---

Hejsa

Jeg er noget grøn i Firewall-indstillinger og har installeret McAfee
Firewall på mine PC i netværk og vil gerne give adgang til en PC via Remote
Desktop, men kan ikke få Firewallen til at gi' lov. Hvis jeg disabler
Firewallen spiller det. Hvilken port skal jeg åbne og hvordan mere præcist?

Jeg har prøvet at give lov ved Incoming to 3389, men det virker ikke.

Håber på hurtigt svar og på forhånd tak.

BeerHunter

---

Den Wed, 26 Jun 2002 21:20:08 +0200 skrev BeerHunter:
>Hejsa
>
>Jeg er noget grøn i Firewall-indstillinger og har installeret McAfee
>Firewall på mine PC i netværk og vil gerne give adgang til en PC via Remote
>Desktop, men kan ikke få Firewallen til at gi' lov. Hvis jeg disabler
>Firewallen spiller det. Hvilken port skal jeg åbne og hvordan mere præcist?
>
>Jeg har prøvet at give lov ved Incoming to 3389, men det virker ikke.

Har du brug for en firewall? Umiddelbart vil jeg mene at Remote Desktop
er det første man lukker for...

Mvh
Kent
--
"Handlingen blev afbrudt pga. computerens begrænsede effekt"
- Windows NT på en Pentium III 550 MHz

---

>>Jeg har prøvet at give lov ved Incoming to 3389, men det virker ikke.
>
>Har du brug for en firewall? Umiddelbart vil jeg mene at Remote Desktop
>er det første man lukker for...
[...]

Remote Desktop er utroligt lækkert at arbejde med, ved
fjernadministration.

Og den bruger port 3389, protokol TCP. Det er det eneste, der skal
åbnes for.

Porten kan dog ændres (jeg har et lille tool - xprdportv1 - på
www.koksby.dk) til noget valgfrit. På den måde kan du mindske chancen
for uventede gæster.


/Henrik

---

Den Mon, 15 Jul 2002 12:12:33 +0200 skrev Henrik Koksby Hansen:
>>>Jeg har prøvet at give lov ved Incoming to 3389, men det virker ikke.
>>
>>Har du brug for en firewall? Umiddelbart vil jeg mene at Remote Desktop
>>er det første man lukker for...
>[...]
>
>Remote Desktop er utroligt lækkert at arbejde med, ved
>fjernadministration.

Exactly, fjernadministration. Altså, man kan ALT på maskinen. Hvad er
så ideen i at have en firewall der åbner for alt, og lukker for resten?

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

---

>Exactly, fjernadministration. Altså, man kan ALT på maskinen. Hvad er
>så ideen i at have en firewall der åbner for alt, og lukker for resten?
[...]

Øh... Bare fordi man har muligheden for at tilslutte vha RD med
brugernavn og adgangskode, behøver man jo ikke lukke op for NetBus,
SubSeven, fildeling og alt muligt andet crap.

Jeg tror ikke jeg kan følge din tankegang...


/Henrik

---

Den Mon, 15 Jul 2002 12:55:26 +0200 skrev Henrik Koksby Hansen:
>>Exactly, fjernadministration. Altså, man kan ALT på maskinen. Hvad er
>>så ideen i at have en firewall der åbner for alt, og lukker for resten?
>[...]
>
>Øh... Bare fordi man har muligheden for at tilslutte vha RD med
>brugernavn og adgangskode, behøver man jo ikke lukke op for NetBus,
>SubSeven,

De har mig bekendt samme formål, nemlig at fjernstyre maskinen. Men hvem
installerer dem?

>fildeling og alt muligt andet crap.

Lad være med at slå det til, hvis det ikke skal bruges.

>Jeg tror ikke jeg kan følge din tankegang...

Man bør lukke for de services der ikke skal bruge, i stedet for at
installere en personal "firewall". Den kan kun åbne og lukke, og de ting
man har brug for er nødt til at være åbne, og dermed er den værdiløs i
langt de fleste tilfælde.

Og remote-admin værktøjer bør kun bruges på LAN eller VPN.

Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"

---

>>Øh... Bare fordi man har muligheden for at tilslutte vha RD med
>>brugernavn og adgangskode, behøver man jo ikke lukke op for NetBus,
>>SubSeven,
>
>De har mig bekendt samme formål, nemlig at fjernstyre maskinen. Men hvem
>installerer dem?
>
>>fildeling og alt muligt andet crap.
>
>Lad være med at slå det til, hvis det ikke skal bruges.
....
>Man bør lukke for de services der ikke skal bruge, i stedet for at
>installere en personal "firewall". Den kan kun åbne og lukke, og de ting
>man har brug for er nødt til at være åbne, og dermed er den værdiløs i
>langt de fleste tilfælde.
[...]

Naturligvis har du ret.
Men det er ikke alle, der er lige klar over, hvad de laver - og ikke
laver. Hvis du forstår.
Derfor kan det da godt anbefales at bruge en firewall til at lukke for
det man ikke ved, hvad er - eller, som man ikke er klar over, står
åbent for offentligheden.
Og det man har brug for, kan man begrænse til kun at have adgang til,
derfra, hvor man har brug for det. Eg. kunne BeerHunter, som startede
tråden, jo begrænse adgangen til RD på sin maskine, til IP'en på sin
arbejdsplads.

>Og remote-admin værktøjer bør kun bruges på LAN eller VPN.
[...]

Ja, bør....


/Henrik

---

Den Mon, 15 Jul 2002 13:13:33 +0200 skrev Henrik Koksby Hansen:
>>>Øh... Bare fordi man har muligheden for at tilslutte vha RD med
>>>brugernavn og adgangskode, behøver man jo ikke lukke op for NetBus,
>>>SubSeven,
>>
>>De har mig bekendt samme formål, nemlig at fjernstyre maskinen. Men hvem
>>installerer dem?
>>
>>>fildeling og alt muligt andet crap.
>>
>>Lad være med at slå det til, hvis det ikke skal bruges.
>...
>>Man bør lukke for de services der ikke skal bruge, i stedet for at
>>installere en personal "firewall". Den kan kun åbne og lukke, og de ting
>>man har brug for er nødt til at være åbne, og dermed er den værdiløs i
>>langt de fleste tilfælde.
>[...]
>
>Naturligvis har du ret.
>Men det er ikke alle, der er lige klar over, hvad de laver - og ikke
>laver. Hvis du forstår.
>Derfor kan det da godt anbefales at bruge en firewall til at lukke for
>det man ikke ved, hvad er - eller, som man ikke er klar over, står
>åbent for offentligheden.

IMHO er det nemmere at lukke for de services man ikke bruger, end at
sætte en firewall fornuftigt op.

Mvh
Kent
--
Gilthoniel, A Elbereth
Aiya elenion ancalima!
- Tolkien, "The Lord of the Rings"

---

>IMHO er det nemmere at lukke for de services man ikke bruger, end at
>sætte en firewall fornuftigt op.
[...]

Hehe. Jeg fornemmer at det her er et religionsspørgsmål.

Jeg er mere tilhænger af, at lukke af for alt og kun åbne, præcis det,
man har brug for. Det var min sidste kommentar.

Kan i have en god sommer - jeg stryger på ferie nu.


/Henrik

---

Den Mon, 15 Jul 2002 13:37:10 +0200 skrev Henrik Koksby Hansen:
>>IMHO er det nemmere at lukke for de services man ikke bruger, end at
>>sætte en firewall fornuftigt op.
>[...]
>
>Hehe. Jeg fornemmer at det her er et religionsspørgsmål.

Det tror jeg ikke. Jeg finder den holdning hos (næsten) alle der virker
til at vide hvad de snakker om.

>Jeg er mere tilhænger af, at lukke af for alt og kun åbne, præcis det,
>man har brug for. Det var min sidste kommentar.

Korrekt, men der er flere måder at lukke for det. Den ene måde er at
stoppe servicen, den anden måde er at blokere så trafikken ikke kan
komme igennem.

Hvis en service ikke kører, kan den ikke exploites. Hvis den er
blokeret, skal man blot finde et hul i firewall'en. Hvis firewall'en
kører på den lokale PC (aka. en personal "firewall"), er den endda
bare endnu en service der måske kan exploites.

>Kan i have en god sommer - jeg stryger på ferie nu.

Jamen god ferie da.

Mvh
Kent
--
Mails skrevet før 12:00 skal læses med det forbehold, at hjernen først
forventes at være færdig med at boote på det tidspunkt, og indholdet
derfor kan indeholde random data der tilfældigvis lå i den
uinitializerede cache.

---

"Henrik Koksby Hansen" <henrik@koksby.dk> wrote in message
news:5da5juovpmgt6oog618bb1t9cdpb6iq6fb@4ax.com

> Øh... Bare fordi man har muligheden for at tilslutte vha RD med
> brugernavn og adgangskode, behøver man jo ikke lukke op for NetBus,
> SubSeven, fildeling og alt muligt andet crap.
>
> Jeg tror ikke jeg kan følge din tankegang...

TS adgang til en W2K server der kun er beskytet af username/password er imo
ikke specialt smart.

adgang til TS bør være via en vpn klient og ikke direkte