|
| Netværk mellem 3 computere hvoraf en skal ~ Fra : Jesper Nielsen |
Dato : 01-01-02 16:55 |
|
Jeg har fået mig en ny computer og har tænkt mig, at den gamle skal betjene
familien som multimediemaskine med internetradio, afspilning af Div.X-film
på TV'et og lign.
Derudover har jeg tænkt mig at anskaffe mig yderligere en maskine, der skal
fungere som server på www-protokollen.
Jeg er formand for en forening, der driver en meget stor
informationshjemmeside, som for indeværende hostes på et webhotel.
Jeg har en forestilling om at der skal oprettes et netværk mellem de 3
maskiner, således at jeg eksempelvis kan få adgang til filer på min nye
maskine nede fra den gamle og omvendt.
Derudover skal serveren kunne betjene besøgende med HTMLsider.
Sitet kører næsten udelukkende med HTML-filer. Vi har kun lagt en lille
smule scripts ind i form af CSS og Mouse onover.
Sitet er temmelig stort (mere end 250 selvstændige sider)og har ca. 1.500
besøgende pr måned.
Hvor kraftig en server bør jeg anskaffe? (kan en gammel P200 gøre det, eller
bør den være større?
Jeg forventer at opgradere min ADSL-linie hos TDC bredbånd til
1Mb/s,/256Kb/s.
Jeg regner med, at serveren skal køre Linux
De andre to maskiner kører henholdsvis win98SE og Win XPpro.
Der er også spørgsmålet om sikkerhed!
De 2 nuværende maskiner er begge beskyttet med firewall's og Antivirus
progs., men hvordan sikrer jeg serveren og idet hele taget netværket
tilstrækkeligt mod angreb udefra?
Føreløbigt har jeg kun de 2 af maskinerne, som skal i netværk, men netværket
skal altså kunne udbygges med en server.
Hvad skal jeg bruge?
Serveren kunne jeg godt tænke mig at kunne kontrollere fra min Win
XP-maskine.
Er det muligt?
Løsningerne må selvfølgelig gerne være til at betale?
Her er specs. på min internet opkobling:
TDC-bredbånd 512/126 Kb/s med foreløbigt 2 dynamiske IPadresser og modem
(Siemens) til ethernetkort. (De dynamiske IPadresser kan uden omkostninger
konverteres til en fast IP-adresse)
Jeg vil opgradere ADSLopkoblingen til 1000/256 KB/s, når serveren skal
stilles op.
Ethernet 10/100 mbit kort i begge nuværende maskiner.
Undskyld mig, men jeg er altså fuldstændig Newbie på området
Jeg vil kort fortalt have 2 maskiner, der kan gå på nettet og hente filer
hos hinanden via LAN-netværk og en server til at betjene en hjemmeside, uden
at det går ud over sikkerheden på nogen af maskinerne.
Håber nogen kan henvise til en økonomisk bærbar løsning.
Mvh
Jesper Nielsen
www.kolindsund.dk
| |
Biker-Man (01-01-2002)
| Kommentar Fra : Biker-Man |
Dato : 01-01-02 18:57 |
|
"Jesper Nielsen" <Jni@tdcadsl.dk> skrev i en meddelelse
news:<3c31dbbc$0$55593$edfadb0f@dspool01.news.tele.dk>...
> Der er også spørgsmålet om sikkerhed!
> De 2 nuværende maskiner er begge beskyttet med firewall's og Antivirus
> progs., men hvordan sikrer jeg serveren og idet hele taget netværket
> tilstrækkeligt mod angreb udefra?
>
> Føreløbigt har jeg kun de 2 af maskinerne, som skal i netværk, men
netværket
> skal altså kunne udbygges med en server.
> Hvad skal jeg bruge?
> Serveren kunne jeg godt tænke mig at kunne kontrollere fra min Win
> XP-maskine.
> Er det muligt?
> Løsningerne må selvfølgelig gerne være til at betale?
>
> Her er specs. på min internet opkobling:
> TDC-bredbånd 512/126 Kb/s med foreløbigt 2 dynamiske IPadresser og modem
> (Siemens) til ethernetkort. (De dynamiske IPadresser kan uden omkostninger
> konverteres til en fast IP-adresse)
> Jeg vil opgradere ADSLopkoblingen til 1000/256 KB/s, når serveren skal
> stilles op.
> Ethernet 10/100 mbit kort i begge nuværende maskiner.
>
> Jeg vil kort fortalt have 2 maskiner, der kan gå på nettet og hente filer
> hos hinanden via LAN-netværk og en server til at betjene en hjemmeside,
uden
> at det går ud over sikkerheden på nogen af maskinerne.
> Håber nogen kan henvise til en økonomisk bærbar løsning.
Jeg vil anbefale at du får fat i en ny server til hjemmesiden og benytter
din 200 Mhz som firewall, jeg tror ikke den 200 Mhz er kraftig nok, men jeg
har inden erfaring med hvor kraftige maskiner der skal til for at hoste
hjemmsider.
I din 200 Mhz sætter du 3 netkort i et til WAN og LAN og et DMZ, du sætter
din Web server i DMZ, så får du ikke åbnet for trafik ind på LAN og er
dermed godt sikret på LAN siden.
Installere Linux på firewallen og kør ipchains som firewall og NAT, den
router desuden trafikken
Du skal have mindst en fast IP adresse for at hoste, hvis du kun har en IP
adresse skal du port forwarde alt trafik som Web serveren skal modtage til
den IP adresse webserveren har.
Jeg vil anbefale at du for en Pro@ccess linie istedet for der kan du får 512
Mbit upstream istedet for, det er jo upstream der betyder noget når du skal
hoste, du kan læse mere om Pro@ccess på www.zillion.dk
Hvis du vælger Pro@ccess kan du få flere faste IP adresser f.eks. 8 stk, så
benytter du subnetting til at få routet trafikken ud i din DMZ, det er ikke
nødvendigt at du får en router med da stikket på ADSL modemet er et LAN
stik.
Eks:
Nu bruger jeg private adresser det bliver selvfølgelig offenlige adresser.
Subnet 255.255.255.252
10.0.0.0 WAN net
10.0.0.1 WAN netkort i firewall
10.0.0.2 Ledig
10.0.0.3 Broadcast
10.0.0.4 DMZ net
10.0.0.5 DMZ netkort i firewall
10.0.0.6 Webserver
10.0.0.7 Broadcast
På LAN siden kan du benytte følgende adresser
Subnet 255.255.255.0
192.168.1.0 Lan net
192.168.1.1 LAN netkort i firwall
192.168.1.2 - 254 maskiner
192.168.1.255 Broadcast
Du kan benytte telnet til at administreret din web server og firewall fra
andre maskiner, du skal bare huske at få lukket for alt trafik til din
firewall, da der ellers kan benyttes telnet fra Internettet af.
Du skal selvfølgelig også få lavet om i DNS ved din udbyder til at pege på
din egen webserver.
Mvh
Thomas
| |
Jesper Nielsen (01-01-2002)
| Kommentar Fra : Jesper Nielsen |
Dato : 01-01-02 21:29 |
|
"Biker-Man" <tvn@linux.eucsyd.dk> skrev i en meddelelse
news:3c31f851$0$5502$edfadb0f@dspool01.news.tele.dk...
>
> Jeg vil anbefale at du får fat i en ny server til hjemmesiden og benytter
> din 200 Mhz som firewall, jeg tror ikke den 200 Mhz er kraftig nok, men
jeg
> har inden erfaring med hvor kraftige maskiner der skal til for at hoste
> hjemmsider.
>
> I din 200 Mhz sætter du 3 netkort i et til WAN og LAN og et DMZ, du sætter
> din Web server i DMZ, så får du ikke åbnet for trafik ind på LAN og er
> dermed godt sikret på LAN siden.
>
> Installere Linux på firewallen og kør ipchains som firewall og NAT, den
> router desuden trafikken
>
> Du skal have mindst en fast IP adresse for at hoste, hvis du kun har en IP
> adresse skal du port forwarde alt trafik som Web serveren skal modtage til
> den IP adresse webserveren har.
>
> Jeg vil anbefale at du for en Pro@ccess linie istedet for der kan du får
512
> Mbit upstream istedet for, det er jo upstream der betyder noget når du
skal
> hoste, du kan læse mere om Pro@ccess på www.zillion.dk
>
> Hvis du vælger Pro@ccess kan du få flere faste IP adresser f.eks. 8 stk,
så
> benytter du subnetting til at få routet trafikken ud i din DMZ, det er
ikke
> nødvendigt at du får en router med da stikket på ADSL modemet er et LAN
> stik.
>
> Eks:
>
> Nu bruger jeg private adresser det bliver selvfølgelig offenlige adresser.
>
> Subnet 255.255.255.252
>
> 10.0.0.0 WAN net
>
> 10.0.0.1 WAN netkort i firewall
>
> 10.0.0.2 Ledig
>
> 10.0.0.3 Broadcast
>
> 10.0.0.4 DMZ net
>
> 10.0.0.5 DMZ netkort i firewall
>
> 10.0.0.6 Webserver
>
> 10.0.0.7 Broadcast
>
> På LAN siden kan du benytte følgende adresser
>
> Subnet 255.255.255.0
>
> 192.168.1.0 Lan net
>
> 192.168.1.1 LAN netkort i firwall
>
> 192.168.1.2 - 254 maskiner
>
> 192.168.1.255 Broadcast
>
> Du kan benytte telnet til at administreret din web server og firewall fra
> andre maskiner, du skal bare huske at få lukket for alt trafik til din
> firewall, da der ellers kan benyttes telnet fra Internettet af.
>
> Du skal selvfølgelig også få lavet om i DNS ved din udbyder til at pege på
> din egen webserver.
>
Wow, her er da en indlæringskurve, der vil noget! Stejl som Alp'd hüez eller
der omkring
Lagde lige mærke til, at du havde klippet det med Newbie ud.
Nu er det sådan, at jeg idag kun råder over 2 maskiner en AMD K6/2 450 MHz
med 327 Mb ram og en Dual AMD Mp 1600+ med 1 Gb ram. (Mit nye legetøj)
Den gamle skal ned i stuen og lege sammen med fjernsynet om Div-X filer og
DVD.
Den nye, nåja, er MIT legetøj
Herudover mener du altså, skal jeg bruge en maskine som firewall med 3
ethernetkort sat i med Linux og Ipchains software + en kraftigere server.
Hvor kraftig skal sådan en firewallmaskine være?
En gammel 486'er kan man jo få for 5-6 1½l cola mens en P200 godt kan løbe
op i en 5-7-800 kroner.
Er der nogle minimumsspecs. man bør overholde med hensyn til ram, harddisk
mm vedr. sådan en computerfirewall.
Jeg er nødt til at spørge dumt om nogle af betegnelserne. (Jeg var lidt
forberedt på det med indlæringskurven).
Faktisk tabte du mig ved DMZ
Så jeg spørger lige:
Hvad betyder WAN?
Hvad betyder DMZ?
Jeg tillader mig at gætte på at LAN-udgangen er til det lokale netværk (Med
de 2 andre computere)
Wan-udgangen ud mod udbyderen
DMZ-udgangen er til serveren
Ret mig, hvis jeg er fejl på den.
Det her med opsætningen venter vi lige lidt med indtil jeg får styr på
teorien
Angående Pro@cces blev jeg rådet til at vælge Bredbånd på grund af den
gratis mulighed for fast IPadresse.
Jeg er ikke et øjeblik i tvivl om, at Pro@cces vil kræve en mindre formue i
oprettelse, selv om jeg allerede er Bredbåndskunde med linien oprettet.
Men jeg har altså behov for flere IPadresser?
Er der nogen, der har en ide om hvor kraftig en server, jeg har behov for?
Server forventer jeg at skulle køre på Linux/apache software.
Hvad er behovet for ram i sådan en maskine.
Mvh
Jesper Nielsen
www.kolindsund.dk
| |
Biker-Man (02-01-2002)
| Kommentar Fra : Biker-Man |
Dato : 02-01-02 07:49 |
|
> Wow, her er da en indlæringskurve, der vil noget! Stejl som Alp'd hüez
eller
> der omkring
> Lagde lige mærke til, at du havde klippet det med Newbie ud.
>
Ja sådan er det indefor denne verden, du vil også finde ud af "jo mere du
ved, jo mere ved du at du ikke ved"
> Nu er det sådan, at jeg idag kun råder over 2 maskiner en AMD K6/2 450 MHz
> med 327 Mb ram og en Dual AMD Mp 1600+ med 1 Gb ram. (Mit nye legetøj)
> Den gamle skal ned i stuen og lege sammen med fjernsynet om Div-X filer og
> DVD.
> Den nye, nåja, er MIT legetøj
>
Man må da sige at du kan finde ud af at købe noget ordenligt grej.
> Herudover mener du altså, skal jeg bruge en maskine som firewall med 3
> ethernetkort sat i med Linux og Ipchains software + en kraftigere server.
> Hvor kraftig skal sådan en firewallmaskine være?
> En gammel 486'er kan man jo få for 5-6 1½l cola mens en P200 godt kan løbe
> op i en 5-7-800 kroner.
> Er der nogle minimumsspecs. man bør overholde med hensyn til ram, harddisk
> mm vedr. sådan en computerfirewall.
>
Jeg var åbentbart galt på den med hvor kraftig en server der skal til.
Men jeg mener at 5-6 1½ cola vil være en god investering, så du får en
firewall med 3 netkort.
> Jeg er nødt til at spørge dumt om nogle af betegnelserne. (Jeg var lidt
> forberedt på det med indlæringskurven).
> Faktisk tabte du mig ved DMZ
> Så jeg spørger lige:
> Hvad betyder WAN?
> Hvad betyder DMZ?
>
> Jeg tillader mig at gætte på at LAN-udgangen er til det lokale netværk
(Med
> de 2 andre computere)
> Wan-udgangen ud mod udbyderen
> DMZ-udgangen er til serveren
>
> Ret mig, hvis jeg er fejl på den.
>
Helt rigtigt.
DMZ = DeMilitariseret Zone (Ingenmandsland, der hvor krigen foregår
Wan = Wide Area Network (Internet)
Lan = Local area netværk (Lokal netværk
> Det her med opsætningen venter vi lige lidt med indtil jeg får styr på
> teorien
>
Jeg har nogle projekter som jeg kan maile til dig, når du når så langt, det
var nogen vi lavede da jeg gik på skole som Datamekaniker, de handler b.la.
om firewall, webserver, DNS og mailserver på linux, jeg har ikke arbejdet
med linux siden da, der er åbentbart kommet en bedere afløser for IPChains.
Men i de projekter er der opsætningen af Firewallen men IPChains.
> Angående Pro@cces blev jeg rådet til at vælge Bredbånd på grund af den
> gratis mulighed for fast IPadresse.
> Jeg er ikke et øjeblik i tvivl om, at Pro@cces vil kræve en mindre formue
i
> oprettelse, selv om jeg allerede er Bredbåndskunde med linien oprettet.
> Men jeg har altså behov for flere IPadresser?
>
Nej du kan portforwarde.
Mvh
Thomas
| |
Jesper Nielsen (02-01-2002)
| Kommentar Fra : Jesper Nielsen |
Dato : 02-01-02 12:31 |
|
"Biker-Man" <tvn@linux.eucsyd.dk> skrev i en meddelelse
news:3c32ad75$0$62851$edfadb0f@dspool01.news.tele.dk...
> >
> Jeg var åbentbart galt på den med hvor kraftig en server der skal til.
> Men jeg mener at 5-6 1½ cola vil være en god investering, så du får en
> firewall med 3 netkort.
>
> > Det her med opsætningen venter vi lige lidt med indtil jeg får styr på
> > teorien
> >
> Jeg har nogle projekter som jeg kan maile til dig, når du når så langt,
det
> var nogen vi lavede da jeg gik på skole som Datamekaniker, de handler
b.la.
> om firewall, webserver, DNS og mailserver på linux, jeg har ikke arbejdet
> med linux siden da, der er åbentbart kommet en bedere afløser for
IPChains.
> Men i de projekter er der opsætningen af Firewallen men IPChains.
>
Tusind tak for alle de gode svar.
Det er da noget, jeg kan bruge til noget.
Jeg vil meget gerne følge med i dine projekter, når jeg når så langt.
Strømmen til firewall og server får jeg foreningen til at betale sammen med
det halve af prisen for opgraderingen af min ADSL-linie
Jeg har dog lige et tillægsspørgsmål:
Mangler der ikke en switch mellem firewall-maskinen og de 2 maskiner i
LAN-netnærket i opsætningen?
WAN
|
|
FIREWALL
LAN--- ____| |____---DMZ
| |
SWITCH SERVER
| |
COMP1 COMP2
Mvh
Jesper Nielsen
www.kolindsund.dk
| |
Jens B. (02-01-2002)
| Kommentar Fra : Jens B. |
Dato : 02-01-02 14:12 |
|
"Biker-Man" <tvn@linux.eucsyd.dk> wrote in message
news:3c32ad75$0$62851$edfadb0f@dspool01.news.tele.dk...
[klip]
> DMZ = DeMilitariseret Zone (Ingenmandsland, der hvor krigen foregår
[klip]
Undskyld, kan ikke dy mig for at være fluek...... hér: "DeMilitariseret
Zone" betyder et område, hvor krigen netop _ikke_ foregår (deraf navnet). I
netværkssammenhæng bruges begrebet vel, fordi der ikke er noget at "slås om"
i et DMZ, der typisk vil indeholde offentligt tilgængelige services, som
f.eks. www, ftp osv. I den "virkelige" verden betegner DMZ et område -
typisk et strimmel land på begge sider af en grænse - som parterne har
aftalt at demilitarisere (dvs. fjerne krigstropper og -materiel fra), for at
undgå voldelige konfrontationer.
--
-Jens B.
| |
Jacob Bunk Nielsen (02-01-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 02-01-02 11:54 |
|
"Biker-Man" <tvn@linux.eucsyd.dk> writes:
> Men jeg mener at 5-6 1½ cola vil være en god investering, så du får en
> firewall med 3 netkort.
I form af en gammel 486'er? Har du tænkt på at sådan en altså også
skal have strøm, og i sig selv kan udgøre en risiko, hvis den bliver
hacket? Jeg tror personligt meget mere på at have en enkelt maskine
der både er firewall/NAT-dims og hjemmeserver, så længe vi snakker om
privat brug i et lille netværk.
Det koster også let et par 1½ L colaer om måneden til elselskabet at
have sådan en kørende, selv om den måske nok bruger mindre strøm end
de fleste nyere computere.
> Jeg har nogle projekter som jeg kan maile til dig, når du når så langt, det
> var nogen vi lavede da jeg gik på skole som Datamekaniker, de handler b.la.
> om firewall, webserver, DNS og mailserver på linux, jeg har ikke arbejdet
> med linux siden da, der er åbentbart kommet en bedere afløser for IPChains.
> Men i de projekter er der opsætningen af Firewallen men IPChains.
Det vil sige at det er over et år siden? 2.4-kernen (som kræves for at
lege med iptables) udkom i januar sidste år. I så fald er alt det
andet software du har arbejdet med dengang sikkert også ved at være
forældet.
Skal man opsætte en lille firewall/NAT-dims under Linux kan man fx
tage udgangspunkt i < http://www.sslug.dk/sikkerhed/>, som giver en god
start.
Iptables er fedt fordi det blandt andet kan lave stateful inspection,
hvilket vil sige at det kan se om de pakker der kommer er del af en
eksisterende forbindelse. En tilsvarende mulighed har man ikke med
ipchains, hvor man så i stedet fx vil lukke al TCP-trafik, hvor
SYN-flaget ikke er mere eller mindre ukritisk ind. Iptables har også
mulighed for portforwarding, i modsætning til ipchains, hvor man måtte
bruge ipmasqadm eller tilsvarende. Med andre ord er iptables klart at
foretrække.
--
Jacob - www.bunk.cc
Is death legally binding?
| |
Biker-Man (02-01-2002)
| Kommentar Fra : Biker-Man |
Dato : 02-01-02 18:34 |
|
"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:spamdrop+m3advxyqet.fsf@paven.bunk.cc...
> "Biker-Man" <tvn@linux.eucsyd.dk> writes:
>
> > Men jeg mener at 5-6 1½ cola vil være en god investering, så du får en
> > firewall med 3 netkort.
>
> I form af en gammel 486'er? Har du tænkt på at sådan en altså også
> skal have strøm, og i sig selv kan udgøre en risiko, hvis den bliver
> hacket? Jeg tror personligt meget mere på at have en enkelt maskine
> der både er firewall/NAT-dims og hjemmeserver, så længe vi snakker om
> privat brug i et lille netværk.
>
Jeg mener nu godt nok at der er større risiko for at blive hacket, jo flere
porte der er åbne og jo flere applikationer der køre, jeg foretrækker at
smide alt ud i individuelle DMZ, en DMZ for mail, en for WEB, en for VPN
osv.
> Det koster også let et par 1½ L colaer om måneden til elselskabet at
> have sådan en kørende, selv om den måske nok bruger mindre strøm end
> de fleste nyere computere.
>
Det er da rigtigt men jeg give gerne 1½ L. cola for at være mere sikker,
selv en bajer .
> > Jeg har nogle projekter som jeg kan maile til dig, når du når så langt,
det
> > var nogen vi lavede da jeg gik på skole som Datamekaniker, de handler
b.la.
> > om firewall, webserver, DNS og mailserver på linux, jeg har ikke
arbejdet
> > med linux siden da, der er åbentbart kommet en bedere afløser for
IPChains.
> > Men i de projekter er der opsætningen af Firewallen men IPChains.
>
> Det vil sige at det er over et år siden? 2.4-kernen (som kræves for at
> lege med iptables) udkom i januar sidste år. I så fald er alt det
> andet software du har arbejdet med dengang sikkert også ved at være
> forældet.
>
Ja det er 1½ år siden, af firewalls har jeg kun arbejdet med Checkpoint
Firewall 1 siden dengang.
Der er da helt sikkert sket en del siden da, men det kan bruges som en guide
for hvordan det kan sættes op, når man er begynder på et felt, syntes jeg
selv at det er rart at have en opsætning der er beskrevet til at komme igang
med fremfor "bare" gode råd.
> Skal man opsætte en lille firewall/NAT-dims under Linux kan man fx
> tage udgangspunkt i < http://www.sslug.dk/sikkerhed/>, som giver en god
> start.
>
> Iptables er fedt fordi det blandt andet kan lave stateful inspection,
> hvilket vil sige at det kan se om de pakker der kommer er del af en
> eksisterende forbindelse. En tilsvarende mulighed har man ikke med
> ipchains, hvor man så i stedet fx vil lukke al TCP-trafik, hvor
> SYN-flaget ikke er mere eller mindre ukritisk ind. Iptables har også
> mulighed for portforwarding, i modsætning til ipchains, hvor man måtte
> bruge ipmasqadm eller tilsvarende. Med andre ord er iptables klart at
> foretrække.
>
Ang. SYN bittet benyttes til at oprette en forbindelse, hvis det ikke er sat
bliver der ikke oprettet en forbindelse, det vil sige at alt traffik i den
igangværende session bliver accepteret og ikke andet, hvis en hacker skal
den vej ind skal han hijacke sessionen den risiko vil der være ved alle
firewalls, det jeg syntes der er mere kristik er at man er nødtil at åbne
for alle porte over 1024, da man ikke ved hvilken port sessionen kommer til
at køre på.
I må endelig rette mig hvis jeg husker forkert eller hvis bare har
misforstået noget.
Nå men er vi ikke snart noget lagt ud over det der blev spurgt om , men
det er jo selvfølgelig det der udvider ens horisont.
Mvh
Thomas
| |
Jacob Bunk Nielsen (02-01-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 02-01-02 19:02 |
|
"Biker-Man" <tvn@linux.eucsyd.dk> writes:
>> [ ... ] Jeg tror personligt meget mere på at have en enkelt maskine
>> der både er firewall/NAT-dims og hjemmeserver, så længe vi snakker
>> om privat brug i et lille netværk.
>>
> Jeg mener nu godt nok at der er større risiko for at blive hacket, jo flere
> porte der er åbne og jo flere applikationer der køre, jeg foretrækker at
> smide alt ud i individuelle DMZ, en DMZ for mail, en for WEB, en for VPN
> osv.
Forudsat at du kun har en maskine, som du kører alle offentlige
services på (det har jeg selv :), så kan det da være fløjtende
ligegyldigt om man kører det hele på en maskine eller har en
selvstændig maskine som firewall.
Man lukker naturturligvis af for alt hvad man ikke skal bruge, og
åbner så for de enkelte services som man har behov for. At der så kan
være en sikkerhedsfejl i eksempelvis en webserver der gør at maskinen
er såbar, så er det vel ligegyldigt om det er den ene eller den anden
maskine der bliver hacket.
> Der er da helt sikkert sket en del siden da, men det kan bruges som en guide
> for hvordan det kan sættes op, når man er begynder på et felt, syntes jeg
> selv at det er rart at have en opsætning der er beskrevet til at komme igang
> med fremfor "bare" gode råd.
Der er masser af gode guides på < http://www.sslug.dk/linuxbog/>. Den
ville jeg klart hellere selv kigge i end en 1½ år gammel vejledning,
hvor god den så end måtte være.
>> Iptables er fedt fordi det blandt andet kan lave stateful
>> inspection [ ... ]
>
> Ang. SYN bittet benyttes til at oprette en forbindelse, hvis det ikke er sat
> bliver der ikke oprettet en forbindelse
Forudsat at der ikke er en sikkerhedsfejl i TCP-stakken, som gør at
man kan sende den et eller andet mystisk (hvor SYN-flaget ikke er sat,
så det ikke bliver fanget af pakkefilteret) og få maskinen til at
crashe eller noget der er værre. Man kan lige så godt satse på at have
sikkerhed i flere trin.
> det jeg syntes der er mere kristik er at man er nødtil at åbne for
> alle porte over 1024, da man ikke ved hvilken port sessionen kommer
> til at køre på.
Ehhh, hvad snakker vi om her? Du mener at du ikke ved hvilken
source-port der vil blive brugt? Er det ikke irrelevant i alt andet
end de mest ekstreme setups? Personligt tillader jeg alt udgående
trafik, og filtrerer kun på indkommende trafik. Skulle man få lyst kan
man give sig til at filtrere udgående trafik på destination-port, og
fx kun tillade DNS, HTTP, SMTP og hvad man nu ellers har brug for, men
det har jeg ikke behov for.
> I må endelig rette mig hvis jeg husker forkert eller hvis bare har
> misforstået noget.
Jeg tror gerne jeg vil have uddybet hvad du mener med at åbne for alle
porte over 1024, for der tror jeg altså du har misforstået et eller
andet.
--
Jacob - www.bunk.cc
Computers are not intelligent. They only think they are.
| |
Biker-Man (02-01-2002)
| Kommentar Fra : Biker-Man |
Dato : 02-01-02 20:36 |
|
> Forudsat at du kun har en maskine, som du kører alle offentlige
> services på (det har jeg selv :), så kan det da være fløjtende
> ligegyldigt om man kører det hele på en maskine eller har en
> selvstændig maskine som firewall.
>
Det mener jeg ikke, jeg kommer lige med et par eks.
Det var på et tidspunkt hvor der var et sikkerhedshul på linux hvor man
kunne komme ind som root uden at kende root password, der vil jeg helt klart
foretrække at det kun er i DMZ at det sker, istedet for på firewallen hvor
hackeren så kan fri adgang til hele netværket.
Eller hvad med Nimda der fik den ene server efter den anden til at gå i knæ,
hvis man på sit LAN har en Intranet server stående ville denne også være
blevet ramt hvis webserveren var på firewallen og den blev ramt, OK dette er
et større netværk jeg snakker om her.
Desuden får man først huller afvide når skaden er sket et eller andet sted,
det kan lige så godt være en selv der bliver ramt før at hullet bliver
opdaget.
Risikoen er ikke mindre for at blive angrebet, fordi man har et lille
netværk, de fleste virksomheder der har deres egen webserver har også kun
en, derfor mener jeg at 5 - 6 1½ cola er godt givet ud .
> Man lukker naturturligvis af for alt hvad man ikke skal bruge, og
> åbner så for de enkelte services som man har behov for. At der så kan
> være en sikkerhedsfejl i eksempelvis en webserver der gør at maskinen
> er såbar, så er det vel ligegyldigt om det er den ene eller den anden
> maskine der bliver hacket.
>
OK du ser sådan på det at hvis en hacker kan komme ind på din webserver kan
han ligeså godt få adgang til resten at netværket også, min mening er jo
mindre services der køre på en offentlig maskine jo mindre chance er der for
et sikkerhedshul.
> > Ang. SYN bittet benyttes til at oprette en forbindelse, hvis det ikke er
sat
> > bliver der ikke oprettet en forbindelse
>
> Forudsat at der ikke er en sikkerhedsfejl i TCP-stakken, som gør at
> man kan sende den et eller andet mystisk (hvor SYN-flaget ikke er sat,
> så det ikke bliver fanget af pakkefilteret) og få maskinen til at
> crashe eller noget der er værre. Man kan lige så godt satse på at have
> sikkerhed i flere trin.
>
Nej det aldrig til at vide hvor hullerne er, det er først når de er blevet
fundet af hackere man finder ud af det.
Helt sikkert, jo flere trin jo bedre, derfor mindst en DMZ uanset om man kun
har en offentlig services kørende.
Men der er da ingen tvivl om at det meget bedre at have sin webserver
kørende på sin firewall end ikke at have nogen firewall.
> > det jeg syntes der er mere kristik er at man er nødtil at åbne for
> > alle porte over 1024, da man ikke ved hvilken port sessionen kommer
> > til at køre på.
>
> Ehhh, hvad snakker vi om her? Du mener at du ikke ved hvilken
> source-port der vil blive brugt? Er det ikke irrelevant i alt andet
> end de mest ekstreme setups?
For at folk kan surfe på ens webserver er man nødtil at åbnet for porte over
1024, eller bliver der ikke surfet ret meget.
Det skal man ikke på en CP FW1, den er klar over når man åbner en
forbindelse på f.eks. port 80 så følger den med i hvilken source port der
bliver tilknyttet den session så ser den stadigvæk den session som HTTP.
Desuden ser jeg mange port scanninger i loggen på min firewall over 1024,
eks.
24145, 50837, 17300, 31337, 445, 4661, sunrpc, det er bare lidt af de portet
der bliver scannet på.
Jeg aner ikke hvad de scanner efter, og jeg ønsker ikke at finde ud af det
på mit eget netværk, men vil da ellers gerne vide hvad de søger efter .
Jeg kommer lige med eks. det har godt nok ikke noget at gøre med en
webserver.
For at kunne modtage filer via ICQ er man nødtil at åbne for alle porte over
1024 da ICQ vælger en tilfældig port over 1024 til at sende med, det er en
port der skal åbnes udefra.
Hvis alle porte over 1024 er åben er det ikke svært for en hacker at komme
ind, OK der skal være en applikation til at tage imod, men det er jo hellere
ikke svært at få ind, b.la. via mail.
Derfor modtager jeg ikke filer via ICQ.
> Personligt tillader jeg alt udgående trafik, og filtrerer kun på
indkommende trafik.
Det gør jeg også, selvom det er en sikkerhedsbrist, der mener jeg at er der
kommet en applikation ind som åbner for en forud bestemt port udaf til, så
er ens netværk muligvis helt åbent, der er selvfølgelig NAT som gør det en
del svære at komme ind, men det må jo kunne lade sig gøre ellers var der
ikke noget marked for firewalls, så er det rigeligt med en router.
Hvis der er nogen der kender noget til hvordan man kommer ind, eller eks. på
at hackere er kommet ind, selvom der er NAT, kunne jeg godt tænke mig at
vide det, da det er et argument jeg hele tiden høre for ikke at få en
firewall.
> Jeg tror gerne jeg vil have uddybet hvad du mener med at åbne for alle
> porte over 1024, for der tror jeg altså du har misforstået et eller
> andet.
>
Håber du har fået det uddybet nu, ellers må du forklare mig hvad det er jeg
har misforstået.
Mvh
Thomas
| |
Jacob Bunk Nielsen (02-01-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 02-01-02 22:03 |
|
"Biker-Man" <tvn@linux.eucsyd.dk> writes:
> Det var på et tidspunkt hvor der var et sikkerhedshul på linux hvor man
> kunne komme ind som root uden at kende root password, der vil jeg helt klart
> foretrække at det kun er i DMZ at det sker, istedet for på firewallen hvor
> hackeren så kan fri adgang til hele netværket.
Der har vist været mere end et sikkerhedshul i software til Linux, der
var skyld i et rootexploit.
Men jeg ser din pointe, hvis dette sikkerhedshul befinder sig i
webserversoftwaren, som jo vil være det eneste der kan nås udefra på
webserveren.
> Eller hvad med Nimda [ ... ]
Den er lidt ligegyldig når vi snakker om Linux-maskiner
> Risikoen er ikke mindre for at blive angrebet, fordi man har et lille
> netværk, de fleste virksomheder der har deres egen webserver har også kun
> en, derfor mener jeg at 5 - 6 1½ cola er godt givet ud .
På mit netværk kan jeg så afsløre at jeg ikke har fundet den ekstra
sikkerhed de colaer til elselskabet værd.
> For at folk kan surfe på ens webserver er man nødtil at åbnet for porte over
> 1024, eller bliver der ikke surfet ret meget.
Nu tror jeg altså du har misforstået noget!
Din webserver lytter kun på port 80 (hvis den ikke er sat til andet:).
Den kan kun nås ved at oprette en TCP-forbindelse til port 80 på
webserveren, den vil ofte have en source-port der med et højt
portnummer (>1023).
Prøv fx at surfe forbi www.flof.dk (min hjemmeserver), og se om du
ikke kan surfe på den, og se derefter om den overhovedet vil svare dig
på en pakke du sender til en vilkårlig høj port (hint: jeg kører DROP
som default policy med iptables, så det vil den ikke). Havde porten
ikke været filtreret ville du få en TCP RST.
> Det skal man ikke på en CP FW1, den er klar over når man åbner en
> forbindelse på f.eks. port 80 så følger den med i hvilken source port der
> bliver tilknyttet den session så ser den stadigvæk den session som HTTP.
Det behøver man altså ikke stateful inspection for (så længe man
tillader pakker, hvor SYN-flaget ikke er sat), det kan klares med et
simpelt pakkefilter.
> Desuden ser jeg mange port scanninger i loggen på min firewall over 1024,
> eks.
Det er folk der scanner efter services der lytter på det porte.
> 31337
BackOrifice
> 445
Ehhh, ikke over 1023
Men det er vist noget Windows-noget,
< http://www.iana.org/assignments/port-numbers> siger Microsoft-DS, så
det er nok nogle der vil se om du deler filer eller noget.
> 4661
Du sidder vel ikke og kører eDonkey eller lignende fildelingsprogram,
vel?
> sunrpc
Heller ikke over 1023 (men 111). Ud over den åbenlyse er den vist også
interessant i forbindelse med et eller andet værktøj til DDoS-angreb,
hvor der var nogle der havde fundet et fint hul på Solaris-bokse på et
tidspunkt, så vidt jeg husker.
> Jeg aner ikke hvad de scanner efter, og jeg ønsker ikke at finde ud af det
> på mit eget netværk, men vil da ellers gerne vide hvad de søger efter .
Jeg håber du blev lidt klogere
> For at kunne modtage filer via ICQ er man nødtil at åbne for alle porte over
> 1024 da ICQ vælger en tilfældig port over 1024 til at sende med, det er en
> port der skal åbnes udefra.
Ja, men så kan man heldigvis sætte sin ICQ op til at lytte på nogle
bestemte porte. Min Licq lytter på 5 porte, så er der plads til lidt
SSL-forbindelser og til at jeg kan modtage filer uden problemer.
> Hvis alle porte over 1024 er åben er det ikke svært for en hacker at komme
> ind, OK der skal være en applikation til at tage imod, men det er jo hellere
> ikke svært at få ind, b.la. via mail.
Det kommer da an på hvilket mailprogram man bruger.
> Derfor modtager jeg ikke filer via ICQ.
Det gør jeg med stor fornøjelse fra venner og bekendte.
> Det gør jeg også, selvom det er en sikkerhedsbrist, der mener jeg at er der
> kommet en applikation ind som åbner for en forud bestemt port udaf til, så
> er ens netværk muligvis helt åbent
Du mener en trojan? Den slags lader man da "bare" være med at
installere
> der er selvfølgelig NAT som gør det en del svære at komme ind
For "hr. og fru Jensen" er NAT så absolut ofte en ting der er med til
at øge sikkerheden, da de ofte ikke har en personlig firewall
installeret på deres Windows 9x computer.
> men det må jo kunne lade sig gøre ellers var der ikke noget marked
> for firewalls, så er det rigeligt med en router.
En NAT-router er ikke en firewall. Går man i den tro er man naiv. Men
den fanger stort set alt hvad der er af portscanninger, så den løser
problemet på en god nok (for en passende værdi af god nok) for mange
mennesker.
> Hvis der er nogen der kender noget til hvordan man kommer ind, eller eks. på
> at hackere er kommet ind, selvom der er NAT, kunne jeg godt tænke mig at
> vide det, da det er et argument jeg hele tiden høre for ikke at få en
> firewall.
For "hr. og fru Jensen" vil det ofte være trojans, emailvira og den
slags der gør livet surt.
--
Jacob - www.bunk.cc
Don't panic.
| |
Biker-Man (03-01-2002)
| Kommentar Fra : Biker-Man |
Dato : 03-01-02 00:32 |
|
> > Eller hvad med Nimda [ ... ]
>
> Den er lidt ligegyldig når vi snakker om Linux-maskiner
>
Det ved jeg godt men det var bare et eks., grunde til at Microsoft er de
mest angrebne er fordi de mest udbredt, hvis Linux var lige så udbredt ville
det være lige så udsat for angreb.
Men hvis du er så naiv at du tror du er sikker fordi du køre Linux, jaaa så
er det dit eget problem.
> På mit netværk kan jeg så afsløre at jeg ikke har fundet den ekstra
> sikkerhed de colaer til elselskabet værd.
Fint det er jo bare dejligt, men sandsynligheden er der for er kan ske
noget, den er lille, der er selvfølgelig også chance for at der sker noget
når man deler alt trafik ud i DMZ, det handler om at man er tilfreds med den
sikkerhed man har, man får jo aldrig et 100 % sikkert netværk, de første
kroner man smider i sikkerhed er dem der er givet bedst ud, der får man mest
for pengende, derefter er det mindre og mindre sikkerhed man får for hver
krone.
> > For at folk kan surfe på ens webserver er man nødtil at åbnet for porte
over
> > 1024, eller bliver der ikke surfet ret meget.
>
> Nu tror jeg altså du har misforstået noget!
>
> Din webserver lytter kun på port 80 (hvis den ikke er sat til andet:).
> Den kan kun nås ved at oprette en TCP-forbindelse til port 80 på
> webserveren, den vil ofte have en source-port der med et højt
> portnummer (>1023).
>
Jeps næsten rigtigt, den vil ikke ofte men hvergang have en source-port over
1023, hvis port 80 er optaget er der jo ikke andre der kan få forbindelse.
> Prøv fx at surfe forbi www.flof.dk (min hjemmeserver), og se om du
> ikke kan surfe på den, og se derefter om den overhovedet vil svare dig
> på en pakke du sender til en vilkårlig høj port (hint: jeg kører DROP
> som default policy med iptables, så det vil den ikke). Havde porten
> ikke været filtreret ville du få en TCP RST.
>
Men source-port stadig over 1023, jeg kan poste et udklip på dk.binaer over
et udklip af min log hvis du ønsker det, jeg skal selvfølgelig nok male din
IP adresse over.
Det er derfor jeg mener at man i IP-Chains er nødtil at åbne for porte over
1023, hvis jeg har forstået det rigtigt, jeg har som tidligere nævnt kun
arbejdet med IP-Chains på den skoleperiode.
> Ehhh, ikke over 1023
> Men det er vist noget Windows-noget,
> < http://www.iana.org/assignments/port-numbers> siger Microsoft-DS, så
> det er nok nogle der vil se om du deler filer eller noget.
Nej men det var for at have eks. med om at der bliver scannet på porte under
1024
>
> > 4661
>
> Du sidder vel ikke og kører eDonkey eller lignende fildelingsprogram,
> vel?
Nope, så havde jeg nok ikke skrevet den, det er scanninger på porte der
bliver afvist.
>
> > sunrpc
>
> Heller ikke over 1023 (men 111). Ud over den åbenlyse er den vist også
> interessant i forbindelse med et eller andet værktøj til DDoS-angreb,
> hvor der var nogle der havde fundet et fint hul på Solaris-bokse på et
> tidspunkt, så vidt jeg husker.
Spændende, jeg lære muligvis noget her.
>
> > Jeg aner ikke hvad de scanner efter, og jeg ønsker ikke at finde ud af
det
> > på mit eget netværk, men vil da ellers gerne vide hvad de søger efter
.
>
> Jeg håber du blev lidt klogere
Det er jeg helt sikkert denne diskution har gjort mig lidt klogere, lækkert
>
> > For at kunne modtage filer via ICQ er man nødtil at åbne for alle porte
over
> > 1024 da ICQ vælger en tilfældig port over 1024 til at sende med, det er
en
> > port der skal åbnes udefra.
>
> Ja, men så kan man heldigvis sætte sin ICQ op til at lytte på nogle
> bestemte porte. Min Licq lytter på 5 porte, så er der plads til lidt
> SSL-forbindelser og til at jeg kan modtage filer uden problemer.
>
Efter hvad jeg har set i min log er det den der afsender der bestemmer
porten, eller er det modtageren der bestemmer porten, det er da muligt har
ikke undersøgt det nærmere.
> > Hvis alle porte over 1024 er åben er det ikke svært for en hacker at
komme
> > ind, OK der skal være en applikation til at tage imod, men det er jo
hellere
> > ikke svært at få ind, b.la. via mail.
>
> Det kommer da an på hvilket mailprogram man bruger.
>
Nej på nuværende tidspunkt er det mest Outlook der bliver gået efter,
grunden står højere oppe, ellers er Linux folk der vil have Gates ned med
nakken , det kunne han da også trænge til, men han giver mig da mad på
bordet hver dag *GGGG*
> Du mener en trojan? Den slags lader man da "bare" være med at
> installere
>
Ja ja, jeg har da ihvertfald hellere ikke hørt om nogen der er blevet
inficeret med noget ved at gå ind på en hjemmeside eller ved at åbne en
mail, OK det er ikke så tit man høre om det på linux, men der har vi igen
føromtalte grund.
> > men det må jo kunne lade sig gøre ellers var der ikke noget marked
> > for firewalls, så er det rigeligt med en router.
>
> En NAT-router er ikke en firewall. Går man i den tro er man naiv. Men
> den fanger stort set alt hvad der er af portscanninger, så den løser
> problemet på en god nok (for en passende værdi af god nok) for mange
> mennesker.
>
Hvem har skrevet at en NAT-router er en firewall.
> > Hvis der er nogen der kender noget til hvordan man kommer ind, eller
eks. på
> > at hackere er kommet ind, selvom der er NAT, kunne jeg godt tænke mig at
> > vide det, da det er et argument jeg hele tiden høre for ikke at få en
> > firewall.
>
> For "hr. og fru Jensen" vil det ofte være trojans, emailvira og den
> slags der gør livet surt.
>
OK tak for det.
Nå men nu gider jeg ikke mere, vi er jo enige i langt det meste, det er vist
mest ordkløveri det her er overbevist om at vi er enige i langt de fleste
ting og gode argumenter kan overbevise mig om en af de sidste små ting
(>1023).
Tak for den gode diskution og kampen
PS. det skader ikke at være lidt paranoid, man forlader jo hellere ikke sit
hjem uden at låse døren.
Mvh
Thomas
| |
Jacob Bunk Nielsen (03-01-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 03-01-02 01:07 |
|
"Biker-Man" <tvn@linux.eucsyd.dk> writes:
> Det ved jeg godt men det var bare et eks., grunde til at Microsoft er de
> mest angrebne er fordi de mest udbredt, hvis Linux var lige så udbredt ville
> det være lige så udsat for angreb.
Hov hov. I følge < http://www.netcraft.com/survey/> er Apache væsentlig
mere udbredt som webserver end IIS. Men du så i øvrigt tydeligvis
heller ikke min smiley.
> Men hvis du er så naiv at du tror du er sikker fordi du køre Linux, jaaa så
> er det dit eget problem.
Hvis jeg troede det, så havde jeg nok ikke gidet bruge tid på ipchains
og iptables. Jeg har set en Linux-boks der var blevet hacket.
>> Prøv fx at surfe forbi www.flof.dk (min hjemmeserver), og se om du
>> ikke kan surfe på den, og se derefter om den overhovedet vil svare dig
>> på en pakke du sender til en vilkårlig høj port (hint: jeg kører DROP
>> som default policy med iptables, så det vil den ikke). Havde porten
>> ikke været filtreret ville du få en TCP RST.
>>
> Men source-port stadig over 1023, jeg kan poste et udklip på dk.binaer over
> et udklip af min log hvis du ønsker det, jeg skal selvfølgelig nok male din
> IP adresse over.
Du skal være velkommen til at poste alt det du vil, og du behøver ikke
at male nogen IP-adresse over, den står alligevel i headeren på mine
indlæg. Hvilket format logger du i øvrigt i siden det ikke er ren
tekst, men noget binært?
Jeg vil i øvrigt mene at din firewall er fejlkonfigureret, hvis din
maskine har droppet pakker fra min webserver i forbindelse med at du
har surfet på min hjemmeside.
Jeg er mere interesseret i at se et dump fra en sniffer, hvor min
maskine sender en pakke til din computer med andet end source-port
80.
>> Ja, men så kan man heldigvis sætte sin ICQ op til at lytte på nogle
>> bestemte porte. Min Licq lytter på 5 porte, så er der plads til lidt
>> SSL-forbindelser og til at jeg kan modtage filer uden problemer.
>>
> Efter hvad jeg har set i min log er det den der afsender der bestemmer
> porten, eller er det modtageren der bestemmer porten, det er da muligt har
> ikke undersøgt det nærmere.
Det er modtageren der bestemmer (i hvert fald hvis man beder sin ICQ
om det). Min Licq viser i øvrigt også hvilken port ICQ-klienten i den
anden ende lytter på.
> Ja ja, jeg har da ihvertfald hellere ikke hørt om nogen der er blevet
> inficeret med noget ved at gå ind på en hjemmeside eller ved at åbne en
> mail, OK det er ikke så tit man høre om det på linux, men der har vi igen
> føromtalte grund.
Kørte Nimda ikke sådan noget hejs med at lægge et JavaScript ind i
HTML-siderne på en inficeret server, så man fik præsenteret sådan en
download-dialog-box, hvor man kunne download noget virus-hejs, når man
besøgte en inficeret webserver?
>> > men det må jo kunne lade sig gøre ellers var der ikke noget marked
>> > for firewalls, så er det rigeligt med en router.
>>
>> [ ... ]
>>
> Hvem har skrevet at en NAT-router er en firewall.
Det gjorde du implicit.
> Nå men nu gider jeg ikke mere [ ... ]
Jeg håber at du alligevel gider at vise mig hvilke vildfarne pakker
min webserver sender om sig. Jeg er nemlig lidt nysgerrig.
--
Jacob - www.bunk.cc
Xerox does it again and again and again and ...
| |
Biker-Man (03-01-2002)
| Kommentar Fra : Biker-Man |
Dato : 03-01-02 08:50 |
|
Så ligger der det screendump, under meddelsen "firewall log"
jeg gik ind på din hjemmeside flere gange, derfor forskellig sourceporte.
> Du skal være velkommen til at poste alt det du vil, og du behøver ikke
> at male nogen IP-adresse over, den står alligevel i headeren på mine
> indlæg. Hvilket format logger du i øvrigt i siden det ikke er ren
> tekst, men noget binært?
>
Det er bare et screen dump, jge har et CP FW1 er GUI baseret.
> Jeg vil i øvrigt mene at din firewall er fejlkonfigureret, hvis din
> maskine har droppet pakker fra min webserver i forbindelse med at du
> har surfet på min hjemmeside.
>
Nej den er ikke fejl konfiguret, jeg har sat den op til at logger alt
trafik.
> Jeg er mere interesseret i at se et dump fra en sniffer, hvor min
> maskine sender en pakke til din computer med andet end source-port
> 80.
>
Det kan du se i loggen
> Det er modtageren der bestemmer (i hvert fald hvis man beder sin ICQ
> om det). Min Licq viser i øvrigt også hvilken port ICQ-klienten i den
> anden ende lytter på.
>
OK
> > Ja ja, jeg har da ihvertfald hellere ikke hørt om nogen der er blevet
> > inficeret med noget ved at gå ind på en hjemmeside eller ved at åbne en
> > mail, OK det er ikke så tit man høre om det på linux, men der har vi
igen
> > føromtalte grund.
>
> Kørte Nimda ikke sådan noget hejs med at lægge et JavaScript ind i
> HTML-siderne på en inficeret server, så man fik præsenteret sådan en
> download-dialog-box, hvor man kunne download noget virus-hejs, når man
> besøgte en inficeret webserver?
>
Jo lige præsis, det skulle ikke undre mig at der på et tidspunkt er en
hacker som kan ligge noget ned på ens PC uden at der kommer en DL dialogbox.
> >> >der er selvfølgelig NAT som gør det en
> >> >del svære at komme ind, men det må jo kunne lade sig gøre ellers var
der
> >> >ikke noget marked for firewalls, så er det rigeligt med en router
> >>
> >> [ ... ]
> >>
> > Hvem har skrevet at en NAT-router er en firewall.
>
> Det gjorde du implicit.
OK så har jeg udtrykt mig forkert
Desuden er argumentet ikke godt nok, ang. NAT og firewall, med trojans og
vira er det stadigvæk porte der bliver åbnet indefra, det forhindre
firewallen ikke hvis der er åbnet for alt ud.
| |
Chano Andersen (03-01-2002)
| Kommentar Fra : Chano Andersen |
Dato : 03-01-02 09:21 |
|
On Thu, 3 Jan 2002 08:49:52 +0100, Biker-Man <tvn@linux.eucsyd.dk> enlightend everyone in dk.edb.netvaerk with:
>Jo lige præsis, det skulle ikke undre mig at der på et tidspunkt er en
>hacker som kan ligge noget ned på ens PC uden at der kommer en DL dialogbox.
>
Kan det ikke lade sig gøre, ved at lave en lille java applet der installere
det man vil installere? Man skal vidst lige gi' java tingen extra
rettigheder, men så har den vidst også fuld kontrol over systemet med reg
database, filsystem, netværk, og hvad den ellers måtte ha' lyst til at
bruge..
--
Chano Andersen (chano@mrfunny.yi.org)
MSN Messenger: chano_andersen@hotmail.com ICQ: 15377564
Yahoo! Messenger: mrfunny_dk AIM: mrfunnydk1
http://mrfunny.yi.org/
| |
Chano Andersen (03-01-2002)
| Kommentar Fra : Chano Andersen |
Dato : 03-01-02 09:18 |
|
On Thu, 03 Jan 2002 01:07:07 +0100, Jacob Bunk Nielsen <spam@bunk.cc> enlightend everyone in dk.edb.netvaerk with:
>Kørte Nimda ikke sådan noget hejs med at lægge et JavaScript ind i
>HTML-siderne på en inficeret server, så man fik præsenteret sådan en
>download-dialog-box, hvor man kunne download noget virus-hejs, når man
>besøgte en inficeret webserver?
>
Jo, er den ikke en flink lille en? Den sikre sig at man kan installere den
meget meget nemt. Lidt ligsom windows, der også har en nem installation ;)
Jeg har dog STADIG ikke forstået hvorfor folk gidder bruge tid på at skrive
den slags programmer, men det er måske bare mig der ikke fatter det? :-/
--
Chano Andersen (chano@mrfunny.yi.org)
MSN Messenger: chano_andersen@hotmail.com ICQ: 15377564
Yahoo! Messenger: mrfunny_dk AIM: mrfunnydk1
http://mrfunny.yi.org/
| |
Thomas S. Iversen (03-01-2002)
| Kommentar Fra : Thomas S. Iversen |
Dato : 03-01-02 13:04 |
|
| |
Jacob Bunk Nielsen (03-01-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 03-01-02 17:50 |
|
spamtrap@mrfunny.yi.org (Chano Andersen) writes:
> Kan det ikke lade sig gøre, ved at lave en lille java applet der installere
> det man vil installere? Man skal vidst lige gi' java tingen extra
> rettigheder, men så har den vidst også fuld kontrol over systemet med reg
> database, filsystem, netværk, og hvad den ellers måtte ha' lyst til at
> bruge..
For at den har tilstrækkelige rettigheder skal den være signeret. Se i
øvrigt
< http://java.sun.com/docs/books/tutorial/applet/practical/security.html>.
--
Jacob - www.bunk.cc
If you have to ask how much it is, you can't afford it.
| |
Chano Andersen (03-01-2002)
| Kommentar Fra : Chano Andersen |
Dato : 03-01-02 20:27 |
|
On Thu, 03 Jan 2002 17:50:26 +0100, Jacob Bunk Nielsen <spam@bunk.cc> enlightend everyone in dk.edb.netvaerk with:
>For at den har tilstrækkelige rettigheder skal den være signeret. Se i
>øvrigt
>< http://java.sun.com/docs/books/tutorial/applet/practical/security.html>.
>
Så føler jeg mig lidt mere sikker.
--
Chano Andersen (chano@mrfunny.yi.org)
MSN Messenger: chano_andersen@hotmail.com ICQ: 15377564
Yahoo! Messenger: mrfunny_dk AIM: mrfunnydk1
http://mrfunny.yi.org/
| |
Jacob Bunk Nielsen (03-01-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 03-01-02 18:02 |
|
"Biker-Man" <tvn@linux.eucsyd.dk> writes:
> Så ligger der det screendump, under meddelsen "firewall log"
> jeg gik ind på din hjemmeside flere gange, derfor forskellig sourceporte.
Ja, jeg kan også se at du har checket om jeg kører en proxy, det gør
jeg, som du nok opdagede ikke ;)
>> Hvilket format logger du i øvrigt i siden det ikke er ren tekst,
>> men noget binært?
>
> Det er bare et screen dump, jge har et CP FW1 er GUI baseret.
Besværligt. Hvad gør du så i abuse-situationer?
>> Jeg vil i øvrigt mene at din firewall er fejlkonfigureret, hvis din
>> maskine har droppet pakker fra min webserver i forbindelse med at du
>> har surfet på min hjemmeside.
>>
> Nej den er ikke fejl konfiguret, jeg har sat den op til at logger alt
> trafik.
Aha, der står også accept ud for den regel. Jeg forstår stadig ikke
hvorfor du skal tillade trafik indgående med destination-porte over
1024, hvor SYN-flaget er sat?
Det du her viser er bare at din computer har snakket til min
webservers port 80 fra port 3130. Der er stadig ikke oprettet nogle
forbindelser *fra* min server til din maskine. Det trafik der kommer
ind på port 3130 fra min webservers port 80 er jo data der er del af
en etableret forbindelse, hvilket din firewall med stateful inspection
ser og tillader trafikken. Havde det bare været en vildfaren pakke,
hvor SYN-flaget ikke er sat havde firewallen med stateful inspection
fanget den, mens firewallen uden højst sandsynlig havde lukket den
ind.
I øvrigt logger jeg ikke trafik jeg tillader. Det ville bliver fælt
mange pakker, så min log ville blive enorm lynhurtigt.
>> Jeg er mere interesseret i at se et dump fra en sniffer, hvor min
>> maskine sender en pakke til din computer med andet end source-port
>> 80.
>>
> Det kan du se i loggen
Nej, det kan jeg netop ikke se!
Jeg kan se at min maskine har sendt pakker med source-port 80 (http),
jeg kan ikke se at den har sendt noget med andet end 80 som
source-port.
Umiddelbart tror jeg du roder rundt i hvad der er source-port og
destination-port i TCP-pakker.
Lad os sige at vi har en TCP-forbindelse mellem dincomputer og
www.flof.dk, der ser således ud:
dincomputer:3130 www.flof.dk:80
Så vil trafik *fra* www.flof.dk *til* dinmaskine have source-port 80
og destination-port 3130. Trafik fra dinmaskine til www.flof.dk vil
have destination-port 80 og source-port 3130 (altså omvendt af når
trafikken går den anden vej).
> Desuden er argumentet ikke godt nok, ang. NAT og firewall, med trojans og
> vira er det stadigvæk porte der bliver åbnet indefra, det forhindre
> firewallen ikke hvis der er åbnet for alt ud.
Nej.
--
Jacob - www.bunk.cc
I don't remember it, but I have it written down.
| |
Jacob Bunk Nielsen (01-01-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 01-01-02 19:30 |
|
"Biker-Man" <tvn@linux.eucsyd.dk> writes:
> Jeg vil anbefale at du får fat i en ny server til hjemmesiden og benytter
> din 200 Mhz som firewall, jeg tror ikke den 200 Mhz er kraftig nok, men jeg
> har inden erfaring med hvor kraftige maskiner der skal til for at hoste
> hjemmsider.
En 200 MHz maskine kan sagtens håndtere masser af hjemmesider, og kan
sagtens mætte en 512 kbps linie, forudsat at det ikke er alt for
avancerede hjemmesider med store database-queries og den slags. Jeg
har selv 3 domæner (og en stak vhosts under et af dem) hostet
herhjemme på min hjemmeserver, og den sveder ikke ligefrem.
> Du kan benytte telnet til at administreret din web server og firewall fra
> andre maskiner, du skal bare huske at få lukket for alt trafik til din
> firewall, da der ellers kan benyttes telnet fra Internettet af.
Selv på et lokalnet har SSH fordele over telnet. telnetd bør IMHO slet
ikke køre, hvis man ikke har en meget god grund.
--
Jacob - www.bunk.cc
The more you sweat in peace, the less you bleed in war.
| |
Jesper Nielsen (01-01-2002)
| Kommentar Fra : Jesper Nielsen |
Dato : 01-01-02 21:17 |
|
"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:spamdrop+m37kr1exgq.fsf@paven.bunk.cc...
> "Biker-Man" <tvn@linux.eucsyd.dk> writes:
>
> > Jeg vil anbefale at du får fat i en ny server til hjemmesiden og
benytter
> > din 200 Mhz som firewall, jeg tror ikke den 200 Mhz er kraftig nok, men
jeg
> > har inden erfaring med hvor kraftige maskiner der skal til for at hoste
> > hjemmsider.
>
> En 200 MHz maskine kan sagtens håndtere masser af hjemmesider, og kan
> sagtens mætte en 512 kbps linie, forudsat at det ikke er alt for
> avancerede hjemmesider med store database-queries og den slags. Jeg
> har selv 3 domæner (og en stak vhosts under et af dem) hostet
> herhjemme på min hjemmeserver, og den sveder ikke ligefrem.
>
> > Du kan benytte telnet til at administreret din web server og firewall
fra
> > andre maskiner, du skal bare huske at få lukket for alt trafik til din
> > firewall, da der ellers kan benyttes telnet fra Internettet af.
>
> Selv på et lokalnet har SSH fordele over telnet. telnetd bør IMHO slet
> ikke køre, hvis man ikke har en meget god grund.
>
Vores hjemmeside som skal ligge på serveren er udelukkende konstrueret i
Wilbur HTML3 af hensyn til alle de gamle browsere, der rent faktisk kører
rundt omkring.
Siten er faktsik temmelig lowtech., men der foreligger alligevel mulighed
for download af en folder i diverse formater.
a.. Microsoft Word ver. 7.0 (187.422 byte)
a.. Microsoft Word til Macintosh 5.0 (94.798 byte)
a.. Works 4.0 til Windows (96.834 byte)
a.. WordStar 7.0 (3.462 byte)
a.. WordPerfect 6.1 til Windows (205.344 byte)
a.. Rich Text Format(233.613 byte)
a.. Det er vist det mest avancerede ved siten.
a.. Herudover kører vi en smule CSS og en anelse javascript i form af
Mouseonover.
Det er altså ikke en tung site, vi taler om.
Hvad er SSH?
Et opensource program?
Mvh
Jesper Nielsen
www.kolindsund.dk
| |
Jacob Bunk Nielsen (01-01-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 01-01-02 22:15 |
|
"Jesper Nielsen" <Jni@tdcadsl.dk> writes:
> Siten er faktsik temmelig lowtech., men der foreligger alligevel mulighed
> for download af en folder i diverse formater. [ ... ]
Det er ikke noget der generes dynamisk på nogen måde, vel? Det er bare
filer er ligger på serveren, og som kan hentes? Så kan en 486'er
sikkert fint klare den sag. En 200 MHz maskine skulle i hvert fald
være rigeligt.
> a.. Herudover kører vi en smule CSS og en anelse javascript i form af
> Mouseonover.
Det kører kun på klientsiden, så det belaster ikke serveren mere end
så meget andet statisk der kan hentes fra serveren.
> Hvad er SSH?
> Et opensource program?
SSH er Secure SHell, som bruges til at få sikker terminaladgang til en
Unix-maskiner. OpenSSH er open source, og kan hentes fra
< http://www.openssh.com/>. Det følger med de fleste
Linux-distributioner nu om dage.
--
Jacob - www.bunk.cc
All things being equal, you are bound to lose.
| |
Jacob Bunk Nielsen (01-01-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 01-01-02 22:23 |
|
"Jesper Nielsen" <Jni@tdcadsl.dk> writes:
> Herudover mener du altså, skal jeg bruge en maskine som firewall med 3
> ethernetkort sat i med Linux og Ipchains software + en kraftigere server.
> Hvor kraftig skal sådan en firewallmaskine være?
iptables vil nok være et bedre valg end ipchains, da iptables er nyere
og kan en del mere.
Så længe vi snakker om en lille ADSL, så kan en 486'er fint klare
sagen. Jeg vil dog umiddelbart tro at det er lidt overkill at sætte
flere maskiner op i dit tilfælde.
> Er der nogle minimumsspecs. man bør overholde med hensyn til ram, harddisk
> mm vedr. sådan en computerfirewall.
Næh, du kan jo prøve dig frem
Er der fx ikke plads til at installere det OS du har valgt, så har du
for lidt harddiskplads osv.
> Jeg er nødt til at spørge dumt om nogle af betegnelserne.
Hjælp til selvhjælp; smut en tur forbi < http://www.net-faq.dk/>.
> Angående Pro@cces blev jeg rådet til at vælge Bredbånd på grund af den
> gratis mulighed for fast IPadresse.
Bredbånd er også helt fint, hvis man bare vil køre en
hyggehjemmeside. En af mine venner har fx sit domæne hosted derhjemme
på en sådan en Bredbånd med fast IP-adresse.
> Men jeg har altså behov for flere IPadresser?
Nej. 1 kan sagtens gøre det.
> Er der nogen, der har en ide om hvor kraftig en server, jeg har behov for?
Sikkert bare en 486'er. Men det bliver altså lidt sjovere at arbejde
med, hvis det i det mindste er en pentium.
> Server forventer jeg at skulle køre på Linux/apache software.
> Hvad er behovet for ram i sådan en maskine.
Så meget som muligt
Men det kan godt køre med 32 MB uden problemer. Har du lige noget
liggende, så sæt det endelig i.
--
Jacob - www.bunk.cc
Change your thoughts and you change your world.
| |
Jesper Nielsen (02-01-2002)
| Kommentar Fra : Jesper Nielsen |
Dato : 02-01-02 00:06 |
|
>
> Så længe vi snakker om en lille ADSL, så kan en 486'er fint klare
> sagen. Jeg vil dog umiddelbart tro at det er lidt overkill at sætte
> flere maskiner op i dit tilfælde.
Dvs. at jeg ikke bør anskaffe mig en maskine til firewall og en som server?
> Hjælp til selvhjælp; smut en tur forbi < http://www.net-faq.dk/>.
Tak for linket
Der er så læsestof til et par timer
>
> > Angående Pro@cces blev jeg rådet til at vælge Bredbånd på grund af den
> > gratis mulighed for fast IPadresse.
>
> Bredbånd er også helt fint, hvis man bare vil køre en
> hyggehjemmeside. En af mine venner har fx sit domæne hosted derhjemme
> på en sådan en Bredbånd med fast IP-adresse.
>
Ok! så holder jeg mig til TDC Bredbånd med en fast IPadresse.
> > Er der nogen, der har en ide om hvor kraftig en server, jeg har behov
for?
>
> Sikkert bare en 486'er. Men det bliver altså lidt sjovere at arbejde
> med, hvis det i det mindste er en pentium.
>
Mægtigt, så scorer jeg mig en gammel P200 eller lign. med SD-ram, det er jo
stadig til at få fat i.
Så lige et tillægsspørgsmål!
Der er vel grænser for hvor langt, der må være mellem computerne i et
netværk?
Hvilket type kabel anvendes der?
Mvh
Jesper Nielsen
Og tusind tak for yderst velkvalificerede svar på banale spørgsmål, der til
tider var ved at løbe lidt OT.
| |
alwresuihalert (01-01-2002)
| Kommentar Fra : alwresuihalert |
Dato : 01-01-02 22:40 |
|
snip
> Jeg har en forestilling om at der skal oprettes et netværk mellem de 3
> maskiner, således at jeg eksempelvis kan få adgang til filer på min nye
> maskine nede fra den gamle og omvendt.
> Derudover skal serveren kunne betjene besøgende med HTMLsider.
> Sitet kører næsten udelukkende med HTML-filer. Vi har kun lagt en lille
> smule scripts ind i form af CSS og Mouse onover.
CSS og Mouse onover(JavaScript), er clientside scripts (fx JavaScript og
DHTML). Det er de enkelte brugeres computere der skal "køre" disse scripts.
For din webserver gør det ingen forskel, om du har en HTML fil med eller
uden CSS og mouseover, hvis de begge fylder fx 5 kilobytes.
Hvis du brugte server side scripts (fx PHP, ASP og CGI), ville det kræve
noget af serveren.
> Sitet er temmelig stort (mere end 250 selvstændige sider)og har ca. 1.500
> besøgende pr måned.
> Hvor kraftig en server bør jeg anskaffe? (kan en gammel P200 gøre det,
eller
> bør den være større?
> Jeg forventer at opgradere min ADSL-linie hos TDC bredbånd til
> 1Mb/s,/256Kb/s.
Mht. serveren, er det upstream der er vigtig - altså nummer 2 tal i
1Mbs/256Kbs. De besøgende på dit website, oplever ingen fordel af at du har
fx 2048/512 kbps i stedet for 512/512kbps. 512kbps er max. for ADSL.
> Jeg regner med, at serveren skal køre Linux
Ja, god ide - det kræver meget mindre CPU kraft end Windows. RAM er også
vigtigt for servere - hvor meget har den? Jeg vil anbefale at du bruger
Apache som webserver. Det kan sagtens køre fint på en 200 Mhz linux server,
og på en ADSL linje, vil det ikke være din 200 Mhz der er flaskehalsen, hvis
der er mange brugere, men ADSL linjen.
For the record: Disse er ikke netværksspørgsmål.
| |
Jacob Bunk Nielsen (02-01-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 02-01-02 00:21 |
|
"Jesper Nielsen" <Jni@tdcadsl.dk> writes:
> Dvs. at jeg ikke bør anskaffe mig en maskine til firewall og en som server?
Nej, den samme maskine kan sagtens klare begge dele. Det betyder godt
nok at man må gå på kompromis med nogle sikkerhedsaspekter, men i et
lille hjemmenetværk gør det næppe de store, så længe man sætter det
forsvarligt op.
> Der er vel grænser for hvor langt, der må være mellem computerne i et
> netværk?
< http://www.net-faq.dk/cgi-bin/faqmain.pl?get=range>
> Hvilket type kabel anvendes der?
< http://www.net-faq.dk/cgi-bin/faqmain.pl?get=tp>
--
Jacob - www.bunk.cc
A mushroom cloud has no silver lining.
| |
|
|