/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Ændring af sshd listen port
Fra : Jakob Kirkegaard


Dato : 06-08-02 10:16

I forbindelse med et tdc pro@ccess adsl abonnement, med en rounter der
som udgangspunkt er konfigureret til kun at smide http, smtp og ftp
trafik videre til bestemte interne adresser, skal jeg bruge en ssh
server.
I den forbindelse ville jeg høre om der er noget sikkerhedsmæssigt
problematisk i at ændre listen port til 21 (bruger ikke ftp til noget).

Autoriseret ændring af routeren er pebret og selvkonfigurering er ikke
tilladt.

--
mvh Jakob Kirkegaard

 
 
Brian B. Christensen (06-08-2002)
Kommentar
Fra : Brian B. Christensen


Dato : 06-08-02 10:23

On Tue, 06 Aug 2002 11:16:01 +0200, Jakob Kirkegaard
<jkir00@control.auc.dk> wrote:

>....selvkonfigurering er ikke tilladt.

Men er ikke så så svært. Kig evt. her:

http://www.marlow.dk/?target=dsl


/Brian
--
Min private babeside.
http://www.patricia-brinch.dk
(Ved e-mail, slet 2xBEDSTE)

Alex Holst (06-08-2002)
Kommentar
Fra : Alex Holst


Dato : 06-08-02 10:44

Jakob Kirkegaard <jkir00@control.auc.dk> wrote:
> I den forbindelse ville jeg høre om der er noget sikkerhedsmæssigt
> problematisk i at ændre listen port til 21 (bruger ikke ftp til noget).

Det er der ikke.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Kasper Dupont (06-08-2002)
Kommentar
Fra : Kasper Dupont


Dato : 06-08-02 12:56

Jakob Kirkegaard wrote:
>
> I forbindelse med et tdc pro@ccess adsl abonnement, med en rounter der
> som udgangspunkt er konfigureret til kun at smide http, smtp og ftp
> trafik videre til bestemte interne adresser, skal jeg bruge en ssh
> server.
> I den forbindelse ville jeg høre om der er noget sikkerhedsmæssigt
> problematisk i at ændre listen port til 21 (bruger ikke ftp til noget).

Det er ikke noget sikkerhedsmæssigt problem. Det er muligvis en lille
sikkerhedsmæssig fordel, da du måske vil undgå nogle scans efter ssh
servere med fejl. Du må dog forvente at se en masse underlige beskeder
i din log, når din maskine bliver scannet for ftp servere med fejl.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Jesper Dybdal (06-08-2002)
Kommentar
Fra : Jesper Dybdal


Dato : 06-08-02 22:01

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Jakob Kirkegaard wrote:
>>
>> I forbindelse med et tdc pro@ccess adsl abonnement, med en rounter der
>> som udgangspunkt er konfigureret til kun at smide http, smtp og ftp
>> trafik videre til bestemte interne adresser, skal jeg bruge en ssh
>> server.
>> I den forbindelse ville jeg høre om der er noget sikkerhedsmæssigt
>> problematisk i at ændre listen port til 21 (bruger ikke ftp til noget).
>
>Det er ikke noget sikkerhedsmæssigt problem. Det er muligvis en lille
>sikkerhedsmæssig fordel, da du måske vil undgå nogle scans efter ssh
>servere med fejl. Du må dog forvente at se en masse underlige beskeder
>i din log, når din maskine bliver scannet for ftp servere med fejl.

- og derfor er det måske en smule mere hensigtsmæssigt at bruge dns-porten
(53) i stedet, hvis man altså ikke kører DNS-server. Det er svjv ikke
almindeligt at forsøge at bryde ind på tcp/53, og den er også åben i en
standard Pro@ccess-ruter (medmindre de har lavet noget om for nylig).
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Kasper Dupont (06-08-2002)
Kommentar
Fra : Kasper Dupont


Dato : 06-08-02 22:34

Jesper Dybdal wrote:
>
> - og derfor er det måske en smule mere hensigtsmæssigt at bruge dns-porten
> (53) i stedet, hvis man altså ikke kører DNS-server. Det er svjv ikke
> almindeligt at forsøge at bryde ind på tcp/53, og den er også åben i en
> standard Pro@ccess-ruter (medmindre de har lavet noget om for nylig).

Der står 117 forsøg i min logfil. De fleste ligner dog spoofede
source addresser for at skjule den rigtige addresse.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Jesper Dybdal (07-08-2002)
Kommentar
Fra : Jesper Dybdal


Dato : 07-08-02 18:16

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Jesper Dybdal wrote:
>>
>> - og derfor er det måske en smule mere hensigtsmæssigt at bruge dns-porten
>> (53) i stedet, hvis man altså ikke kører DNS-server. Det er svjv ikke
>> almindeligt at forsøge at bryde ind på tcp/53, og den er også åben i en
>> standard Pro@ccess-ruter (medmindre de har lavet noget om for nylig).
>
>Der står 117 forsøg i min logfil. De fleste ligner dog spoofede
>source addresser for at skjule den rigtige addresse.

Interessant. Jeg ville have troet at angrebene på navneservere primært
var udp-baserede.

Måske har jeg bare ikke opdaget tcp-angrebene fordi de maskiner jeg kører
som servere også er DNS-servere, og BIND åbenbart ikke logger noget ved de
forsøg.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Peder Vendelbo Mikke~ (07-08-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 07-08-02 19:05

Kasper Dupont skrev:

> Der står 117 forsøg i min logfil.

Hvilken port i din logfil, er mindst populær?
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >


Alex Holst (07-08-2002)
Kommentar
Fra : Alex Holst


Dato : 07-08-02 23:13

Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
> Kasper Dupont skrev:
>
>> Der står 117 forsøg i min logfil.
>
> Hvilken port i din logfil, er mindst populær?

Hvorfor spilder I overhovedet tid paa at flytte daemons rundt hvis der
ikke er en teknisk grund til det? Laes denne traad, start med det
nederste indlaeg og derefter de to af H C:

<URL: http://marc.theaimsgroup.com/?t=102735306200001&r=1&w=2 >

Brug derefter jeres tid paa noget andet, for guds skyld.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Kasper Dupont (08-08-2002)
Kommentar
Fra : Kasper Dupont


Dato : 08-08-02 07:35

Peder Vendelbo Mikkelsen wrote:
>
> Kasper Dupont skrev:
>
> > Der står 117 forsøg i min logfil.
>
> Hvilken port i din logfil, er mindst populær?

Der er logget 486 forskellige TCP porte, og 74 forskellige
UDP porte. Det vil sige, at hovedparten af portene er der
aldrig nogensinde set en pakke til.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Kent Friis (06-08-2002)
Kommentar
Fra : Kent Friis


Dato : 06-08-02 22:46

Den Tue, 06 Aug 2002 11:16:01 +0200 skrev Jakob Kirkegaard:
>I forbindelse med et tdc pro@ccess adsl abonnement, med en rounter der
>som udgangspunkt er konfigureret til kun at smide http, smtp og ftp
>trafik videre til bestemte interne adresser, skal jeg bruge en ssh
>server.
>I den forbindelse ville jeg høre om der er noget sikkerhedsmæssigt
>problematisk i at ændre listen port til 21 (bruger ikke ftp til noget).
>
>Autoriseret ændring af routeren er pebret og selvkonfigurering er ikke
>tilladt.

Men, der er en lille detalje der ikke står i dokumentationen. Routeren
er overflødig, man kan bare sætte netkablet direkte i PC'en. Man skal
bare give den IP-adresserne (de officielle) i stedet for at køre DHCP,
og så slipper man for NAT og alle de underlige problemer.

(Hvis man har mere end en PC kan man naturligvis ikke undvære NAT, og
skal enten bruge routeren eller lade en anden maskine stå for det).

Mvh
Kent
--
Avoid the Gates of Hell. Use Linux
(Unknown source)

Jesper Dybdal (07-08-2002)
Kommentar
Fra : Jesper Dybdal


Dato : 07-08-02 13:05

leeloo@phreaker.net (Kent Friis) wrote:

>Men, der er en lille detalje der ikke står i dokumentationen. Routeren
>er overflødig, man kan bare sætte netkablet direkte i PC'en. Man skal
>bare give den IP-adresserne (de officielle) i stedet for at køre DHCP,
>og så slipper man for NAT og alle de underlige problemer.
>
>(Hvis man har mere end en PC kan man naturligvis ikke undvære NAT, og
>skal enten bruge routeren eller lade en anden maskine stå for det).

Det kan man dog kun hvis ens Pro@ccess er af typen med æternetinterface;
de gamle (med 5711-ruter) kan man ikke gøre sådan med. Men man kan betale
for at få dem konverteret til den nye model.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Kent Friis (07-08-2002)
Kommentar
Fra : Kent Friis


Dato : 07-08-02 13:31

Den Wed, 07 Aug 2002 14:05:24 +0200 skrev Jesper Dybdal:
>leeloo@phreaker.net (Kent Friis) wrote:
>
>>Men, der er en lille detalje der ikke står i dokumentationen. Routeren
>>er overflødig, man kan bare sætte netkablet direkte i PC'en. Man skal
>>bare give den IP-adresserne (de officielle) i stedet for at køre DHCP,
>>og så slipper man for NAT og alle de underlige problemer.
>>
>>(Hvis man har mere end en PC kan man naturligvis ikke undvære NAT, og
>>skal enten bruge routeren eller lade en anden maskine stå for det).
>
>Det kan man dog kun hvis ens Pro@ccess er af typen med æternetinterface;
>de gamle (med 5711-ruter) kan man ikke gøre sådan med. Men man kan betale
>for at få dem konverteret til den nye model.

Jeg går ud fra at de så ikke er udstyret med rj45-stik? Og under alle
omstændigheder er det billigere at prøve inden man går ud og investerer
i en anden router, eller begynder at rode i TDC's konfiguration.

Mvh
Kent
--
.~. .~.
/V\ From Palm Pilot to S/390 /V\
// \\ Truly scalable operating system // \\
/( )\ Linux /( )\
^^-^^ ^^-^^

Jesper Dybdal (07-08-2002)
Kommentar
Fra : Jesper Dybdal


Dato : 07-08-02 18:21

leeloo@phreaker.net (Kent Friis) wrote:

>Den Wed, 07 Aug 2002 14:05:24 +0200 skrev Jesper Dybdal:
>
>>Det kan man dog kun hvis ens Pro@ccess er af typen med æternetinterface;
>>de gamle (med 5711-ruter) kan man ikke gøre sådan med. Men man kan betale
>>for at få dem konverteret til den nye model.
>
>Jeg går ud fra at de så ikke er udstyret med rj45-stik?

Svjh er både ATM- og æternetstik i modemet RJ45. Og modemerne (i hvert
fald dem fra Siemens) er de samme (bortset fra nogle meget gamle
modeller), selvom nogle bruger ATM og andre bruger æternet, styret fra
centralen.

>Og under alle
>omstændigheder er det billigere at prøve inden man går ud og investerer
>i en anden router, eller begynder at rode i TDC's konfiguration.

Hvis ens ruter fra TDC er en Speedstream 5711, hvilket burde være nemt at
se, så har man ATM og kan definitivt ikke slutte æternet til modemet.
(Æternetruteren hedder vistnok 5781 - hvis man har den kan man godt.)

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Kent Friis (07-08-2002)
Kommentar
Fra : Kent Friis


Dato : 07-08-02 20:11

Den Wed, 07 Aug 2002 19:21:01 +0200 skrev Jesper Dybdal:
>leeloo@phreaker.net (Kent Friis) wrote:
>
>>Den Wed, 07 Aug 2002 14:05:24 +0200 skrev Jesper Dybdal:
>>
>>>Det kan man dog kun hvis ens Pro@ccess er af typen med æternetinterface;
>>>de gamle (med 5711-ruter) kan man ikke gøre sådan med. Men man kan betale
>>>for at få dem konverteret til den nye model.
>>
>>Jeg går ud fra at de så ikke er udstyret med rj45-stik?
>
>Svjh er både ATM- og æternetstik i modemet RJ45. Og modemerne (i hvert
>fald dem fra Siemens) er de samme (bortset fra nogle meget gamle
>modeller), selvom nogle bruger ATM og andre bruger æternet, styret fra
>centralen.
>
>>Og under alle
>>omstændigheder er det billigere at prøve inden man går ud og investerer
>>i en anden router, eller begynder at rode i TDC's konfiguration.
>
>Hvis ens ruter fra TDC er en Speedstream 5711, hvilket burde være nemt at
>se, så har man ATM og kan definitivt ikke slutte æternet til modemet.
>(Æternetruteren hedder vistnok 5781 - hvis man har den kan man godt.)

Hvis routeren (som min - har ikke checket nummeret, den er pakket
væk) har indbygget hub på begge sider, så er der umiddelbart heller
ingen tvivl om at det er en ethernet.

Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped

With XMMS tugging along nicely, playing Vivaldi...

Søg
Reklame
Statistik
Spørgsmål : 177549
Tips : 31968
Nyheder : 719565
Indlæg : 6408820
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste