---

Se der lige en ting som undrer mig lidt....
Nu har jeg ikke den store forstand på Firewall og protokoller og porte, men
jeg har lige et par spm:

1)
HGvis en på et LAN spøger en web-server et eller andet sted om en
hjemmeside, så spørger den på port 80 og får et reply på en "tilfældig"
eller ledig port over 1023 ???
Hvordan bestemmes denne port?
Er man så nødt til at holde alle porte over 1023 åbne?

2)
Som regel er der nogle kritiske porte som skal holdes lukket!
F.eks. hører man tit om at Telnet port 23 SKAL være lukket!
Men hvorfor egentlig ?
Kan en angriber ikke foretage samme angreb på port 80 som 53 som 80 eller
119, når han sidder udefra og vil ind på en port... jeg forstår det ikke
rigtigt!

3)
Kender I ikke en god FAQ om firewalls ?


--
Hilsen
Anders Tjerke Hansen
DK-2600 Glostrup

---

On Sun, 27 Jan 2002 23:00:58 +0100, "___ Anders T. Hansen ____"
<ath1234@dontsendmemails.dk> wrote:

> HGvis en på et LAN spøger en web-server et eller andet sted om en
> hjemmeside, så spørger den på port 80 og får et reply på en "tilfældig"
> eller ledig port over 1023 ???

Klienten spørger med destination port 80, fra en af klienten
valgt source-port).

> Hvordan bestemmes denne port?

Af klienten.

> Er man så nødt til at holde alle porte over 1023 åbne?

En fornuftig firewall holder styr på, hvilke forbindelser, der er
sat op 'indefra' og tillader svar på de forbindelser 'udefra'. Så
nej.

> Som regel er der nogle kritiske porte som skal holdes lukket!

Min holdning er som, at alle porte skal holdes lukket, med mindre
man med sikkerhed ved, at man har brug for at åbne dem. Og kun
hvis man ved, hvordan man på en sikker måde kan håndtere trafik
til/fra dem.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

Dvs. port 80 skal være åben for trafik der går ind gennem "det inderste ben"
og ud "gennem det yderste ben" ..
og FW åbner kun for porte hvis det er et svar til den rette source ???

Hvordan holder en FW styr på det?

Forestil dig et netværk (uden VPN og lignende), der KUN har brug for
Internettet til at skrive/hente mail og web...
Er det så kun port 25 og 80 som er nødvendig fra LAN og ud til WAN ???
Hvis FW selv holder styr på forbindelserne ind igen... så er det vel ikke i
dette enkle tilfælde
nødvendigt at lukke op for nogle porte fra WAN og ind gennem FW til LAN ???

Du skriver:
> En fornuftig firewall ...

Er det ikke alle FW's der da kan holde styr på det?


Hilsen
Anders Tjerke Hansen
DK-2600 Glostrup

---

Hej "___ Anders T. Hansen ____" <ath1234@dontsendmemails.dk>

>og FW åbner kun for porte hvis det er et svar til den rette source ???
>Hvordan holder en FW styr på det?

Den benytter en tabel, hvor den holder styr på igangværende sessioner.

>Hvis FW selv holder styr på forbindelserne ind igen... så er det vel ikke i
>dette enkle tilfælde
>nødvendigt at lukke op for nogle porte fra WAN og ind gennem FW til LAN ???

Korrekt.

>Du skriver:
>> En fornuftig firewall ...
>
>Er det ikke alle FW's der da kan holde styr på det?

Hvis man kan kalde en boks der filtrerer via accesslists for en
firewall, så nej. Alle professionelle firewalls benytter enten
stateful eller proxy inspection, og de kan godt kende forskel på
sessioner og fra hvilken side de er initierede.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Hej!

Tak for dit gode svar, men jeg vil faktisk gerne vide lidt mere om den
tabel, som den benytter til
at holde styr på igangværende sessioner. Jeg kan sagtens forestille mig en
tabel, hvor sessionerne bliver registreret... men hver sesssion må vil så
have et unikt nr.....
.... hvor bliver det så sat henne?

Hvem kan forklare lidt om det?
Alternativt gi' et link: Hvor kan jeg læse mere om dette ???


Hilsen
Anders Tjerke Hansen
DK-2600 Glostrup

---

Hej "___ Anders T. Hansen ____" <ath1234@dontsendmemails.dk>

>Tak for dit gode svar, men jeg vil faktisk gerne vide lidt mere om den
>tabel, som den benytter til
>at holde styr på igangværende sessioner. Jeg kan sagtens forestille mig en
>tabel, hvor sessionerne bliver registreret... men hver sesssion må vil så
>have et unikt nr.....
>... hvor bliver det så sat henne?

Det bliver ikke sat nogen steder. Sessionerne er unikt repræsenteret
ved source / destination ip-adr og port. Firewall'en kan således
identificere en pakke som værende en del af en session der skal
tillades eller ikke.

Ofte er en firewall kombineret med NAT og så vil det være kombineret
med en translationstabel. Den "overloader" porte, således at et stort
antal interne ip-adresser repræsenteres ved den samme ip-adresse
udaftil.

Det er lidt samme princip.

>Hvem kan forklare lidt om det?
>Alternativt gi' et link: Hvor kan jeg læse mere om dette ???

Du kan starte med at kigge på 'firewall' i dit link jeg har i
signaturen. Ellers er google.com din ven.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Ok. Tak for en god forklaring...

---

Men skal der åbnes for relevante IPSec-protokoller både "ind" og "ud",
hvis der er VPN placeret i DMZ-zonen?

Hilsen
Anders Tjerke Hansen
DK-2600 Glostrup