Henrik Dissing <hendis@tdcadsl.dk> wrote:
> Undskyld at det bliver lidt langt, men OSS'en gør et stort nummer ud af at
> man skal være omhyggelig med at give alle relevante informationer. Bær
> ligeledes over med mig hvis jeg visse steder udtrykker mig lidt tåget. Jeg
> har læst routerens manual og OSS'en, men jeg er stadig novice på området.
OSS'en har totalt styr paa livet, specielt sikkerhed og chokolade, og den
siger sjaeldent noget uden der er en god grund til det. Du giver de rigtige
informationer i dit indlaeg. Det hjaelper os med at hjaelpe dig.
> Mine ønsker til sikkerhed er følgende:
>
> 1. Alle PC'erne skal helst frit kunne bruge hinandens harddiske, CD-ROM
> drev, printere, osv. med så lidt password-tam-tam som muligt. Det bliver
> alligevel i familien.
Det kan sagtens lade sige goere med Windows's indbyggede fildeling, men du
skal vaere opmaerksom paa at evt. ondt kode (virus og orme) paa blot een af
maskinerne kan goere det ubehageligt for alle brugere. Derfor boer du
overveje hvordan du vil beskytte imod det.
Een loesning kunne vaere at forbyde skriveadgang paa PC'erne undtaget til
een folder paa hver. Dette ville forhindre at system filer og programmer
bliver oedelagte eller inficerede. I teorien kan du helt undgaa skrivbare
omraader hvis folk alligevel kan se store dele af hinandens systemer. Saa
ville det vaere op til "klienten" at hente de filer der var behov for.
Det eneste der skal kunne skrives til er delte printere.
> 2. Vi skal kunne føle os nogenlunde trygge i forhold til internettet. Vi
> ligger ikke inde med uerstattelige eller meget sensible data, men det er
> alligevel træls at få sit system ødelagt af ondskabsfulde idioter. Er
> uheldet ude, overlever vi dog nok alligevel.
Backup skal der til. Det kan vaere saa simpelt som at til daglig samle alle
sine filer i "My Documents" (eller hvad det nu hedder) og regelmaessigt
zippe det hele op i en fil med dit navn og dagens dato, og bede en af de
andre tage en kopi over paa deres PC.
Hvis I har en CD writer kan I skrive en ugenlig backup af disse filer til CD.
> Routeren tilbyder så vidt jeg kan se to metoder til begrænsning af uønsket
> trafik: NAT og packet-filtrering. Nu kommer mine spørgsmål:
>
> Hvis jeg helt undlader at konfigurere nogen port-forwarding, kan jeg så være
> sikker på at alle hacker-angreb initieret fra internettet vil blive afvist?
> Jeg er på det rene med at vi kan komme til at downloade og eksekvere
> forskellige trojanske heste, eller hvad det nu hedder, men derudover?
Jeg kender ikke din router saa jeg kan ikke udtale mig om kvaliteten af dens
NAT og IP filtre implementation. Maaske andre at erfaring med den?
> Hvad er source routing?
Det tillader at afsenderen angiver IP adresser som hans IP pakke skal sendes
igennem. Det kan bruges til at omgaas firewalls og NAT systemer. Du boer
ikke tillade source routing.
> Hvad kan man bruge "established TCP connection only" til?
TCP pakker har forskellige flag eller bits sat afhaengig af hvilken type
pakke den er. Naar du loader
www.google.com i din browser, har TCP pakkerne
som sendes tilbage til din maskine et "established" flag sat, som goer at
din router ved pakken er et svar paa noget du spurgte om, og derfor faar den
lov til at komme igennem.
Hvis din router ikke har stateful IP filtre tror den blindt paa de flag som
er sat paa TCP pakkerne. Dette betyder at enhver som kan skabe sine egne
TCP pakker kan angive et "established" flag og komme igennem din router.
Stateful filtre har en tabel hvor der holdes styr paa hvilke forbindelser
der er gaaet ud af routeren og hvis den modtager en forfalsket tcp
established pakke bliver pakken smidt vaek fordi der ikke er information om
den originale forbindelse i dens state table.
For at kunne vaere vaert for et netvaerksspil skal din router ukritisk sende
alle UDP/TCP pakker paa bestemte porte ind til en maskine.
> Men hvordan anvender jeg bedst filtreringsmulighederne, og har jeg i det
> hele taget brug for dem? Som sagt, jeg kræver ikke superhøj sikkerhed, men
> hvis jeg med enkle greb kan eliminere de mest oplagte risici uden at gøre
> dagligdagen alt for besværlig, vil jeg naturligvis godt investere noget tid
> i det nu.
Umiddelbart tror jeg ikke du har brug for filtre, men der kan vaere
underligheder med din router som goer, at du skal bruge filtre hvis du
nogensinde faar brug for at forwarde pakker ind i forbindelse med spil.
> Routeren leveres med tre default filtre:
>
> NETBIOS_WAN, som forhindrer NetBIOS name service packets i at blive sendt
> til TDC.
NetBIOS er en protokol beregnet til et lokalt netvaerk, og hoerer derfor
ikke til paa det store vildt net.
> NETBIOS_LAN, som blokerer NetBIOS name service DNS requests fra lokal PC til
> TDC's DNS server.
Dette forhindrer at din PC kan spoerge TDCs DNS om ipadressen paa MOMSEMOR
og SUPERFAR naar I arbejder med interne Windows navne.
Haaber det hjalp.
Alex
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.area51.dk/