytter paa det udvendige netkort.

>Det lyder maaske som en uoverkommelig opgave, men det viser sig
>som regel i praksis, at der i en standard Windows-installation
>kun lyttes paa port 139, som er fil- og printerdeling, og det er
>trivielt at slaa fra. Derefter sidder man stort set med en
>PC-udgave af Fort Knox.

Den måde kører jeg på. Mit ene netkort er til Stofanet, og der er
kun en TCP/IP uden andre protokoller. På mit andet netkort har
jeg i lang tid kørt uden deling af sikkerhedsgrunde. Jeg er lidt
i tvivl om om der bliver adgang fra internettet til hele
computeren hvis jeg deler mine drev på mit LAN. Kommentarer er
velkomne.

Jeg er ikke blevet smittet med noget. Da jeg ikke var bekendt med
disse ting og i en halv time lukkede for den lille firewall som
jeg havde kørende, fik jeg en orm på mit system.

I de her dage har jeg opsat computerne til spil (IPX). Man skal
være om sig for når jeg ændrer protokollerne til lokalkortet med
fildeling - hokus pokus - så sætter sætter Windows helt
umotiveret fildeling på mit internetkort.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen <nospam@lundhansen.dk> wrote:

>Jeg er lidt
>i tvivl om om der bliver adgang fra internettet til hele
>computeren hvis jeg deler mine drev på mit LAN. Kommentarer er
>velkomne.

Hvad siger en 'netstat -an'? Den _burde_ fortaelle, at der kun
lyttes paa den ip-adresse, du bruger paa lokalnettet. Jeg har dog
ikke lige en Windows-maskine med to netkort ved haanden, saa jeg
kan checke.

Selv om vi alle elsker at hade Steve Gibson, kan du jo ogsaa
proeve at hoppe en tur forbi www.grc.com og se, om det lykkes den
at vriste NetBios-oplysninger ud af din maskine.

>I de her dage har jeg opsat computerne til spil (IPX). Man skal
>være om sig for når jeg ændrer protokollerne til lokalkortet med
>fildeling - hokus pokus - så sætter sætter Windows helt
>umotiveret fildeling på mit internetkort.

Hm, ja. Det skader jo naturligvis min analogi (og hele min
argumentation), hvis man har en haandvaerker ved navn William til
at loebe rundt og banke huller i muren, hver gang man faar en
port muret til...

Foer i tiden har Windows ellers vaeret god til direkte at advare
brugeren, hvis fil- og printerdeling var aabent mod Internettet.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen skrev:

>Hm, ja. Det skader jo naturligvis min analogi (og hele min
>argumentation), hvis man har en haandvaerker ved navn William til
>at loebe rundt og banke huller i muren, hver gang man faar en
>port muret til...

Det er ikke helt sådan. Hvis jeg fjerner en LAN-protokol,
tilføjer en ny og så åbner for fil- og printerdeling (til LAN),
så skal jeg ind og fjerne et eller to vingeben som så er blevet
sat automatisk ved internetkortets protokoller (bindinger).

>Foer i tiden har Windows ellers vaeret god til direkte at advare
>brugeren, hvis fil- og printerdeling var aabent mod Internettet.

En sådan advarsel har jeg ikke set. Win95 har jeg kun brugt med
telefonmodem, men i 98 og 2000 er der ikke kommet advarsler.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

On Mon, 08 Jul 2002 12:40:03 +0200, Bertel Lund Hansen
<nospam@lundhansen.dk> wrote:

>>Foer i tiden har Windows ellers vaeret god til direkte at advare
>>brugeren, hvis fil- og printerdeling var aabent mod Internettet.
>En sådan advarsel har jeg ikke set. Win95 har jeg kun brugt med
>telefonmodem, men i 98 og 2000 er der ikke kommet advarsler.

Det har været tilfældet, hvis fil- og udskriftsdeling har været bundet
til "TCP/IP for Opkaldskort".

I andre tilfælde har klienten ingen anelse om LAN'et i virkeligheden
også har forbindelse til fx Internet. Personligt er min holdning lidt,
at klienter i første omgang burde restrict'e fil- og udskriftsdeling
til samme subnet som dem selv. Det burde løse de fleste
sikkerhedsproblemer pga. "uopmærksomhed", og ikke hæve
administrationsniveauet så meget i de tilfælde, hvor det har været
relevant at åbne yderligere.

--
- Peter Brodersen

---

Peter Brodersen skrev:

>Det har været tilfældet, hvis fil- og udskriftsdeling har været bundet
>til "TCP/IP for Opkaldskort".

Hæ! Der har man da væsentligt mindre brug for advarslen end ved
permanente opkoblinger.

(Dengang havde jeg ikke noget LAN. Derfor har jeg ikke set
advarslen)

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

On Mon, 08 Jul 2002 13:29:26 +0200, Bertel Lund Hansen
<nospam@lundhansen.dk> wrote:

>>Det har været tilfældet, hvis fil- og udskriftsdeling har været bundet
>>til "TCP/IP for Opkaldskort".
>Hæ! Der har man da væsentligt mindre brug for advarslen end ved
>permanente opkoblinger.

Tjah, men det er det eneste tilfælde at systemet rigtigt kan afgøre,
at man virkelig deler sine drev med "det nok eksterne netværk, man
ringer op til" (fx Internet).

At dele sine drev på et LAN behøver i sig selv ikke at være unaturligt
(omend LAN'et jo kan være forbundet videre ud i verden), mens at dele
sine drev til et netværk, man ringer op til, er mere usandsynligt.

--
- Peter Brodersen

---

Peter Brodersen skrev:

>At dele sine drev på et LAN behøver i sig selv ikke at være unaturligt
>(omend LAN'et jo kan være forbundet videre ud i verden), mens at dele
>sine drev til et netværk, man ringer op til, er mere usandsynligt.

Nej, det kan der være noget om.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Peter Brodersen <usenet@ter.dk> wrote:

>Det har været tilfældet, hvis fil- og udskriftsdeling har været bundet
>til "TCP/IP for Opkaldskort".

Du har ret. Jeg har heller aldrig set det i andre situationer, nu
hvor jeg taenker efter.

>I andre tilfælde har klienten ingen anelse om LAN'et i virkeligheden
>også har forbindelse til fx Internet.

En netmaske paa 0.0.0.0 burde vaere en klar indikation. Den kan
muligvis give nogle falsk positive, men forhaebentlig kun i
miljoeer (av mine danske tegn), hvor nogen har ekspertise nok til
at aendre default-indstillingen.

> Personligt er min holdning lidt,
>at klienter i første omgang burde restrict'e fil- og udskriftsdeling
>til samme subnet som dem selv.

Altsaa forudsat at dette subnet ikke er 0.0.0.0 med netmaske
0.0.0.0. Men vi er vist enige.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

In article <3d295ec9$0$12691$edfadb0f@dspool01.news.tele.dk>,
aolesen@post3.tele.dk says...

> Selv om vi alle elsker at hade Steve Gibson, kan du jo ogsaa
> proeve at hoppe en tur forbi www.grc.com og se, om det lykkes den
> at vriste NetBios-oplysninger ud af din maskine.

Den virker vist ikke helt

Den fortæller mig at port 139 er wide open. Derefter fortæller den mig
at mit computernavn er / . Og at jeg har mac-adresse... intet

Så... den mener den får hul, men kan ikke hente nogle oplysninger.

På den anden side mener den også at min port 445 og telnet porten er
åben. De blev så lukket. Port 445 mener den stadig er åben, og liiige
pludselig var port 135 (RPC) også åben. Hvilket den ikke er

--
Jacob Saaby Nielsen

---

Jacob Saaby Nielsen <jay@dontspamme.kode-fu.net> wrote:

>Den virker vist ikke helt

Ok. Det er laenge siden, jeg har brugt den. Dengang viste den da
altid korrekt resultat, selv om de efterfoelgende konklusioner
var helt hen i vejret. En hurtig test lige nu giver ogsaa korrekt
resultat.

Men jeg kan egentlig godt huske at have set andre brokke sig over
helt forkerte resultater fra den.

Hvad med <http://scan.sygatetech.com> ? Viser den korrekt hos
dig?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen skrev:

>Hvad med <http://scan.sygatetech.com> ? Viser den korrekt hos
>dig?

Hos mig skriver den konsekvent:

   Access to this port is disabled for security reasons.

Jeg brugte Opera 6. Med Opera 3.6 skriver den:

Trying to gather information from your web browser...
   Operating System = Windows 98
   Browser = Opera 3.62
Trying to find out your computer name...
   Unable to determine your computer name!
Trying to find out what services you are running...
   Unable to detect any running services!

If you are not already running our Enterprise Security Agent or
our Personal Firewall, try our Award-Winning Personal Firewall
now.

Det sidste forekommer mig lidt malplaceret.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen <nospam@lundhansen.dk> wrote:

>If you are not already running our Enterprise Security Agent or
>our Personal Firewall, try our Award-Winning Personal Firewall
>now.

Jeg synes egentlig, jeg kan huske, at den foer har skrevet noget
i retning af "Hvis du bruger vores firewall, saa proev at slaa
den fra og koer testen igen, saa du kan se forskellen."

(!)


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

In article <3d29d333$0$54745$edfadb0f@dspool01.news.tele.dk>,
aolesen@post3.tele.dk says...

> Hvad med <http://scan.sygatetech.com> ? Viser den korrekt hos
> dig?

Jeps. Den kan vise mig mit operativsystem og min browser, men absolut
intet andet.

--
Jacob Saaby Nielsen

---

---

---

Kjeld Nielsen wrote:
>
> > Under services er der nogle ting du bruger og nogle andre ting du ikke
> > bruger.
>
> > Meget simpelt, hvis du fx aldrig printer kan du slå printer servicen
> > fra. Hvis du aldrig bruger VPN kan du slå VPN servicen fra, etcetera.
>
> Hvis man nu selv _skal_ bruge nogle af de kritiske services, så må det da
> være en ekstra sikkerhed at have f.eks. ZA til at forhindre uvedkommende i
> at bruge disse?

Du kan lade din kritiske service, som du selv skal bruge, og som man
ikke skal kunne bruge udefra, binde til dit lookback-interface. Saa kan
man tilgaa den, hvis man er lokal paa maskinen, men den kan ikke tilgaes
udefra.

FUT og X-post til d.e.s.

--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic