/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
TCP/IP-filtering under W2K
Fra : Tony


Dato : 17-06-01 13:55

Jeg har opsat "TCP/IP-Filtering" under Windows 2000.

Jeg har opsat det sådan at min webserver kun accepterer indgående trafik på
port 80.

Bruger en webserver andre porte eller protokoller ? Her tænker jeg fx. på
UDP, hvor jeg idag tillader alle former for UDP pakker, da jeg ikke har
kendskab til UDP.

Kan jeg fjerne alle former for indgående UDP pakker, uden det skaber
problemer for min webserver ?


-
Mvh
Tony



 
 
Heine Pedersen (18-06-2001)
Kommentar
Fra : Heine Pedersen


Dato : 18-06-01 07:07

>Jeg har opsat "TCP/IP-Filtering" under Windows 2000.

>Jeg har opsat det sådan at min webserver kun accepterer indgående trafik på
>port 80.

>Bruger en webserver andre porte eller protokoller ? Her tænker jeg fx. på
>UDP, hvor jeg idag tillader alle former for UDP pakker, da jeg ikke har
>kendskab til UDP.

>Kan jeg fjerne alle former for indgående UDP pakker, uden det skaber
>problemer for min webserver ?

Dns er måske en god ide at åbne (53 tcp/udp), ellers start med at lukke for det hele og kun åben efter behov..

Mvh
Heine


>-
>Mvh
>Tony


>`


Lasse Reichstein Nie~ (19-06-2001)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 19-06-01 15:45

Heine Pedersen <hp@wol.dk> writes:

> >Jeg har opsat "TCP/IP-Filtering" under Windows 2000.
>
> >Jeg har opsat det sådan at min webserver kun accepterer indgående trafik på
> >port 80.
>
> >Bruger en webserver andre porte eller protokoller ? Her tænker jeg fx. på
> >UDP, hvor jeg idag tillader alle former for UDP pakker, da jeg ikke har
> >kendskab til UDP.
>
> >Kan jeg fjerne alle former for indgående UDP pakker, uden det skaber
> >problemer for min webserver ?
>
> Dns er måske en god ide at åbne (53 tcp/udp), ellers start med at lukke for det hele og kun åben efter behov..
>

Nej tak, kun hvis du faktisk har en grund til at have en DNS server
kørende (og hvis du er i tvivl, så har du ikke). Det er et godt råd
at lukke alt og kun åbne efter behov, og indgående forbindelser er
der næppe brug for ud over de services du selv ved du har startet,
altså kun http (port 80).


--
Lasse Reichstein Nielsen - lrn@daimi.au.dk
This message may be reproduced freely for non commercial purposes.
"... but where do you want to go tomorrow?"

Henrik Bøgh (19-06-2001)
Kommentar
Fra : Henrik Bøgh


Dato : 19-06-01 16:36

Lasse Reichstein Nielsen (lrn@harald.daimi.au.dk) expressed in
<yo2r8wgfs0j.fsf@harald.daimi.au.dk>:

[...]

> Nej tak, kun hvis du faktisk har en grund til at have en DNS server
> kørende (og hvis du er i tvivl, så har du ikke). Det er et godt råd
> at lukke alt og kun åbne efter behov, og indgående forbindelser er
> der næppe brug for ud over de services du selv ved du har startet,
> altså kun http (port 80).

Mine erfaringer med ipchains/iptables i Linux siger mig altså at det er
dumt at blokere for tcp port 53 selvom jeg ikke har en DNS-server kørende.
Jeg har en gang fået at vide at det _kunne_ skyldes at store DNS-opslag som
giver store svar (f.eks. www.microsoft.com eller www.netscape.com) for en
kort bemærkning åbner en tcpforbindelse fra DNS-serveren til klienten på
port 53. Jeg kender ikke DNS-protokollen specielt godt så jeg har ikke fået
det bekræftet (og jeg gidder ikke glane en eller anden RFC igennem :))
Jeg har sidenda altid sat iptables op til at acceptere alt på port 53
udp/tcp (og da jeg ikke har en DNSdeamon kørende alligevel er der næppe den
store risiko ved det).

> Lasse Reichstein Nielsen - lrn@daimi.au.dk

--
` Med Venlig Hilsen | Regards
` H e n r i k B ø g h
` http://henrik.boegh.net/ ^ http://irc.linux.dk/
` - Don't trust a person who likes using SLRN

Kent Friis (19-06-2001)
Kommentar
Fra : Kent Friis


Dato : 19-06-01 16:49

Den Tue, 19 Jun 2001 17:35:54 +0200 skrev Henrik Bøgh:
>Lasse Reichstein Nielsen (lrn@harald.daimi.au.dk) expressed in
><yo2r8wgfs0j.fsf@harald.daimi.au.dk>:
>
>[...]
>
>> Nej tak, kun hvis du faktisk har en grund til at have en DNS server
>> kørende (og hvis du er i tvivl, så har du ikke). Det er et godt råd
>> at lukke alt og kun åbne efter behov, og indgående forbindelser er
>> der næppe brug for ud over de services du selv ved du har startet,
>> altså kun http (port 80).
>
>Mine erfaringer med ipchains/iptables i Linux siger mig altså at det er
>dumt at blokere for tcp port 53 selvom jeg ikke har en DNS-server kørende.
>Jeg har en gang fået at vide at det _kunne_ skyldes at store DNS-opslag som
>giver store svar (f.eks. www.microsoft.com eller www.netscape.com) for en
>kort bemærkning åbner en tcpforbindelse fra DNS-serveren til klienten på
>port 53. Jeg kender ikke DNS-protokollen specielt godt så jeg har ikke fået
>det bekræftet (og jeg gidder ikke glane en eller anden RFC igennem :))
>Jeg har sidenda altid sat iptables op til at acceptere alt på port 53
>udp/tcp (og da jeg ikke har en DNSdeamon kørende alligevel er der næppe den
>store risiko ved det).

Problemet med DNS, er at det er UDP-trafik FRA port 53, til en port
>=1024 (undtagen visse versioner af windows der bruger 137), så den
eneste fornuftige løsning på en stateless firewall er at åbne for
trafik fra port 53 på EN BESTEMT NAMESERVER (eller rettere to).

Hvis man har stateful inspection, så er det bare at åbne for
"established" (og evt "related").

Og hvis der ikke er noget der lytter på en port, så behøver den port i
princippet ikke en firewall - det skulle da lige være hvis man vil være
sikker hvis nu man en dag skulle få startet noget op der lytter på
porten...

Mvh
Kent
--
Running Windows on a Pentium is like having a brand new Porsche but only
be able to drive backwards with the handbrake on.
(Unknown source)

Henrik Bøgh (19-06-2001)
Kommentar
Fra : Henrik Bøgh


Dato : 19-06-01 18:01

Kent Friis (kfr@fleggaard.dk) expressed in <9gnsa9$i8o$1@sunsite.dk>:

[...]

> Problemet med DNS, er at det er UDP-trafik FRA port 53, til en port
>>=1024 (undtagen visse versioner af windows der bruger 137), så den
> eneste fornuftige løsning på en stateless firewall er at åbne for
> trafik fra port 53 på EN BESTEMT NAMESERVER (eller rettere to).

Du har ret - det har jeg faktisk også gjort omend kun til en nameserver.

> Kent

--
` Med Venlig Hilsen | Regards
` H e n r i k B ø g h
` http://henrik.boegh.net/ ^ http://irc.linux.dk/
` - Don't trust a person who likes using SLRN

Jesper Dybdal (20-06-2001)
Kommentar
Fra : Jesper Dybdal


Dato : 20-06-01 11:38

Henrik Bøgh <h_nospam_@boegh.net> wrote:

>Mine erfaringer med ipchains/iptables i Linux siger mig altså at det er
>dumt at blokere for tcp port 53 selvom jeg ikke har en DNS-server kørende.
>Jeg har en gang fået at vide at det _kunne_ skyldes at store DNS-opslag som
>giver store svar (f.eks. www.microsoft.com eller www.netscape.com) for en
>kort bemærkning åbner en tcpforbindelse fra DNS-serveren til klienten på
>port 53. Jeg kender ikke DNS-protokollen specielt godt så jeg har ikke fået
>det bekræftet (og jeg gidder ikke glane en eller anden RFC igennem :))

Det er ikke rigtigt. Det er altid klienten der sender til port
53 på serveren. Hvis svaret er for stort til en UDP-pakke,
sender serveren begyndelsen af svaret sammen med en indikation af
at der mangler noget, stadig som et UDP-svar. Hvis klienten så
finder ud af at den har brug for hele svaret, så laver den en
TCP-forbindelse til serveren og sender spørgsmålet på ny, men nu
pr. TCP: serveren sender så hele svaret over TCP-forbindelsen.

Så man skal tillade
* UDP-pakker fra klienten, vilkårligt portnummer, til serverens
port 53.
* Svar på ovenstående UDP-pakker - fra serverens port 53 til den
port på klienten som sendte forespørgslen.
* Etablering af TCP-forbindelse fra klienten, vilkårligt
portnummer, til serverens port 53.
* Trafik begge veje på en sådan etableret TCP-forbindelse.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408931
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste