/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Firewall i XP
Fra : Michael


Dato : 27-10-02 15:26

Nogen som kan fortælle lidt om hvor god wallen i XP er? (Gerne et link, hvis
nogen har et bud!!) Skal den konfigureres eller kan den bruges som den er
ved install.??
En anden ting....Er det i det hele taget nødvendigt med en wall når man
kører på en ISDN??? Eller sagt med andre ord...HVORNÅR har man behov for en
firewall??

/ Mik...



 
 
Kasper Dupont (27-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 27-10-02 15:56

Michael wrote:
>
> HVORNÅR har man behov for en firewall??

http://a.area51.dk/sikkerhed/hjemme_pc#firewall

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Povl H. Pedersen (27-10-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 27-10-02 16:46

In article <SDSu9.180353$Qk5.6414517@news010.worldonline.dk>, Michael wrote:
> Nogen som kan fortælle lidt om hvor god wallen i XP er? (Gerne et link, hvis
> nogen har et bud!!) Skal den konfigureres eller kan den bruges som den er
> ved install.??
> En anden ting....Er det i det hele taget nødvendigt med en wall når man
> kører på en ISDN??? Eller sagt med andre ord...HVORNÅR har man behov for en
> firewall??

Du har behov for en firewall når du kan konfigurere den.
Ind til da bør du i stedet sørge for at du ikke har installeret
eksempelvis fildeling og andre ting der gør dig sårbar.

Behovet for firewall er det samme om du bruger modem, ISDN,
ADSL eller fast forbindelse.

Merk Würdichliebe (27-10-2002)
Kommentar
Fra : Merk Würdichliebe


Dato : 27-10-02 19:55

On Sun, 27 Oct 2002 15:25:41 +0100, "Michael"
<mks@NOSPAMMaccelerator.dk> wrote:

>Nogen som kan fortælle lidt om hvor god wallen i XP er? (Gerne et link, hvis
>nogen har et bud!!) Skal den konfigureres eller kan den bruges som den er
>ved install.??
Den skal configureres og det vil tage en professionel der har prøvet
det før 1 dags tid for en nogenlunde god konfiguration, for en meget
sikker konfiguration, hvor alt du skal bruge også slipper igennem
tager det adskillige dage for en prof.

>..HVORNÅR har man behov for en firewall??
>
Når du er på internettet.
Firewalen ZoneAlarm er til fri download og nem at bruge.

Merk Würdichliebe

Martin Christensen (28-10-2002)
Kommentar
Fra : Martin Christensen


Dato : 28-10-02 00:32

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Merk Würdichliebe <Merkwurd@hotmail.com> writes:

> Den [en firewall] skal configureres og det vil tage en professionel
> der har prøvet det før 1 dags tid for en nogenlunde god
> konfiguration, for en meget sikker konfiguration, hvor alt du skal
> bruge også slipper igennem tager det adskillige dage for en prof.

Hvor i alverden har du dog det fra? Det var dog en frygtelig gang ævl!
Hvor svært det er at sætte en god firewall fornuftigt op afhængeri høj
grad af, hvad man vil opnå, hvor komplekse ens regler er og hvor godt
et overblik man har over sit nøjagtige behov. Du burde undersøge disse
sager, før du udtaler dig med den slags selvsikkerhed.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj28d1YACgkQYu1fMmOQldX4lACfQURhg0jxtgDO8YkXfPNlvGX1
QSoAnjmRh/TXg+jcfGUMj9SXQE6IJU6L
=8Y60
-----END PGP SIGNATURE-----

Christian E. Lysel (28-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-10-02 00:31

Martin Christensen wrote:
>>Den [en firewall] skal configureres og det vil tage en professionel
>>der har prøvet det før 1 dags tid for en nogenlunde god
>>konfiguration, for en meget sikker konfiguration, hvor alt du skal

Man plejer at kunne genbruge regler.

>>bruge også slipper igennem tager det adskillige dage for en prof.

> Hvor i alverden har du dog det fra? Det var dog en frygtelig gang ævl!
> Hvor svært det er at sætte en god firewall fornuftigt op afhængeri høj

Sidst jeg læste "Building Internet firewalls" var bogen på 517 sider,
men det kan jo være det er blevet nemmer siden :)

--
Christian E. Lysel, http://www.spindelnet.dk/


Lasse Reichstein Nie~ (28-10-2002)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 28-10-02 02:33

"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> writes:

> Martin Christensen wrote:

> > Hvor i alverden har du dog det fra? Det var dog en frygtelig gang ævl!
> > Hvor svært det er at sætte en god firewall fornuftigt op afhængeri høj
>
> Sidst jeg læste "Building Internet firewalls" var bogen på 517 sider,
> men det kan jo være det er blevet nemmer siden :)

Min firewall er nu hurtigt sat op: Blokker alle forbindelser udefra,
tillad alle indefra. Som Martin sagde: Det afhænger af behov og
overblik.

Jeg tror det er sjældent at almindelige mennesker har behov der ikke
kan klares med meget simple regler, som en der kender firewallen og
dens konfigurationssyntaks kan skrive på et par minutter. Det svære er
at finde ud af hvilke behov man egentlig har, men det kan der ikke
sættes tid på, da det kan blive ved med at ændre sig.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

Christian E. Lysel (28-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-10-02 07:32

Lasse Reichstein Nielsen wrote:
>>Sidst jeg læste "Building Internet firewalls" var bogen på 517 sider,
>>men det kan jo være det er blevet nemmer siden :)
> Min firewall er nu hurtigt sat op: Blokker alle forbindelser udefra,
> tillad alle indefra. Som Martin sagde: Det afhænger af behov og
> overblik.

Jeg er også enig i at det ikke tager dage, men at få det til at lyde som
noget trivielt er jeg ikke enig i.

Hvad med FTP-data sessionen, DNS svar, DHCP svar, NTP svar, IPSec svar,
ICMP kontrol pakker, ectetera?

--
Christian E. Lysel, http://www.spindelnet.dk/


Christian E. Lysel (28-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-10-02 08:57

Lasse Reichstein Nielsen wrote:
> Min firewall er nu hurtigt sat op: Blokker alle forbindelser udefra,
> tillad alle indefra. Som Martin sagde: Det afhænger af behov og
> overblik.

Det lyder som en klassisk fejl. Hvis du blokere alt udefra har du kun et
setup der kun virker i begrænset omfang, da du ikke tillade svar fra
internet, eller FTP-data sessionen, DNS svar, DHCP svar, NTP svar, IPSec
svar, ICMP kontrol pakker, ectetera?

Jeg har selv sat en firewall op, der fortager adresse oversættelse.
Filterne er implementeret selvstændigt for hvert interface, for både
ind- og udgående trafik, endvidere har jeg også implementeret
anti-spoofing i reglsættet, håndtering af en begrænset mængle ICMP
pakker pr. interface.

I alt er pakkefilteret på ca 100 regler. Hvis vi kun kikke på de regler
brugere normalt tænker på, dvs. den trafik der skal tillades som fx http
ind til webserveren, er der 11 regler. Resten af reglerne er begrænsning
af DNS, ICMP, antispoof, håndtering af etableret sessionstrafik tilbage,
etcetera.

> Jeg tror det er sjældent at almindelige mennesker har behov der ikke
> kan klares med meget simple regler, som en der kender firewallen og
> dens konfigurationssyntaks kan skrive på et par minutter. Det svære er
> at finde ud af hvilke behov man egentlig har, men det kan der ikke
> sættes tid på, da det kan blive ved med at ændre sig.

Jeg er også enig i at det ikke tager dage, men at få det til at lyde som
noget trivielt er jeg ikke enig i, specielt ikke når du har sat din
firewall forkert op, eller måske kører du ikke FTP og DNS? :)

--
Christian E. Lysel, http://www.spindelnet.dk/


Kasper Dupont (28-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 28-10-02 10:22

"Christian E. Lysel" wrote:
>
> Lasse Reichstein Nielsen wrote:
> > Min firewall er nu hurtigt sat op: Blokker alle forbindelser udefra,
> > tillad alle indefra. Som Martin sagde: Det afhænger af behov og
> > overblik.
>
> Det lyder som en klassisk fejl. Hvis du blokere alt udefra har du kun et
> setup der kun virker i begrænset omfang, da du ikke tillade svar fra
> internet, eller FTP-data sessionen, DNS svar, DHCP svar, NTP svar, IPSec
> svar, ICMP kontrol pakker, ectetera?

Håndtering af DNS og NTP svar bør ligge i firewallens connection
tracking for UDP forbindelser. (Ja, jeg ved der strengt taget ikke
er tale om en forbindelse, det er vist normalt implementeret med
et timeout i størelsesordnen 10 minutter.) ICMP pakker bør
ligeledes håndteres af firewallens connection tracking.

Jeg ved ikke nok om IPSec til at afgøre, om den kræver særlige
regler. Men det er jo langt fra alle, der har brug for IPSec.

FTP er en af de besværlige at bruge gennem en firewall. Jeg bruger
ikke så tit selv FTP, men jeg ved da, at f.eks. iptables har et
connection tracking modul for FTP. Der behøves ikke ændres i
reglerne, man skal bare indlæse modulet, og derefter vil FTP blive
håndteret af de nuværende regler.

Så er der blot DHCP tilbage, og den vil nok altid kræve særlige
regler. I mit tilfælde drejer det sig dog kun om tre regler.

>
> Jeg er også enig i at det ikke tager dage, men at få det til at lyde som
> noget trivielt er jeg ikke enig i, specielt ikke når du har sat din
> firewall forkert op, eller måske kører du ikke FTP og DNS? :)

DNS har da aldrig været noget problem for en firewall med en
fornuftig connection tracking. Men FTP kan selvfølgelig være et
problem. Det er ikke trivielt at sætte en firewall op, men det
behøves alligevel ikke tage lang tid for en erfaren person. De
fleste brugeres behov kan dækkes med under 10 regler. Jeg har da
selv over 100 regler i min opsætning, men det er da også langt
fra den typiske brugers behov.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Christian E. Lysel (28-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-10-02 10:21

Kasper Dupont wrote:
> Håndtering af DNS og NTP svar bør ligge i firewallens connection
> tracking for UDP forbindelser. (Ja, jeg ved der strengt taget ikke

Du snakker om en stateful firewall, formoder jeg.

Jeg snakker om pakkefiltre.

> DNS har da aldrig været noget problem for en firewall med en
> fornuftig connection tracking. Men FTP kan selvfølgelig være et
> problem. Det er ikke trivielt at sætte en firewall op, men det
> behøves alligevel ikke tage lang tid for en erfaren person. De

Han skrev at trafik udefra og ind skal blokeres, og at alt trafik
indefra og ud skal være tilladt, i nævnte rækkefølge.

Han skrev ikke noget om brugen af et connection tracking module i
Windows XP ville håndtere retur pakkerne fra sessioner initialiseret
indefra og ud.

Findes det i XP?


--
Christian E. Lysel, http://www.spindelnet.dk/


Lasse Reichstein Nie~ (28-10-2002)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 28-10-02 14:16

"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> writes:

> Han skrev at trafik udefra og ind skal blokeres, og at alt trafik
> indefra og ud skal være tilladt, i nævnte rækkefølge.

Nej, han sagde "forbindelser udefra" :)

Han indrømmer så nu at han også bruger ip_masq_ftp-modulet så ftp
virker både aktivt og passivt, så det er ikke kun regler. Det er altså
en Linux-baseret firewall.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

Martin Christensen (28-10-2002)
Kommentar
Fra : Martin Christensen


Dato : 28-10-02 02:03

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> writes:

>> Hvor i alverden har du dog det fra? Det var dog en frygtelig gang ævl!
>> Hvor svært det er at sætte en god firewall fornuftigt op afhængeri høj
> Sidst jeg læste "Building Internet firewalls" var bogen på 517 sider,
> men det kan jo være det er blevet nemmer siden :)

Hvor tidskrævende en opgave er, er ikke nødvendigvis proportional med
tykkelsen af de bøger, man kan skrive om den.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj28jL8ACgkQYu1fMmOQldXylQCcDPCLOwTtMAYrKvNciUrSotGT
uHYAn0IIZYY+5OxGm/tYDr4wFgY2lziy
=V5qL
-----END PGP SIGNATURE-----

Christian E. Lysel (28-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-10-02 07:34

Martin Christensen wrote:
>>Sidst jeg læste "Building Internet firewalls" var bogen på 517 sider,
>>men det kan jo være det er blevet nemmer siden :)
> Hvor tidskrævende en opgave er, er ikke nødvendigvis proportional med
> tykkelsen af de bøger, man kan skrive om den.

Hvis man først skal læse den :)

Jeg er enig i at det ikke tager dage, men uenig i at det skal være
utroligt trivielt at lave pakkefiltre.

--
Christian E. Lysel, http://www.spindelnet.dk/


Martin Christensen (28-10-2002)
Kommentar
Fra : Martin Christensen


Dato : 28-10-02 14:56

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> writes:

>> Hvor tidskrævende en opgave er, er ikke nødvendigvis proportional med
>> tykkelsen af de bøger, man kan skrive om den.
> Jeg er enig i at det ikke tager dage, men uenig i at det skal være
> utroligt trivielt at lave pakkefiltre.

Det påstod jeg ingenlunde. Jeg sagde blot, at den oprindelige påstand
om, at det tog omkring en dag for en erfaren professionel at sætte en
firewlal nogenlunde godt op, var grebet ud af luften. Jeg er udmærket
klar over, at det kan være noget af en udfordring at sætte et godt
pakkefilter op.

Det skal desuden nævnes, at et pakkefilter godt kan være stateful,
selv om du andetsteds i tråden lyder som om, de nødvendigvis er mere
simple. Hvis jeg har forstået det rigtigt (ret mig endeligt, hvis det
ikke er tilfældet), er der to typer firewalls, pakkefiltre og proxies,
der ligger i forskellige lag i netværket. Forskellen er (meget) groft
sagt, at pakkefiltre kan inspicere og behandle pakker på IP-niveau,
men kender ikke noget til indholdet af pakkerne på applikationsniveau,
mens proxies ligger på et højere niveau, hvor de kun ser de samlede
pakker på applikationsniveau.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj29Qd4ACgkQYu1fMmOQldXS4gCePdSMUgbZjvEtX5r4L4QrJGIt
O/8AnRpKmfWfnnOoB71wPW8OnUlg9M5X
=w5+k
-----END PGP SIGNATURE-----

Christian E. Lysel (28-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-10-02 16:08

Martin Christensen wrote:
>>>Hvor tidskrævende en opgave er, er ikke nødvendigvis proportional med
>>>tykkelsen af de bøger, man kan skrive om den.
>>Jeg er enig i at det ikke tager dage, men uenig i at det skal være
>>utroligt trivielt at lave pakkefiltre.
> Det påstod jeg ingenlunde. Jeg sagde blot, at den oprindelige påstand
> om, at det tog omkring en dag for en erfaren professionel at sætte en
> firewlal nogenlunde godt op, var grebet ud af luften. Jeg er udmærket
> klar over, at det kan være noget af en udfordring at sætte et godt
> pakkefilter op.

Enig.

> Det skal desuden nævnes, at et pakkefilter godt kan være stateful,

Jeg bryder mig ikke om at blande pakkefilter og stateful sammen,
generelt kan stateful dække over mange forskellige lag, og hvis man ikke
præsisere hvad man mener kan det nemt misforståes.

> selv om du andetsteds i tråden lyder som om, de nødvendigvis er mere
> simple. Hvis jeg har forstået det rigtigt (ret mig endeligt, hvis det
> ikke er tilfældet), er der to typer firewalls, pakkefiltre og proxies,

Jeg får det til 3 type, udover når man kombinere mulighederne,

o pakkefilter
o stateful inspection.
o proxy

> der ligger i forskellige lag i netværket. Forskellen er (meget) groft
> sagt, at pakkefiltre kan inspicere og behandle pakker på IP-niveau,
> men kender ikke noget til indholdet af pakkerne på applikationsniveau,

På IP-niveau er det stadigvæk muligt at lave filtering af payloaden,
blot er det ubrugligt hvis pakkerne er fragmenteret. Nogle
indholdsscanningsprodukter, kan bla. omgåes ved at fragmentere sine data.

> mens proxies ligger på et højere niveau, hvor de kun ser de samlede
> pakker på applikationsniveau.

Stateful inspection kan gå ind i hvilket som helst niveau, også
ethernet, typisk er der nogle niveauer hvor det er bedre egenet end
andre. Fx har jeg ikke set nogle statefull inspection implementationer
af ethernet :)


--
Christian E. Lysel, http://www.spindelnet.dk/


Michael (28-10-2002)
Kommentar
Fra : Michael


Dato : 28-10-02 14:07

Puuuuha...... Sikke en dynge indlæg

Må bryde sammen og tilstå at langt det meste overgår de evner jeg besidder
indenfor det område.

Jeg bruger min puter til at surfe og hente mail med. Altså det jeg vil kalde
husholdningsbrug.
Synes at det skinner igennem at hvis man kan holde sig til det, er risikoen
nærmest lig nul for
at blive hacket...Har jeg ret i det???

/ Mik...




Martin Christensen (28-10-2002)
Kommentar
Fra : Martin Christensen


Dato : 28-10-02 14:47

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

"Michael" <mks@NOSPAMMaccelerator.dk> writes:

> Synes at det skinner igennem at hvis man kan holde sig til
> [husholdningsbrug], er risikoen nærmest lig nul for at blive
> hacket...Har jeg ret i det???

Nej, jeg vil mene, at du tager fejl. For mange omfatter
'husholdningsbrug' blandt andet meget dårlige vaner som ukritisk at
køre vedhæftede filer, og det omfatter ikke gode vaner som at sørge
for at unødvendige og farlige services som Windows' fildeling bliver
slået fra og at holde softwaren up-to-date med sikkerhedspatches
(Windows Update).

Tænk på en firewall som en lås på en dør. Man kan diskutere låse,
nøgler osv. til evig tid, men hvis ikke der er nogen dør at komme ind
ad, er der heller ikke brug for en lås. Ved at sætte computeren
fornuftigt op og, gennem gode brugsvaner, undlade at få trojanske
heste på sit system, har man i praksis fjernet alle de døre,
uvedkommende ellers ville komme ind ad. Giver det mening?

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj29P9gACgkQYu1fMmOQldWU3QCg3L6M+Zb2z4bcwwMUrF/t+N+j
EwUAn19jeRM9ReBtDWOvOMg32ZSwEiAa
=N3tc
-----END PGP SIGNATURE-----

Michael (28-10-2002)
Kommentar
Fra : Michael


Dato : 28-10-02 16:10


"Martin Christensen" <knightsofspamalot-factotum@gvdnet.dk> skrev i en
meddelelse news:874rb6y8tj.fsf@gvdnet.dk...
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> "Michael" <mks@NOSPAMMaccelerator.dk> writes:
>
> > Synes at det skinner igennem at hvis man kan holde sig til
> > [husholdningsbrug], er risikoen nærmest lig nul for at blive
> > hacket...Har jeg ret i det???
>
> Nej, jeg vil mene, at du tager fejl. For mange omfatter
> 'husholdningsbrug' blandt andet meget dårlige vaner som ukritisk at
> køre vedhæftede filer, og det omfatter ikke gode vaner som at sørge
> for at unødvendige og farlige services som Windows' fildeling bliver
> slået fra og at holde softwaren up-to-date med sikkerhedspatches
> (Windows Update).

Jeg er nok novice hvad angår forståelse for opsætning af firewall, men
helt idiot er jeg dog ikke.. Jeg har naturligvis et (synes jeg) godt
antivirusprogram install. (PC-cillin forøvrigt) Den har flere gange reddet
mig fra ubehagelige overraskelser, uden at jeg dog af den grund blot
lukker div. filer op i blind tillid....
Jeg henter selvfølgelig de opdates som der bliver tilbudt hos Windows
Update!!

>
> Tænk på en firewall som en lås på en dør. Man kan diskutere låse,
> nøgler osv. til evig tid, men hvis ikke der er nogen dør at komme ind
> ad, er der heller ikke brug for en lås. Ved at sætte computeren
> fornuftigt op og, gennem gode brugsvaner, undlade at få trojanske
> heste på sit system, har man i praksis fjernet alle de døre,
> uvedkommende ellers ville komme ind ad. Giver det mening?

Ja, det gør det!!.....Nu har jeg så godt nok slået wallen i XP til, fordi
jeg ikke ved med bestemthed om nogle af de ca 64.000 døre kan ses.
Og så må jeg jo så håbe at låsen holder, hvis jeg får uindbudte gæster.
Med fornuftig opsætning af computeren, mener du da de muligheder der
tilbydes i kontrolpanel / internetindstillinger / sikkerhed???...Eller er
der
andre finurligheder, døre som skal fjernes uden at vi bevæger os ud i
paranoia???

/ Michael...

>
> Martin
>
> - --
> Homepage: http://www.cs.auc.dk/~factotum/
> GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.0.6 (GNU/Linux)
> Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>
>
> iEYEARECAAYFAj29P9gACgkQYu1fMmOQldWU3QCg3L6M+Zb2z4bcwwMUrF/t+N+j
> EwUAn19jeRM9ReBtDWOvOMg32ZSwEiAa
> =N3tc
> -----END PGP SIGNATURE-----



Lasse Reichstein Nie~ (28-10-2002)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 28-10-02 15:29

"Michael" <mks@NOSPAMMaccelerator.dk> writes:

> Jeg bruger min puter til at surfe og hente mail med. Altså det jeg
> vil kalde husholdningsbrug. Synes at det skinner igennem at hvis man
> kan holde sig til det, er risikoen nærmest lig nul for at blive
> hacket...Har jeg ret i det???

Nej. En ikke-opdateret (IE) browser der besøger en inficeret side er
nok til selv at blive inficeret med f.eks. Nimda eller andre slimede
ting. En ikke-opdateret (Outlook) mail-klient kan inficeres bare ved
at modtage en grim mail.

Hvis du har forbindelse til noget som helst uden for din egen maskine,
og det program du bruger til det har et sikkerhedshul, så kan du
rammes. Microsofts produkter har haft en del sikkerhedshuller (og har
det stadig[1]). Andre produkter har sikkert også enkelte huller, der
er bare ikke brugt så megen energi på at finde dem.

Løsningen på problemet er ikke firewalls eller antivirus, selvom de
måske kan hjælpe i nogel tilfælde. De er symptombehandling. Løsningen
er at holde sine værktøjer opdaterede. Hver gang der bliver fundet et
nyt sikkerhedshul er man truet ind til man lapper det.

Hackere er som vampyrer, de kommer ikke ind med mindre man giver dem
lov :). OSS'en [2] giver vejledning i hvordan man lukker for nogle af
de døre Windows kommer med (med store "velkommen"-måtter :).

/L
[1] <URL:http://www.pivx.com/larholm/unpatched/>
[2] <URL:http://a.area51.dk/sikkerhed/>
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

Christian E. Lysel (28-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-10-02 16:09

Michael wrote:
> Puuuuha...... Sikke en dynge indlæg
>
> Må bryde sammen og tilstå at langt det meste overgår de evner jeg besidder
> indenfor det område.

Enten bør du sætte dig ind i TCP/IP, ved at læse nogle relevante RFC'er,
og derefter sætte en firewall, eller også bør du sætte dig ind i hvordan
du kan sikre de applikationer du kører.

Den sidste mulighed bør du også følgende efter du har sat en firewall op.

> Jeg bruger min puter til at surfe og hente mail med. Altså det jeg vil kalde
> husholdningsbrug.
> Synes at det skinner igennem at hvis man kan holde sig til det, er risikoen
> nærmest lig nul for
> at blive hacket...Har jeg ret i det???

Nej.


--
Christian E. Lysel, http://www.spindelnet.dk/


Michael (28-10-2002)
Kommentar
Fra : Michael


Dato : 28-10-02 16:41


"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> skrev i en meddelelse
news:3DBD5320.70404@spindelnet.dk...
> Michael wrote:
> > Puuuuha...... Sikke en dynge indlæg
> >
> > Må bryde sammen og tilstå at langt det meste overgår de evner jeg
besidder
> > indenfor det område.
>
> Enten bør du sætte dig ind i TCP/IP, ved at læse nogle relevante RFC'er,
> og derefter sætte en firewall, eller også bør du sætte dig ind i hvordan
> du kan sikre de applikationer du kører.

Det er jeg ved at kigge på i skrivende stund...Manglede blot lidt input til
at komme i gang for at få en lille forståelse for det inden...Og det siger
jeg tak for!

/ Michael...
>
> Den sidste mulighed bør du også følgende efter du har sat en firewall op.
>
> > Jeg bruger min puter til at surfe og hente mail med. Altså det jeg vil
kalde
> > husholdningsbrug.
> > Synes at det skinner igennem at hvis man kan holde sig til det, er
risikoen
> > nærmest lig nul for
> > at blive hacket...Har jeg ret i det???
>
> Nej.
>
>
> --
> Christian E. Lysel, http://www.spindelnet.dk/
>



Kasper Dupont (28-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 28-10-02 16:52

Michael wrote:
>
> Puuuuha...... Sikke en dynge indlæg
>
> Må bryde sammen og tilstå at langt det meste overgår de evner jeg besidder
> indenfor det område.

Det er faktisk en af grundene til at OSS fraråder brug
af firewall i de fleste tilfælde.

>
> Jeg bruger min puter til at surfe og hente mail med. Altså det jeg vil kalde
> husholdningsbrug.

OK.

> Synes at det skinner igennem at hvis man kan holde sig til det, er risikoen
> nærmest lig nul for
> at blive hacket...Har jeg ret i det???

Nej, du skal sørge for at lukke for unødvendige services, som
ellers ville stå åbne udad. Desuden skal du holde dine
programmer opdateret og undgå suspekte programmer fra nettet.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Michael (28-10-2002)
Kommentar
Fra : Michael


Dato : 28-10-02 19:15


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DBD5D29.D6A743C9@daimi.au.dk...
> Michael wrote:


> > Synes at det skinner igennem at hvis man kan holde sig til det, er
risikoen
> > nærmest lig nul for
> > at blive hacket...Har jeg ret i det???
>
> Nej, du skal sørge for at lukke for unødvendige services, som
> ellers ville stå åbne udad. Desuden skal du holde dine
> programmer opdateret og undgå suspekte programmer fra nettet.

Holder skam mine programmer opdateret, men hvad
dækker "unødvendige services" over????...

/ Michael...





Rasmus Bøg Hansen (28-10-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 28-10-02 19:27

Michael wrote:

> Holder skam mine programmer opdateret, men hvad
> dækker "unødvendige services" over????...

Det for tiden temmelig omtalte messenger (ikke MSN messenger). NetBIOS på en
standalone-maskine er også unødvendig, ligesom uPnP-serveren er unødvendig
på en maskine, som ikke er router.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Life is that property, which a being will lose as a result of falling
out of a cold and mysterious cave 30 miles above ground level.
- HitchHikers Guide to the Galaxy, Douglas Adams
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Christian E. Lysel (28-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-10-02 20:09

Michael wrote:
> Holder skam mine programmer opdateret, men hvad
> dækker "unødvendige services" over????...

Hvad bruger du din maskine til, sammenlign dette med hvad du server i
service oversigten (kør evt. "net start"), hvis du fortæller også begge
dele skal vi nok give forslag til hvad du kan slå fra.

På den ene af mine maskiner jeg bruger til homebanking er selv printer
systemet slået fra (spooler servicen).

--
Christian E. Lysel, http://www.spindelnet.dk/


Michael (29-10-2002)
Kommentar
Fra : Michael


Dato : 29-10-02 10:12


"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> skrev i en meddelelse
news:3DBD8B3F.2000302@spindelnet.dk...
> Michael wrote:
> > Holder skam mine programmer opdateret, men hvad
> > dækker "unødvendige services" over????...
>
> Hvad bruger du din maskine til, sammenlign dette med hvad du server i
> service oversigten (kør evt. "net start"), hvis du fortæller også begge
> dele skal vi nok give forslag til hvad du kan slå fra.

Det vil jeg da sige ja tak og mange tak til....

Hvis jeg kører "net start" fra kommandopromt får jeg en længe liste over
de Windows-tjenester som er startet (halvdelen kan jeg ikke genkende)
Er det den/dem du mener???....Og i så fald....Kan jeg tillade mig at
cut/paste
den her i gruppen??

/ Michael...





Christian E. Lysel (29-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 29-10-02 11:07

Michael wrote:
> Det vil jeg da sige ja tak og mange tak til....
>
> Hvis jeg kører "net start" fra kommandopromt får jeg en længe liste over
> de Windows-tjenester som er startet (halvdelen kan jeg ikke genkende)
> Er det den/dem du mener???....Og i så fald....Kan jeg tillade mig at

Ja.

> cut/paste
> den her i gruppen??

Ja.

Husk også at fortæl os hvad du bruger maskinen til.

--
Christian E. Lysel, http://www.spindelnet.dk/


Michael (29-10-2002)
Kommentar
Fra : Michael


Dato : 29-10-02 13:19


"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> skrev i en meddelelse
news:3DBE5DD8.2070505@spindelnet.dk...
> Michael wrote:
> > Det vil jeg da sige ja tak og mange tak til....
> >
> > Hvis jeg kører "net start" fra kommandopromt får jeg en længe liste over
> > de Windows-tjenester som er startet (halvdelen kan jeg ikke genkende)
> > Er det den/dem du mener???....Og i så fald....Kan jeg tillade mig at
>
> Ja.
>
> > cut/paste
> > den her i gruppen??
>
> Ja.
>
Hente mail, surfer. Download/update af filer/programmer, men ingen
filesharing
såsom KaZaa og lign. på denne maskine. Ej heller ICQ..Messenger bruges
Printer og scanner er tilsluttet og bruger også homebanking...

En "net start" ser således ud:
Nok lidt omfattende, hvis du skal forklare hvad det hele betyder, men et
link
til et sted, vil jeg meget gerne, hvis det findes....

Alerter
Alternativt logon
Arbejdsstation
Automatisk konfiguration af trådløse enheder
Automatiske opdateringer
Beskyttet lager
COM+-hændelsessystem
Computerbrowser
DHCP-klientprogram
Distributed Link Tracking Client
DNS-klient
Firewall til Internetforbindelse / Deling af Internetforbindelse
Fix-It Task Manager
Gatewaytjeneste til programlaget
Hardwaregenkendelse på brugergrænsefladen
Hjælp og support
Hurtigt brugerskift-kompatibilitet
Hændelseslog
Indekseringstjeneste
IPSEC Policy Agent
Kryptografiske tjenester
Logical Disk Manager
Messenger
Netværksforbindelser
NLA (Network Location Awareness)
Opgavestyring
PCTEL Speaker Phone
Plug and Play
Print Spooler
Remote Access Auto Connection Manager
Remote Access Connection Manager
Remote Procedure Call (RPC)
Remote Registry
SAM (Security Accounts Manager)
Serienummer for bærbart medie
Server
SSDP-genkendelsestjeneste
System Event Notification
Telekommunikation
Temaer
Terminal Services
Tjenesten Background Intelligent Transfer
Tjenesten Systemgendannelse
Tjenesten TCP/IP NetBIOS Helper
Trend NT Realtime Service
Webklient
Windows Audio
Windows Management Instrumentation
Windows-billedscanning
WMDM PMSP Service

/ Michael...





Christian E. Lysel (30-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 30-10-02 00:45

Michael wrote:
> Hente mail, surfer. Download/update af filer/programmer, men ingen
> filesharing
> såsom KaZaa og lign. på denne maskine. Ej heller ICQ..Messenger bruges
> Printer og scanner er tilsluttet og bruger også homebanking...

Først kan jeg anbefalde at du læser,
http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html

> En "net start" ser således ud:
> Nok lidt omfattende, hvis du skal forklare hvad det hele betyder, men et
> link
> til et sted, vil jeg meget gerne, hvis det findes....

Jeg ville nok stoppe.

> Alerter
Stop

> Alternativt logon
Stop

> Arbejdsstation
Måske stop

> Automatisk konfiguration af trådløse enheder
Stop

> Automatiske opdateringer
> Beskyttet lager
> COM+-hændelsessystem
> Computerbrowser
Stop

> DHCP-klientprogram
> Distributed Link Tracking Client
Stop

> DNS-klient
> Firewall til Internetforbindelse / Deling af Internetforbindelse
Stop

> Fix-It Task Manager
> Gatewaytjeneste til programlaget
> Hardwaregenkendelse på brugergrænsefladen
> Hjælp og support
Stop

> Hurtigt brugerskift-kompatibilitet
Stop

> Hændelseslog
> Indekseringstjeneste
Stop

> IPSEC Policy Agent
Stop

> Kryptografiske tjenester
> Logical Disk Manager
> Messenger
Stop

> Netværksforbindelser
> NLA (Network Location Awareness)
> Opgavestyring
Stop

> PCTEL Speaker Phone
> Plug and Play
> Print Spooler
> Remote Access Auto Connection Manager
Stop

> Remote Access Connection Manager
Stop

> Remote Procedure Call (RPC)
> Remote Registry
Stop

> SAM (Security Accounts Manager)
> Serienummer for bærbart medie
> Server
Måske stop

> SSDP-genkendelsestjeneste
Stop

> System Event Notification
> Telekommunikation
Stop

> Temaer
> Terminal Services
Stop

> Tjenesten Background Intelligent Transfer
Stop

> Tjenesten Systemgendannelse
> Tjenesten TCP/IP NetBIOS Helper
Stop

> Trend NT Realtime Service
> Webklient
> Windows Audio
> Windows Management Instrumentation
> Windows-billedscanning
> WMDM PMSP Service

Husk at tage en backup af din maskine inden du går i gang.

--
Christian E. Lysel, http://www.spindelnet.dk/


Michael (01-11-2002)
Kommentar
Fra : Michael


Dato : 01-11-02 10:53


"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> skrev i en meddelelse
news:3DBF1D91.5080607@spindelnet.dk...
> Michael wrote:
> > Hente mail, surfer. Download/update af filer/programmer, men ingen
> > filesharing
> > såsom KaZaa og lign. på denne maskine. Ej heller ICQ..Messenger bruges
> > Printer og scanner er tilsluttet og bruger også homebanking...
>
> Først kan jeg anbefalde at du læser,
> http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html
>
> > En "net start" ser således ud:
> > Nok lidt omfattende, hvis du skal forklare hvad det hele betyder, men et
> > link
> > til et sted, vil jeg meget gerne, hvis det findes....
>
> Jeg ville nok stoppe.
>

"SNIP"

Det var jo en længere liste, men der er vel ikke andet for end at gå igang.
Det ser ud til at det altsammen kan klares ved at køre "services.msc"
Eller kender du til en anden/bedre metode???

/ Michael...




Martin Christensen (28-10-2002)
Kommentar
Fra : Martin Christensen


Dato : 28-10-02 22:11

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

"Michael" <mks@NOSPAMMaccelerator.dk> writes:

> Jeg er nok novice hvad angår forståelse for opsætning af firewall, men
> helt idiot er jeg dog ikke..

Det er der skam heller ikke nogen, der påstår.

> Jeg har naturligvis et (synes jeg) godt antivirusprogram
> install. (PC-cillin forøvrigt) Den har flere gange reddet mig fra
> ubehagelige overraskelser, uden at jeg dog af den grund blot lukker
> div. filer op i blind tillid....

Mere af samme skuffe som firewalls. Antivirusprogrammer burde ikke
være nødvendige, og med et korrekt opsat og fornuftigt brugt system,
er de det heller ikke.

> Jeg henter selvfølgelig de opdates som der bliver tilbudt hos Windows
> Update!!

Det er ikke selvfølgeligt. At du holder dit system opdateret anbringer
dig i et fåtal, ikke flertallet.

> Nu har jeg så godt nok slået wallen i XP til, fordi jeg ikke ved med
> bestemthed om nogle af de ca 64.000 døre kan ses.

65.535*2 (både TCP/IP og UDP/IP), for at være præcis. Port 0 tæller
ikke med. Gør det nogen forskel, om portene kan ses eller ej? Hvad
skal det i øvrigt sige, at en port er synlig eller usynlig? Det har
jeg aldrig haft en klar forståelse af, selv om jeg dog bestod Netværk
og Datamatarkitektur med glans.

> Og så må jeg jo så håbe at låsen holder, hvis jeg får uindbudte gæster.

Næh, slå du hellere den firewall fra et øjebliks tid og kør en grundig
portscanning på din maskine. Til det formål kan jeg anbefale nmap, som
vist også er portet til Windows. Så lukker du services ned, indtil der
ikke er noget tilbage, der ikke skal være der. De ting, som du lader
køre, skal alligevel ikke dækkes af firewallen, så det firewallen skal
dække over, er en hel masse porte uden tilknyttede services. Derefter
kan du bruge firewallen som en slags dobbeltsikring i tilfælde af, at
nogle services skulle snige sig frem igen, som Bertel Lund Hansen
beskrev for et par dage siden.

> Med fornuftig opsætning af computeren, mener du da de muligheder der
> tilbydes i kontrolpanel / internetindstillinger /
> sikkerhed???...Eller er der andre finurligheder, døre som skal
> fjernes uden at vi bevæger os ud i paranoia???

Det ved jeg ikke. Det er Windows; det har jeg meget begrænset forstand
på i de henseender.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj29p/UACgkQYu1fMmOQldV79QCghsDqBwMWXmZe4/dmk5XiwBwz
ww0An1RE8+CljVAN7ibTilbHoLpmNWzv
=mm9q
-----END PGP SIGNATURE-----

Madsen (30-10-2002)
Kommentar
Fra : Madsen


Dato : 30-10-02 02:46

Michael skrev:

> En "net start" ser således ud: Nok lidt omfattende, hvis du skal
> forklare hvad det hele betyder, men et link til et sted, vil jeg
> meget gerne, hvis det findes....

Du kan evt. prøve at kigge følgende side som forklarer om de
forskellige services: <http://www.blkviper.com/WinXP/servicecfg.htm>.
Der er også forslag til hvilke services du skal bruge og hvilke du
kan undvære, afhængig af hvad din pc bruges til. Hvor meget manden
så har forstand på sikkerhed ved jeg ikke, men hans side har da
hjulpet mig til at få slukket for en masse unødvendige services i
det mindste.

--
Med venlig hilsen
Madsen.

Michael (01-11-2002)
Kommentar
Fra : Michael


Dato : 01-11-02 10:54


"Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:Xns92B71C2C0EB03copy.if.you.wish@madsen.tdcadsl.dk...
> Michael skrev:
>
> > En "net start" ser således ud: Nok lidt omfattende, hvis du skal
> > forklare hvad det hele betyder, men et link til et sted, vil jeg
> > meget gerne, hvis det findes....
>
> Du kan evt. prøve at kigge følgende side som forklarer om de
> forskellige services: <http://www.blkviper.com/WinXP/servicecfg.htm>.
> Der er også forslag til hvilke services du skal bruge og hvilke du
> kan undvære, afhængig af hvad din pc bruges til. Hvor meget manden
> så har forstand på sikkerhed ved jeg ikke, men hans side har da
> hjulpet mig til at få slukket for en masse unødvendige services i
> det mindste.
>
> --
> Med venlig hilsen
> Madsen.

Takker for linket! Ser spændende ud..

/ Michael...



Søg
Reklame
Statistik
Spørgsmål : 177549
Tips : 31968
Nyheder : 719565
Indlæg : 6408820
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste