|
| Hul i alle firewalls Fra : Stig Holmberg |
Dato : 07-08-02 14:52 |
| | |
Kent Friis (07-08-2002)
| Kommentar Fra : Kent Friis |
Dato : 07-08-02 15:00 |
|
Den Wed, 7 Aug 2002 15:51:46 +0200 skrev Stig Holmberg:
>Hvis man bruger Internet Explorer 5.0 eller nyere vil nedenstående
>test-program kunne sende vitale oplysninger ud om ens PC uden at ens
>firewall reagerer.
>
> http://www.isa-llc.com/downloads/audit.php
Min firewall reagerer skam.
iptables -A forward -p tcp --destination-port 80 -j LOG
Mvh
Kent
--
IE is the only thing capable of making Netscape look good
- D. Spider in comp.os.linux.advocacy
| |
Stig Holmberg (07-08-2002)
| Kommentar Fra : Stig Holmberg |
Dato : 07-08-02 15:13 |
|
"Kent Friis" <leeloo@phreaker.net> wrote:
>
> Min firewall reagerer skam.
>
> iptables -A forward -p tcp --destination-port 80 -j LOG
>
> Mvh
> Kent
Og din firewall hedder?...
/Stig
| |
Kent Friis (07-08-2002)
| Kommentar Fra : Kent Friis |
Dato : 07-08-02 15:18 |
|
Den Wed, 7 Aug 2002 16:13:02 +0200 skrev Stig Holmberg:
>
>"Kent Friis" <leeloo@phreaker.net> wrote:
>>
>> Min firewall reagerer skam.
>>
>> iptables -A forward -p tcp --destination-port 80 -j LOG
>>
>> Mvh
>> Kent
>
>Og din firewall hedder?...
iptables på en linux-box der agerer router/firewall.
Mvh
Kent
--
Object orientation: the idea, that humans find it easier to understand
"you.car.engine.start" than "start your car engine".
| |
Stig Holmberg (07-08-2002)
| Kommentar Fra : Stig Holmberg |
Dato : 07-08-02 15:36 |
|
"Kent Friis" <leeloo@phreaker.net> wrote:
> iptables på en linux-box der agerer router/firewall.
>
> Mvh
> Kent
OK, men det er jo en særtilfælde, jeg tænker på Windowsplatformen og
kommercielt almindeligt udbredte firewalls fra store firmaer...
Vidste slet ikke at IE kunne fåes til Linux...
/Stig
| |
Kent Friis (07-08-2002)
| Kommentar Fra : Kent Friis |
Dato : 07-08-02 15:42 |
|
Den Wed, 7 Aug 2002 16:35:34 +0200 skrev Stig Holmberg:
>
>"Kent Friis" <leeloo@phreaker.net> wrote:
>
>> iptables på en linux-box der agerer router/firewall.
>>
>> Mvh
>> Kent
>
>OK, men det er jo en særtilfælde, jeg tænker på Windowsplatformen og
>kommercielt almindeligt udbredte firewalls fra store firmaer...
>
>Vidste slet ikke at IE kunne fåes til Linux...
En firewall bør ikke køre på den maskine der skal beskyttes. Og nej,
IE kører ikke under linux.
Mvh
Kent
--
The frozen north will hatch a flightless bird,
who will spread his wings and dominate the earth
And cause an empire by the sea to fall
To the astonishment, and delight of all.
| |
Kent Friis (07-08-2002)
| Kommentar Fra : Kent Friis |
Dato : 07-08-02 15:46 |
|
Den Wed, 7 Aug 2002 14:41:33 +0000 (UTC) skrev Kent Friis:
>Den Wed, 7 Aug 2002 16:35:34 +0200 skrev Stig Holmberg:
>>
>>"Kent Friis" <leeloo@phreaker.net> wrote:
>>
>>> iptables på en linux-box der agerer router/firewall.
>>>
>>> Mvh
>>> Kent
>>
>>OK, men det er jo en særtilfælde, jeg tænker på Windowsplatformen og
>>kommercielt almindeligt udbredte firewalls fra store firmaer...
>>
>>Vidste slet ikke at IE kunne fåes til Linux...
>
>En firewall bør ikke køre på den maskine der skal beskyttes. Og nej,
>IE kører ikke under linux.
Jeg vil iøvrigt påstå at det for enhver rigtig firewall kun er et
spørgsmål om at konfigurere den rigtigt.
Det kan godt være at personal "firewalls" har problemer, men dem vil
jeg heller aldrig kalde firewalls.
Mvh
Kent
--
Hvis man ikke kan lide klassisk musik, er det sandsynligvis fordi
lydkvaliteten er for dårlig. Klassisk musik kræver et godt anlæg.
| |
Stig Holmberg (07-08-2002)
| Kommentar Fra : Stig Holmberg |
Dato : 07-08-02 16:09 |
|
> >>"Kent Friis" <leeloo@phreaker.net> wrote:
>
> Jeg vil iøvrigt påstå at det for enhver rigtig firewall kun er et
> spørgsmål om at konfigurere den rigtigt.
>
> Det kan godt være at personal "firewalls" har problemer, men dem vil
> jeg heller aldrig kalde firewalls.
>
> Mvh
> Kent
> --
> Hvis man ikke kan lide klassisk musik, er det sandsynligvis fordi
> lydkvaliteten er for dårlig. Klassisk musik kræver et godt anlæg.
Det program jeg linkede til vil kunne gå ud med mindre man lukker af for sin
IE browser, det er jo det der er pointen og som du helt overser.
En firewall er sgu en firewall, og almindelige pc-brugere(dvs. 99%) vil
bruge en software-baseret firewall, men for nogle er tingene jo s/h...
/Stig
PS: Alt godt optaget musik kræver et godt anlæg.
| |
Kent Friis (07-08-2002)
| Kommentar Fra : Kent Friis |
Dato : 07-08-02 16:18 |
|
Den Wed, 7 Aug 2002 17:08:41 +0200 skrev Stig Holmberg:
>> >>"Kent Friis" <leeloo@phreaker.net> wrote:
>>
>> Jeg vil iøvrigt påstå at det for enhver rigtig firewall kun er et
>> spørgsmål om at konfigurere den rigtigt.
>>
>> Det kan godt være at personal "firewalls" har problemer, men dem vil
>> jeg heller aldrig kalde firewalls.
>>
>> Mvh
>> Kent
>> --
>> Hvis man ikke kan lide klassisk musik, er det sandsynligvis fordi
>> lydkvaliteten er for dårlig. Klassisk musik kræver et godt anlæg.
>
>
>Det program jeg linkede til vil kunne gå ud med mindre man lukker af for sin
>IE browser, det er jo det der er pointen og som du helt overser.
Hvis du checker den viste iptables-kommando, vil du se at den ikke
blokerer, den logger kun at det sker. Det er så op til en selv om der
skal gøres noget ved det.
>En firewall er sgu en firewall, og almindelige pc-brugere(dvs. 99%) vil
>bruge en software-baseret firewall, men for nogle er tingene jo s/h...
Nej, der er stor forskel på en personal "firewall" og en rigtig
firewall. En rigtig firewalls opgave er at holde to netværk (delvist)
adskilt, en personal "firewall"s primære opgave er at beskytte PC'en
mod brugeren. IMHO er det næsten modsætninger.
Derfor mener jeg ikke at folk udstyret med en hjerne og en smule viden
(samt evnen til at bruge begge dele) har brug for en "firewall" på
deres hjemme-PC. De har jo ikke et netværk at holde adskilt.
En PC kan iøvrigt sikres bedre mod angreb udefra *uden* en personal
"firewall", end den kan med. "firewall"en er nemlig blot endnu et
stykke software der kan indeholde sikkerhedshuller der kan udnyttes
til at komme ind på maskinen. Den mest sikre maskine er en maskine
der ingen netværks-services kører, dvs. heller ikke en "firewall".
>PS: Alt godt optaget musik kræver et godt anlæg.
Men nogen slags kan "folk" holde ud at høre på et dårligt anlæg, og
det var det der var fidusen. Når man har et godt anlæg, opdager man
pludselig at næsten alle slags musik lyder godt.
Mvh
Kent
--
F0 0F C7 C8 - Intel Pentium bug
| |
Kasper Dupont (07-08-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 07-08-02 17:29 |
|
Stig Holmberg wrote:
>
> En firewall er sgu en firewall, og almindelige pc-brugere(dvs. 99%) vil
> bruge en software-baseret firewall, men for nogle er tingene jo s/h...
Ja, det lyder som alt er s/h for dig, siden du tror, der ikke
er forskel på firewalls.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
Stig Holmberg (07-08-2002)
| Kommentar Fra : Stig Holmberg |
Dato : 07-08-02 16:00 |
|
"Kent Friis" <leeloo@phreaker.net> wrote in message
news:airbit$a3u$1@sunsite.dk...
> Den Wed, 7 Aug 2002 16:35:34 +0200 skrev Stig Holmberg:
> >
> >"Kent Friis" <leeloo@phreaker.net> wrote:
>
> En firewall bør ikke køre på den maskine der skal beskyttes. Og nej,
> IE kører ikke under linux.
>
> Mvh
> Kent
Sig det til alle almindelige hjemme brugere derude...firewall på seperat
maskine er da kun for firmaer, hvem ville finde på at købe en ekstra maskine
bare for at have en firewall? i så fald skulle den da være hardwarebaseret i
form af en router/firewall. 3com er kommet med et netkort med firewall
ndbygget, men kender ikke nærmere til dette.
/Stig
| |
Kent Friis (07-08-2002)
| Kommentar Fra : Kent Friis |
Dato : 07-08-02 16:02 |
|
Den Wed, 7 Aug 2002 16:59:32 +0200 skrev Stig Holmberg:
>
>"Kent Friis" <leeloo@phreaker.net> wrote in message
>news:airbit$a3u$1@sunsite.dk...
>> Den Wed, 7 Aug 2002 16:35:34 +0200 skrev Stig Holmberg:
>> >
>> >"Kent Friis" <leeloo@phreaker.net> wrote:
>>
>> En firewall bør ikke køre på den maskine der skal beskyttes. Og nej,
>> IE kører ikke under linux.
>>
>> Mvh
>> Kent
>
>Sig det til alle almindelige hjemme brugere derude...firewall på seperat
>maskine er da kun for firmaer, hvem ville finde på at købe en ekstra maskine
>bare for at have en firewall?
Alle der har brug for en firewall (og nej, det har de fleste
hjemmebrugere ikke).
Mvh
Kent
--
"Handlingen blev afbrudt pga. computerens begrænsede effekt"
- Windows NT på en Pentium III 550 MHz
| |
Ukendt (07-08-2002)
| Kommentar Fra : Ukendt |
Dato : 07-08-02 22:03 |
|
"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:aircp2$dql$1@sunsite.dk...
> Den Wed, 7 Aug 2002 16:59:32 +0200 skrev Stig Holmberg:
> Alle der har brug for en firewall (og nej, det har de fleste
> hjemmebrugere ikke).
Helt enig!
De fleste kan nemt nøjes med en routers NAT features
Claus
| |
Kent Friis (07-08-2002)
| Kommentar Fra : Kent Friis |
Dato : 07-08-02 22:04 |
|
Den Wed, 7 Aug 2002 23:03:23 +0200 skrev Claus Nygaard-Pedersen:
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:aircp2$dql$1@sunsite.dk...
>> Den Wed, 7 Aug 2002 16:59:32 +0200 skrev Stig Holmberg:
>> Alle der har brug for en firewall (og nej, det har de fleste
>> hjemmebrugere ikke).
>
>Helt enig!
>
>De fleste kan nemt nøjes med en routers NAT features
De fleste kan nemt klare sig helt uden, og resten kan klare sig med en
NAT-router.
Mvh
Kent
--
"Intelligence is the ability to avoid doing work, yet get the work done"
- Linus Torvalds
| |
Lars Stokholm (07-08-2002)
| Kommentar Fra : Lars Stokholm |
Dato : 07-08-02 22:20 |
|
In news:dk.edb.sikkerhed Kent Friis wrote:
>>De fleste kan nemt nøjes med en routers NAT features
>
>De fleste kan nemt klare sig helt uden, og resten kan klare sig med en
>NAT-router.
Altså en router som tillader at man lukker "alle" porte og åbner dem
man har brug for manuelt, eller hvordan forstås det? Jeg tror at jeg
er rimeligt med på hvad det egentlig er der sker, men jeg er ikke med
på hvordan man bruger ordet "NAT" om man så må sige.
--
Lars Stokholm (resided somewhere in North Zealand, Denmark)
"We just like the dots" - Michael Stipe on R.E.M.'s name.
| |
Kent Friis (07-08-2002)
| Kommentar Fra : Kent Friis |
Dato : 07-08-02 23:44 |
|
Den Wed, 07 Aug 2002 23:19:48 +0200 skrev Lars Stokholm:
>In news:dk.edb.sikkerhed Kent Friis wrote:
>
>>>De fleste kan nemt nøjes med en routers NAT features
>>
>>De fleste kan nemt klare sig helt uden, og resten kan klare sig med en
>>NAT-router.
>
>Altså en router som tillader at man lukker "alle" porte og åbner dem
>man har brug for manuelt, eller hvordan forstås det? Jeg tror at jeg
>er rimeligt med på hvad det egentlig er der sker, men jeg er ikke med
>på hvordan man bruger ordet "NAT" om man så må sige.
I denne sammenhæng, en simpel masquerading, SNAT, PAT - kært barn
har mange navne. Hvilket medfører at connections kun kan åbnes inde fra.
Dog kan der være nogen der også har brug for at lave en DNAT, så de kan
køre deres egen webserver, men begge dele er understøttet i de fleste
SOHO-routere.
Mvh
Kent
--
F0 0F C7 C8 - Intel Pentium bug
| |
Kasper Dupont (07-08-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 07-08-02 17:23 |
|
Stig Holmberg wrote:
>
> "Kent Friis" <leeloo@phreaker.net> wrote:
> >
> > Min firewall reagerer skam.
> >
> > iptables -A forward -p tcp --destination-port 80 -j LOG
> >
> > Mvh
> > Kent
>
> Og din firewall hedder?...
Det ligner iptables.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
Søren C. Fischer (08-08-2002)
| Kommentar Fra : Søren C. Fischer |
Dato : 08-08-02 21:47 |
|
Kent Friis skrev i news:air947$26h$1@sunsite.dk:
> Den Wed, 7 Aug 2002 15:51:46 +0200 skrev Stig Holmberg:
>> Hvis man bruger Internet Explorer 5.0 eller nyere vil nedenstående
>> test-program kunne sende vitale oplysninger ud om ens PC uden at ens
>> firewall reagerer.
>>
>> http://www.isa-llc.com/downloads/audit.php
>
> Min firewall reagerer skam.
>
> iptables -A forward -p tcp --destination-port 80 -j LOG
Hvilken version af IE benytter du ?!?
--
Mvh. Søren C. Fischer
http://www.fischer-streton.dk/
Anonyme usenet brugere opfattes useriøst, indtil det modsatte er bevist
| |
Kent Friis (08-08-2002)
| Kommentar Fra : Kent Friis |
Dato : 08-08-02 21:47 |
|
Den Thu, 8 Aug 2002 22:46:34 +0200 skrev Søren C. Fischer:
>Kent Friis skrev i news:air947$26h$1@sunsite.dk:
>
>> Den Wed, 7 Aug 2002 15:51:46 +0200 skrev Stig Holmberg:
>>> Hvis man bruger Internet Explorer 5.0 eller nyere vil nedenstående
>>> test-program kunne sende vitale oplysninger ud om ens PC uden at ens
>>> firewall reagerer.
>>>
>>> http://www.isa-llc.com/downloads/audit.php
>>
>> Min firewall reagerer skam.
>>
>> iptables -A forward -p tcp --destination-port 80 -j LOG
>
>Hvilken version af IE benytter du ?!?
Det er ligegyldigt.
Ok, reelt har jeg ikke testet (jeg har ikke en IE), men jeg er ikke i
tvivl om hvad min firewall kan og ikke kan.
Mvh
Kent
--
Ny tegning på http://195.54.71.150/~kfr/grafik/
- desværre uden DNS for tiden.
| |
Søren C. Fischer (09-08-2002)
| Kommentar Fra : Søren C. Fischer |
Dato : 09-08-02 06:05 |
|
Kent Friis skrev i news:aiuld0$eai$1@sunsite.dk:
> Den Thu, 8 Aug 2002 22:46:34 +0200 skrev Søren C. Fischer:
>> Kent Friis skrev i news:air947$26h$1@sunsite.dk:
>>
>>> Den Wed, 7 Aug 2002 15:51:46 +0200 skrev Stig Holmberg:
>>>> Hvis man bruger Internet Explorer 5.0 eller nyere vil nedenstående
>>>> test-program kunne sende vitale oplysninger ud om ens PC uden at
>>>> ens firewall reagerer.
>>>>
>>>> http://www.isa-llc.com/downloads/audit.php
>>>
>>> Min firewall reagerer skam.
>>>
>>> iptables -A forward -p tcp --destination-port 80 -j LOG
>>
>> Hvilken version af IE benytter du ?!?
>
> Det er ligegyldigt.
>
> Ok, reelt har jeg ikke testet (jeg har ikke en IE), men jeg er ikke i
> tvivl om hvad min firewall kan og ikke kan.
Bestemt ikke ligegyldigt.
Læs lige tråden igen - den handler om Internet Explorer (IE).
--
Mvh. Søren C. Fischer
http://www.fischer-streton.dk/
Anonyme usenet brugere opfattes useriøst, indtil det modsatte er bevist
| |
Christian E. Lysel (09-08-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 09-08-02 07:34 |
|
Søren C. Fischer wrote:
> Bestemt ikke ligegyldigt.
> Læs lige tråden igen - den handler om Internet Explorer (IE).
Tråden handler om et hul i IE, ja, men også at en firewall ikke vil
reagere på det.
Hertil skriver kent, at hans firewall reagere, nemlig at den logger det
der sker.
| |
Brian B. Christensen (07-08-2002)
| Kommentar Fra : Brian B. Christensen |
Dato : 07-08-02 16:12 |
| | |
Kasper Dupont (07-08-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 07-08-02 17:31 |
|
Stig Holmberg wrote:
>
> Hvis man bruger Internet Explorer 5.0 eller nyere vil nedenstående
> test-program kunne sende vitale oplysninger ud om ens PC uden at ens
> firewall reagerer.
Det lyder da nærmere som en fejl i Internet Explorer end en
fejl i firewallen. (Jeg kan ikke se logikken i det andet:
Internet Explorer kombineret med en vilkårlige firewall
giver et problem, det må betyde der er en fejl i alle
firewalls, for der kan i hvert fald ikke være tale om en
fejl i Internet Explorer.)
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
Bo Simonsen (08-08-2002)
| Kommentar Fra : Bo Simonsen |
Dato : 08-08-02 13:41 |
|
In article <3D514B61.ED369CF0@daimi.au.dk>, Kasper Dupont wrote:
> Det lyder da nærmere som en fejl i Internet Explorer end en
> fejl i firewallen. (Jeg kan ikke se logikken i det andet:
> Internet Explorer kombineret med en vilkårlige firewall
> giver et problem, det må betyde der er en fejl i alle
> firewalls, for der kan i hvert fald ikke være tale om en
> fejl i Internet Explorer.)
En firewall i denne sammenhæng er jo et ipfilter. Og et ipfilter er jo
ligeglad med hvad det er man henter, bare det er inden for dens regler.
Desværre tror en del mennesker at en firewall (et ipfilter)
er et mirakel værtøj.
--
Med venlig hilsen
Bo Simonsen
http://fido.geekworld.dk
| |
Kasper Dupont (08-08-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 08-08-02 17:01 |
|
Bo Simonsen wrote:
>
> Desværre tror en del mennesker at en firewall (et ipfilter)
> er et mirakel værtøj.
Det har du desværre fuldstændigt ret i.
Alt for få ved hvad en firewall kan og ikke kan. Og hvis man
ikke ved det, bør man slet ikke bruge en firewall. Alle
problemer, der kan løses med en firewall, kan løses bedre på
en anden måde. Et fornuftigt opsat system er også sikkert,
hvis man fjerner firewallen.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
Andreas Plesner Jaco~ (08-08-2002)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 08-08-02 18:39 |
|
In article <3D5295BD.E8C41282@daimi.au.dk>, Kasper Dupont wrote:
>
> Alt for få ved hvad en firewall kan og ikke kan. Og hvis man
> ikke ved det, bør man slet ikke bruge en firewall. Alle
> problemer, der kan løses med en firewall, kan løses bedre på
> en anden måde. Et fornuftigt opsat system er også sikkert,
> hvis man fjerner firewallen.
Ikke nødvendigvis, husk at sikkerhed også har med tilgængelighed at
gøre, og hvis et firmas infrastruktur fx dikterer at man kører NFS ville
jeg nødigt gøre dette uden en firewall af en slags. (Jeg ville nok helst
køre dette på et helt privat IP net, men det er ikke altid det er
muligt)
--
Andreas Plesner Jacobsen | Satire is what closes in New Haven.
| |
Kasper Dupont (08-08-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 08-08-02 23:21 |
|
Andreas Plesner Jacobsen wrote:
>
> In article <3D5295BD.E8C41282@daimi.au.dk>, Kasper Dupont wrote:
> >
> > Alt for få ved hvad en firewall kan og ikke kan. Og hvis man
> > ikke ved det, bør man slet ikke bruge en firewall. Alle
> > problemer, der kan løses med en firewall, kan løses bedre på
> > en anden måde. Et fornuftigt opsat system er også sikkert,
> > hvis man fjerner firewallen.
>
> Ikke nødvendigvis, husk at sikkerhed også har med tilgængelighed at
> gøre, og hvis et firmas infrastruktur fx dikterer at man kører NFS ville
> jeg nødigt gøre dette uden en firewall af en slags. (Jeg ville nok helst
> køre dette på et helt privat IP net, men det er ikke altid det er
> muligt)
Maskinerne på det interne net skal naturligvis være sat op,
så de kun accepterer NFS klienter fra det interne net. Det
er naturligvis nødvendigt at forhindre det interne nets IP
addresser at blive spoofet udefra, det burde enhver router
kunne klare.
Hvis det gøres rigtigt er systemet i princippet sikkert
uden firewall, men jeg forstår naturligvis godt, at man
ønsker at sikre sådan et net med en firewall. Men det er
vigtigt, at firewallen kun er en ekstra sikkerhed, den må
ikke være din eneste sikkerhed.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
Christian E. Lysel (07-08-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 07-08-02 18:30 |
| | |
|
|