---

Jeg har en Speedstream 2601 router hvor jeg før i tiden havde slået
"Host Mapping/NAT" til (beskrivelse: tillader uhindret adgang til 1 PC
på mit LAN). Jeg går ud fra at det vil sige at alle porte mappes til
min LAN IP (192.168.1.6), korrekt? Når funktionen aktiveres i
routerens i web- interface (eneste mulighed for konfiguration) popper
en advarsel op hvor jeg blive foreslået at benytte en firewall. Jeg
går ud fra at det er en personlig firewall der er tale om (?) Nå, men
nu er spørgsmålet om det virkeligt også er nødvendigt. Jeg ved godt
ikke at man skal lægge for meget i hvad tests som "Shields Up" fra
grc.com o.l. kommer frem til. Men nu har jeg alligevel prøvet med
"Host Mapping/NAT" slået til, men uden firewall. Resultatet er
"stealth" på alle testede porte, og det kan jeg ikke rigtigt forstå.
Burde de ikke sendes videre til min LAN IP da der jo er mappet hertil?

Er det mon Windows XP der spiller helt i denne sammenhæng? Jeg
har ikke slået firewall'en til i XP heller, så mit system burde vel
være blottet totalt, eller er det en grim misforståelse? Skal jeg køre
en server for at det udgør nogen sikkerhedstrussel? Jeg kører Edonkey
på mit system, og det er vel også en server.

Hvad er den største trussel for mig (hvis der overhovedet er nogen),
og hvordan undgår jeg den? Skal "Host Mapping/NAT" slås til eller fra
(det er unægteligt noget nemmere hvis det er slået til)? Skal jeg som
TDC siger installere en firewall? Jeg kører hverken web-, ftp-, mail-
eller news-server. Edonkey er nok det tætteste jeg kommer en server
på mit system.

PS: Jeg har læst OSS'en for denne gruppe, så hvis I er søde at lade
være med at henvise mig til denne, så ville jeg blive glad :)

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

Den Wed, 07 Aug 2002 17:23:35 +0200 skrev Lars Stokholm:
>Jeg har en Speedstream 2601 router hvor jeg før i tiden havde slået
>"Host Mapping/NAT" til (beskrivelse: tillader uhindret adgang til 1 PC
>på mit LAN). Jeg går ud fra at det vil sige at alle porte mappes til
>min LAN IP (192.168.1.6), korrekt? Når funktionen aktiveres i
>routerens i web- interface (eneste mulighed for konfiguration) popper
>en advarsel op hvor jeg blive foreslået at benytte en firewall. Jeg
>går ud fra at det er en personlig firewall der er tale om (?)

Det håber jeg ikke.

>Nå, men
>nu er spørgsmålet om det virkeligt også er nødvendigt.

Sandsynligvis ikke.

>Jeg ved godt
>ikke at man skal lægge for meget i hvad tests som "Shields Up" fra
>grc.com o.l. kommer frem til. Men nu har jeg alligevel prøvet med
>"Host Mapping/NAT" slået til, men uden firewall. Resultatet er
>"stealth" på alle testede porte, og det kan jeg ikke rigtigt forstå.
>Burde de ikke sendes videre til min LAN IP da der jo er mappet hertil?

Stealth findes ikke, det er bare GRC der som sædvanlig ævler som om
han intet aner om TCP/IP.

En ordentlig scanner burde fortælle "closed" "RST" eller noget
tilsvarende.

>Er det mon Windows XP der spiller helt i denne sammenhæng? Jeg
>har ikke slået firewall'en til i XP heller, så mit system burde vel
>være blottet totalt, eller er det en grim misforståelse? Skal jeg køre
>en server for at det udgør nogen sikkerhedstrussel?

Ja. Bemærk at server også inkluderer ting som windows fildeling.

>Jeg kører Edonkey på mit system, og det er vel også en server.

Hvis det er et mp3-sharing program, så ja. Men du har to muligheder:
enten kører du den, og lever med risikoen, eller også kører du den
ikke. En firewall vil ingen forskel gøre, den skal også enten åbne
for Edonkey eller lukke for den.

>Hvad er den største trussel for mig (hvis der overhovedet er nogen),
>og hvordan undgår jeg den?

Dig selv. Lad være med at køre underlige programmer downloadet fra
nettet.

Stop desuden alle services der lytter på nettet, så er du ved at være
ret sikker.

>Skal "Host Mapping/NAT" slås til eller fra
>(det er unægteligt noget nemmere hvis det er slået til)?

Det kommer an på hvad du har brug for.

>Skal jeg som
>TDC siger installere en firewall? Jeg kører hverken web-, ftp-, mail-
>eller news-server. Edonkey er nok det tætteste jeg kommer en server
>på mit system.
>
>PS: Jeg har læst OSS'en for denne gruppe, så hvis I er søde at lade
>være med at henvise mig til denne, så ville jeg blive glad :)

Vil du så også være sød at prøve at forstå den? Jeg er sikker på at
alle dine spørgsmål er besvaret deri.

Mvh
Kent
--
"Handlingen blev afbrudt pga. computerens begrænsede effekt"
- Windows NT på en Pentium III 550 MHz

---

In news:dk.edb.sikkerhed Kent Friis wrote:

>>Er det mon Windows XP der spiller helt i denne sammenhæng? Jeg
>>har ikke slået firewall'en til i XP heller, så mit system burde vel
>>være blottet totalt, eller er det en grim misforståelse? Skal jeg køre
>>en server for at det udgør nogen sikkerhedstrussel?
>
>Ja. Bemærk at server også inkluderer ting som windows fildeling.

Det er jeg med på.

>>Jeg kører Edonkey på mit system, og det er vel også en server.
>
>Hvis det er et mp3-sharing program, så ja. Men du har to muligheder:
>enten kører du den, og lever med risikoen, eller også kører du den
>ikke. En firewall vil ingen forskel gøre, den skal også enten åbne
>for Edonkey eller lukke for den.

Ja, det er jeg vist også med på.

>>Hvad er den største trussel for mig (hvis der overhovedet er nogen),
>>og hvordan undgår jeg den?
>
>Dig selv. Lad være med at køre underlige programmer downloadet fra
>nettet.

Der er vel forskel på om jeg slår "Host Mapping/NAT" til eller fra,
går jeg ud fra. Hvori ligger den forskel sikkerhedmæssigt? Hvis vi
husker på at min router giver denne beskrivelse af det:
"Host Mapping/NAT: Giver ubegrænset adgang fra Internet til een
computer på dit LAN. Dette indebærer en stor sikkerhedsrisiko for den
pågældende computer og evt. andre computere på dit LAN".

Der er stadigvæk en ting som jeg er i tvivlt om, som jeg skrev:
Jeg har en Speedstream 2601 router hvor jeg før i tiden havde slået
"Host Mapping/NAT" til. Jeg går ud fra at det vil sige at alle porte
mappes til min LAN IP (192.168.1.6), korrekt?

>Stop desuden alle services der lytter på nettet, så er du ved at være
>ret sikker.

Jeg har stoppet, hvad jeg ved med sikkerhed, at jeg ikke skal bruge,
heriblandt "Universal Plug and Play". Jeg har før besøgt en side hvor
alle services under XP var listet op med en lille beskrivelse samt en
anbefalet indstilling (manual/automatic/disabled). Mange af
anbefalingerne var bygget på, om manden bag hjemmesiden mærkede
nogen forskel da han slog servicen fra. Men den er lidt tynd synes
jeg. Kender nogen herinde mon en lignende side, hvor services der kan
udgøre en sikkerhedsmæssig risiko er opremset og forklaret?

>>Skal "Host Mapping/NAT" slås til eller fra
>>(det er unægteligt noget nemmere hvis det er slået til)?
>
>Det kommer an på hvad du har brug for.

Som sagt så synes jeg at det er nemmere at have det slået til. Så
plejer jeg bare at kunne lade routeren klare sig selv. Men hvis jeg
slår det fra, så skal jeg manuelt mappe de porte jeg har brug for,
korrekt?

Min router har opført sig lidt underligt på det seneste. Jeg tror
faktisk ikke at "Host Mapping/NAT" virker. For hvis den er slået til,
så burde det vel ikke være nødvendigt at mappe porte manuelt, men det
er det bare alligevel. Edonkey giver brugeren et lavt ID hvis han er
bag en firewall, og et højt hvis ikke. Det er en fordel med et højt
ID. Med "Host Mapping/NAT" slået til, får jeg et lavt ID, altså ser
det for Edonkey ud som om jeg er bag en firewall. Men hvis jeg manuelt
mapper de fire porte Edonkey bruger, så får jeg en højt ID. Er der så
ikke noget galt?

>>PS: Jeg har læst OSS'en for denne gruppe, så hvis I er søde at lade
>>være med at henvise mig til denne, så ville jeg blive glad :)
>
>Vil du så også være sød at prøve at forstå den?

Jeg læser som regel ikke noget med henblik på /ikke/ at forstå det.
Jeg har læst FAQ'en igennem tre gange, og den har ikke givet mig svar
jeg kan forstå i hvert fald.

>Jeg er sikker på at alle dine spørgsmål er besvaret deri.

Muligvis hvis jeg vidste mere om routere end jeg gør. Men det gør jeg
altså ikke. Du kan jo høre at jeg ikke engang er sikker på hvad "Host
Mapping/NAT" er, så det er svært for mig at "putte" de informationer
jeg får fra FAQ'en ind i en sammenhæng så jeg kan forstå det.

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

Den Wed, 07 Aug 2002 18:28:18 +0200 skrev Lars Stokholm:
>In news:dk.edb.sikkerhed Kent Friis wrote:
>
>>>Hvad er den største trussel for mig (hvis der overhovedet er nogen),
>>>og hvordan undgår jeg den?
>>
>>Dig selv. Lad være med at køre underlige programmer downloadet fra
>>nettet.
>
>Der er vel forskel på om jeg slår "Host Mapping/NAT" til eller fra,
>går jeg ud fra. Hvori ligger den forskel sikkerhedmæssigt? Hvis vi
>husker på at min router giver denne beskrivelse af det:
>"Host Mapping/NAT: Giver ubegrænset adgang fra Internet til een
>computer på dit LAN. Dette indebærer en stor sikkerhedsrisiko for den
>pågældende computer og evt. andre computere på dit LAN".

Hvis du har lukket for alle services, så gør det lige præcis ingen
forskel. Det er kun hvis du som den typiske bruger har en masse ting
der lytter på nettet, at det giver en smule sikkerhed at routeren
ikke bare lukker trafikken igennem.

>Der er stadigvæk en ting som jeg er i tvivlt om, som jeg skrev:
>Jeg har en Speedstream 2601 router hvor jeg før i tiden havde slået
>"Host Mapping/NAT" til. Jeg går ud fra at det vil sige at alle porte
>mappes til min LAN IP (192.168.1.6), korrekt?

Som jeg læser det du skriver, så har du ret, men jeg har ikke nærlæst
din manual. NAT (i dette tilfælde DNAT (D=destination)) kan være for
en eller flere porte, eller for alle porte - og iøvrigt også flere
ip-adresser, hvis den er rigtig avanceret.

>>Stop desuden alle services der lytter på nettet, så er du ved at være
>>ret sikker.
>
>Jeg har stoppet, hvad jeg ved med sikkerhed, at jeg ikke skal bruge,
>heriblandt "Universal Plug and Play". Jeg har før besøgt en side hvor
>alle services under XP var listet op med en lille beskrivelse samt en
>anbefalet indstilling (manual/automatic/disabled). Mange af
>anbefalingerne var bygget på, om manden bag hjemmesiden mærkede
>nogen forskel da han slog servicen fra. Men den er lidt tynd synes
>jeg. Kender nogen herinde mon en lignende side, hvor services der kan
>udgøre en sikkerhedsmæssig risiko er opremset og forklaret?

netstat -an

Den fortæller hvilke porte der lyttes på, men desværre ikke hvilken
service der er synderen (under Linux kan netstat -anp fortælle det,
men den tror jeg ikke virker under windows).

Når du så har fundet ud af hvilke porte det drejer sig om, burde det
være rimelig nemt at finde på nettet hvilken service der er synderen,
ellers spørg igen.

>>>Skal "Host Mapping/NAT" slås til eller fra
>>>(det er unægteligt noget nemmere hvis det er slået til)?
>>
>>Det kommer an på hvad du har brug for.
>
>Som sagt så synes jeg at det er nemmere at have det slået til. Så
>plejer jeg bare at kunne lade routeren klare sig selv. Men hvis jeg
>slår det fra, så skal jeg manuelt mappe de porte jeg har brug for,
>korrekt?

Som jeg læser det, ja.

>Min router har opført sig lidt underligt på det seneste. Jeg tror
>faktisk ikke at "Host Mapping/NAT" virker. For hvis den er slået til,
>så burde det vel ikke være nødvendigt at mappe porte manuelt, men det
>er det bare alligevel. Edonkey giver brugeren et lavt ID hvis han er
>bag en firewall, og et højt hvis ikke. Det er en fordel med et højt
>ID. Med "Host Mapping/NAT" slået til, får jeg et lavt ID, altså ser
>det for Edonkey ud som om jeg er bag en firewall. Men hvis jeg manuelt
>mapper de fire porte Edonkey bruger, så får jeg en højt ID. Er der så
>ikke noget galt?

Desværre, kender ikke Edonkey.

>>>PS: Jeg har læst OSS'en for denne gruppe, så hvis I er søde at lade
>>>være med at henvise mig til denne, så ville jeg blive glad :)
>>
>>Vil du så også være sød at prøve at forstå den?
>
>Jeg læser som regel ikke noget med henblik på /ikke/ at forstå det.
>Jeg har læst FAQ'en igennem tre gange, og den har ikke givet mig svar
>jeg kan forstå i hvert fald.

Hørte du det, Alex? Her er en der kan hjælpe dig med hvilke afsnit der
ikke er nemme at forstå for uindviede...

>>Jeg er sikker på at alle dine spørgsmål er besvaret deri.
>
>Muligvis hvis jeg vidste mere om routere end jeg gør. Men det gør jeg
>altså ikke. Du kan jo høre at jeg ikke engang er sikker på hvad "Host
>Mapping/NAT" er, så det er svært for mig at "putte" de informationer
>jeg får fra FAQ'en ind i en sammenhæng så jeg kan forstå det.

"Host Mapping" er et udtryk de selv har fundet på, men dækker
sandsynligvis over at de NAT'er alle porte på routeren ind til
serveren (minus de porte routeren selv bruger).

NAT er en generel betegnelse for at man bytter en ip-adresse ud med en
anden, uden at de to maskiner der snakker sammen opdager det. Fx. at
din routers ip-adresse skiftes ud med din servers ip-adresse på
indgående trafik.

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Railroad
Tycoon II and Unreal Tournament run side by side

---

In news:dk.edb.sikkerhed Kent Friis wrote:

>>Der er vel forskel på om jeg slår "Host Mapping/NAT" til eller fra,
>>går jeg ud fra. Hvori ligger den forskel sikkerhedmæssigt? Hvis vi
>>husker på at min router giver denne beskrivelse af det:
>>"Host Mapping/NAT: Giver ubegrænset adgang fra Internet til een
>>computer på dit LAN. Dette indebærer en stor sikkerhedsrisiko for den
>>pågældende computer og evt. andre computere på dit LAN".
>
>Hvis du har lukket for alle services...

Men det er vel ikke realistisk at styresystemet er _så_ lukket.

>>>Stop desuden alle services der lytter på nettet, så er du ved at være
>>>ret sikker.
>>
>>Jeg har stoppet, hvad jeg ved med sikkerhed, at jeg ikke skal bruge,
>>heriblandt "Universal Plug and Play". Jeg har før besøgt en side hvor
>>alle services under XP var listet op med en lille beskrivelse samt en
>>anbefalet indstilling (manual/automatic/disabled). Mange af
>>anbefalingerne var bygget på, om manden bag hjemmesiden mærkede
>>nogen forskel da han slog servicen fra. Men den er lidt tynd synes
>>jeg. Kender nogen herinde mon en lignende side, hvor services der kan
>>udgøre en sikkerhedsmæssig risiko er opremset og forklaret?
>
>netstat -an

Det vil jeg prøve ved lejlighed når jeg lukker Edonkey - den har
nemlig mange forbindelser på flere porte.

>Den fortæller hvilke porte der lyttes på, men desværre ikke hvilken
>service der er synderen (under Linux kan netstat -anp fortælle det,
>men den tror jeg ikke virker under windows).

Nej, det gør det desværre ikke, men der må da findes noget software?

>Når du så har fundet ud af hvilke porte det drejer sig om, burde det
>være rimelig nemt at finde på nettet hvilken service der er synderen,
>ellers spørg igen.

Ok.

>>Min router har opført sig lidt underligt på det seneste. Jeg tror
>>faktisk ikke at "Host Mapping/NAT" virker. For hvis den er slået til,
>>så burde det vel ikke være nødvendigt at mappe porte manuelt, men det
>>er det bare alligevel. Edonkey giver brugeren et lavt ID hvis han er
>>bag en firewall, og et højt hvis ikke. Det er en fordel med et højt
>>ID. Med "Host Mapping/NAT" slået til, får jeg et lavt ID, altså ser
>>det for Edonkey ud som om jeg er bag en firewall. Men hvis jeg manuelt
>>mapper de fire porte Edonkey bruger, så får jeg en højt ID. Er der så
>>ikke noget galt?
>
>Desværre, kender ikke Edonkey.

Nej ok, det er sådan set også ligemeget. Pointen var at det var at
"Host Mapping/NAT" vist ikke rigtigt virker. Prøv at læse det igen,
det skulle give mening selvom man ikke kender Edonkey :)

>>>Jeg er sikker på at alle dine spørgsmål er besvaret deri.
>>
>>Muligvis hvis jeg vidste mere om routere end jeg gør. Men det gør jeg
>>altså ikke. Du kan jo høre at jeg ikke engang er sikker på hvad "Host
>>Mapping/NAT" er, så det er svært for mig at "putte" de informationer
>>jeg får fra FAQ'en ind i en sammenhæng så jeg kan forstå det.
>
>"Host Mapping" er et udtryk de selv har fundet på, men dækker
>sandsynligvis over at de NAT'er alle porte på routeren ind til
>serveren (minus de porte routeren selv bruger).

Ja, det lyder rigtigt.

>NAT er en generel betegnelse for at man bytter en ip-adresse ud med en
>anden, uden at de to maskiner der snakker sammen opdager det. Fx. at
>din routers ip-adresse skiftes ud med din servers ip-adresse på
>indgående trafik.

Ok, så havde jeg alligevel forstået det rigtigt, men så virker min
router ikke. For i tilfældet med Edonkey hjalp det ikke at slå "Host
Mapping/NAT" til, men da jeg derimod selv NAT'ede (mappede) Edonkeys
porte, med "Avanceret NAPT Server Konfiguration" (beskrivelse: definer
dine egne NAPT servere ud fra port numre), så virkede det. Men det
burde jo være unødvendigt, når "Host Mapping/NAT" er slået til.

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

Den Wed, 07 Aug 2002 21:52:11 +0200 skrev Lars Stokholm:
>In news:dk.edb.sikkerhed Kent Friis wrote:
>
>>>Der er vel forskel på om jeg slår "Host Mapping/NAT" til eller fra,
>>>går jeg ud fra. Hvori ligger den forskel sikkerhedmæssigt? Hvis vi
>>>husker på at min router giver denne beskrivelse af det:
>>>"Host Mapping/NAT: Giver ubegrænset adgang fra Internet til een
>>>computer på dit LAN. Dette indebærer en stor sikkerhedsrisiko for den
>>>pågældende computer og evt. andre computere på dit LAN".
>>
>>Hvis du har lukket for alle services...
>
>Men det er vel ikke realistisk at styresystemet er _så_ lukket.

Hvordan mener du?

Hvis du tænker på de services man skal bruge, fx. fordi man har en
webserver, så skal man naturligvis ikke lukke den, men så giver det
heller ingen mening at have en firewall der lukker for den.

>>>>Stop desuden alle services der lytter på nettet, så er du ved at være
>>>>ret sikker.
>>>
>>>Jeg har stoppet, hvad jeg ved med sikkerhed, at jeg ikke skal bruge,
>>>heriblandt "Universal Plug and Play". Jeg har før besøgt en side hvor
>>>alle services under XP var listet op med en lille beskrivelse samt en
>>>anbefalet indstilling (manual/automatic/disabled). Mange af
>>>anbefalingerne var bygget på, om manden bag hjemmesiden mærkede
>>>nogen forskel da han slog servicen fra. Men den er lidt tynd synes
>>>jeg. Kender nogen herinde mon en lignende side, hvor services der kan
>>>udgøre en sikkerhedsmæssig risiko er opremset og forklaret?
>>
>>netstat -an
>
>Det vil jeg prøve ved lejlighed når jeg lukker Edonkey - den har
>nemlig mange forbindelser på flere porte.

Problemforbindelserne er dem der står LISTEN ud for (nu bliver jeg
i tvivl om windows skriver noget andet), og evt. UDP-forbindelserne
(de er altid LISTEN).

>>Den fortæller hvilke porte der lyttes på, men desværre ikke hvilken
>>service der er synderen (under Linux kan netstat -anp fortælle det,
>>men den tror jeg ikke virker under windows).
>
>Nej, det gør det desværre ikke, men der må da findes noget software?

Sikkert, men jeg har ikke søgt efter det.

>>Desværre, kender ikke Edonkey.
>
>Nej ok, det er sådan set også ligemeget. Pointen var at det var at
>"Host Mapping/NAT" vist ikke rigtigt virker. Prøv at læse det igen,
>det skulle give mening selvom man ikke kender Edonkey :)

Kun delvist, for når man ikke ved hvordan Edonkey ser om den er bag en
firewall, så kan man jo heller ikke vide om det er en fejl at den
opdager det, eller det skal være sådan.

>Ok, så havde jeg alligevel forstået det rigtigt, men så virker min
>router ikke. For i tilfældet med Edonkey hjalp det ikke at slå "Host
>Mapping/NAT" til, men da jeg derimod selv NAT'ede (mappede) Edonkeys
>porte, med "Avanceret NAPT Server Konfiguration" (beskrivelse: definer
>dine egne NAPT servere ud fra port numre), så virkede det. Men det
>burde jo være unødvendigt, når "Host Mapping/NAT" er slået til.

En kammarat havde forøvrigt også problemer med DNAT, der hjalp en
firmware-opgradering af routeren. Vi nåede så langt som at kunne
telnet'e til routeren og se at den havde oprettet en NAT-regel, men sat
den til "disablet", og web-interfacet gav ingen mulighed for at
sætte den til enablet (vi havde ingen manual til kommando-linie
interfacet, så vi kunne kun finde ud af de ting vi kunne gætte os
til). Efter firmware-opgraderingen virkede det. Måske dit problem
er det samme? Det forekommer mig i hvert fald at jeg har hørt
betegnelsen "Host Mapping" i den sammenhæng, men jeg ved ikke har du
har samme type router.

Mvh
Kent
--
If I wanted a blue screen, I would type "xsetroot -solid blue"
- not D:\WINNT\SETUP

---

In news:dk.edb.sikkerhed Kent Friis wrote:

>>Men det er vel ikke realistisk at styresystemet er _så_ lukket.
>
>Hvordan mener du?

Services jeg ikke aner hvad laver og som jeg ikke tør stoppe.

>>>>>Stop desuden alle services der lytter på nettet, så er du ved at være
>>>>>ret sikker.

Er det forresten kun dem der selv lytter der er "farlige"? Kan man
ikke få en service til at lytte ved at "kalde" den fra nettet?

>>Det vil jeg prøve ved lejlighed når jeg lukker Edonkey - den har
>>nemlig mange forbindelser på flere porte.
>
>Problemforbindelserne er dem der står LISTEN ud for (nu bliver jeg
>i tvivl om windows skriver noget andet), og evt. UDP-forbindelserne
>(de er altid LISTEN).

Jeg fandt følgende:

LISTENING
ESTABLISHED
FIN_WAIT_2
TIME_WAIT

>>Nej ok, det er sådan set også ligemeget. Pointen var at det var at
>>"Host Mapping/NAT" vist ikke rigtigt virker. Prøv at læse det igen,
>>det skulle give mening selvom man ikke kender Edonkey :)
>
>Kun delvist, for når man ikke ved hvordan Edonkey ser om den er bag en
>firewall, så kan man jo heller ikke vide om det er en fejl at den
>opdager det, eller det skal være sådan.

Ahh, sådan. Nå men så kan jeg fortælle dig at den ikke plejer at sige
at jeg er bag en firewall så længe "Host Mapping/NAT" er slået til.

>>Ok, så havde jeg alligevel forstået det rigtigt, men så virker min
>>router ikke. For i tilfældet med Edonkey hjalp det ikke at slå "Host
>>Mapping/NAT" til, men da jeg derimod selv NAT'ede (mappede) Edonkeys
>>porte, med "Avanceret NAPT Server Konfiguration" (beskrivelse: definer
>>dine egne NAPT servere ud fra port numre), så virkede det. Men det
>>burde jo være unødvendigt, når "Host Mapping/NAT" er slået til.
>
>En kammarat havde forøvrigt også problemer med DNAT, der hjalp en
>firmware-opgradering af routeren.

Jeg har den nyeste firmwareversion. Og desuden har det som sagt også
virket upåklageligt indtil for et par dage side, men pludseligt blev
jeg i tvivl om jeg huskede forkert - det er jeg dog rimeligt sikker på
at jeg ikke gør.

>Vi nåede så langt som at kunne
>telnet'e til routeren og se at den havde oprettet en NAT-regel, men sat
>den til "disablet", og web-interfacet gav ingen mulighed for at
>sætte den til enablet (vi havde ingen manual til kommando-linie
>interfacet, så vi kunne kun finde ud af de ting vi kunne gætte os
>til). Efter firmware-opgraderingen virkede det. Måske dit problem
>er det samme? Det forekommer mig i hvert fald at jeg har hørt
>betegnelsen "Host Mapping" i den sammenhæng, men jeg ved ikke har du
>har samme type router.

Speedstream 2601 som sagt, men jeg tror ikke at det er den samme, for
jeg kan ikke tilgå den fra Telnet. Det er der lukket for.

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

Den Wed, 07 Aug 2002 22:35:46 +0200 skrev Lars Stokholm:
>In news:dk.edb.sikkerhed Kent Friis wrote:
>
>>>Men det er vel ikke realistisk at styresystemet er _så_ lukket.
>>
>>Hvordan mener du?
>
>Services jeg ikke aner hvad laver og som jeg ikke tør stoppe.

Jeg snakker kun om de services der lytter på netværket, ikke om hele
listen i kontrolpanel. Alle de services kan lukkes på den ene eller den
anden måde.

>>>>>>Stop desuden alle services der lytter på nettet, så er du ved at være
>>>>>>ret sikker.
>
>Er det forresten kun dem der selv lytter der er "farlige"? Kan man
>ikke få en service til at lytte ved at "kalde" den fra nettet?
>
>>>Det vil jeg prøve ved lejlighed når jeg lukker Edonkey - den har
>>>nemlig mange forbindelser på flere porte.
>>
>>Problemforbindelserne er dem der står LISTEN ud for (nu bliver jeg
>>i tvivl om windows skriver noget andet), og evt. UDP-forbindelserne
>>(de er altid LISTEN).
>
>Jeg fandt følgende:
>
>LISTENING
>ESTABLISHED
>FIN_WAIT_2
>TIME_WAIT

LISTENING er services eller andre programmer der lytter på netværket.
ESTABLISHED er nuværende connections. Det gælder begge veje, altså
uanset om det er dig selv der surfer, eller nogen der er ved at
hente alle dine filer.

De sidste to er afsluttede connnections.

>>>Nej ok, det er sådan set også ligemeget. Pointen var at det var at
>>>"Host Mapping/NAT" vist ikke rigtigt virker. Prøv at læse det igen,
>>>det skulle give mening selvom man ikke kender Edonkey :)
>>
>>Kun delvist, for når man ikke ved hvordan Edonkey ser om den er bag en
>>firewall, så kan man jo heller ikke vide om det er en fejl at den
>>opdager det, eller det skal være sådan.
>
>Ahh, sådan. Nå men så kan jeg fortælle dig at den ikke plejer at sige
>at jeg er bag en firewall så længe "Host Mapping/NAT" er slået til.

Jamen så kan man jo konstatere at noget er anderledes denne gang...

>Speedstream 2601 som sagt, men jeg tror ikke at det er den samme, for
>jeg kan ikke tilgå den fra Telnet. Det er der lukket for.

Nej, det var ikke en Speedstream, det var et eller andet jeg ikke har
hørt om før.

Men man burde nu godt kunne åbne for telnet i din router (hvis ikke
via webinterfacet så med en terminal på konsollen).

Mvh
Kent
--
What was your username?
<Clicketyclick> - B.O.F.H.

---

"Kent Friis" <leeloo@phreaker.net> wrote

> LISTENING er services eller andre programmer der lytter på netværket.
> ESTABLISHED er nuværende connections. Det gælder begge veje, altså
> uanset om det er dig selv der surfer, eller nogen der er ved at
> hente alle dine filer.
>

Nu vi er ved netstat, hvorfor er der så forbindelser til og fra 0.0.0.0, og
127.0.0.1?

- TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
- UDP 0.0.0.0:135 *:*
- TCP 127.0.0.1:1027 0.0.0.0:0 LISTENING
- UDP 0.0.0.0:135 *:*

Mvh Caspar

---

Den Thu, 8 Aug 2002 09:32:04 +0200 skrev Caspar Møller:
>"Kent Friis" <leeloo@phreaker.net> wrote
>
>> LISTENING er services eller andre programmer der lytter på netværket.
>> ESTABLISHED er nuværende connections. Det gælder begge veje, altså
>> uanset om det er dig selv der surfer, eller nogen der er ved at
>> hente alle dine filer.
>>
>
>Nu vi er ved netstat, hvorfor er der så forbindelser til og fra 0.0.0.0, og
>127.0.0.1?
>
> - TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
> - UDP 0.0.0.0:135 *:*
> - TCP 127.0.0.1:1027 0.0.0.0:0 LISTENING
> - UDP 0.0.0.0:135 *:*

Det er ikke forbindelser når der står LISTENING, og UDP arbejder slet
ikke med forbindelser.

De tre 0.0.0.0 er services der lytter på alle ip-numre, den er altså
komplet ligeglad om trafikken kommer til det interne eller det eksterne
ip-nummer (hvis man har to netkort) eller til localhost.

Den sidste litter kun på 127.0.0.1, altså på localhost. Den burde altså
kun modtage forbindelser fra maskinen selv,og skulle derfor være
ufarlig. Jeg er dog ikke sikker på om der findes nogen tricks til at
sende et ip-nummer til det forkerte interface.

Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug

---

"Kent Friis" <leeloo@phreaker.net> wrote
> De tre 0.0.0.0 er services der lytter på alle ip-numre, den er altså
> komplet ligeglad om trafikken kommer til det interne eller det eksterne
> ip-nummer (hvis man har to netkort) eller til localhost.
>
> Den sidste litter kun på 127.0.0.1, altså på localhost. Den burde altså
> kun modtage forbindelser fra maskinen selv,og skulle derfor være
> ufarlig. Jeg er dog ikke sikker på om der findes nogen tricks til at
> sende et ip-nummer til det forkerte interface.
>

OK, men hvad betyder det helt præcist? Der fremgår jo en hel del af disse,
når jeg kører en netstat -an. F.eks.:

Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1210 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1344 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2021 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2482 0.0.0.0:0 LISTENING

Betyder det, at alle (lokale?) ip-numre lytter til ethvert ip-nummer på de
forskellige porte?
Jeg har kun et netværkskort.

Mvh Caspar

---

Den Thu, 8 Aug 2002 11:45:42 +0200 skrev Caspar Møller:
>"Kent Friis" <leeloo@phreaker.net> wrote
>> De tre 0.0.0.0 er services der lytter på alle ip-numre, den er altså
>> komplet ligeglad om trafikken kommer til det interne eller det eksterne
>> ip-nummer (hvis man har to netkort) eller til localhost.
>>
>> Den sidste litter kun på 127.0.0.1, altså på localhost. Den burde altså
>> kun modtage forbindelser fra maskinen selv,og skulle derfor være
>> ufarlig. Jeg er dog ikke sikker på om der findes nogen tricks til at
>> sende et ip-nummer til det forkerte interface.
>>
>
>OK, men hvad betyder det helt præcist? Der fremgår jo en hel del af disse,
>når jeg kører en netstat -an. F.eks.:
>
> Proto Local Address Foreign Address State
> TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1210 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1344 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:2021 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:2482 0.0.0.0:0 LISTENING
>
>Betyder det, at alle (lokale?) ip-numre lytter til ethvert ip-nummer på de
>forskellige porte?
>Jeg har kun et netværkskort.

Foreign address vil så vidt jeg ved altid være 0.0.0.0:0 på listening,
så den er uinteressant. Når du kun har et netværkskort (og også kun et
logisk netværk, går jeg ud fra), så er det eneste der er interessant ved
ip-nummeret i den første række om der står 127.0.0.1 eller der står
noget andet.

Hvis der står 127.0.0.1, så lyttes der kun på localhost, og det bør
kun være din egen maskine der kan connecte til localhost.

Hvis der står 0.0.0.0 eller dit ip-nummer, så lyttes der på nettet, og
alle kan connecte til din maskine.

Mvh
Kent
--
What was your username?
<Clicketyclick> - B.O.F.H.

---

Lars Stokholm skrev:

> Er det forresten kun dem der selv lytter der er "farlige"?

Hvis ikke de lytter, er de ikke aktiverede.

> Kan man ikke få en service til at lytte ved at "kalde" den fra
> nettet?

Jo, hvis der er åbent hus til din maskine fra nettet, så man kan
få en kommandoprompt og starte en service (og man kender navnet og
kender stien til servicen), man bruger kommandoen "net start service-
navn". Tjek dokumentationen med "net start /?".
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >

---

In news:dk.edb.sikkerhed Peder Vendelbo Mikkelsen wrote:

>>Kan man ikke få en service til at lytte ved at "kalde" den fra
>>nettet?
>
>Jo, hvis der er åbent hus til din maskine fra nettet...

Åbent hus...? Terminal Service?

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

Kent Friis skrev:

> netstat -an

> Den fortæller hvilke porte der lyttes på, men desværre ikke hvilken
> service der er synderen

Active Port fra ntutility.com fortæller hvilket program, desværre ikke
hvilken en af netservicerne det er (svchost.exe afvikler en stor del
af netservicerne). Det er sikkert blot et spørgsmål om tid, førend
programmet har udviklet sig og kan hente beskrivelse på de forskellige
services.

> Når du så har fundet ud af hvilke porte det drejer sig om, burde det
> være rimelig nemt at finde på nettet hvilken service der er synderen,
> ellers spørg igen.

Hvis man bruger XP, kan man nemt finde information ved at søge på fil-
navnet i den nye hjælpefunktion, da den også kan finde Knowledge Base
artikler hvis maskinen er "på" internettet.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >

---

In news:dk.edb.sikkerhed Peder Vendelbo Mikkelsen wrote:

>>Når du så har fundet ud af hvilke porte det drejer sig om, burde det
>>være rimelig nemt at finde på nettet hvilken service der er synderen,
>>ellers spørg igen.
>
>Hvis man bruger XP, kan man nemt finde information ved at søge på fil-
>navnet i den nye hjælpefunktion, da den også kan finde Knowledge Base
>artikler hvis maskinen er "på" internettet.

Ja, og hvis man har slået hjælpeservicen til

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

On Wed, 7 Aug 2002 19:07:59 +0000 (UTC), leeloo@phreaker.net (Kent
Friis) wrote:

>Den fortæller hvilke porte der lyttes på, men desværre ikke hvilken
>service der er synderen (under Linux kan netstat -anp fortælle det,
>men den tror jeg ikke virker under windows).

XP har faktisk netop en "-o"-option til netstat, der netop tilsvarer
-p, som man fx kender det fra linux. Glæden var stor, da jeg en dag
tilfældigvis faldt over den.

Efterfølgende kan man så springe ind i sin taskmanager, gå under
fanebladet "Processes", vælge View->Select Colums og tilføje PID til
listen.

Eneste ulempe er dog, at mange services ofte bliver kørt af
"lsass.exe" eller "svchost.exe", uden at de nødvendigvis giver et
større hint om hvilken service, de er i gang med at udføre.

--
- Peter Brodersen

---

Lars Stokholm <larsstokholm@mail.dk> wrote:
> Jeg læser som regel ikke noget med henblik på /ikke/ at forstå det.
> Jeg har læst FAQ'en igennem tre gange, og den har ikke givet mig svar
> jeg kan forstå i hvert fald.

Det finder jeg meget bekymrende. Jeg har tilfoejet lidt til afsnittet
"Hvornaar er der ikke behov for en personlig firewall?" -- kan du proeve
at laese den reviderede udgave, og give din mening?

http://a.area51.dk/sikkerhed/hjemme_pc#firewall

Hvis du yderlige kan fortaelle praecist hvilke andre afsnit i OSS'en der
var udforstaaelige ville det vaere til stor hjaelp!

Alex

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

In news:dk.edb.sikkerhed Alex Holst wrote:

>>Jeg læser som regel ikke noget med henblik på /ikke/ at forstå det.
>>Jeg har læst FAQ'en igennem tre gange, og den har ikke givet mig svar
>>jeg kan forstå i hvert fald.
>
>Det finder jeg meget bekymrende. Jeg har tilfoejet lidt til afsnittet
>"Hvornaar er der ikke behov for en personlig firewall?" -- kan du proeve
>at laese den reviderede udgave, og give din mening?
>
> http://a.area51.dk/sikkerhed/hjemme_pc#firewall
>
>Hvis du yderlige kan fortaelle praecist hvilke andre afsnit i OSS'en der
>var udforstaaelige ville det vaere til stor hjaelp!

Ja, jeg skal læse den igen i morgen på et-eller-andet tidspunkt. Så
skal jeg nok vende tilbage.

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

In news:dk.edb.sikkerhed Lars Stokholm wrote:

>>Det finder jeg meget bekymrende. Jeg har tilfoejet lidt til afsnittet
>>"Hvornaar er der ikke behov for en personlig firewall?" -- kan du proeve
>>at laese den reviderede udgave, og give din mening?
>>
>> http://a.area51.dk/sikkerhed/hjemme_pc#firewall

Ok, her er så hvad jeg savner eller ikke forstår:

>Der er dog set eksempler på at angribere bruger ICMP pakker til at
>styre en maskine, som de har brudt ind i og installeret et program
>til formålet. ICMP er velegnet til denne slags skjulte kanaler da det
>ofte tillades ukritisk igennem store organisationers firewalls. De
>fleste netværkssniffere vil blot vise almindeligt ICMP trafik uden at
>opdage de skjulte beskeder. Dette vil næppe påvirke en privat bruger.

Nu står der godt nok at det næppe vil påvirke en privat bruger. Men
det er jo en påstand. Hvorfor skal jeg ikke bekymre mig om ICMP?

>En god firewall kan genkende svar på de pakker du selv har sendt, og
>kan dermed lukke dem igennem og holde andre ude, helt uden at spørge
>dig hver gang. Dette kaldes "stateful filtering."

Hvad er en god firewall så i denne sammenhæng? Er det en router...?
Jeg savner lidt information om hardware firewalls. Hvad er NAT?
Hvordan fungerer det (NAT)?

(Er NAT et ord man bruger om det der blokerer for pakkerne, eller om
det der lukker pakker igennem en router med "stateful filtering"?)

Hvordan fungerer en router i det hele taget?

("Stateful filtering" vil sige at kun pakker der er sendt bud efter
lukkes igennem. Enhver router som _ikke_ har NAT, laver "stateful
filtering", eller hvad? Og vil en router med NAT ikke bare tillade
_alt_ - altså også pakker som egentlig ikke er efterspurgt af
systemet. Sådan som jeg har opfattet det (med TDCs "Hostmapping/
NAT") er det usikkert at benytte NAT-funktionen på routeren.)

Jeg er ikke sikker på at alle spørgsmål hører hjemme i OSS'en eller i
denne gruppe overhovedet. Spørgsmål i parantes er mine egne tanke-
eksperimenter, som måske bygger de på en forkert opfattelse af
begreberne - i så fald er jeg meget interesseret i at få styr på det.

Jeg har læst OSS'en og står jeg tilbage med "ét" spørgsmål: Kræver det
en "aktiv indsats" fra brugeren, at gøre et system usikkert? Vil det
være "umuligt" at trænge ind på en helt frisk instalation af Windows?
(Hvis det er muligt, så kan jeg ikke se hvorfor i anbefaler at man
ikke bruger firewall....)

Lad os antage at jeg installerer enhver sikkerhedsopdatering til
Windows og Internet Explorer som de kommer.

Burde man så være sikkert hvis man ikke downloadede nogle programmer
overhovedet, men nøjedes med Notepad og Paint til de daglige opgaver?

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

Den Thu, 08 Aug 2002 17:05:31 +0200 skrev Lars Stokholm:
>In news:dk.edb.sikkerhed Lars Stokholm wrote:
>
>>>Det finder jeg meget bekymrende. Jeg har tilfoejet lidt til afsnittet
>>>"Hvornaar er der ikke behov for en personlig firewall?" -- kan du proeve
>>>at laese den reviderede udgave, og give din mening?
>>>
>>> http://a.area51.dk/sikkerhed/hjemme_pc#firewall
>
>Ok, her er så hvad jeg savner eller ikke forstår:
>
>>Der er dog set eksempler på at angribere bruger ICMP pakker til at
>>styre en maskine, som de har brudt ind i og installeret et program
>>til formålet. ICMP er velegnet til denne slags skjulte kanaler da det
>>ofte tillades ukritisk igennem store organisationers firewalls. De
>>fleste netværkssniffere vil blot vise almindeligt ICMP trafik uden at
>>opdage de skjulte beskeder. Dette vil næppe påvirke en privat bruger.
>
>Nu står der godt nok at det næppe vil påvirke en privat bruger. Men
>det er jo en påstand. Hvorfor skal jeg ikke bekymre mig om ICMP?

Fordi der ingen normale programmer er der lytter på ICMP. Som der står,
så kan angriberen installere et program, _hvis han allerede er brudt
ind på maskinen_ - og når tyven er inde i huset, er det jo for sent
at låse døren.

>>En god firewall kan genkende svar på de pakker du selv har sendt, og
>>kan dermed lukke dem igennem og holde andre ude, helt uden at spørge
>>dig hver gang. Dette kaldes "stateful filtering."
>
>Hvad er en god firewall så i denne sammenhæng?

En firewall med statefull filtering / stateful inspection, som der
står beskrevet.

>Er det en router...?

nej.

>Jeg savner lidt information om hardware firewalls. Hvad er NAT?
>Hvordan fungerer det (NAT)?

NAT er Network Address Translation, altså ændring af ip-adresser på
pakker der passerer NAT-enheden. Det kunne være en NAT-router, eller
en firewall.

>(Er NAT et ord man bruger om det der blokerer for pakkerne, eller om
>det der lukker pakker igennem en router med "stateful filtering"?)

NAT kan deles op i to dele:

SNAT (Source-NAT, Masquerading): Det er det der foregår, når 3 PC'er
deles om en IP-adresse på fx. en ADSL. De har hver en intern ip-adresse,
som ikke kan routes på nettet, og NAT-routeren skifter så source-
adressen ud med sin egen IP-adresse, og holder styr på hvem der bruger
hvilke porte, så den kan rette adresserne tilbage på returtrafikken.

SNAT giver nogenlunde de samme fordele som en stateful firewall, da
NAT-boksen er nødt til at holde styr på connections, ligesom en stateful
firewall gør.

DNAT (Forwarding): Hvis man har fx. en web-server på en ADSL med kun
et ip-nummer og NAT-router, så har web-serveren et privat ip-nummer,
og derfor kan web-serveren ikke kontaktes fra nettet. Pakker sendt
til TCP port 80 får derfor rettet destination ip-adressen til
web-serverens IP-nummer i stedet for routerens ip-nummer. Tilsvarende
bliver de private ip-numre rettet tilbage på retur-trafik.

Bruger man DNAT til at videresende al trafik til en maskine, så svarer
det til slet ingen firewall.

>Hvordan fungerer en router i det hele taget?

Nu er vi vist ude i "netværk for begyndere", og det har intet med
sikkerhed at gøre. Den flytter trafikken imellem flere netkort, så
pakkerne kommer det rigtige sted hen.

>("Stateful filtering" vil sige at kun pakker der er sendt bud efter
>lukkes igennem. Enhver router som _ikke_ har NAT, laver "stateful
>filtering", eller hvad?

Nej, en router der ikke har NAT lukker alt igennem.

En router med SNAT minder lidt om en stateful firewall

En router med DNAT kan lukke alt igennem.

>Og vil en router med NAT ikke bare tillade
>_alt_ - altså også pakker som egentlig ikke er efterspurgt af
>systemet. Sådan som jeg har opfattet det (med TDCs "Hostmapping/
>NAT") er det usikkert at benytte NAT-funktionen på routeren.)
>
>Jeg er ikke sikker på at alle spørgsmål hører hjemme i OSS'en eller i
>denne gruppe overhovedet. Spørgsmål i parantes er mine egne tanke-
>eksperimenter, som måske bygger de på en forkert opfattelse af
>begreberne - i så fald er jeg meget interesseret i at få styr på det.

Det er baseret på en forkert opfattelse, fordi det din router kalder
"Hostmapping" kun er en meget lille del af NAT.

>Jeg har læst OSS'en og står jeg tilbage med "ét" spørgsmål: Kræver det
>en "aktiv indsats" fra brugeren, at gøre et system usikkert? Vil det
>være "umuligt" at trænge ind på en helt frisk instalation af Windows?

Nej, windows er som default jordens største sikkerhedshul. Specielt
NT/2000/XP versionerne, en Win98 er relativt sikker i forhold til.

>(Hvis det er muligt, så kan jeg ikke se hvorfor i anbefaler at man
>ikke bruger firewall....)

Fordi en rigtig (hardware) firewall er dyr i forhold til de 10 minutter
det tager at sikre maskinen.

Og fordi en software firewall, specielt de såkaldte personal "firewalls"
blot er endnu en service der lytter på nettet, og derfor endnu et
potentielt sikkerhedshul.

>Lad os antage at jeg installerer enhver sikkerhedsopdatering til
>Windows og Internet Explorer som de kommer.
>
>Burde man så være sikkert hvis man ikke downloadede nogle programmer
>overhovedet, men nøjedes med Notepad og Paint til de daglige opgaver?

Ikke hvis du stadig har SMB, UPNP og alle de andre til at stå og
lytte på nettet.

I øvrigt kommer sikkerhedsopdateringerne typisk en måned for sent. Jeg
læste for nylig at man skulle være ved at være oppe på 20 huller i
IE, der endnu ikke er rettet.

Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped

With XMMS tugging along nicely, playing Vivaldi...

---

In news:dk.edb.sikkerhed Kent Friis wrote:

>>Hvad er en god firewall så i denne sammenhæng?
>
>En firewall med statefull filtering / stateful inspection, som der
>står beskrevet.
>
>>Er det en router...?
>
>nej.

Hvorfor nu så firkantet? Hvis en router kan lave statefull filtering
og en firewall som kan lave statefull filtering er god. Så er en
router vel også en god firewall.

>SNAT (Source-NAT, Masquerading): Det er det der foregår, når 3 PC'er
>deles om en IP-adresse på fx. en ADSL. De har hver en intern ip-adresse,
>som ikke kan routes på nettet, og NAT-routeren skifter så source-
>adressen ud med sin egen IP-adresse, og holder styr på hvem der bruger
>hvilke porte, så den kan rette adresserne tilbage på returtrafikken.

Kan du så udfra det du har hørt om min router, bekræfte at den bruger
SNAT (med mindre man tvinger den til DNAT?)?

>DNAT (Forwarding): Hvis man har fx. en web-server på en ADSL med kun
>et ip-nummer og NAT-router, så har web-serveren et privat ip-nummer,
>og derfor kan web-serveren ikke kontaktes fra nettet. Pakker sendt
>til TCP port 80 får derfor rettet destination ip-adressen til
>web-serverens IP-nummer i stedet for routerens ip-nummer. Tilsvarende
>bliver de private ip-numre rettet tilbage på retur-trafik.

Så det svarer til at "mappe" TCP port 80 til en LAN IP på min router?

>Bruger man DNAT til at videresende al trafik til en maskine, så svarer
>det til slet ingen firewall.

Og det er det jeg gør når jeg slår "Hostmapping/NAT" til?

>>Hvordan fungerer en router i det hele taget?
>
>Nu er vi vist ude i "netværk for begyndere", og det har intet med
>sikkerhed at gøre.

Nej, jeg sagde jo også: "jeg er ikke sikker på at alle spørgsmål hører
hjemme i OSS'en eller i denne gruppe overhovedet". Det beklager jeg.

>>("Stateful filtering" vil sige at kun pakker der er sendt bud efter
>>lukkes igennem. Enhver router som _ikke_ har NAT, laver "stateful
>>filtering", eller hvad?
>
>Nej, en router der ikke har NAT lukker alt igennem.

Ligesom DNAT?

>En router med DNAT kan lukke alt igennem.

"...kan..."?

>Det er baseret på en forkert opfattelse...

Jeg håber jeg har fattet noget af det nu :)

>Fordi en rigtig (hardware) firewall er dyr i forhold til de 10 minutter
>det tager at sikre maskinen.

Jeg troede at jeg motto herinde var: "sikkert er ikke altid nemt"...

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

Den Thu, 08 Aug 2002 18:51:23 +0200 skrev Lars Stokholm:
>In news:dk.edb.sikkerhed Kent Friis wrote:
>
>>>Hvad er en god firewall så i denne sammenhæng?
>>
>>En firewall med statefull filtering / stateful inspection, som der
>>står beskrevet.
>>
>>>Er det en router...?
>>
>>nej.
>
>Hvorfor nu så firkantet? Hvis en router kan lave statefull filtering
>og en firewall som kan lave statefull filtering er god. Så er en
>router vel også en god firewall.

Det er ikke en routers opgave. Det er muligt at der findes routere der
kan, men for ikke at skabe flere misforståelser, så nej.

En routers opgave er at flytte trafik, ikke at blokere den.

>>SNAT (Source-NAT, Masquerading): Det er det der foregår, når 3 PC'er
>>deles om en IP-adresse på fx. en ADSL. De har hver en intern ip-adresse,
>>som ikke kan routes på nettet, og NAT-routeren skifter så source-
>>adressen ud med sin egen IP-adresse, og holder styr på hvem der bruger
>>hvilke porte, så den kan rette adresserne tilbage på returtrafikken.
>
>Kan du så udfra det du har hørt om min router, bekræfte at den bruger
>SNAT (med mindre man tvinger den til DNAT?)?

Hvis du har et ipnummer der hedder noget med 10.*.*.* eller 192.168.*.*
eller 172.[16-31].*.* og du kan surfe, så kører du sandsynligvis
SNAT.

>>DNAT (Forwarding): Hvis man har fx. en web-server på en ADSL med kun
>>et ip-nummer og NAT-router, så har web-serveren et privat ip-nummer,
>>og derfor kan web-serveren ikke kontaktes fra nettet. Pakker sendt
>>til TCP port 80 får derfor rettet destination ip-adressen til
>>web-serverens IP-nummer i stedet for routerens ip-nummer. Tilsvarende
>>bliver de private ip-numre rettet tilbage på retur-trafik.
>
>Så det svarer til at "mappe" TCP port 80 til en LAN IP på min router?

Jeps.

>>Bruger man DNAT til at videresende al trafik til en maskine, så svarer
>>det til slet ingen firewall.
>
>Og det er det jeg gør når jeg slår "Hostmapping/NAT" til?

Jeps.

>>>Hvordan fungerer en router i det hele taget?
>>
>>Nu er vi vist ude i "netværk for begyndere", og det har intet med
>>sikkerhed at gøre.
>
>Nej, jeg sagde jo også: "jeg er ikke sikker på at alle spørgsmål hører
>hjemme i OSS'en eller i denne gruppe overhovedet". Det beklager jeg.

Ja, men jeg mener ikke det er en mangel i OSS'en. Findes der ikke en
OSS for dk.edb.netvaerk der forklarer det?

Kort fortalt går det ud på at routeren har en række "interfaces" -
netkort, frame relay, seriel,... som data skal flyttes imellem,
vi kunne jo bruge min PC som eksempel. Den har en routing tabel,
der fortæller hvilket interface trafikken skal ud på:

Destination Gateway Genmask Flags Metric Ref Use Iface
80.198.219.160 0.0.0.0 255.255.255.252 U 0 0 0 eth1
172.16.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.0.0.0 - 255.0.0.0 ! 0 - 0 -
0.0.0.0 80.198.219.161 0.0.0.0 UG 0 0 0 eth1

En routing-tabel indeholder et antal linier med: en netværks-adresse
(destination) og netmask (genmask), interface (iface) og evt. en
gateway (gateway).

Modtager min maskine fx. trafik til 172.16.0.2, så kigger den på
linie 2, der fortæller at det skal sendes ud på eth0. Modtager den
derimod trafik til 216.32.65.105, så er den eneste route der kan
bruges den nederste (0.0.0.0/0.0.0.0 = default gateway = hele
internettet). Der er en gateway, så den bliver trafikken videresendt
til, og det er via eth1.

En routers opgave er altså bare at flytte data imellem et antal
netværk.

>>>("Stateful filtering" vil sige at kun pakker der er sendt bud efter
>>>lukkes igennem. Enhver router som _ikke_ har NAT, laver "stateful
>>>filtering", eller hvad?
>>
>>Nej, en router der ikke har NAT lukker alt igennem.
>
>Ligesom DNAT?

ja.

>>En router med DNAT kan lukke alt igennem.
>
>"...kan..."?

Det afhænger af konfigurationen. Hvis du kun har sat den til at forwarde
port 80, så lukker den ikke alt igennem, men kun al trafik til port 80.

>>Det er baseret på en forkert opfattelse...
>
>Jeg håber jeg har fattet noget af det nu :)
>
>>Fordi en rigtig (hardware) firewall er dyr i forhold til de 10 minutter
>>det tager at sikre maskinen.
>
>Jeg troede at jeg motto herinde var: "sikkert er ikke altid nemt"...

Ikke nødvendigvis.

Når vi taler sikkerhed, så skal man ikke gå videre end ens evner rækker.
At konfigurere en firewall (software eller hardware) er svært, og
kræver en god forståelse for TCP/IP. Har man ikke den nødvendige viden,
så får man bare dårligere sikkerhed ud af det.

At lukke de services der lytter er ikke specielt svært. Man behøver
blot at checke med netstat -an, og så stoppe services indtil der ikke
er flere LISTEN porte tilbage. Det er naturligvis en fordel at checke
hvilke services der hører til hver port, så man ikke slår de forkerte
fra, men det er stadig meget nemmere end at konfigurere en firewall.

Derfor er min holdning, at hvis folk ikke ved om de har brug for en
firewall (hvis man *tror* man har, så ved man det ikke), så skal de
IKKE have en firewall. Hvis man ved nok til at kunne konfigurere en
firewall, så ved man også om man har brug for en.

Mvh
Kent
--
Motion: andet ord for "ondt i fødderne".

---

In news:dk.edb.sikkerhed Kent Friis wrote:

[snip]

Så lader det til at jeg endelig har styr på hvad min router foretager
sig. Mange tak for hjælpen.

>Når vi taler sikkerhed, så skal man ikke gå videre end ens evner rækker.
>At konfigurere en firewall (software eller hardware) er svært, og
>kræver en god forståelse for TCP/IP. Har man ikke den nødvendige viden,
>så får man bare dårligere sikkerhed ud af det.

Man kan vel også tænke sig at "computeren sættes i spændetrøje" -
altså at man oversikrer sig - så det dårligt er muligt at benytte
computeren på nettet. Det giver vel høj sikkerhed, selvom man måske
ikke har en pind forstand på hvad man har foretaget sig.

>At lukke de services der lytter er ikke specielt svært. Man behøver
>blot at checke med netstat -an, og så stoppe services indtil der ikke
>er flere LISTEN porte tilbage. Det er naturligvis en fordel at checke
>hvilke services der hører til hver port, så man ikke slår de forkerte
>fra, men det er stadig meget nemmere end at konfigurere en firewall.

Men det vil ikke beskytte mod Windows egne fejl (?) Det kan vel bedst
gøres med en firewall...?

>Derfor er min holdning, at hvis folk ikke ved om de har brug for en
>firewall (hvis man *tror* man har, så ved man det ikke), så skal de
>IKKE have en firewall. Hvis man ved nok til at kunne konfigurere en
>firewall, så ved man også om man har brug for en.

Men hvem har så i virkeligheden brug for en firewall? Dem der bruger
de services der "lytter"? Der vil en firewall jo bare blokere for
servicen (?)

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

Den Thu, 08 Aug 2002 20:35:33 +0200 skrev Lars Stokholm:
>In news:dk.edb.sikkerhed Kent Friis wrote:
>
>[snip]
>
>Så lader det til at jeg endelig har styr på hvad min router foretager
>sig. Mange tak for hjælpen.
>
>>Når vi taler sikkerhed, så skal man ikke gå videre end ens evner rækker.
>>At konfigurere en firewall (software eller hardware) er svært, og
>>kræver en god forståelse for TCP/IP. Har man ikke den nødvendige viden,
>>så får man bare dårligere sikkerhed ud af det.
>
>Man kan vel også tænke sig at "computeren sættes i spændetrøje" -
>altså at man oversikrer sig - så det dårligt er muligt at benytte
>computeren på nettet. Det giver vel høj sikkerhed, selvom man måske
>ikke har en pind forstand på hvad man har foretaget sig.

Man skal naturligvis ikke slukke for de netværks-services man har brug
for, men for den almindelige hjemmebruger burde der ikke være nogen.

>>At lukke de services der lytter er ikke specielt svært. Man behøver
>>blot at checke med netstat -an, og så stoppe services indtil der ikke
>>er flere LISTEN porte tilbage. Det er naturligvis en fordel at checke
>>hvilke services der hører til hver port, så man ikke slår de forkerte
>>fra, men det er stadig meget nemmere end at konfigurere en firewall.
>
>Men det vil ikke beskytte mod Windows egne fejl (?)

Hvis windows ikke lytter på nettet, kan man ikke angribe den fra nettet.
Så simpelt er det.

>Det kan vel bedst gøres med en firewall...?

Nej. En firewall kan kun enten åbne eller lukke for trafikken, og det
kan gøres lige så godt ved simpelthen at lukke servicen.

Eneste undtagelse er ting som "ping of death" og andre angreb mod selve
ip-stakken, men det er efterhånden længe siden der har været nogen
systemer der var sårbare mod den slags.

>>Derfor er min holdning, at hvis folk ikke ved om de har brug for en
>>firewall (hvis man *tror* man har, så ved man det ikke), så skal de
>>IKKE have en firewall. Hvis man ved nok til at kunne konfigurere en
>>firewall, så ved man også om man har brug for en.
>
>Men hvem har så i virkeligheden brug for en firewall? Dem der bruger
>de services der "lytter"? Der vil en firewall jo bare blokere for
>servicen (?)

Dem der har to netværk de vil holde adskilt, og som ikke kan nøjes med
NetBeui på LAN, og som ikke kører igennem en NAT-router.

Mvh
Kent
--
Ny tegning på http://195.54.71.150/~kfr/grafik/
- desværre uden DNS for tiden.

---

In news:dk.edb.sikkerhed Kent Friis wrote:

>>Men hvem har så i virkeligheden brug for en firewall? Dem der bruger
>>de services der "lytter"? Der vil en firewall jo bare blokere for
>>servicen (?)
>
>Dem der har to netværk de vil holde adskilt, og som ikke kan nøjes med
>NetBeui på LAN, og som ikke kører igennem en NAT-router.

Så du kan stå inde for at jeg skifter fra basis-konfiguration (SNAT)
til åben konfiguration ("Hotmapping/NAT" = DNAT) på min router?

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

Den Thu, 08 Aug 2002 22:59:07 +0200 skrev Lars Stokholm:
>In news:dk.edb.sikkerhed Kent Friis wrote:
>
>>>Men hvem har så i virkeligheden brug for en firewall? Dem der bruger
>>>de services der "lytter"? Der vil en firewall jo bare blokere for
>>>servicen (?)
>>
>>Dem der har to netværk de vil holde adskilt, og som ikke kan nøjes med
>>NetBeui på LAN, og som ikke kører igennem en NAT-router.
>
>Så du kan stå inde for at jeg skifter fra basis-konfiguration (SNAT)
>til åben konfiguration ("Hotmapping/NAT" = DNAT) på min router?

Der er ingen der garanterer noget som helst, end ikke Cisco (ikke da vi
spurgte dem). Men der er heller ingen der garanterer noget hvis du ikke
skifter.

Mvh
Kent
--
Ny tegning på http://195.54.71.150/~kfr/grafik/
- desværre uden DNS for tiden.

---

leeloo@phreaker.net (Kent Friis) wrote:

>Det er naturligvis en fordel at checke
>>>hvilke services der hører til hver port, så man ikke slår de forkerte
>>>fra, men det er stadig meget nemmere end at konfigurere en firewall.
>>
>>Men det vil ikke beskytte mod Windows egne fejl (?)
>
>Hvis windows ikke lytter på nettet, kan man ikke angribe den fra nettet.
>Så simpelt er det.

Lars' pointe var vel, at Windows' ip-stak altid lytter paa
nettet, ogsaa selv om man ikke koerer services, der lytter. Og en
fejl i ip-stakken, som kan udnyttes udefra, vil vel ikke vaere
utaenkelig (selv om jeg umiddelbart kun kan komme i tanker om det
gamle DoS-angrep med lange ping-pakker mod Windows NT).


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

In news:dk.edb.sikkerhed Allan Olesen wrote:

>>>Men det vil ikke beskytte mod Windows egne fejl (?)
>>
>>Hvis windows ikke lytter på nettet, kan man ikke angribe den fra nettet.
>>Så simpelt er det.
>
>Lars' pointe var vel, at Windows' ip-stak altid lytter paa
>nettet...

Det ville jeg ikke påstå...

>...ogsaa selv om man ikke koerer services, der lytter. Og en
>fejl i ip-stakken, som kan udnyttes udefra...

....men du har ret i at jeg tænkte på "indbyggede" fejl i Windows.

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

Den Wed, 14 Aug 2002 00:41:39 +0200 skrev Lars Stokholm:
>In news:dk.edb.sikkerhed Allan Olesen wrote:
>
>>...ogsaa selv om man ikke koerer services, der lytter. Og en
>>fejl i ip-stakken, som kan udnyttes udefra...
>
>...men du har ret i at jeg tænkte på "indbyggede" fejl i Windows.

Hvis Messenger, IE og Media Player er "indbyggede" i windows, er fejl
i dem vel også "indbyggede" fejl...

Mvh
Kent
--
Ny tegning på http://195.54.71.150/~kfr/grafik/
- desværre uden DNS for tiden.

---

"Kent Friis" <leeloo@phreaker.net> skrev:
> > > Hvordan fungerer en router i det hele taget?
>
> Findes der ikke en OSS for dk.edb.netvaerk der
> forklarer det?

www.net-faq.dk

Mvh.
Mikael

---

"Alex Holst" <a@mongers.org> wrote
> Det finder jeg meget bekymrende. Jeg har tilfoejet lidt til afsnittet
> "Hvornaar er der ikke behov for en personlig firewall?" -- kan du proeve
> at laese den reviderede udgave, og give din mening?
>
> http://a.area51.dk/sikkerhed/hjemme_pc#firewall
>

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Name: AutoShareServer for servers
Name: AutoShareWks for workstations
Type: REG_DWORD
Value: 0

- er det en key der skal tilføjes? Kunne du evt. uddybe lidt?

En rigtig god idé kunne i øvrigt være en huskeliste over services man skal
have stoppet.

Mvh Caspar

---

"Caspar Møller" <no@spam> writes:

>
> En rigtig god idé kunne i øvrigt være en huskeliste over services man skal
> have stoppet.

Man skal jo stoppe alle services som man ikke bruger :)
Der er en liste over WinXP-services og hvad de gør på
<URL:http://www.blackviper.com/WinXP/servicecfg.htm>

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

---

"Kent Friis" <leeloo@phreaker.net> skrev:
> >Hvad er den største trussel for mig (hvis der overhovedet
> er nogen), og hvordan undgår jeg den?
>
> Dig selv. Lad være med at køre underlige programmer
> downloadet fra nettet.
>
> Stop desuden alle services der lytter på nettet, så er du
> ved at være ret sikker.

Burde det så være nok at få AdAware til at scanne PC'en
ved opstart og evt. have en antivirus kørende?

Mvh.
Mikael

---

=?iso-8859-15?Q?Mikael_N=F8rrelund_Andersen?= <noerrelund@pc.dk> writes:

> "Kent Friis" <leeloo@phreaker.net> skrev:
> > Lad være med at køre underlige programmer
> > downloadet fra nettet.
> >
> > Stop desuden alle services der lytter på nettet, så er du
> > ved at være ret sikker.
>
> Burde det så være nok at få AdAware til at scanne PC'en
> ved opstart og evt. have en antivirus kørende?

Helt basalt: Hvilket problem forsøger du at løse, og hvad accepterer
du som en løsning?

Hvis du førsøger at opdage hvis din maskine er inficeret med "noget
snavs" for så at kunne fjerne det igen, så er AdAware og antivirus
kørt ved opstart måske nok. En personlig firewall kan også advare
om at noget usædvanligt foregår.

Hvis du forsøger at undgå at blive inficieret til at begynde med,
så skal du lukke de mulige angrebspunkter hvor snavs kan komme ind.
Det er f.eks. lyttende porte og kørsel af ukendte programmer.
I dette tilfælde skal antivirusprogrammet tjekke programmer inden
de kører første gang, og AdAware og personlige firewalls gør ingen
forskel ... de alarmerer først når programmet er kørt og kan have
inficieret maskinen.

/L 'Hvad er din sikkerhedspolitik? :)'
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

---

> Jeg har en Speedstream 2601 router hvor jeg før i tiden havde slået
> "Host Mapping/NAT" til (beskrivelse: tillader uhindret adgang til 1 PC
> på mit LAN). Jeg går ud fra at det vil sige at alle porte mappes til
> min LAN IP (192.168.1.6), korrekt? Når funktionen aktiveres i
> routerens i web- interface (eneste mulighed for konfiguration) popper
> en advarsel op hvor jeg blive foreslået at benytte en firewall. Jeg
> går ud fra at det er en personlig firewall der er tale om (?) Nå, men
> nu er spørgsmålet om det virkeligt også er nødvendigt. Jeg ved godt
> ikke at man skal lægge for meget i hvad tests som "Shields Up" fra
> grc.com o.l. kommer frem til. Men nu har jeg alligevel prøvet med

Jeg har lige prøvet den samme test, og der står også at den ikke kan se
noget hvis det er slået fra. Men hvis jeg slår det til så siger den at der
er en masse porte åbne, og at der sansynligt vis er en der er ved at
formatere min hardisk og brænde cd'er.
Min point er bare lige at fortælle at jeg har fået det helt samme resultat
som dig.

MVH søren

Ps. jeg har det samme udstyr.

---

In news:dk.edb.sikkerhed Søren Andersen wrote:

>>Jeg har en Speedstream 2601 router hvor jeg før i tiden havde slået
>>"Host Mapping/NAT" til (beskrivelse: tillader uhindret adgang til 1 PC
>>på mit LAN). Jeg går ud fra at det vil sige at alle porte mappes til
>>min LAN IP (192.168.1.6), korrekt? Når funktionen aktiveres i
>>routerens i web- interface (eneste mulighed for konfiguration) popper
>>en advarsel op hvor jeg blive foreslået at benytte en firewall. Jeg
>>går ud fra at det er en personlig firewall der er tale om (?) Nå, men
>>nu er spørgsmålet om det virkeligt også er nødvendigt. Jeg ved godt
>>ikke at man skal lægge for meget i hvad tests som "Shields Up" fra
>>grc.com o.l. kommer frem til. Men nu har jeg alligevel prøvet med
>
>Jeg har lige prøvet den samme test, og der står også at den ikke kan se
>noget hvis det er slået fra. Men hvis jeg slår det til så siger den at der
>er en masse porte åbne, og at der sansynligt vis er en der er ved at
>formatere min hardisk og brænde cd'er.
>Min point er bare lige at fortælle at jeg har fået det helt samme resultat
>som dig.

Ok, så har jeg fået bekræftet at min router ikke længere virker. Jeg
havde nemlig slået det _til_ da jeg lavede testen. Om jeg har det
slået til eller fra er sådan set ligegyldigt. Jeg har stealth på alle
porte uanset hvad. Det plejer jeg ikke at have, men jeg har også haft
nogle problemer med routeren de sidste par dage. Den går totalt ned,
når man klikker på et link på dsl-faq.dk - surt show, så må jeg leve
med at NAT'e mine porte når jeg skal bruge dem, men det er jo hamrende
besværligt :(

Det var det jeg hentydede til, da jeg i:
<news:tgh2lusr11jiqeuenfq32frne143ohukge@4ax.com> skrev:
"Min router har opført sig lidt underligt på det seneste..." (læs selv
videre i indlæget).

--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.

---

On Wed, 07 Aug 2002 21:40:54 +0200, Lars Stokholm
<larsstokholm@mail.dk> wrote:

>In news:dk.edb.sikkerhed Søren Andersen wrote:
>
>>>Jeg har en Speedstream 2601 router hvor jeg før i tiden havde slået
>>>"Host Mapping/NAT" til (beskrivelse: tillader uhindret adgang til 1 PC
>>>på mit LAN). Jeg går ud fra at det vil sige at alle porte mappes til
>>>min LAN IP (192.168.1.6), korrekt? Når funktionen aktiveres i
>>>routerens i web- interface (eneste mulighed for konfiguration) popper
>>>en advarsel op hvor jeg blive foreslået at benytte en firewall. Jeg
>>>går ud fra at det er en personlig firewall der er tale om (?) Nå, men
>>>nu er spørgsmålet om det virkeligt også er nødvendigt. Jeg ved godt
>>>ikke at man skal lægge for meget i hvad tests som "Shields Up" fra
>>>grc.com o.l. kommer frem til. Men nu har jeg alligevel prøvet med
>>
>>Jeg har lige prøvet den samme test, og der står også at den ikke kan se
>>noget hvis det er slået fra. Men hvis jeg slår det til så siger den at der
>>er en masse porte åbne, og at der sansynligt vis er en der er ved at
>>formatere min hardisk og brænde cd'er.
>>Min point er bare lige at fortælle at jeg har fået det helt samme resultat
>>som dig.
>
>Ok, så har jeg fået bekræftet at min router ikke længere virker. Jeg
>havde nemlig slået det _til_ da jeg lavede testen. Om jeg har det
>slået til eller fra er sådan set ligegyldigt. Jeg har stealth på alle
>porte uanset hvad. Det plejer jeg ikke at have, men jeg har også haft
>nogle problemer med routeren de sidste par dage. Den går totalt ned,
>når man klikker på et link på dsl-faq.dk - surt show, så må jeg leve
>med at NAT'e mine porte når jeg skal bruge dem, men det er jo hamrende
>besværligt :(
>
>Det var det jeg hentydede til, da jeg i:
><news:tgh2lusr11jiqeuenfq32frne143ohukge@4ax.com> skrev:
>"Min router har opført sig lidt underligt på det seneste..." (læs selv
>videre i indlæget)

Jeg er omme bagved en router, som sætter alle mine porte i stealth og
det har jeg været i meget lang tid! Derudover bruger jeg en personal
firewall til at kontrollere alt udgående trafik. Routeren gør, at jeg
(læs vi) ikke kan "ses" udefra, men der er kontrol den anden vej. Det
har rent factuelt reddet networket et par gange, hvor der er sket
mærkelige ting "ud af huset", som uden tvivl havde sat sig i det hele!
Jeg har kæmpet mod BackOrific & mod Mirc Trojans, så jeg var ved at
blive tosset af det! Begge havde en falsk extension og camfuflerede
sig som "den rigtige Mirc" og som IE, men så sendrigt lavet, vores AV
(McAfee) ikke fandt en skid! MEN, den "personelige firewall" vidste,
at der var noget galt . Den skrev, som en advarsel, at der var
Internet Explores & Mircs, som forsøgte på at komme på nettet SELVOM
DISSE VAR I BRUG! Det viste sig, at Internet Explorer handlede helt på
egen hånd og ligeledes med Mirc! BackOrific havde overtaget IE og
en-eller-anden Mirc-trojan havde overtaget Mirc.
Dette skete for et par år siden, før der kom så meget focus på
sikkerhed, men jeg tror ikke, at TDC er helt ved siden af. Hvis man
ikke tænker på "phone-home software", hvis man er ligeglad med div.
Java-scripts, hvis man er ligeglad med med, hva' f. der sker, så får
Bill (Gates) som han vil ha' det: Vi bruger jo nok Windows! Vi
accepterer, at XP "ringer hjem" - vi hvis ikke har aktiveret den. Vi
accepterer Windows Media Player skal have "licenser" til at kopierer
ditten-og-datten. Inden alle os almindelige mennesker, som ellers er
meget lovlydige, har talt til 3, så skal vi have licenser,
tilladelser, brugernavne & serienumre til at gøre det, som altid har
været vores ret: Kunne høre det, bruge det, kopiere det, kunne nyde
det & dele nydelsen med andre.
Nå - men en lang tale med risiko for at få en over snuden blandt alle
disse eksperter!
TDC har fat i den lange ende! Brug en personal firewall og lær at
sætte den op på en fornuftig måde. Køb evt. Nortons Personal Firewall
el. Sygates Personal Firewall Pro og få noget support på dem. Begge
firmaer består af fornuftige folk, som er til at snakke med og har
samme holdning som undertegnede. ZoneAlarm Free & Pro er latterlig
svære at konfigurerer, så det bare sørg' for at holde Windows
opdateret, så er det fint.
Venlig hilsen
Niels Smith
irq 137900493
timor@runbox.com

---

Hvem wrote:

> Venlig hilsen
> Niels Smith
> irq 137900493
> timor@runbox.com

IRQ? Jeg har ikke så mange IRQ'er i min maskine!

--
Anders Lund - spam2002q3@andersonline.dk
OE-QuoteFix - http://flash.to/oe-quotefix
Soldat. Grineren spil - http://www.soldat.prv.pl

---

Hvem <someone@somewhere> wrote:
> Det har rent factuelt reddet networket et par gange, hvor der er sket
> mærkelige ting "ud af huset", som uden tvivl havde sat sig i det hele!
> Jeg har kæmpet mod BackOrific & mod Mirc Trojans, så jeg var ved at
> blive tosset af det! Begge havde en falsk extension og camfuflerede
> sig som "den rigtige Mirc" og som IE, men så sendrigt lavet, vores AV
> (McAfee) ikke fandt en skid!

Det er jo netop problemet med anti-virus software. Det kan ikke stoppe
ukendte angreb, saa hvis en person saetter sig ned og specifikt koder en
virus, orm, trojansk hest eller andet for at ramme en bestemt bruger kan
det kun stoppes af teknologi i ganske faa tilfaelde.

Interessant risk model: "Med vores AV software er vi beskyttede mod
udbredte trusler (dog med et par timers eller dages forsinkelse). Hvis
nogen sender et hjemmelavet program til blot een ansat har vi ikke en
chance da 97% af vores ansatte ikke forstaar korrekt brug af email, og
vores systemer ioevrigt heller ikke er sat op til at modstaa denne
trussel."

AV software loeser ikke det basale problem, nemlig at uhensigtsmaessig
kode faar mulighed for at finde vej til mange brugere samt en meget stor
procentdel af disse brugere aktiverer koden uden at taenke sig om eet
sekund.

BackOrifice programmet og mIRC trojanen kom ind paa dit system fordi du
klokkede i det. Jeg ved ikke hvilken forsinkelse der var i de dage fra
at trojanen begyndte at ramme brugere, til AV software kunne kende den,
til alle brugere havde hentet den nyeste AV data fil. I dag er denne
cykle vel nede paa et sted mellem 12 timer og 2 dage.

Min oplevelse er, at de fleste brugere og firmaer benytter AV software
fordi de aldrig har analyseret hverken problemet, loesningen eller
oekonomien omkring disse. Flotte IDG rapporter og public relations
udfoert af AV producenter har vundet over kritisk tankegang og risk
assessment.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

On Tue, 3 Sep 2002 07:15:38 +0100, Alex Holst <a@mongers.org>
wrote:

> Det er jo netop problemet med anti-virus software. Det kan ikke
> stoppe ukendte angreb, saa hvis en person saetter sig ned og
> specifikt koder en virus, orm, trojansk hest eller andet for at
> ramme en bestemt bruger kan det kun stoppes af teknologi i
> ganske faa tilfaelde.

Om ikke ligefrem traditionel "anti-virus software", så kan Finjan
SurfinGate / SurfinShield netop det. Den ser på, hvad downloadede
programmer, scripts, plugins and whatnot *gør*, ikke om de har en
bestemt signatur.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> writes:

> Om ikke ligefrem traditionel "anti-virus software", så kan Finjan
> SurfinGate / SurfinShield netop det. Den ser på, hvad downloadede
> programmer, scripts, plugins and whatnot *gør*, ikke om de har en
> bestemt signatur.

Programmers dynamiske opførsel er dog svær at udtale sig om (teoretisk
uafgørlig). Det bedste sådan et program kan gøre er at have nogle
heuristikker der genkender *tegn* på tvivlsom opførsel, uden dog at
det er sikkert at det er farligt. F.eks. kan et program indeholde kald
til en mistænkelig procedure, men hvis kaldet aldrig bliver nået når
programmet kører, så er det egentlig ufarligt.

I et sprog som f.eks. javascript, som har en eval() funktion, er det
endnu sværere at finde tegn på grim opførsel, da programmet selv kan
generere ny kode og udføre den ... effektivt selvmodificerende kode.
Det kunne dog tages som et tegn i sig selv :).

Det jeg prøver at sige er: Intet virus-genkendelses-program er helt
sikkert og har samtidigt ingen falske positiver. Man kan gøre sine
heuristikker bedre og bedre, men der vil altid være nogle programmer
der bliver fejl-identificeret. Det bedste man kan håbe på er at
disse programmer ikke er nogen man ville bruge i praksis, og at
fejlen er til den sikre side: heller falske positiver end at lade
en virus slippe forbi.

/L 'I teorien er teori og praksis det samme ...'
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

---

On 03 Sep 2002 19:04:06 +0200, Lasse Reichstein Nielsen
<lrn@hotpop.com> wrote:

> Programmers dynamiske opførsel er dog svær at udtale sig om (teoretisk
> uafgørlig). Det bedste sådan et program kan gøre er at have nogle
> heuristikker der genkender *tegn* på tvivlsom opførsel, uden dog at
> det er sikkert at det er farligt.

Finjans software afvikler kode i en sandbox, og kan altså ret
firkantet afgøre, hvad programmet forsøger på.

Men det er da rigtigt, at det kan være svært at opstille poli-
tikken for, hvilke ting noget kode skal have lov til. Det er dog
formentlig ikke sværere for en central administration end for de
mange brugere man har.

> I et sprog som f.eks. javascript, som har en eval() funktion, er det
> endnu sværere at finde tegn på grim opførsel, da programmet selv kan
> generere ny kode og udføre den ... effektivt selvmodificerende kode.

Som sagt: Finjan-softwaren ser ikke på, hvad kode tilsynelandende
gør, men hvad det faktisk forsøger at gøre.

> Det jeg prøver at sige er: Intet virus-genkendelses-program er helt
> sikkert og har samtidigt ingen falske positiver.

Det vil jeg heller ikke påstå.

Men hvis man fx. har defineret i sin sikkerhedspolitik, at ingen
web-sites skal have lov til at afvikle kode, der læser system-
filer fra Windows, eller at tænde mikrofonen i Windows, ja så får
de altså heller ikke lov til det.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> writes:

> Finjans software afvikler kode i en sandbox, og kan altså ret
> firkantet afgøre, hvad programmet forsøger på.

Ok, så misforstod jeg. En sandkasse kan dynamisk holde øje med
programmets opførsel, det er jo effektivt en virtuel maskine at
køre på, så den er ikke begrænset på samme måde som statisk
analyse. Det giver selvfølgeligt et overhead, men med moderne
CPU'er er det nok et mindre problem.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

---

Lasse Reichstein Nielsen skrev:

> Det bedste man kan håbe på er at disse programmer ikke er nogen man
> ville bruge i praksis, og at fejlen er til den sikre side: heller
> falske positiver end at lade en virus slippe forbi.

Ulven kommer, Ulven kommer...

Hvordan har du det så, når folk der bruger personlige firewalls råber
op om at deres internetudbyder hacker dem på port 53?

> /L 'I teorien er teori og praksis det samme ...'

Ja, det er dejligt.

---

Alex Holst wrote:
....
> oekonomien omkring disse. Flotte IDG rapporter og public relations
> udfoert af AV producenter har vundet over kritisk tankegang og risk
> assessment.

Det er jo smuk poesi.

---

Alex Holst skrev:

> Hvem <someone@somewhere> wrote:
>> vores AV (McAfee) ikke fandt en skid!

> Det er jo netop problemet med anti-virus software.

Nej, det er netop problemet med anti-vrius software som er opsat til
kun af anvende signaturer til at finde vira og trojanske heste.

Hvis heuristikken var slået til, ville McAfee måske have fundet pro-
blem-programmet.

McAfee kunne selvfølgelig have det slået til som standard, men så
skulle deres support kæmpe med kunder som synes at maskinen blev sløvet
for meget ned.

Jeg ved ikke om McAfees heuristik er så god, at den ikke komme med en
bunke falske positive.

> Flotte IDG rapporter og public relations udfoert af AV producenter
> har vundet over kritisk tankegang og risk assessment.

Enig.

---

Peder Vendelbo Mikkelsen wrote:
> Nej, det er netop problemet med anti-vrius software som er opsat til
> kun af anvende signaturer til at finde vira og trojanske heste.
>
> Hvis heuristikken var slået til, ville McAfee måske have fundet pro-
> blem-programmet.

Hvad skal man så bruge signaturen til hvis heuristikken kan det du mener
den kan?

---

Christian E. Lysel wrote:
> Peder Vendelbo Mikkelsen wrote:
>> Nej, det er netop problemet med anti-vrius software som er opsat til
>> kun af anvende signaturer til at finde vira og trojanske heste.
>>
>> Hvis heuristikken var slået til, ville McAfee måske have fundet pro-
>> blem-programmet.
>
> Hvad skal man så bruge signaturen til hvis heuristikken kan det du
> mener den kan?

Jeg vil heller ikke sige at det er 100% sikkert at man kan finde nye vira
med heuristikken. Jeg læste et sted at Symantec's blondhound skulle kunne
fange op 80% af nye/ukendte vira - men det tvivler jeg på.

Så derfor, så er databasen der til at finde alle de kendte, som dog ville
smutte forbi. Desuden er det jo også rart at vide hvilken virus det er man
fanger. Og så er der også lige det at heutisikken tager noget mere CPU kraft
end en 'normal' scanning.


--
Anders Lund - spam2002q3@andersonline.dk
OE-QuoteFix - http://flash.to/oe-quotefix
Soldat. Grineren spil - http://www.soldat.prv.pl

---

Christian E. Lysel skrev:

> Hvad skal man så bruge signaturen til hvis heuristikken kan det du
> mener den kan?

Jeg vil gætte på, at signaturbaseret scanning er hurtigere. Jeg ved
det dog ikke, da jeg ikke har en flok inficerede filer liggende jeg
kan teste med.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

Den Tue, 03 Sep 2002 02:14:01 +0200 skrev Hvem:
>
>Jeg er omme bagved en router, som sætter alle mine porte i stealth

Forhåbentlig ikke, stealth findes ikke på netværk, det er noget man
bruger i forbindelse med jagerfly. Du er blevet snydt (måske af en vis
GRC?)

>og
>det har jeg været i meget lang tid! Derudover bruger jeg en personal
>firewall til at kontrollere alt udgående trafik.

Du stoler ikke på dig selv?

>Routeren gør, at jeg
>(læs vi) ikke kan "ses" udefra, men der er kontrol den anden vej. Det
>har rent factuelt reddet networket et par gange, hvor der er sket
>mærkelige ting "ud af huset", som uden tvivl havde sat sig i det hele!
>Jeg har kæmpet mod BackOrific & mod Mirc Trojans, så jeg var ved at
>blive tosset af det! Begge havde en falsk extension og camfuflerede
>sig som "den rigtige Mirc" og som IE, men så sendrigt lavet, vores AV
>(McAfee) ikke fandt en skid! MEN, den "personelige firewall" vidste,
>at der var noget galt .

Skrev den så også den rigtige fejlmelding? I dette tilfælde er der
ingen tvivl om at den korrekte besked at smække op på skærmen er:
"Idiot on keyboard error".

>Den skrev, som en advarsel, at der var
>Internet Explores & Mircs, som forsøgte på at komme på nettet SELVOM
>DISSE VAR I BRUG! Det viste sig, at Internet Explorer handlede helt på
>egen hånd og ligeledes med Mirc! BackOrific havde overtaget IE og
>en-eller-anden Mirc-trojan havde overtaget Mirc.
>Dette skete for et par år siden, før der kom så meget focus på
>sikkerhed, men jeg tror ikke, at TDC er helt ved siden af.

De er sikkert heller ikke helt ved siden af, når de siger at du skal
ringe noget mere til familien, fordi det er blevet billigere. (Gu er
det da ej, de kører bare med special-rabat til en eller anden lille
amerikansk by med cirka tre indbyggere).

>Hvis man ikke tænker på "phone-home software",

Du mener XP? Lad være med at installere det.
Eller dialers? Lad være med at downloade / køre dem.

>hvis man er ligeglad med div. Java-scripts,

Slå det fra, hvis det generer dig.

>hvis man er ligeglad med med, hva' f. der sker, så får
>Bill (Gates) som han vil ha' det: Vi bruger jo nok Windows! Vi
>accepterer, at XP "ringer hjem" - vi hvis ikke har aktiveret den. Vi
>accepterer Windows Media Player skal have "licenser" til at kopierer
>ditten-og-datten.

Jeg gør ikke. Jeg fortrækker ting der virker, og undgår derfor Microsoft
produkter.

>Inden alle os almindelige mennesker, som ellers er
>meget lovlydige, har talt til 3, så skal vi have licenser,
>tilladelser, brugernavne & serienumre til at gøre det, som altid har
>været vores ret: Kunne høre det, bruge det, kopiere det, kunne nyde
>det & dele nydelsen med andre.

Hvis du ikke kan lide Microsofts forretningsmetoder, så find en anden
leverandør. Sværere er det altså ikke.

>Nå - men en lang tale med risiko for at få en over snuden blandt alle
>disse eksperter!

Der er skam en grund til at nogen af os er eksperter, og du ikke er.

>TDC har fat i den lange ende! Brug en personal firewall og lær at
>sætte den op på en fornuftig måde.

nemt: Start -> settings -> control panel -> add/remove software ->
"personal firewall" -> uninstall.

>Køb evt. Nortons Personal Firewall
>el. Sygates Personal Firewall Pro og få noget support på dem. Begge
>firmaer består af fornuftige folk, som er til at snakke med og har
>samme holdning som undertegnede.

Nemlig at man hellere skal bruge en masse penge på en personal
"firewall" end gøre noget for at forbedre sikkerheden. Det er nemlig
det de tjener en formue på.

Mvh
Kent
--
Hvis man ikke kan lide klassisk musik, er det sandsynligvis fordi
lydkvaliteten er for dårlig. Klassisk musik kræver et godt anlæg.