|
| Analogi ift. personlig firewall Fra : Lars Skovlund |
Dato : 12-03-05 22:09 |
|
Hej gruppe!
Nu har jeg lurket her i efterhånden et langt stykke tid. Jeg fik en
tanke om en analogi vedrørende personlige firewalls, tiltænkt
en telemontør i min omgangskreds. Mon nogen af jer vil læse den
igennem og eventuelt hjælpe mig med at raffinere den - jeg kan godt se
den ikke holder hele vejen i sin nuværende form.
Når man køber en personlig firewall i stedet for at sætte ens
operativsystem/programmer rigtigt op, svarer det til at man har en
ejendom med en masse telefonlinjer ud af huset. Pludselig ønsker man
ikke at der skal kunne ringes til en bestemt telefon. I stedet for at
tage stikket ud af væggen, køber man så et omstillingsbord til at tage
sig af problemet. Dette omstillingsbord forsøger man på må og få at
montere og indstille korrekt. I visse tilfælde ønsker man at kunne
ringe til den førnævnte telefon bestemte steder fra og ingen
andre. Her bliver omstillingsbordet straks relevant.
Analogien tager ikke højde for andre operativsystemer på markedet
end MS (det ville gøre indledningen noget sværere). Det er IMO godt
nok til den tiltænkte modtager.
På forhånd tak,
Lars
| |
John (13-03-2005)
| Kommentar Fra : John |
Dato : 13-03-05 00:14 |
|
"Lars Skovlund" skrev i en meddelelse
> Nu har jeg lurket her i efterhånden et langt stykke tid. Jeg fik en
> tanke om en analogi vedrørende personlige firewalls, tiltænkt
> en telemontør i min omgangskreds. Mon nogen af jer vil læse den
> igennem og eventuelt hjælpe mig med at raffinere den - jeg kan godt se
> den ikke holder hele vejen i sin nuværende form.
>
> Når man køber
Køber? Når der nu er udmærkede gratis produkter...?
> en personlig firewall i stedet for at sætte ens
'ens'...? Måske 'sit' er mere forståeligt og korrekt dansk...(Æ mand hans
kuen hinner komputer si' operativ-system kan selvfølgelig også benyttes..)
> operativsystem/programmer rigtigt op, svarer det til at man har en
> ejendom med en masse telefonlinjer ud af huset. Pludselig ønsker man
> ikke at der skal kunne ringes til en bestemt telefon. I stedet for at
> tage stikket ud af væggen, køber man så et omstillingsbord til at tage
> sig af problemet. Dette omstillingsbord forsøger man på må og få at
> montere og indstille korrekt.
Må og få? Der er altså ikke så farlig mange indstillinger på fx en ZoneAlarm
firewall.....
> I visse tilfælde ønsker man at kunne
> ringe til den førnævnte telefon bestemte steder fra og ingen
> andre. Her bliver omstillingsbordet straks relevant.
>
> Analogien tager ikke højde for andre operativsystemer på markedet
> end MS (det ville gøre indledningen noget sværere). Det er IMO godt
> nok til den tiltænkte modtager.
Jamen..dét er da lige til en helt stensikker Pulitzer... og sikkert meget
andet! Det skal nok lære dem! Æhmm... hvad er det nu lige, du synes du mener
du tror du har opfundet...?
John
| |
Anders Wegge Jakobse~ (13-03-2005)
| Kommentar Fra : Anders Wegge Jakobse~ |
Dato : 13-03-05 00:32 |
|
"John" == John <nogen@pladderballe.ok> writes:
> Jamen..dét er da lige til en helt stensikker Pulitzer... og sikkert
> meget andet! Det skal nok lære dem! Æhmm... hvad er det nu lige, du
> synes du mener du tror du har opfundet...?
Normalt gider jeg ikke kommentere folks sprog. Men når du
a) Ikke er i stand til at forstå hvad andre skriver
b) Kritiserer andre for din manglende forståelse
c) End ikke er i stand til at formulere dig korrekt
d) Ikke har noget konkret at byde på
vil jeg fortælle dig at du er en klovn. Omstilingsbordet er en meget
god analogi, når man skal forklare det uhensigtsmæssige i at gribe til
en PFW som det første skridt. Især når der er tale om en
telefonmontør.
--
/Wegge
Min holdning til Usenet - < http://wiki.wegge.dk/Usenet>
Min weblog - < http://blog.wegge.dk/>
| |
John (13-03-2005)
| Kommentar Fra : John |
Dato : 13-03-05 03:09 |
|
"Anders Wegge Jakobsen" skrev i en meddelelse
>du er en klovn.
Jeg har det herligt som klovn, og du...?
| |
Asbjorn Hojmark (13-03-2005)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 13-03-05 10:43 |
|
On Sun, 13 Mar 2005 00:13:47 +0100, "John" <nogen@pladderballe.ok>
wrote:
> Jamen..dét er da lige til en helt stensikker Pulitzer... og sikkert
> meget andet! Det skal nok lære dem! Æhmm... hvad er det nu lige, du
> synes du mener du tror du har opfundet...?
<<plonk>>
-A
--
http://www.hojmark.org/
| |
Morten Guldager (13-03-2005)
| Kommentar Fra : Morten Guldager |
Dato : 13-03-05 07:50 |
|
2005-03-12 Lars Skovlund wrote
>
> Når man køber en personlig firewall i stedet for at sætte ens
> operativsystem/programmer rigtigt op, svarer det til at man har en
> ejendom med en masse telefonlinjer ud af huset. Pludselig ønsker man
> ikke at der skal kunne ringes til en bestemt telefon. I stedet for at
> tage stikket ud af væggen, køber man så et omstillingsbord til at tage
> sig af problemet. Dette omstillingsbord forsøger man på må og få at
> montere og indstille korrekt. I visse tilfælde ønsker man at kunne
> ringe til den førnævnte telefon bestemte steder fra og ingen
> andre. Her bliver omstillingsbordet straks relevant.
Analogien er sikkert fin nok. Men jeg er grundlæggende ikke enig med
dig.
Den personlige firewall kompenserer for det manglende overblik
der ofte er i er moderne OS.
Det er simpelthen lettere at blokere port 23 med iptables end det er
at finde ud af hvordan jeg får nakket telnetd i et eller andet startup
script.
Ligeledes fanger den personlige firewall meget uønsket udgående trafik
som man godt nok selv er skyld i, men bestemt ikke ønsker.
Enten fordi man kar klokket i det, eller fordi man ikke kan få
softwarepakke xyz.1 til at lade være.
Igen, det ville være bedre at fikse problemet ved dets rod, men det er
i praksis ofte umuligt eller i det mindste urealistisk i praksis.
/Morten
| |
Lars Skovlund (13-03-2005)
| Kommentar Fra : Lars Skovlund |
Dato : 13-03-05 13:51 |
|
On 2005-03-13, Morten Guldager <Morten.Guldager@gmail.com> wrote:
> Det er simpelthen lettere at blokere port 23 med iptables end det er
> at finde ud af hvordan jeg får nakket telnetd i et eller andet startup
> script.
Helt korrekt. Men du ved også en masse om startup scripts og
firewalls. Jeg skal da ikke udelukke at en telemontør tilsvarende
ville benytte sig af et omstillingsbord i tilfælde hvor vi andre ikke
ville. Pointen er at hvis man ikke selv ved om man har behov for et
"omstillingsbord" (firewall) kontakter man en telemontør (TCP/IP-haj)
og spørger om råd.
> Ligeledes fanger den personlige firewall meget uønsket udgående trafik
> som man godt nok selv er skyld i, men bestemt ikke ønsker.
> Enten fordi man kar klokket i det, eller fordi man ikke kan få
> softwarepakke xyz.1 til at lade være.
Hvis den er sat korrekt op. Hvis man er kommet til at svare ja eller
nej et forkert sted kan det få konsekvenser som en ukyndig slet ikke
kan overskue. Igen er du helt sikkert klædt bedre på til den slags
beslutninger end så mange andre.
> /Morten
Lars
| |
Christian E. Lysel (13-03-2005)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-03-05 15:05 |
|
Morten Guldager wrote:
> Ligeledes fanger den personlige firewall meget uønsket udgående trafik
> som man godt nok selv er skyld i, men bestemt ikke ønsker.
> Enten fordi man kar klokket i det, eller fordi man ikke kan få
> softwarepakke xyz.1 til at lade være.
Er det ikke bedre at sige den ikke fanger alt uønsket udgående trafik?
| |
Bjarke Andersen (13-03-2005)
| Kommentar Fra : Bjarke Andersen |
Dato : 13-03-05 14:04 |
|
Lars Skovlund <lskovlun@image.dk> crashed Echelon writing
news:bUIYd.104304$Vf.3995223@news000.worldonline.dk:
> Nu har jeg lurket her i efterhånden et langt stykke tid. Jeg fik en
> tanke om en analogi vedrørende personlige firewalls, tiltænkt
> en telemontør i min omgangskreds. Mon nogen af jer vil læse den
> igennem og eventuelt hjælpe mig med at raffinere den - jeg kan godt se
> den ikke holder hele vejen i sin nuværende form.
Vil nok sige, hvis man sætter en firewall op uden at harden sit OS, så er
det som at bygge en mur omkring sit hus med ulåste døre og åbne vinduer.
--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address
| |
Axel Hammerschmidt (13-03-2005)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 13-03-05 17:48 |
|
Lars Skovlund <lskovlun@image.dk> wrote:
> Når man køber en personlig firewall i stedet for at sætte ens
> operativsystem/programmer rigtigt op, svarer det til at man har en
> ejendom med en masse telefonlinjer ud af huset. Pludselig ønsker man
> ikke at der skal kunne ringes til en bestemt telefon. I stedet for at
> tage stikket ud af væggen, køber man så et omstillingsbord til at tage
> sig af problemet. Dette omstillingsbord forsøger man på må og få at
> montere og indstille korrekt. I visse tilfælde ønsker man at kunne
> ringe til den førnævnte telefon bestemte steder fra og ingen
> andre. Her bliver omstillingsbordet straks relevant.
Jeg savner detaljer i denne analogi. Nu ta'r jeg nogle funktioner fra
diverse brochurer, som jeg har liggende om routers med indbyggede
firewall, med oplysninger om de forskellige funktioner. Hvor er de henne
i analogien?
Stateful Packet Inspection
DoS
Access control
DMZ
Port Forwarding
VPN
NAT
Client privileges
Hacker prevention
Logging
Der er sikkert flere funktioner, som jeg ikke nævner og som findes i
især software firewalls. Og jeg har sikkert taget funktioner med, som
andre ikke er enige med mig i skal med.
Jeg syntes indledningen er forkert, hvor der *næsten* står, at man køber
en personlig firewall i stedet for at sætte ens operativsystem rigtigt
op. En firewall er osse endnu en funktion i et LAN, der er forbundet til
internetet og hvor der f.eks er maskiner der skal dele resourcer med
hinanden. Det er der jo ikke noget mærkeligt ved.
--
To me, a personal computer should be small, reliable, convenient to use
and inexpensive.
Steve Wozniak, creator of the Apple II, in BYTE Magazine, May 1977.
| |
Lars Skovlund (13-03-2005)
| Kommentar Fra : Lars Skovlund |
Dato : 13-03-05 20:32 |
|
On 2005-03-13, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
> Jeg savner detaljer i denne analogi. Nu ta'r jeg nogle funktioner fra
> diverse brochurer, som jeg har liggende om routers med indbyggede
> firewall, med oplysninger om de forskellige funktioner. Hvor er de henne
> i analogien?
Vi snakker personlige firewalls her, det vil sige software der kører
på den enkelte computer, gerne er ufuldstændigt sat op fra
forhandlerens side og spørger brugeren om ting han ikke har en
kinamands chance for at give et kvalificeret svar på. De af dine
punkter, der ses implementeret i software-firewalls, har brugeren ofte
behov for hjælp til at sætte op/anvende. Se for eksempel hvor mange,
der spørger her i gruppen om en eller anden linie i deres logs, som
man alligevel ikke kan gøre noget ved.
> Jeg syntes indledningen er forkert, hvor der *næsten* står, at man køber
> en personlig firewall i stedet for at sætte ens operativsystem rigtigt
> op. En firewall er osse endnu en funktion i et LAN, der er forbundet til
> internetet og hvor der f.eks er maskiner der skal dele resourcer med
> hinanden. Det er der jo ikke noget mærkeligt ved.
Ja, men så er der ikke tale om en PF. Så er der typisk tale om en
funktion i routeren eller i en boks man sætter op separat med kyndig
hjælp (det kan også være sat op fra ISP'ens hånd). Og gør man ikke
det, gælder mit argument stadigvæk - så har man "købt et
omstillingsbord" og "sat det op på må og få" for nu at blive i min
oprindelige ordlyd.
Jeg har før set Windows-brugeres netværk lige pludselig holde op med
at virke fordi der er svaret nej på det forkerte tidspunkt og port 135
er blevet blokeret. Her må man have en ekspert til at sætte den op så
den hverken bliver for restriktiv eller for liberal. Bagefter lader
man så være med at pille i opsætningen. Det er det stik modsatte af
hvad man tilbyder Hr. og Fru Danmark.
Lars
| |
Axel Hammerschmidt (13-03-2005)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 13-03-05 22:12 |
|
Lars Skovlund <lskovlun@image.dk> wrote:
> On 2005-03-13, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
> > Jeg savner detaljer i denne analogi. Nu ta'r jeg nogle funktioner fra
> > diverse brochurer, som jeg har liggende om routers med indbyggede
> > firewall, med oplysninger om de forskellige funktioner. Hvor er de henne
> > i analogien?
>
> Vi snakker personlige firewalls her, det vil sige software der kører
> på den enkelte computer, gerne er ufuldstændigt sat op fra
> forhandlerens side og spørger brugeren om ting han ikke har en
> kinamands chance for at give et kvalificeret svar på. De af dine
> punkter, der ses implementeret i software-firewalls, har brugeren ofte
> behov for hjælp til at sætte op/anvende. Se for eksempel hvor mange,
> der spørger her i gruppen om en eller anden linie i deres logs, som
> man alligevel ikke kan gøre noget ved.
Er det så ikke netop det analogien skal afhjælpe? Så brugeren bedre
forstår hvad der sker når vedkommende "skruer" på indstillingerne i sin
Firewall, end hvis brugeren får det forklaret i teknisk sprog? Hvis
ikke, hvad skal man så bruge en analogi til?
> > Jeg syntes indledningen er forkert, hvor der *næsten* står, at man køber
> > en personlig firewall i stedet for at sætte ens operativsystem rigtigt
> > op. En firewall er osse endnu en funktion i et LAN, der er forbundet til
> > internetet og hvor der f.eks er maskiner der skal dele resourcer med
> > hinanden. Det er der jo ikke noget mærkeligt ved.
>
> Ja, men så er der ikke tale om en PF. Så er der typisk tale om en
> funktion i routeren eller i en boks man sætter op separat med kyndig
> hjælp (det kan også være sat op fra ISP'ens hånd). Og gør man ikke
> det, gælder mit argument stadigvæk - så har man "købt et
> omstillingsbord" og "sat det op på må og få" for nu at blive i min
> oprindelige ordlyd.
Jeg tror ikke vi helt taler om det samme. Min point var, at en Firewall
osse er en ret simpel anordning til sikring af et lokal net.
> Jeg har før set Windows-brugeres netværk lige pludselig holde op med
> at virke fordi der er svaret nej på det forkerte tidspunkt og port 135
> er blevet blokeret. Her må man have en ekspert til at sætte den op så
> den hverken bliver for restriktiv eller for liberal. Bagefter lader
> man så være med at pille i opsætningen. Det er det stik modsatte af
> hvad man tilbyder Hr. og Fru Danmark.
Og hvad er det efter din mening så, at man tilbyder Hr og Fru Danmark?
--
To me, a personal computer should be small, reliable, convenient to use
and inexpensive.
Steve Wozniak, creator of the Apple II, in BYTE Magazine, May 1977.
| |
Lars Skovlund (14-03-2005)
| Kommentar Fra : Lars Skovlund |
Dato : 14-03-05 10:27 |
|
On 2005-03-13, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
> Lars Skovlund <lskovlun@image.dk> wrote:
>
>> On 2005-03-13, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>>
>> > Jeg savner detaljer i denne analogi. Nu ta'r jeg nogle funktioner fra
>> > diverse brochurer, som jeg har liggende om routers med indbyggede
>> > firewall, med oplysninger om de forskellige funktioner. Hvor er de henne
>> > i analogien?
>>
>> Vi snakker personlige firewalls her, det vil sige software der kører
>> på den enkelte computer, gerne er ufuldstændigt sat op fra
>> forhandlerens side og spørger brugeren om ting han ikke har en
>> kinamands chance for at give et kvalificeret svar på. De af dine
>> punkter, der ses implementeret i software-firewalls, har brugeren ofte
>> behov for hjælp til at sætte op/anvende. Se for eksempel hvor mange,
>> der spørger her i gruppen om en eller anden linie i deres logs, som
>> man alligevel ikke kan gøre noget ved.
>
> Er det så ikke netop det analogien skal afhjælpe? Så brugeren bedre
> forstår hvad der sker når vedkommende "skruer" på indstillingerne i sin
> Firewall, end hvis brugeren får det forklaret i teknisk sprog? Hvis
> ikke, hvad skal man så bruge en analogi til?
Nej, egentlig mere om man overhovedet har behov for en firewall i en
husstand med en enkelt computer, eller flere uforbundne (mine forældre
nægter f.eks. at få netværk, men både de og jeg er også temmelig
konservative). Der var et indslag i Station 2 i oktober om en
malermester, der nær havde fået franarret sig 20000 fra sin
bankkonto. Gerningsmanden havde installeret en keylogger. Der blev i
indslaget udtrykkeligt nævnt, at malermesteren havde installeret både
firewall og antivirus. Tilbage i studiet bliver sikkerhedschefen for
Nordea (hans bank) spurgt hvordan man kan afhjælpe sådan noget. "Jamen
man skal have installeret firewall og antivirus!"
I anden afdeling af showet er der så en opmærksom seer, der gør
opmærksom på at personen rent faktisk havde begge dele, hvorpå
sikkerhedschefen skubber ansvaret over på maleren: "Jamen han havde jo
garanteret selv tilladt den pågældende keylogger at gå på nettet!"
Min pointe er at folk har en tro på at firewall og antivirus i sig
selv giver 100% beskyttelse. Med den publicity disse produkter har
fået i medierne er det en helt rimelig tro, selvom den er
forkert. Episoden bringer os tilbage til de tre O'er (jeg tror det var
Asbjørn Grandt der kom med denne betegnelse - tak, Asbjørn!):
Opsætning, opdatering, opførsel. Men hjælp til selvhjælp er der ikke
penge i, derfor ingen medieomtale.
>> > Jeg syntes indledningen er forkert, hvor der *næsten* står, at man køber
>> > en personlig firewall i stedet for at sætte ens operativsystem rigtigt
>> > op. En firewall er osse endnu en funktion i et LAN, der er forbundet til
>> > internetet og hvor der f.eks er maskiner der skal dele resourcer med
>> > hinanden. Det er der jo ikke noget mærkeligt ved.
>>
>> Ja, men så er der ikke tale om en PF. Så er der typisk tale om en
>> funktion i routeren eller i en boks man sætter op separat med kyndig
>> hjælp (det kan også være sat op fra ISP'ens hånd). Og gør man ikke
>> det, gælder mit argument stadigvæk - så har man "købt et
>> omstillingsbord" og "sat det op på må og få" for nu at blive i min
>> oprindelige ordlyd.
>
> Jeg tror ikke vi helt taler om det samme. Min point var, at en Firewall
> osse er en ret simpel anordning til sikring af et lokal net.
Ret simpel? Det kommer helt an på om det er af den slags hvor brugeren
tvinges til at tage stilling til ting som han ikke har kompetence
til. Det er jo muligt dels at lave filnavne der ligner systemfiler i
Windows, dels at ændre den beskrivelse firewalls viser af den enkelte
programfil. Hvis jeg i min VersionInfo record skriver at mit program
hedder Internet Explorer, så er det det navn, en PF viser på skærmen
sammen med sit spørgsmål: "Vil du tillade Internet Explorer
(C:\WINDOWS\SYSTEM32\IE32.EXE) at gå på nettet? Jo tak!"
>> Jeg har før set Windows-brugeres netværk lige pludselig holde op med
>> at virke fordi der er svaret nej på det forkerte tidspunkt og port 135
>> er blevet blokeret. Her må man have en ekspert til at sætte den op så
>> den hverken bliver for restriktiv eller for liberal. Bagefter lader
>> man så være med at pille i opsætningen. Det er det stik modsatte af
>> hvad man tilbyder Hr. og Fru Danmark.
>
> Og hvad er det efter din mening så, at man tilbyder Hr og Fru Danmark?
Ovenstående type software.
Lars
| |
|
|