---

Hej gruppe
Jeg har brug for at give mine brugere FTP adgang til deres filer i
virksomheden og det er jo ikke så godt eftersom brugernavn og password
bliver sendt ukrypteret via nettet.
Hvis jeg nu kendte ip puljerne hos de danske internet udbydere, kunne jeg i
hvertfald begrænse et hacker forsøg til vores eget land.
Er der nogen der kender et sted, hvor jeg kan finde de oplysninger ?
Hvor usikkert er det egentlig at sende ukrypteret ?
Jeg mener det foregår jo fra dansk isp til dansk isp og så er der vel ikke
mulighed for at f.eks. en kinesisk hacker sidder og opsnapper noget....
Mvh
Jess M

---

Jess Mathiasen <jessm@get2net.dk> wrote:
> Jeg har brug for at give mine brugere FTP adgang til deres filer i
> virksomheden og det er jo ikke så godt eftersom brugernavn og password
> bliver sendt ukrypteret via nettet.

I efterhaanden mange tilfaelde er selve passwordet, og ikke det faktum
at det sendes ukrypteret over nettet, den stoerste trussel.

Hvis du skal beskytte information af selv nogenlunde vaerdi skal du nok
kigge efter noget andet end almindelige passwords. Jeg har skrevet lidt
om det i OSS'en:

   http://a.area51.dk/sikkerhed/servere#fjernadgang

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Jess Mathiasen <jessm@get2net.dk> wrote:
> Hvis jeg nu kendte ip puljerne hos de danske internet udbydere, kunne jeg i
> hvertfald begrænse et hacker forsøg til vores eget land.
> Er der nogen der kender et sted, hvor jeg kan finde de oplysninger ?
> Hvor usikkert er det egentlig at sende ukrypteret ?
> Jeg mener det foregår jo fra dansk isp til dansk isp og så er der vel ikke
> mulighed for at f.eks. en kinesisk hacker sidder og opsnapper noget....

Jeg synes ioevrigt at IP begraesning saa kun danske IP adresser har
adgang er saa daarlig en ide at du ikke boer bruge mere tid paa det. Der
findes sikkert masser af danske maskiner som har ubudne gaester..

Tilstraekkelig staerk brugervalidering og hurtig reaktion i tilfaelde af
annoncerede sikkershedsfejl i dit software kan opvejes imod din
sikkerhedspolitik. Det kan filtering af resten af verdenen ikke
umiddelbart.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> writes:

>Jeg synes ioevrigt at IP begraesning saa kun danske IP adresser har
>adgang er saa daarlig en ide at du ikke boer bruge mere tid paa det. Der
>findes sikkert masser af danske maskiner som har ubudne gaester..

Og tonsvis af åbne proxyservere, der får hele ideen til at gå i fisk.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:

> Og tonsvis af åbne proxyservere, der får hele ideen til at gå i fisk.

Som fx compaq servere og klienter.

---

Jess Mathiasen wrote:

> Hvis jeg nu kendte ip puljerne hos de danske internet udbydere, kunne jeg i
> hvertfald begrænse et hacker forsøg til vores eget land.

http://asdf.dk/euroip/dk.txt

> Er der nogen der kender et sted, hvor jeg kan finde de oplysninger ?
> Hvor usikkert er det egentlig at sende ukrypteret ?

Der hvor risikoen for aflytning nok er størst dit (og brugernes) lokale
LAN. Hvor sikkert er det lokale LAN? Er det et switched netværk? (ikke
at det gør aflytning umuligt, men det hjælper)

> Jeg mener det foregår jo fra dansk isp til dansk isp og så er der vel ikke
> mulighed for at f.eks. en kinesisk hacker sidder og opsnapper noget....

Sandsynligheden er ret lille. Sandsynligheden for at der sidder nogen på
dit lokale LAN og kigger med er nok væsentligt større. Hvor stor tillid
har du til din netværksadministrators integritet?

--
Hroi Sigurdsson hroi@asdf.dk
Danske nyhedsfeeds i RSS-format: http://asdf.dk/rss/da/

---

Mange tak for jeres svar begge to.
Jeg sidder og griner lidt, for det er mig der er netværksansvarlig og jeg
tror på min egen integritet
Alex, har du nogen bud på hvordan jeg implementere en anden
valideringsmetode end password ? evt. links ?
Den eneste gang vi havde besøg af en hacker på vores net, kom han fra Kina !
Bl.a. derfor vil jeg gerne ha' ip listen, tak for den Hroi.
Mvh
Jess M

---

Jess Mathiasen wrote:

> Den eneste gang vi havde besøg af en hacker på vores net, kom han fra Kina !
> Bl.a. derfor vil jeg gerne ha' ip listen, tak for den Hroi.


Jeg forstår ikke dit argument for at bruge en "positiv" liste over
danske ip adresser.

Hvis jeg skal se noget konsistens i det, ville det være bedre at
black-liste den ene ip adresse angrebet kom fra. Men hvis din holdning
er at det ikke er nok, fordi angriberen blot kan bruge en anden adresse,
er mit argument at han blot kan bruge en dansk ip adresse, der står på
din "positiv" liste.


Anyway, hvis det er et problem at en angriber har adgang til din
ftp-server, lyder det som om, I har for svage passwords, eller også er
det sat forkert op således at anonymous kan uploade, eller også bruges
en buggy ftp server.

Er dette tilfældet bør I nok rette dette, i stedet for at bygge en
white-liste, der ændre sig i tid og sansynlig ikke er komplet, for hvad
er en dansk ISP?

---

Jess Mathiasen <jessm@get2net.dk> wrote:
> Mange tak for jeres svar begge to.
> Jeg sidder og griner lidt, for det er mig der er netværksansvarlig og jeg
> tror på min egen integritet

Tillid er godt. Kontrol er bedre. Din arbejdsgiver er nok enig.

> Alex, har du nogen bud på hvordan jeg implementere en anden
> valideringsmetode end password ? evt. links ?

Jeg kender ikke din sikkerhedspolitik, saa det kan jeg ikke rigtigt.
Brug 30 minutter paa at laese (google) om de metoder jeg naevner i
OSS'en, og spoerg hvis det er noedvendigt.

> Den eneste gang vi havde besøg af en hacker på vores net, kom han fra
> Kina !

Sidste gang jeg gik hen af Fleet Street traadte jeg forkert og vred
min ankel omkring. Derfor holder jeg mig nu vaek fra Fleet Street.

Med andre ord: dit problem var ikke en forbindelse fra Kina, men at du
havde saarbart software paa dit netvaerk. Det virker til, at du
forsoeger at loese det forkerte problem.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote in <news:slrna6blbl.ivc.a@C-Tower.Area51.DK>:

>> Den eneste gang vi havde besøg af en hacker på vores net, kom han
>> fra Kina !
>
> Sidste gang jeg gik hen af Fleet Street traadte jeg forkert og
> vred min ankel omkring. Derfor holder jeg mig nu vaek fra Fleet
> Street.

Prøv i stedet:

"Alle de gange vil har tilladt $boeller at komme ind til vores fester,
har de lavet ballade. Så nu må de ikke være med mere."

Jeg ser ikke noget som helst galt i - som et led i en overordnet
sikkerhedstrategi - at null-route al trafik fra .cn.

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

---

Niels Callesøe wrote:

> Jeg ser ikke noget som helst galt i - som et led i en overordnet
> sikkerhedstrategi - at null-route al trafik fra .cn.

Det er jo decideret symptombehandling.

"Min computer slukker hver gang min vaskemaskine går i gang."

"Så lad være med at vaske tøj."

Det er ikke helt holdbart, vel? En bedre løsning ville være at skifte
sikringerne.

--
"...in Spain!"

---

Christian Andersen wrote in <news:a45lq2$n8n$2@sunsite.dk>:

>> Jeg ser ikke noget som helst galt i - som et led i en overordnet
>> sikkerhedstrategi - at null-route al trafik fra .cn.
>
> Det er jo decideret symptombehandling.
>
> "Min computer slukker hver gang min vaskemaskine går i gang."
>
> "Så lad være med at vaske tøj."
>
> Det er ikke helt holdbart, vel? En bedre løsning ville være at skifte
> sikringerne.

Jamen, det er da rigtigt. Gå du bare ned og skift alle kinamændene ud
med nogle der har lidt clue, min dreng.

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

---

Niels Callesøe wrote:

>> Det er ikke helt holdbart, vel? En bedre løsning ville være at skifte
>> sikringerne.

> Jamen, det er da rigtigt. Gå du bare ned og skift alle kinamændene ud
> med nogle der har lidt clue, min dreng.

Det vil jeg så gøre. Hej, hej!

--
"...in Spain!"

---

"Christian Andersen" <m4jni76ztglp001@sneakemail.com> wrote in message
news:a45noa$92t$1@sunsite.dk...

> > Jamen, det er da rigtigt. Gå du bare ned og skift alle kinamændene ud
> > med nogle der har lidt clue, min dreng.
>
> Det vil jeg så gøre. Hej, hej!
>
> --
> "...in Spain!"
^^^^^^^^^^^^^^^^

Hmm, tror du ikke du drejede forkert et sted? :)

--
Mvh. Mogens
B.Sc. i datalogi. Søger IT-job på Fyn!
www.momech.dk

---

"Mogens Meier Christensen" <mmc@nospam.dk> wrote in message
news:a45oda$3pl$1@news.cybercity.dk...
> "Christian Andersen" <m4jni76ztglp001@sneakemail.com> wrote in message
> news:a45noa$92t$1@sunsite.dk...
>
> > > Jamen, det er da rigtigt. Gå du bare ned og skift alle kinamændene ud
> > > med nogle der har lidt clue, min dreng.
> >
> > Det vil jeg så gøre. Hej, hej!
> >
> > --
> > "...in Spain!"
> ^^^^^^^^^^^^^^^^
>
> Hmm, tror du ikke du drejede forkert et sted? :)
>
> --
> Mvh. Mogens
> B.Sc. i datalogi. Søger IT-job på Fyn!
> www.momech.dk
>
>

Hejsa; jeg er spritny her, så bær over med mig :)
Er det helt vildt fjollet at påpege at ex. RaidenFTPD understøtter både SSL
(Ja, den gør nemlig; skønt) og S/KEY?
Så er det bare et spørgsmål om at du, som led i sikkerhedspolitikken på
stedet, insisterer på at dine brugere benytter FTP klienter der understøtter
disse krypteringer (som eks. FlashFXP)

/Søren