|
| Zonealarm og udbyder Fra : Peter |
Dato : 01-02-02 01:08 |
|
I forlængelse af debatten i "Zonealarm fangst" har jeg et par spørgsmål.
1) Hver gang jeg er på nettet blokerer Zonealarm talrige "kontaktforsøg" fra
min udbyder. (ICMP Unreachable) from 62.61.129.250. Er der nogen der ved
hvorfor ydbyderen "kalder op" hele tiden? (Det hele kører upåklageligt selv
om Zonealarm blokerer).
2) Hver gang jeg starter nettet skal jeg give tilladelse til "Tjenester og
controllerprogrammer", ellers kommer jeg ikke på.
Hvorfor?
På forhånd tak for hjælpen, Peter
| |
Kasper Dupont (01-02-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 01-02-02 08:35 |
|
Peter wrote:
>
> I forlængelse af debatten i "Zonealarm fangst" har jeg et par spørgsmål.
>
> 1) Hver gang jeg er på nettet blokerer Zonealarm talrige "kontaktforsøg" fra
> min udbyder. (ICMP Unreachable) from 62.61.129.250. Er der nogen der ved
> hvorfor ydbyderen "kalder op" hele tiden? (Det hele kører upåklageligt selv
> om Zonealarm blokerer).
Det er sandsynligvis fordi, din maskine har sendt pakker til en ikke
eksisterende IP addresse. Din firewall burde kunne genkende pakkerne
som svar på udgående pakker. Kig nærmere på ICMP pakkerne, de
indeholder oplysninger om hvilken pakke de er svar på.
>
> 2) Hver gang jeg starter nettet skal jeg give tilladelse til "Tjenester og
> controllerprogrammer", ellers kommer jeg ikke på.
> Hvorfor?
Det er ikke nogen særlig præcis beskrivelse af problemet, så mit svar
kan kun blive et gæt. Mener du, at du kun skal give den tilladelse
når du starter, og at du kan slå den fra igen bagefter? Eller mener
du, at din firewall ikke kan gemme indstillingerne?
Når du går på nettet vil din computer muligvis skulle hente sin IP
addresse fra en DHCP server, det skal din firewall naturligvis give
lov til. Efterfølgende kan man sagtens lukke for DHCP og køre videre
uden problemer et stykke tid, men før eller siden vil DHCP serveren
tro, at din computer ikke bruger addressen mere og give den til en
anden.
>
> På forhånd tak for hjælpen, Peter
--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk
| |
Peter (01-02-2002)
| Kommentar Fra : Peter |
Dato : 01-02-02 11:34 |
|
Tusind tak til Kasper
Ja, det er jo ret afslørende, når man ved så lidt, at man knapt kan spørge
ordentligt (og heller ikke helt kan forstå svarene). Men jeg prøver stille
og roligt at sætte mig ind i de mest elementære ting om sikkerhed.
Jeg ved faktisk ikke hvordan jeg skal "kigge nærmere" på ICPM pakkerne.
Min log skriver sådan her:
FWIN,2002/02/01,09:53:19 +1:00 GMT,62.61.129.250:0,10.0.1.79:0,ICMP
(type:3/subtype:3)
PE,2002/02/01,09:54:03 +1:00 GMT,Tjenester og
controllerprogrammer,62.61.129.251:53,N/A
Ang. Tjenester og controllerprogrammer, så beder t&c om acces når jeg logger
på. Når jeg har sagt ja til det, kører alt upåklageligt. Og jeg foretager
mig ikke yderligere. Hvis jeg har forstået tingene rigtigt, tror jeg du har
ret i dit gæt om at computeren skal hente sin IP addresse fra en DHCP
server. (F.eks. kan jeg tilslutte en fremmed computer til min hub, og den
kommer så uden videre på nettet).
Endnu en gang tak for hjælpen, Peter
- - - - -
> Det er sandsynligvis fordi, din maskine har sendt pakker til en ikke
> eksisterende IP addresse. Din firewall burde kunne genkende pakkerne
> som svar på udgående pakker. Kig nærmere på ICMP pakkerne, de
> indeholder oplysninger om hvilken pakke de er svar på.
- - - - - -
> Det er ikke nogen særlig præcis beskrivelse af problemet, så mit svar
> kan kun blive et gæt. Mener du, at du kun skal give den tilladelse
> når du starter, og at du kan slå den fra igen bagefter? Eller mener
> du, at din firewall ikke kan gemme indstillingerne?
>
> Når du går på nettet vil din computer muligvis skulle hente sin IP
> addresse fra en DHCP server, det skal din firewall naturligvis give
> lov til. Efterfølgende kan man sagtens lukke for DHCP og køre videre
> uden problemer et stykke tid, men før eller siden vil DHCP serveren
> tro, at din computer ikke bruger addressen mere og give den til en
> anden.
>
> >
> > På forhånd tak for hjælpen, Peter
>
> --
> Kasper Dupont
> For sending spam use mailto:razor-report@daimi.au.dk
| |
Kasper Dupont (01-02-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 01-02-02 16:55 |
|
Peter wrote:
>
> FWIN,2002/02/01,09:53:19 +1:00 GMT,62.61.129.250:0,10.0.1.79:0,ICMP
> (type:3/subtype:3)
Hvis 10.0.1.79 er din egen computers IP addresse må det
betyde, at din netforbindelse går igennem en boks der laver
NAT/masquerading. I så fald kan det også være den boks, der
fungerer som DHCP server for din computer. (Mens den selv er
DHCP klient mod en anden server, men det er så en helt anden
historie.)
> PE,2002/02/01,09:54:03 +1:00 GMT,Tjenester og
> controllerprogrammer,62.61.129.251:53,N/A
Port 53 bruges til DNS. Hvis 62.61.129.251 er din DNS server
skulle den pakke ikke være noget problem. Men jeg undrer mig
lidt over, at din firewall beklager sig over pakken.
Firewallen burde kunne genkende pakken som svar på en pakke
sendt fra din computer. Men måske er Zonealarm ikke en
statefull firewall?
Det er ikke DHCP, for det kører på port 67 og 68. Måske
bliver din firewall startet for sent til at se DHCP pakkerne.
I så fald vil din computer måske være ubeskyttet i et kort
øjeblik under opstarten.
--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk
| |
Peter (02-02-2002)
| Kommentar Fra : Peter |
Dato : 02-02-02 00:18 |
|
Igen tak til Kasper fordi du tog dig tid til at svare. Der er stadig flere
ting jeg ikke forstår, men nu vil jeg da starte med at slå dem op. F.eks.
aner jeg ikke hvad en "statefull firewall" er.
Mange hilsener, Peter
| |
Kasper Dupont (02-02-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 02-02-02 00:57 |
|
Peter wrote:
>
> Igen tak til Kasper fordi du tog dig tid til at svare. Der er stadig flere
> ting jeg ikke forstår, men nu vil jeg da starte med at slå dem op. F.eks.
> aner jeg ikke hvad en "statefull firewall" er.
En statefull firewall kan huske nogle oplysninger om tidligere
pakker og anvende dem til at afgøre hvilke pakker der slippes
igennem og hvilke der ikke gør.
En stateless firewall kan ikke huske hvilke pakker den har set
tidligere, og kan kun vælge udfra nogle faste regler.
Fordelen ved en statefull firewall er f.eks., at når du
modtager et svar kan den huske om du rent faktisk har spurgt
efter det. Så kan man vælge, at svaret kun skal lukkes ind,
hvis man har spurgt efter det.
De simpleste statefull firewalls burde kunne håndtere UDP, TCP
og i en hvis udstrækning ICMP. Mere avancerede statefull
firewalls kan også håndtere nogle ovenliggende protokoller som
f.eks. FTP, der ellers kan volde mange problemer.
--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk
| |
Alex Holst (02-02-2002)
| Kommentar Fra : Alex Holst |
Dato : 02-02-02 01:11 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Peter wrote:
>>
>> Igen tak til Kasper fordi du tog dig tid til at svare. Der er stadig flere
>> ting jeg ikke forstår, men nu vil jeg da starte med at slå dem op. F.eks.
>> aner jeg ikke hvad en "statefull firewall" er.
>
> En statefull firewall kan huske nogle oplysninger om tidligere
Totalt nitpicking men:
stateful
wonderful
beautiful
Kun eet "l."
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Peter (02-02-2002)
| Kommentar Fra : Peter |
Dato : 02-02-02 01:40 |
|
> Totalt nitpicking men:
>
> stateful
> wonderful
> beautiful
>
> Kun eet "l."
- - - - -
Ja, det måtte jeg såmend også slå op.
Hilsen, Peter
| |
Kasper Dupont (02-02-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 02-02-02 07:18 |
|
Alex Holst wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
> > Peter wrote:
> >>
> >> Igen tak til Kasper fordi du tog dig tid til at svare. Der er stadig flere
> >> ting jeg ikke forstår, men nu vil jeg da starte med at slå dem op. F.eks.
> >> aner jeg ikke hvad en "statefull firewall" er.
> >
> > En statefull firewall kan huske nogle oplysninger om tidligere
>
> Totalt nitpicking men:
>
> stateful
> wonderful
> beautiful
>
> Kun eet "l."
Ja, ja, ja, jeg har aldrig kunnet finde ud af at stave.
Heldigvis er mine evner indenfor edb bedre end mine
evner indenfor stavning.
--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk
| |
Mogens Meier Christe~ (02-02-2002)
| Kommentar Fra : Mogens Meier Christe~ |
Dato : 02-02-02 02:20 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3C5ABA3F.D01E1697@daimi.au.dk...
>Måske
> bliver din firewall startet for sent til at se DHCP pakkerne.
> I så fald vil din computer måske være ubeskyttet i et kort
> øjeblik under opstarten.
Svjh fra min korte tid med ZoneAlarm installerer den sit egen net-driver,
som nægter al trafik før selve programmet er startet op. Jeg er dog ikke
sikker.
--
Mvh. Mogens
Bach.scient. i datalogi. Søger IT-job på Fyn!
www.momech.dk
| |
|
|