---

Hej med jer ...

Jeg har ikke nogen firewall - men jeg regner med at købe en router i ganske
nær fremtid. Men der kan jo godt gå et par uger før jeg får den købt - og så
går der sikkert også to uger før jeg får den pakket ud af æsken.

Hvad gør jeg i mellemtiden? Så vidt jeg har forstået, kan man lukke en række
porte og derved begrænse de grime menneskers adgang til min putter. Er det
rigtigt? Hvor læser jeg om den slags avancerede sager? Og hvordan lukker man
sådan en port?

Kan jeg i øvrigt købe en hvilken som helst router (m. indbygget switch) og
regne med, at den har en indbygget firewall?

ras

---

Den Wed, 3 Mar 2004 20:10:11 +0100 skrev rasmus:
>Hej med jer ...
>
>Jeg har ikke nogen firewall - men jeg regner med at købe en router i ganske
>nær fremtid. Men der kan jo godt gå et par uger før jeg får den købt - og så
>går der sikkert også to uger før jeg får den pakket ud af æsken.
>
>Hvad gør jeg i mellemtiden? Så vidt jeg har forstået, kan man lukke en række
>porte og derved begrænse de grime menneskers adgang til min putter. Er det
>rigtigt? Hvor læser jeg om den slags avancerede sager? Og hvordan lukker man
>sådan en port?
>
>Kan jeg i øvrigt købe en hvilken som helst router (m. indbygget switch) og
>regne med, at den har en indbygget firewall?

Det du ønsker er ikke en firewall, men en NAT-router. Og nej, ikke alle
routere har indbygget NAT, men de billige har typisk, da de bliver solgt
til hjemmenetværk der kun har en ip-adresse på ydersiden, og derfor ikke
kan undvære NAT.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:c25deh$aab$1@sunsite.dk...

> Det du ønsker er ikke en firewall, men en NAT-router. Og nej, ikke alle
> routere har indbygget NAT, men de billige har typisk, da de bliver solgt
> til hjemmenetværk der kun har en ip-adresse på ydersiden, og derfor ikke
> kan undvære NAT.

- oki doki ... jeg kan altså købe en billig sag og så er alt nogenlunde i
orden? Jeg skal vel have ændret mine to dynamiske ip-adresser til en enkelt
fast ... ikke sandt?

ras

---

Den Wed, 3 Mar 2004 21:48:26 +0100 skrev rasmus:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:c25deh$aab$1@sunsite.dk...
>
>> Det du ønsker er ikke en firewall, men en NAT-router. Og nej, ikke alle
>> routere har indbygget NAT, men de billige har typisk, da de bliver solgt
>> til hjemmenetværk der kun har en ip-adresse på ydersiden, og derfor ikke
>> kan undvære NAT.
>
>- oki doki ... jeg kan altså købe en billig sag og så er alt nogenlunde i
>orden? Jeg skal vel have ændret mine to dynamiske ip-adresser til en enkelt
>fast ... ikke sandt?

Eller køb en der kan håndtere dynamisk ip. Der er flere ting man kan
med fast IP, men NAT er ikke en af dem, det virker uanset om man
har fast eller dynamisk IP.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

In article <uwr1c.1189$ia7.932@news.get2net.dk>,
rasmus.carlsenX@tdcadsl.dk says...

> orden? Jeg skal vel have ændret mine to dynamiske ip-adresser til en enkelt
> fast ... ikke sandt?

Nej, behold du bare de to dunamiske, medmindre du skal køre en service
via din router.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

rasmus wrote:
> Hej med jer ...
>
> Jeg har ikke nogen firewall - men jeg regner med at købe en router i ganske
> nær fremtid. Men der kan jo godt gå et par uger før jeg får den købt - og så
> går der sikkert også to uger før jeg får den pakket ud af æsken.

Det er jo ikke den bedste måde at starte et indlæg i en nyhedsgruppe om
sikkerhed på ...

> Hvad gør jeg i mellemtiden? Så vidt jeg har forstået, kan man lukke en række
> porte og derved begrænse de grime menneskers adgang til min putter. Er det
> rigtigt? Hvor læser jeg om den slags avancerede sager? Og hvordan lukker man
> sådan en port?

Det du refererer til kaldes hærdning ell. minimering af
netværks-services. Det går i korthed ud på at lukke aktive
netværksprogrammer på din computer, og på den måde mindske
angrebsmulighederne for de "grimme mennesker", vira, orme osv.

> Kan jeg i øvrigt købe en hvilken som helst router (m. indbygget switch) og
> regne med, at den har en indbygget firewall?

I disse tider, hvor selv Bilka har "firewalls" på hylderne, skulle det
nok ikke være svært at finde en hjemmerouter, der har en art
firewall-funktionalitet.

Bemærk dog som Kent Friis så rigtigt skriver, at en alm NAT-router i de
fleste tilfælde er fuldt ud tilstrækkelig til en gængs hjemmebruger, og
iøvrigt til enhver tid at foretrække fremfor alverdens
software-firewalls, der enten fejlkonfigureres eller slåes fra efter
kort tid, fordi de forstyrrer surfningen!

Forslag til videre læsning:

http://www.systemexperts.com/tutors/
http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en

/mvh
Michael

---

"Michael U. Hove" <pots_72@e-mail.dk> skrev i en meddelelse
news:c25gg1$2a18$1@news.cybercity.dk...
> rasmus wrote:
> > Hej med jer ...
> >
> > Jeg har ikke nogen firewall - men jeg regner med at købe en router i
ganske
> > nær fremtid. Men der kan jo godt gå et par uger før jeg får den købt -
og så
> > går der sikkert også to uger før jeg får den pakket ud af æsken.
>
> Det er jo ikke den bedste måde at starte et indlæg i en nyhedsgruppe om
> sikkerhed på ...

- hehe ... det er da i al fald relevant

> Det du refererer til kaldes hærdning ell. minimering af
> netværks-services. Det går i korthed ud på at lukke aktive
> netværksprogrammer på din computer, og på den måde mindske
> angrebsmulighederne for de "grimme mennesker", vira, orme osv.

- oki doki ...så vidt jeg har forstået kan man slå op hvilke porte, der
bruges og hvilke, der ofte misbruges. Findes der noget smart
softwarehalløjsa, der automatisk lukker for de grimme porte?

> Bemærk dog som Kent Friis så rigtigt skriver, at en alm NAT-router i de
> fleste tilfælde er fuldt ud tilstrækkelig til en gængs hjemmebruger, og
> iøvrigt til enhver tid at foretrække fremfor alverdens
> software-firewalls, der enten fejlkonfigureres eller slåes fra efter
> kort tid, fordi de forstyrrer surfningen!

- jeg er med ...

> Forslag til videre læsning:
>
> http://www.systemexperts.com/tutors/
> http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en

- takker

ras

---

In article <GIr1c.1205$qv7.1195@news.get2net.dk>,
rasmus.carlsenX@tdcadsl.dk says...

> bruges og hvilke, der ofte misbruges. Findes der noget smart
> softwarehalløjsa, der automatisk lukker for de grimme porte?

Ja, det kaldes en software-firewall, men det er i bund og grund noget
bras.

Programmet Active Ports kan hjælpe dig med at finde og fjerne åbne
porte:

http://download.com.com/3000-2085-10062969.html?part=65960%20
&subj=dlpage&tag=button

http://makeashorterlink.com/?N1A6269A7


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

"Jesper G. Poulsen" wrote:
>
> In article <GIr1c.1205$qv7.1195@news.get2net.dk>,
> rasmus.carlsenX@tdcadsl.dk says...
>
> > bruges og hvilke, der ofte misbruges. Findes der noget smart
> > softwarehalløjsa, der automatisk lukker for de grimme porte?
>
> Ja, det kaldes en software-firewall, men det er i bund og grund noget
> bras.

Det var nu ikke hvad jeg tænkte, da jeg læste spørgsmålet.

Man kan godt skrive en liste op over porte, der som default
er åbne i forskellige windows versioner, og hvilke skridt,
man skal tage for at lukke dem rigtigt ved passende ændringer
i sin konfiguration.

Det burde vel også være muligt at skrive et program, der gør
det samme. Altså ændre hvilke services, der er aktive ved
boot. Ændre/tilføje nogle registry keys så uundværlige
services blot lytter på loopback. Og gør hvad der ellers
måtte være at ændre for at forbedre sikkerheden.

Jeg læste i hvert fald spørgsmålet som en efterlysning af et
program, der kunne ovenstående. Det burde være muligt, men
jeg ved ikke, om det findes.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <404E404D.E8620A05@daimi.au.dk>, kasperd@daimi.au.dk says...

> Det burde vel også være muligt at skrive et program, der gør
> det samme. Altså ændre hvilke services, der er aktive ved

Selvom en given service benytter sig af en given port i henhold til
standarden, så er det ikke sikkert at det er tilfældet på en given
maskine. Active Ports fortæller helt nøjagtigt hvilken task der holder
hvilke porte åbne.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

"Jesper G. Poulsen" wrote:
>
> In article <404E404D.E8620A05@daimi.au.dk>, kasperd@daimi.au.dk says...
>
> > Det burde vel også være muligt at skrive et program, der gør
> > det samme. Altså ændre hvilke services, der er aktive ved
>
> Selvom en given service benytter sig af en given port i henhold til
> standarden, så er det ikke sikkert at det er tilfældet på en given
> maskine.

Hvad har det med sagen at gøre?

> Active Ports fortæller helt nøjagtigt hvilken task der holder
> hvilke porte åbne.

Det behøver man nu ikke installere ekstra software
for at finde ud af. Og kan programmet i øvrigt gøre
noget ved det?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <404EF500.1C1CD774@daimi.au.dk>, kasperd@daimi.au.dk says...

> > Selvom en given service benytter sig af en given port i henhold til
> > standarden, så er det ikke sikkert at det er tilfældet på en given
> > maskine.
> Hvad har det med sagen at gøre?

At man ikke kan lave et program der selv stopper de programmer der
holde porte åbne.

> Det behøver man nu ikke installere ekstra software
> for at finde ud af.

Hvordan vil finde ud af hvilke programmer der holder non-
standardiserede porte åbne?

> Og kan programmet i øvrigt gøre
> noget ved det?

Det program jeg henviser til viser _hvilke_ programmer der holder
_hvilke_ porte åbne, således at du let kan se hvad der skal stoppes og
hvad der ikke skal. Active Ports går ikke efter standardlister.

Her er hvad programmet har fundet på min maskine mens jeg skriver dette
indlæg:
http://www.ingensteder.dk/ms2mogens/active_ports.png


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

"Jesper G. Poulsen" wrote:
>
> In article <404EF500.1C1CD774@daimi.au.dk>, kasperd@daimi.au.dk says...
>
> > > Selvom en given service benytter sig af en given port i henhold til
> > > standarden, så er det ikke sikkert at det er tilfældet på en given
> > > maskine.
> > Hvad har det med sagen at gøre?
>
> At man ikke kan lave et program der selv stopper de programmer der
> holde porte åbne.

Jo, hvis man på forhånd kender de programmer, man har
behov for at stoppe. Man kan selvfølgelig ikke tage
højde for alle de programmer man kan downloade fra
nettet og installere på sin maskine. Men hvis man gør
det, så er det jo nok fordi man faktisk vil have det
kørende.

>
> > Det behøver man nu ikke installere ekstra software
> > for at finde ud af.
>
> Hvordan vil finde ud af hvilke programmer der holder non-
> standardiserede porte åbne?

Hvor mange er der af dem på en out of the box Windows
maskine?

>
> > Og kan programmet i øvrigt gøre
> > noget ved det?
>
> Det program jeg henviser til viser _hvilke_ programmer der holder
> _hvilke_ porte åbne, således at du let kan se hvad der skal stoppes og
> hvad der ikke skal. Active Ports går ikke efter standardlister.
>
> Her er hvad programmet har fundet på min maskine mens jeg skriver dette
> indlæg:
> http://www.ingensteder.dk/ms2mogens/active_ports.png

Hvad viser det, som man ikke kan se med netstat og
task manageren?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <404F76A1.D92B2CC6@daimi.au.dk>, kasperd@daimi.au.dk says...

> > At man ikke kan lave et program der selv stopper de programmer der
> > holde porte åbne.
> Jo, hvis man på forhånd kender de programmer, man har
> behov for at stoppe. Man kan selvfølgelig ikke tage

Så kan man også stoppe programmerne selv. Det andet er at gå over åen
efter vand og det inducerer en ny fejlkilde i dit system.

> Hvor mange er der af dem på en out of the box Windows
> maskine?

Dem er der ikke mange af, men hvorfor vil du have et ekstra program til
at stoppe nogle af dem, men ikke dem alle. Det er ikke noget problem af
stoppe dem selv, hvis du får den rigtige hjælp (og den er nævnt
andetsteds i denne tråd).

> > http://www.ingensteder.dk/ms2mogens/active_ports.png
> Hvad viser det, som man ikke kan se med netstat og
> task manageren?

Den gør det nemmere at holde styr på tingene. Det er en _hjælp_ for
folk der ikke er eksperter.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

"Jesper G. Poulsen" wrote:
>
> Dem er der ikke mange af, men hvorfor vil du have et ekstra program til
> at stoppe nogle af dem, men ikke dem alle.

Jeg vil da have programmet til at stoppe dem alle.

> Det er ikke noget problem af
> stoppe dem selv, hvis du får den rigtige hjælp (og den er nævnt
> andetsteds i denne tråd).

Ja, og de råd er ganske glimrende. Jeg forestiller
mig bare, at nogen kunne lave et program, der gør
nøjagtigt det samme som disse råd beskriver. For
en nybegynder burde en autmatisering kunne reducere
risikoen for fejl i denne process.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <40502D86.447FC51A@daimi.au.dk>, kasperd@daimi.au.dk says...

> Jeg vil da have programmet til at stoppe dem alle.

Så får du sikkert stoppet nogle der ikke skulle ha' været stoppet i en
given situation.

> Ja, og de råd er ganske glimrende. Jeg forestiller
> mig bare, at nogen kunne lave et program, der gør

Se ovenfor.

> nøjagtigt det samme som disse råd beskriver. For
> en nybegynder burde en autmatisering kunne reducere
> risikoen for fejl i denne process.

En automatisering på dette felt vil med garanti give flere ulemper end
fordele. Der er nogle tjenester der _skal_ virke, for at en given PC
passer ind på et givent netværk - og det er ikke nødvendigvis de samme
tjenester fra PC til PC. Oplysning og gode værktøjer er bedre, IMHO.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

"Jesper G. Poulsen" wrote:
>
> In article <40502D86.447FC51A@daimi.au.dk>, kasperd@daimi.au.dk says...
>
> > Jeg vil da have programmet til at stoppe dem alle.
>
> Så får du sikkert stoppet nogle der ikke skulle ha' været stoppet i en
> given situation.

Så må man jo bare starte dem igen. Jeg kan ikke
se hvorfor det skulle være noget problem at lave
et program, der ændrer opsætningen til det, den
burde have været som default. Det udgangspunkt
du vil have, hvis du kører programmet på en
frisk Windows installation er nøjagtigt det
samme, som du ville have haft, hvis Windows havde
haft en bedre default konfiguration.

>
> En automatisering på dette felt vil med garanti give flere ulemper end
> fordele. Der er nogle tjenester der _skal_ virke, for at en given PC
> passer ind på et givent netværk - og det er ikke nødvendigvis de samme
> tjenester fra PC til PC.

Nu var det jeg forestillede mig jo altså også et
program rettet mod personer uden forstand på
systemadministration. Hvis du er ved at sætte et
netværk op er det en helt anden sag. En default
Windows installation vil jo være lige så lidt
skrædersyet til dit netværk.

> Oplysning og gode værktøjer er bedre, IMHO.

Bedre end fornuftige default indstillinger? Jeg
mener helt klart sikre defaults er at foretrække.
Og når man nu ikke kan få Windows med nogle
fornuftige defaults, så må det næstbedste være
en nem måde at rette dem til noget fornuftigt.

En kompetent Windows programør burde kunne klare
opgaven. På Red Hat Linux ville jeg kunne klare
det med et 10 liniers kickstart postinstall
script. Det kan vel ikke være ti gange så svært
at gøre det på Windows.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <4050652B.D831F314@daimi.au.dk>, kasperd@daimi.au.dk says...

> Så må man jo bare starte dem igen. Jeg kan ikke

Gå over åen efter vand, for jeg ved ikke hvilken gang...

> > passer ind på et givent netværk - og det er ikke nødvendigvis de samme
> > tjenester fra PC til PC.
> Nu var det jeg forestillede mig jo altså også et
> program rettet mod personer uden forstand på
> systemadministration. Hvis du er ved at sætte et

Hvad skulle det hjælpe?

> netværk op er det en helt anden sag. En default

Det er ikke lige meget om en maskine skal kobles til internettet via
dialup, via NAT-router eller direkte via et ADSL-modem. Der er også
forskel på opsætningen alt efter om man skal dele filer med familien
eller man ikke skal. _Derfor_ er oplysning at foretrække, fremfor
automatiske løsninger som den almindelige bruger alligevel ikke har
styr på.

> > Oplysning og gode værktøjer er bedre, IMHO.
> Bedre end fornuftige default indstillinger? Jeg

Bedre end defaultindstillinger som i mange tilfælde alligevel vil skabe
problemer.

> fornuftige defaults, så må det næstbedste være
> en nem måde at rette dem til noget fornuftigt.

Ja, med en god portmapper, samt oplysning om hvad der er skidt og hvad
der ikke er.

> opgaven. På Red Hat Linux ville jeg kunne klare
> det med et 10 liniers kickstart postinstall

Din løsning vil stadig give problemer. Andre problemer, men de vil
stadig være der. Hvad synes du så er bedst?
At folk ikke kan bruge deres maskine eller at de kan bruge deres
maskine?

UPnP er en større sikkerhedsrisiko, IMHO.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

"Jesper G. Poulsen" wrote:
>
> In article <4050652B.D831F314@daimi.au.dk>, kasperd@daimi.au.dk says...
>
> > Så må man jo bare starte dem igen. Jeg kan ikke
>
> Gå over åen efter vand, for jeg ved ikke hvilken gang...
>
> > > passer ind på et givent netværk - og det er ikke nødvendigvis de samme
> > > tjenester fra PC til PC.
> > Nu var det jeg forestillede mig jo altså også et
> > program rettet mod personer uden forstand på
> > systemadministration. Hvis du er ved at sætte et
>
> Hvad skulle det hjælpe?

De har jeg forklaret adskillige gange. At det
skal være nemt en gang for alle at lukke for alle
de services, der er åbne som default, og som
burde have været lukket som default.

>
> > netværk op er det en helt anden sag. En default
>
> Det er ikke lige meget om en maskine skal kobles til internettet via
> dialup, via NAT-router eller direkte via et ADSL-modem.

Det burde ikke gøre nogen forskel for, hvilke
services man har behov for at køre.

> Der er også
> forskel på opsætningen alt efter om man skal dele filer med familien
> eller man ikke skal.

Hvis man har brug for det, så skal det i hvert
fald ikke foregå ved brug af SMB over internettet.
Og at tillade det som default er hul i hovedet.

> _Derfor_ er oplysning at foretrække, fremfor
> automatiske løsninger som den almindelige bruger alligevel ikke har
> styr på.

Jeg snakker ikke om komplicerede uoverskuelige
løsninger. Jeg foreslog bare et simpelt program,
der kan ændre opsætningen fra de nuværende usikre
default værdier til de mere sikre værdier, der
burde være default og dækker hovedparten af
privatbrugernes behov.

>
> > > Oplysning og gode værktøjer er bedre, IMHO.
> > Bedre end fornuftige default indstillinger? Jeg
>
> Bedre end defaultindstillinger som i mange tilfælde alligevel vil skabe
> problemer.

Hvilke problemer ville det skabe hvis Windows som
default havde lukket for SMB, NETBIOS, etc.?

>
> > fornuftige defaults, så må det næstbedste være
> > en nem måde at rette dem til noget fornuftigt.
>
> Ja, med en god portmapper, samt oplysning om hvad der er skidt og hvad
> der ikke er.

Som det ser ud i dag er det ikke nemt at lukke for
det overflødige på en Windows maskine. Jeg har
prøvet det. Godt nok er jeg ikke nogen Windows
ekspert, men jeg ved nok alligevel mere om det end
de fleste Windows brugere.

>
> Din løsning vil stadig give problemer. Andre problemer, men de vil
> stadig være der. Hvad synes du så er bedst?
> At folk ikke kan bruge deres maskine eller at de kan bruge deres
> maskine?

Det er da noget vrøvl. At lade være med at køre
nogen services som default betyder ikke, at maskinen
ikke kan bruges. Snarere tværtimod.

Hvad er bedst, at maskinen fra start af er konfigureret
så den kan 90% af det brugeren har brug for. Eller at
maskinen fra start af er konfigureret så den virker
fint den første times tid lige indtil den bliver
inficeret med en eller anden orm eller nogen finder ud
af at bruge den til distribuering af piratsoftware
eller udsendelse af spam?

>
> UPnP er en større sikkerhedsrisiko, IMHO.

Jeg ved ikke hvor stort et sikkerhedsproblem UPnP er,
men det faktum at man kan finde Windows XP maskiner,
der som default tillader at hvemsomhelst kan skrive
på harddisken ved brug af SMB synes jeg nu ikke er
uvæsentligt.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <40507F8C.FC5EB96D@daimi.au.dk>, kasperd@daimi.au.dk says...

> De har jeg forklaret adskillige gange. At det
> skal være nemt en gang for alle at lukke for alle
> de services, der er åbne som default, og som
> burde have været lukket som default.

Kasper, problemet ligger ikke i de åbne porte, problemet ligger i at
maskinerne ender direkte på internettet, uden nogen form for hardware
imellem.

> Det burde ikke gøre nogen forskel for, hvilke
> services man har behov for at køre.

Det gør det. Jeg har feks fjernet alle de services der har med
dialup/dialin at gøre, da jeg ikke anvender det. Hvis man fjerner det
som default, så er der mange der ikke kan bruge deres Windows.

> Hvis man har brug for det, så skal det i hvert
> fald ikke foregå ved brug af SMB over internettet.
> Og at tillade det som default er hul i hovedet.

Nej, det er ikke hul i hovedet. Det er hul i hovedet at sætte sin
maskine direkte på internettet. Oplysning, kære Kasper.

> Jeg snakker ikke om komplicerede uoverskuelige

Gør jeg heller ikke.

> Hvilke problemer ville det skabe hvis Windows som
> default havde lukket for SMB, NETBIOS, etc.?

At familien Danmark ikke kan bruge deres printserver, feks.

> > Ja, med en god portmapper, samt oplysning om hvad der er skidt og hvad
> > der ikke er.
> Som det ser ud i dag er det ikke nemt at lukke for
> det overflødige på en Windows maskine. Jeg har

Jo, det er faktisk en smal sag. Det tog mig under 5 minutter at fjerne
alle overflødige services der lå og lyttede. Oplysning og en god
portmapper.

> prøvet det. Godt nok er jeg ikke nogen Windows
> ekspert, men jeg ved nok alligevel mere om det end

Det er jeg heller ikke.

> de fleste Windows brugere.

Det er ikke svært. Kan man sætte mail og news op, kan man også lukke
huller. En god portmapper som præcist fortæller hvad der holder portene
åbne er en god start. Og så noget oplysning om hvad der er skidt i en
given situation.

> Det er da noget vrøvl. At lade være med at køre

Nej.

> Hvad er bedst, at maskinen fra start af er konfigureret

Hvad er bedst?
At maskinen kan det den skal og for bliver ordentligt oplyst om hvad de
_bør_ forsyne dem selv med _inden_ de tager hjem med deres nyindkøbte
PC eller at intet virker når de sætter det hele sammen?

> Jeg ved ikke hvor stort et sikkerhedsproblem UPnP er,

Du mener ikke at det er et sikkerhedsproblem at et hvilkensomhelst
program selv kan åbne for porte i en NAT-router?

> men det faktum at man kan finde Windows XP maskiner,
> der som default tillader at hvemsomhelst kan skrive
> på harddisken ved brug af SMB synes jeg nu ikke er
> uvæsentligt.

Gæstekontoen er ikke aktiveret pr. default.

Oplysning er dog vigtigere end administration.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

"Jesper G. Poulsen" wrote:
>
> problemet ligger i at
> maskinerne ender direkte på internettet, uden nogen form for hardware
> imellem.

Det er ikke noget problem hvis maskinen er sat
fornuftigt op. En hardware firewall, f.eks. en
nat router, vil kunne forhindre nogen problemer,
men den bør ikke være nødvendig.

>
> > Jeg snakker ikke om komplicerede uoverskuelige
>
> Gør jeg heller ikke.

Du sagde: " løsninger som den almindelige bruger
alligevel ikke har styr på." Pointen er, at mit
forslag ville være ufattelig nemt at bruge.

>
> > Hvilke problemer ville det skabe hvis Windows som
> > default havde lukket for SMB, NETBIOS, etc.?
>
> At familien Danmark ikke kan bruge deres printserver, feks.

Hvem har brug for en printserver? Jeg kender ikke
nogen der har brug for at udskrive på en Windows
maskines printer fra nogen anden maskine på
netværket.

>
> > > Ja, med en god portmapper, samt oplysning om hvad der er skidt og hvad
> > > der ikke er.
> > Som det ser ud i dag er det ikke nemt at lukke for
> > det overflødige på en Windows maskine. Jeg har
>
> Jo, det er faktisk en smal sag. Det tog mig under 5 minutter at fjerne
> alle overflødige services der lå og lyttede. Oplysning og en god
> portmapper.

Windows har så vidt jeg husker ikke nogen seperat
portmapper service. Den er en del af NETBIOS
(eller er det SMB? Jeg er ikke helt sikker).

>
> > Det er da noget vrøvl. At lade være med at køre
>
> Nej.

Jo når du begynder at påstå at en maskine ikke
kan bruges fordi de største sikkerhedshuller
er blevet lukket.

>
> > Hvad er bedst, at maskinen fra start af er konfigureret
>
> Hvad er bedst?
> At maskinen kan det den skal og for bliver ordentligt oplyst om hvad de
> _bør_ forsyne dem selv med _inden_ de tager hjem med deres nyindkøbte
> PC eller at intet virker når de sætter det hele sammen?

Hvilken oplysning vil du give brugerne, som vil
hjælpe i den her situation? En liste over services
der skal slås fra eller konfigureres til at lytte
på loopback? I så fald kunne det være gjort fra
start af, så de selv var fri for at gøre det? Vi
snakker om brugere der i mange tilfælde ikke selv
kan træffe et valg, og den første gang de bliver
præsenteret for en dialogboks med et spørgsmål de
ikke har set før, alligevel er nødt til at spørge
nogen andre, hvad de skal svare. Enhver vejledning
du kan give til sådan en bruger kunne lige så vel
implementeres som et computerprogram, du kører på
maskinen først. Og endeligt, hvis du giver
brugeren en manuel med, der fortæller, hvordan
maskinen sættes sikkert op, så bliver den ikke
læst, før der opstår problemer, som er umulige at
overse.

>
> > Jeg ved ikke hvor stort et sikkerhedsproblem UPnP er,
>
> Du mener ikke at det er et sikkerhedsproblem at et hvilkensomhelst
> program selv kan åbne for porte i en NAT-router?

Hvilke NAT routere har sådanne sikkerhedshuller?
Og hvad har det med Windows at gøre?

>
> > men det faktum at man kan finde Windows XP maskiner,
> > der som default tillader at hvemsomhelst kan skrive
> > på harddisken ved brug af SMB synes jeg nu ikke er
> > uvæsentligt.
>
> Gæstekontoen er ikke aktiveret pr. default.

Det ved jeg ikke noget om. Jeg ved blot at jeg
prøvede på en Windows XP maskine med default
konfigurationen, og jeg kunne skrive filer på
harddisken.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

On Tue, 9 Mar 2004 17:17:14 +0100, Jesper G. Poulsen
<ms2mogens@ingensteder.dk.invalid> wrote:

>Programmet Active Ports kan hjælpe dig med at finde og fjerne åbne
>porte:
Prøv at se her, før du anbefaler det for meget.
http://securityresponse.symantec.com/avcenter/venc/data/securityrisk.aports.html

Hilsen emj

---

In article <rvgu4099kfhotunibfrkfvk45q7kf6qir9@4ax.com>, emj wrote:
> Prøv at se her, før du anbefaler det for meget.
> http://securityresponse.symantec.com/avcenter/venc/data/securityrisk.aports.html

Hvad har det med sagen at gøre, at Symantec katalogorisere det som "Security Risk"
for derefter at fortælle hvordan programmet virker?


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel wrote:

> In article <rvgu4099kfhotunibfrkfvk45q7kf6qir9@4ax.com>, emj wrote:
>
>> Prøv at se her, før du anbefaler det for meget.
>>http://securityresponse.symantec.com/avcenter/venc/data/securityrisk.aports.html
>
>
> Hvad har det med sagen at gøre, at Symantec katalogorisere det som "Security Risk"
> for derefter at fortælle hvordan programmet virker?
>
>

Symantec lever jo også på folks skræk for ukendt software, så hvorfor
skulle active ports ikke også lige have en over nakken.

Iøvrigt brokker Norton's AV produkter sig over alt lige fra sniffere til
portscannerværktøjer, det er ikke meget software der er god tone hjemme
hos Symantec.

mvh
michael

---

In article <rvgu4099kfhotunibfrkfvk45q7kf6qir9@4ax.com>,
emjnospam@stofanet.dk says...

> Prøv at se her, før du anbefaler det for meget.

Prøv at læse hvad der står.

Det er en portscanner, ja. Hvad vil du ellers bruge til at finde åbne
porte med?

"This must be intentionally placed on the computer." - Ja, fordi man
vil finde åbne porte på sin computer.

Det vil være en større sikkerhedsrisiko at lytte blindt til Symantic
end at anvende Active Ports til at finde åbne porte med. Symantec kan
nemlig ikke hjælpe med at lukke åbne porte, de kan kun lappe med en
software-firewall.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

On Wed, 10 Mar 2004 19:15:36 +0100, Jesper G. Poulsen
<ms2mogens@ingensteder.dk.invalid> wrote:

>Det er en portscanner, ja. Hvad vil du ellers bruge til at finde åbne
>porte med?

Nu har jeg ikke nogen åbne porte, men ellers tjekker jeg normalt her
http://grc.com/zonealarm.htm
Hilsen emj

---

In article <t8nu409kim1qr2tvouh4e6k1lcbkm68kq4@4ax.com>, emj wrote:
> Nu har jeg ikke nogen åbne porte, men ellers tjekker jeg normalt her
> http://grc.com/zonealarm.htm

Nu bliver jeg usikker på om du ved hvad du skriver om, eller
om du blot er blevet hjernevasket af en web-port scanner.

Hvad siger "Active port" eller "netstat -na"?


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On 10 Mar 2004 20:27:02 GMT, "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>> Nu har jeg ikke nogen åbne porte, men ellers tjekker jeg normalt her
>> http://grc.com/zonealarm.htm
>
>Nu bliver jeg usikker på om du ved hvad du skriver om, eller
>om du blot er blevet hjernevasket af en web-port scanner.

Næh, hjernevasket er jeg nu ikke blevet. Jeg ved godt, at jeg ikke
kommer på nettet gennem en lukket port
Hilsen emj

---

Jesper G. Poulsen wrote:

> In article <rvgu4099kfhotunibfrkfvk45q7kf6qir9@4ax.com>,
> emjnospam@stofanet.dk says...
>
>
>> Prøv at se her, før du anbefaler det for meget.
>
>
> Prøv at læse hvad der står.
>
> Det er en portscanner, ja. Hvad vil du ellers bruge til at finde åbne
> porte med?

Active Ports er ikke en portscanner. Det er et program, der laver en
grafisk oversigt over hvilken applikation der har åbnet en given port,
altså mapper en PID til en åben port. Derudover giver det info om aktive
netforbindelser.
Win XP har iøvrigt implementeret førstnævnte i sit netstat program via
-p argumentet.

En portscanner er et stykke kode, der via TCP/IP protokolstakken
forbinder til en remote
computer for at afgøre om der skulle være lyttende netværksprogrammer på
maskinen.

> "This must be intentionally placed on the computer." - Ja, fordi man
> vil finde åbne porte på sin computer.
>
> Det vil være en større sikkerhedsrisiko at lytte blindt til Symantic
> end at anvende Active Ports til at finde åbne porte med. Symantec kan
> nemlig ikke hjælpe med at lukke åbne porte, de kan kun lappe med en
> software-firewall.
>

Enig.

mvh
/michael

---

"Michael U. Hove" wrote:
>
> Active Ports er ikke en portscanner. Det er et program, der laver en
> grafisk oversigt over hvilken applikation der har åbnet en given port,
> altså mapper en PID til en åben port. Derudover giver det info om aktive
> netforbindelser.

Hvad er sikkerhedsproblemet? Giver programmet mulighed
for at stoppe processer, som man ikke har rettigheder
til at stoppe?

> Win XP har iøvrigt implementeret førstnævnte i sit netstat program via
> -p argumentet.

Det er da på Linux den option hedder -p. Microsoft har
da valgt at kalde den noget andet i Windows. Er det
ikke -o de har kaldt den?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <404F7905.6BA08214@daimi.au.dk>, Kasper Dupont wrote:
> Det er da på Linux den option hedder -p. Microsoft har
> da valgt at kalde den noget andet i Windows. Er det

I XP vil option -p uden andre argumenter give en liste
over protokol "", dvs. ingenting.

> ikke -o de har kaldt den?

Jo, i XP.





--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Kasper Dupont wrote:
> "Michael U. Hove" wrote:
>
>>Active Ports er ikke en portscanner. Det er et program, der laver en
>>grafisk oversigt over hvilken applikation der har åbnet en given port,
>>altså mapper en PID til en åben port. Derudover giver det info om aktive
>>netforbindelser.
>
>
> Hvad er sikkerhedsproblemet? Giver programmet mulighed
> for at stoppe processer, som man ikke har rettigheder
> til at stoppe?

Jeg ser ikke noget sikkerhedsproblem mht. selve Active Ports programmet.
Jeg påpegede bare, at det principelt ikke er en portscanner, men en
proces/port mapper. Men Symantec synes åbenbart at det er et voldsomt
farligt program, fordi man kan hente et API (mod betaling) på Scanlines
website.

>>Win XP har iøvrigt implementeret førstnævnte i sit netstat program via
>>-p argumentet.

> Det er da på Linux den option hedder -p. Microsoft har
> da valgt at kalde den noget andet i Windows. Er det
> ikke -o de har kaldt den?
>

Det har du fuldstændig ret i...sådan går det når man prøver at sysadme
begge platforme...jeg er blevet kommando skizofren!

/mvh
michael

---

In article <MPG.1ab979b45018308d989e0f@dtext.news.tele.dk>, Jesper G Poulsen wrote:
> end at anvende Active Ports til at finde åbne porte med. Symantec kan
> nemlig ikke hjælpe med at lukke åbne porte, de kan kun lappe med en
> software-firewall.

Hov, hov...hvis du installere deres Enterprise Firewall (også kaldet
Raptor), på en maskine, vil vulture selv hardne og løbende
dræbe usikre services/programmer/brugere. :)

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

In article <slrnc4uuc1.l6q.chel@weebo.dmz.spindelnet.dk>,
news.sunsite.dk@spindelnet.dk says...

> Raptor), på en maskine, vil vulture selv hardne og løbende
> dræbe usikre services/programmer/brugere. :)

Usikre efter deres egen opfattelse?

*Gys*


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

"Christian E. Lysel" wrote:
>
> dræbe usikre services/programmer/brugere. :)

Hvordan dræber den usikre brugere? Højspænding
gennem tastaturet eller noget i den retning?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

rasmus wrote:
>
> Kan jeg i øvrigt købe en hvilken som helst router (m. indbygget switch) og

Er det normalt at routere har indbygget en switch?
Dem TDC leverer til deres ADSL forbindelser har så
vidt jeg kan se kun en indbygget hub. Men man skal
nok have tre computere før det har nogen betydning.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Den Wed, 03 Mar 2004 22:16:18 +0100 skrev Kasper Dupont:
>rasmus wrote:
>>
>> Kan jeg i øvrigt købe en hvilken som helst router (m. indbygget switch) og
>
>Er det normalt at routere har indbygget en switch?
>Dem TDC leverer til deres ADSL forbindelser har så
>vidt jeg kan se kun en indbygget hub. Men man skal
>nok have tre computere før det har nogen betydning.

Nej, to er faktisk nok (og ved nærmere eftertanke tæller routeren selv
vel med).

To computere på hub: halv duplex.
To computere på switch eller krydset kabel: fuld duplex.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>
> Den Wed, 03 Mar 2004 22:16:18 +0100 skrev Kasper Dupont:
> >rasmus wrote:
> >>
> >> Kan jeg i øvrigt købe en hvilken som helst router (m. indbygget switch) og
> >
> >Er det normalt at routere har indbygget en switch?
> >Dem TDC leverer til deres ADSL forbindelser har så
> >vidt jeg kan se kun en indbygget hub. Men man skal
> >nok have tre computere før det har nogen betydning.
>
> Nej, to er faktisk nok (og ved nærmere eftertanke tæller routeren selv
> vel med).

Ja routeren selv tæller selvfølgelig med. Men med den
hastighed forbindelsen ud af huset har, bidrager
routeren ikke med ret meget belastning til netværket.

>
> To computere på hub: halv duplex.
> To computere på switch eller krydset kabel: fuld duplex.

Ah, jeg var ikke lige opmærksom på muligheden for at
opnå fuld duplex. Men med de billige netkort jeg har
kan det nu være ligegyldigt for mit lokalnet.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Den Wed, 03 Mar 2004 23:30:14 +0100 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Den Wed, 03 Mar 2004 22:16:18 +0100 skrev Kasper Dupont:
>> >rasmus wrote:
>> >>
>> >> Kan jeg i øvrigt købe en hvilken som helst router (m. indbygget switch) og
>> >
>> >Er det normalt at routere har indbygget en switch?
>> >Dem TDC leverer til deres ADSL forbindelser har så
>> >vidt jeg kan se kun en indbygget hub. Men man skal
>> >nok have tre computere før det har nogen betydning.
>>
>> Nej, to er faktisk nok (og ved nærmere eftertanke tæller routeren selv
>> vel med).
>
>Ja routeren selv tæller selvfølgelig med. Men med den
>hastighed forbindelsen ud af huset har, bidrager
>routeren ikke med ret meget belastning til netværket.

Sålænge routeren er en "kasse" - nej, det er kun ved flood ping eller
evt. de par sekunder det tager at TFTP en ny firmware over.

>> To computere på hub: halv duplex.
>> To computere på switch eller krydset kabel: fuld duplex.
>
>Ah, jeg var ikke lige opmærksom på muligheden for at
>opnå fuld duplex. Men med de billige netkort jeg har
>kan det nu være ligegyldigt for mit lokalnet.

Er ulempen ikke kun at det er CPU'en der skal lave alt arbejdet? Så
med en 3GHz CPU, og FTP (der ikke kræver meget CPU-kraft), er der
masser til netkort-driveren.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>
> Den Wed, 03 Mar 2004 23:30:14 +0100 skrev Kasper Dupont:
> >
> >Ah, jeg var ikke lige opmærksom på muligheden for at
> >opnå fuld duplex. Men med de billige netkort jeg har
> >kan det nu være ligegyldigt for mit lokalnet.
>
> Er ulempen ikke kun at det er CPU'en der skal lave alt arbejdet? Så
> med en 3GHz CPU, og FTP (der ikke kræver meget CPU-kraft), er der
> masser til netkort-driveren.

Jo, men jeg har ikke nogen 3GHz CPU. Jeg har to maskiner
med CPU'er på hhv. 350 og 568 MHz. Og det ser ud til at
netkortsdriveren i sig selv lægger beslag på 500-600MHz.
Hvis man prøver at floode netværket (det kan nemt afprøves
ved at koble to porte på en billig switch direkte sammen),
så vil det vise sig, at computerne overhovedet intet kan
reagere på fordi alt CPU tiden bliver brugt på netværket.
Min laptop med en 2.2GHz CPU bruger 70% CPU tid på
netværket i sådan et tilfælde.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

On Wed, 03 Mar 2004 22:16:18 +0100, Kasper Dupont wrote:

> Er det normalt at routere har indbygget en switch?

Normalt og normalt - de findes da.

> Dem TDC leverer til deres ADSL forbindelser har så
> vidt jeg kan se kun en indbygget hub. Men man skal
> nok have tre computere før det har nogen betydning.

Tænker du på BEFSR41 ? Den har indbygget switch.

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
"Gør hele usenet en tjeneste - Kend din netikette"
Se mere på http://www.usenet.dk/