|
| NAT Fra : Karina og Christian |
Dato : 21-11-02 17:01 |
|
Hejsa Alle!
Jeg har et hurtigt og meget novice-agtigt spørgsmål til jer i denne lærde
gruppe: Når min kæreste og jeg via vores StofaNet-forbindelse får tildelt et
ip-nummer via NAT (jeg er ikke engang sikker på, at det er korrekt
formuleret), betyder det så, at vores computere er beskyttet mod evt.
indtrængende ude fra det store internet (og det dermed er unødvendigt for os
at køre med en personlig firewall?
På forhånd mange tak og med venlig hilsen
Christian
--
NB: Slet "FJERNDETTE" fra adressen ved svar pr. e-mail
----
| |
Alex Holst (21-11-2002)
| Kommentar Fra : Alex Holst |
Dato : 21-11-02 17:06 |
|
Karina og Christian <vaksFJERNDETTE@krudt.dk> wrote:
> Hejsa Alle!
>
> Jeg har et hurtigt og meget novice-agtigt spørgsmål til jer i denne lærde
> gruppe: Når min kæreste og jeg via vores StofaNet-forbindelse får tildelt et
> ip-nummer via NAT (jeg er ikke engang sikker på, at det er korrekt
> formuleret), betyder det så, at vores computere er beskyttet mod evt.
> indtrængende ude fra det store internet (og det dermed er unødvendigt for os
> at køre med en personlig firewall?
Sandsynligvis. I en NAT opsaetning tillader Kabelmodemet paa StofaNet's
standard opkobling hvert fald ikke forbindelse fra nettet til en raekke
porte, deriblandt Windows Networking. Hvis du kun har den ene computer
har du nok ikke brug for en personlig firewall da du vil vaere bedre
tjent med at slaa services fra som ikke benyttes.
Hvis du benytter StofaNet's familieopkobling er der ingen IP filtre.
Kig lidt i OSS'en hvis du ikke allerede har gjort det:
http://a.area51.dk/sikkerhed/
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Bertel Lund Hansen (21-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 21-11-02 19:18 |
|
Alex Holst skrev:
>Sandsynligvis. I en NAT opsaetning tillader Kabelmodemet paa StofaNet's
>standard opkobling hvert fald ikke forbindelse fra nettet til en raekke
>porte, deriblandt Windows Networking.
Før jeg vidste hvordan Windows skulle sættes sikkert op, kørte
jeg med en personlig firewall. Da jeg slog den fra i en halv
times tid, fik jeg en orm på mit system. Jeg er på Stofanet.
Dette blot for at forklare at man ikke kan forlade sig på nogen
NAT- eller Stofabeskyttelse.
>Hvis du kun har den ene computer har du nok ikke brug for en personlig
>firewall da du vil vaere bedre tjent med at slaa services fra som ikke benyttes.
Enig.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Karina og Christian (21-11-2002)
| Kommentar Fra : Karina og Christian |
Dato : 21-11-02 22:30 |
|
"Alex Holst" <a@mongers.org> wrote in message
news:1tcva-e9r.ln1@miracle.mongers.org...
> Hvis du kun har den ene computer
> har du nok ikke brug for en personlig firewall da du vil vaere bedre
> tjent med at slaa services fra som ikke benyttes.
>
Og hvad så, hvis jeg har to computere - én, der er tilsluttet StofaNet og en
anden, som er tilsluttet den første computer med et alternativt netkort?
> Hvis du benytter StofaNet's familieopkobling er der ingen IP filtre.
Det mener jeg ikke, at jeg gør - det er vist en helt standard-agtig
StofaNet-forbindelse.
>
> Kig lidt i OSS'en hvis du ikke allerede har gjort det:
>
> http://a.area51.dk/sikkerhed/
>
Det vil jeg gøre - og tak for hjælpen indtil videre (også til de andre, der
har svaret)
/Christian
| |
Alex Holst (21-11-2002)
| Kommentar Fra : Alex Holst |
Dato : 21-11-02 23:56 |
|
Karina og Christian <vaksFJERNDETTE@krudt.dk> wrote:
> Og hvad så, hvis jeg har to computere - én, der er tilsluttet StofaNet og en
> anden, som er tilsluttet den første computer med et alternativt netkort?
Det kommer an paa om Bertel eller jeg har ret mht. StofaNet's firewall
funktion. Jeg har lige testet mod et villigt offer, og StofaNet blocker
helt klart for indgaaende 139/tcp hvilket stopper netbios angreb ude
fra. Dette fund passer med mine oplevelser tidligere paa aaret. Det er
stadigt muligt at der ikke blockes internt paa deres netvaerk, hvilket
kan forklare hvordan Bertel fik en orm paa sin maskine.
Under alle omstaendigheder kan du fjerne netbios fra dit externe netkort.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Christian E. Lysel (22-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 22-11-02 09:09 |
|
Alex Holst wrote:
> Det kommer an paa om Bertel eller jeg har ret mht. StofaNet's firewall
> funktion. Jeg har lige testet mod et villigt offer, og StofaNet blocker
> helt klart for indgaaende 139/tcp hvilket stopper netbios angreb ude
> fra. Dette fund passer med mine oplevelser tidligere paa aaret. Det er
> stadigt muligt at der ikke blockes internt paa deres netvaerk, hvilket
> kan forklare hvordan Bertel fik en orm paa sin maskine.
Min udbyder har bla. været udsat for DDoS angreb, hvilket medførte de
ændrede på konfigurationen uden at informere nogle.
Således blev min ydeside's ip adresse rettet til min indersides ip
adresse af ISP'en.
Heldigvis havde jeg taget højde for dette i mine pakkefiltre.
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Bertel Lund Hansen (22-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 22-11-02 02:49 |
|
Karina og Christian skrev:
>Og hvad så, hvis jeg har to computere - én, der er tilsluttet StofaNet og en
>anden, som er tilsluttet den første computer med et alternativt netkort?
Min opsætning med tre computere hvor hovedcomputeren (1) har to
netkort er:
1 TCP mod nettet på det ene kort
Alle andre protokoller slagtes.
Ingen drev er delt. (Muligvis unødvendig sikkerhed)
NetBEUI på det andet kort mod LAN
2 og 3 NetBEUI mod LAN
Alle drev delt bortset fra C.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Rasmus Bøg Hansen (21-11-2002)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 21-11-02 17:20 |
|
"Karina og Christian" <vaksFJERNDETTE@krudt.dk> writes:
> Jeg har et hurtigt og meget novice-agtigt spørgsmål til jer i denne lærde
> gruppe: Når min kæreste og jeg via vores StofaNet-forbindelse får tildelt et
> ip-nummer via NAT (jeg er ikke engang sikker på, at det er korrekt
> formuleret), betyder det så, at vores computere er beskyttet mod evt.
> indtrængende ude fra det store internet (og det dermed er unødvendigt for os
I grove træk, ja.
> at køre med en personlig firewall?
Ja, det er helt unødvendigt. Brug hellere en smule tid på at sætte
maskinerne sikkert op:
http://a.area51.dk/sikkerhed/
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Remember, there are no stupid questions
- just stupid people.
- Mr. Garrison, South Park
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Allan Olesen (21-11-2002)
| Kommentar Fra : Allan Olesen |
Dato : 21-11-02 23:23 |
|
"Karina og Christian" <vaksFJERNDETTE@krudt.dk> wrote:
>Når min kæreste og jeg via vores StofaNet-forbindelse får tildelt et
>ip-nummer via NAT (jeg er ikke engang sikker på, at det er korrekt
>formuleret), betyder det så, at vores computere er beskyttet mod evt.
>indtrængende ude fra det store internet
Du er med meget stor sandsynlighed ikke beskyttet mod andre
Stofa-kunder, der sidder bag samme NAT-router. Da mange orme
leder paa nabo-ip-adresserne efter maskiner, de kan inficere, er
det en risiko, man skal tage alvorligt.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Lasse Reichstein Nie~ (22-11-2002)
| Kommentar Fra : Lasse Reichstein Nie~ |
Dato : 22-11-02 21:40 |
|
"Karina og Christian" <vaksFJERNDETTE@krudt.dk> writes:
> Jeg har et hurtigt og meget novice-agtigt spørgsmål til jer i denne lærde
> gruppe: Når min kæreste og jeg via vores StofaNet-forbindelse får tildelt et
> ip-nummer via NAT (jeg er ikke engang sikker på, at det er korrekt
> formuleret), betyder det så, at vores computere er beskyttet mod evt.
> indtrængende ude fra det store internet (og det dermed er unødvendigt for os
> at køre med en personlig firewall?
Med mindre Stofa har skiftet indstilling, så er du ikke beskyttet på
nogen måde. Stofa brugte, dengang jeg havde dem (nogle år siden),
1:1 NAT, hvilket var lige så godt, beskyttelsesmæssigt, som ingen NAT.
Jeg ved ikke om der er sket ændringer, men ville bare sige, at bare fordi
man er bag ved en NAT, så betyder det ikke nødvendigvis noget.
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'
| |
Karina og Christian (22-11-2002)
| Kommentar Fra : Karina og Christian |
Dato : 22-11-02 22:13 |
|
"Lasse Reichstein Nielsen" <lrn@hotpop.com> wrote in message
news:k7j5pcd3.fsf@hotpop.com...
> Stofa brugte, dengang jeg havde dem (nogle år siden),
> 1:1 NAT, hvilket var lige så godt, beskyttelsesmæssigt, som ingen NAT.
1:1 NAT? Må jeg have lov til at afsløre min uvidenhed og spørge: Hvad er
det?
>
> Jeg ved ikke om der er sket ændringer, men ville bare sige, at bare fordi
> man er bag ved en NAT, så betyder det ikke nødvendigvis noget.
>
OK - ja, der er åbenbart delte meninger om dette spørgsmål
/Christian
| |
Bertel Lund Hansen (22-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 22-11-02 23:17 |
|
Karina og Christian skrev:
>1:1 NAT? Må jeg have lov til at afsløre min uvidenhed og spørge: Hvad er
>det?
Jeg ved ikke om det er en standardiseret måde at sige detpå, men
jeg forstår det godt.
Jeg har én fast IP-adresse hos Stofanet. Jeg har også et lille
lokalnet (LAN) kørende. Jeg kunne godt NAT'te mine tre computere
til den ene IP-adresse så de alle kunne gå på internettet (det
har jeg dog tilfældigvis ikke gjort). Jeg kunne faktisk NAT'te
tusindvis af computere hvis jeg ville det (og havde råd).
Men Stofanet oversætter (NAT'ter) min lokaladresse
192.xxx.xxx.xxx til en ægte internetadresse, 212.10.116.235, og
jeg er den eneste der bliver koblet til den adresse. Det er altså
1:1.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Allan Olesen (22-11-2002)
| Kommentar Fra : Allan Olesen |
Dato : 22-11-02 23:57 |
|
"Karina og Christian" <vaksFJERNDETTE@krudt.dk> wrote:
>> Jeg ved ikke om der er sket ændringer, men ville bare sige, at bare fordi
>> man er bag ved en NAT, så betyder det ikke nødvendigvis noget.
>>
>
>OK - ja, der er åbenbart delte meninger om dette spørgsmål
Egentlig ikke. Nogle har skrevet, at NAT under nogle
omstaendigheder kan vaere sikkert. Andre har skrevet, at NAT ikke
er sikkert under enhver omstaendighed. Det vil jeg ikke kalde
uenighed.
Jeg tror ikke, at du finder nogen i gruppen, der vil modsige, at:
- NAT ikke i sig selv beskytter mod andre brugere paa samme
netvaerkssegment bag NAT-routeren.
- NAT ikke udelukker, at der laves port forwarding ind paa
nettet bag NAT-routeren, saa maskiner kan naas ude fra
Internettet.
Begge undtagelser er almindeligt forekommende.
Saa man skal kende den konkrete NAT-loesning, foer man kan sige
noget om dens sikkerhed.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Lasse Reichstein Nie~ (23-11-2002)
| Kommentar Fra : Lasse Reichstein Nie~ |
Dato : 23-11-02 01:35 |
|
"Karina og Christian" <vaksFJERNDETTE@krudt.dk> writes:
> "Lasse Reichstein Nielsen" <lrn@hotpop.com> wrote in message
> news:k7j5pcd3.fsf@hotpop.com...
>
> > Stofa brugte, dengang jeg havde dem (nogle år siden),
> > 1:1 NAT, hvilket var lige så godt, beskyttelsesmæssigt, som ingen NAT.
>
> 1:1 NAT? Må jeg have lov til at afsløre min uvidenhed og spørge: Hvad er
> det?
Den generelle ide med NAT (Network Address Translation) er at maskiner
på den ene side har en gruppe adresser, men det der kan ses på den
anden side er en anden gruppe adresser. Den maskine/router der udfører
NAT-operationen omskriver adresserne i alle pakker der passerer den
ene eller den anden vej igennem den.
Den mest normale form er n:1 NAT, hvor et antal maskiner "indenfor"
får alle deres adresser omskrevet til én ekstern adresse, altså de
deles om en offentlig adresse. I det tilfælde vil en maskine udenfor
ikke direkte kunne sende en pakke til en maskine indenfor, da
NAT-routeren ikke ville vide hvilken maskine en pakke var beregnet til.
De forbindelser der er oprettet af maskiner på indersiden vil routeren
kende, og pakker der er del af en sådan forbindelse vil kunne sendes
til den rigtige maskine. Altså er effekten at man kan forbinde udefra
og ind, eller indefra og ud.
Mere generel NAT er n:m NAT, hvor et antal maskiner deles om et antal
eksterne adresser. Der er ofte færre eksterne adresser end interne
maskiner, men der er mere end en adresse at deles om.
Hvilke forbindelser inderfra der kommer ud via hvilke adresser er noget
der bestemmes af NAT'en, og der er sikkert mange brugbare algoritmer til
at fordele det.
Igen er der ikke en direkte måde at forbinde en ekstern adresse til en
intern maskine, så man kan ikke forbinde udefra og ind.
Hvis man har 1:1 NAT, så er der kun en maskine indenfor, og en adresse
udenfor, og det eneste routeren skal gøre, er at omskrive adressen i
pakkerne. Da der ikke er nogen tvivl, så kan den også oversætte pakker
den anden vej. Derfor kan man, i det tilfælde, godt forbinde fra en
maskine uden for til en maskine inde for en NAT.
Teknisk set er det Stofa brugte nok en n:n NAT, hvor hver maskine er
forbundet til præcis en ekstern adresse, men det er ikke til at se
forskel.
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'
| |
Jesper Louis Anderse~ (23-11-2002)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 23-11-02 17:02 |
|
On 23 Nov 2002 01:34:50 +0100, Lasse Reichstein Nielsen <lrn@hotpop.com> wrote:
Og kort sagt er NAT et hack, der primært kun eksisterer fordi man ikke har
adresser nok.
--
Jesper
| |
Bertel Lund Hansen (23-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 23-11-02 17:04 |
|
Jesper Louis Andersen skrev:
>Og kort sagt er NAT et hack, der primært kun eksisterer fordi man ikke har
>adresser nok.
Det eksisterer vel også fordi man vil kunne blænde et internt net
af for omverdenen.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Jesper Louis Anderse~ (23-11-2002)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 23-11-02 18:22 |
|
On Sat, 23 Nov 2002 17:03:59 +0100,
Bertel Lund Hansen <nospam@lundhansen.dk> wrote:
> Jesper Louis Andersen skrev:
>
>>Og kort sagt er NAT et hack, der primært kun eksisterer fordi man ikke har
>>adresser nok.
>
> Det eksisterer vel også fordi man vil kunne blænde et internt net
> af for omverdenen.
Det klarer en firewall da udmærket. Den laver jo netop separation af netværk.
--
Jesper
| |
Bertel Lund Hansen (23-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 23-11-02 20:20 |
|
Jesper Louis Andersen skrev:
>Det klarer en firewall da udmærket. Den laver jo netop separation af netværk.
Det er jeg nu ikke enig i. Den kan godt bruges til at spærre så
man ikke udefra kan nå de interne computere, men det kalder jeg
ikke at den separerer netværkene. Den blokerer bare noget trafik.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Kasper Dupont (24-11-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 24-11-02 00:05 |
|
Bertel Lund Hansen wrote:
>
> Jesper Louis Andersen skrev:
>
> >Det klarer en firewall da udmærket. Den laver jo netop separation af netværk.
>
> Det er jeg nu ikke enig i. Den kan godt bruges til at spærre så
> man ikke udefra kan nå de interne computere, men det kalder jeg
> ikke at den separerer netværkene. Den blokerer bare noget trafik.
Hvad forstår du så ved en separation?
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";
| |
Allan Olesen (23-11-2002)
| Kommentar Fra : Allan Olesen |
Dato : 23-11-02 21:59 |
|
Jesper Louis Andersen <jlouis@tyr.diku.dk> wrote:
>Det klarer en firewall da udmærket. Den laver jo netop separation af netværk.
Mange firewalls er ikke ret meget andet end NAT-routere, og saa
koerer vi vist i ring.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Christian E. Lysel (23-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 23-11-02 22:22 |
|
Allan Olesen wrote:
> Mange firewalls er ikke ret meget andet end NAT-routere, og saa
> koerer vi vist i ring.
NAT har intet med firewalls at gøre, dette er en udbredt misforståelse.
(I mange NAT produkter følger en firewall med)
NAT er blot en adresse oversættelse af netværksadresser. En NAT router
vil stadigvæk kunne route trafik, også selv om det er til rfc1918
adresser. (Man kan selvfølgelig have et argument om at en ISP ikke
router rfc1918 adresser, det er dog en helt anden diskution)
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Kasper Dupont (24-11-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 24-11-02 00:03 |
|
"Christian E. Lysel" wrote:
>
> Allan Olesen wrote:
> > Mange firewalls er ikke ret meget andet end NAT-routere, og saa
> > koerer vi vist i ring.
>
> NAT har intet med firewalls at gøre, dette er en udbredt misforståelse.
> (I mange NAT produkter følger en firewall med)
Jeg vil faktisk tro, at de fleste NAT produkter i en eller anden
udstrækning fungerer som firewall. Desuden har de fleste firewalls
vel en NAT funktion. Så i praksis er den største forskel nok, at
NAT-routere blot er primitive firewalls.
Selvfølgelig kan man i principet adskille NAT funktionen og
firewall funktionen, men jeg kender ingen produkter, der gør det.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";
| |
Christian E. Lysel (24-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 24-11-02 01:27 |
|
Kasper Dupont wrote:
> Selvfølgelig kan man i principet adskille NAT funktionen og
> firewall funktionen, men jeg kender ingen produkter, der gør det.
Vil du også mene at ip routning er en firewall, da dette ikke er adskildt?
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Allan Olesen (24-11-2002)
| Kommentar Fra : Allan Olesen |
Dato : 24-11-02 00:48 |
|
"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> wrote:
>> Mange firewalls er ikke ret meget andet end NAT-routere, og saa
>> koerer vi vist i ring.
>
>NAT har intet med firewalls at gøre, dette er en udbredt misforståelse.
Ja, og? Jeg skulle maaske have indskudt et "saakaldte" foer
"firewalls"? Jeg regnede det som underforstaaet.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Christian E. Lysel (24-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 24-11-02 01:26 |
|
Allan Olesen wrote:
> Ja, og? Jeg skulle maaske have indskudt et "saakaldte" foer
> "firewalls"? Jeg regnede det som underforstaaet.
Nej, det er ikke tilfældet.
De "saakaldte" firewalls, indholder også pakkefiltre der forhindre
ydersiden i at route til det interne netværk, dvs. at det _ikke_ blot er
en NAT routere.
Jeg havde en kunde i Hongkong, der havde en lokal ISP med en NAT router.
Denne kunne _ikke_ kører almindelig routning uden at adresse oversætte
indersidens adresser. *suk*
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Allan Olesen (24-11-2002)
| Kommentar Fra : Allan Olesen |
Dato : 24-11-02 10:41 |
|
"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> wrote:
>De "saakaldte" firewalls, indholder også pakkefiltre der forhindre
>ydersiden i at route til det interne netværk, dvs. at det _ikke_ blot er
>en NAT routere.
Jeg har altsaa ogsaa haft NAT-routere med pakkefiltrering, uden
at producenten af den grund ville vaere bekendt at kalde dem
firewalls.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
|
|