---

Hej,

Sidder lige og piller ved min router..

Første spørgsmål:

Screendump:

http://home.tiscali.dk/palle/misc/spoof.gif (8 KB)

- Hvornår kan det være interessant af spoofe mac adressen?

Jeg har to PC'ere sat på routeren. De får tildelt 192.168.1.10 og
192.168.1.20 hver gang.

Så har jeg sat port 135 - 139 (NetBios) til at gå til 192.168.1.30 da
den ikke findes. Er det en OK måde at gøre det på?

Hvis ja. Er der nogle der kan anbefale nogle ranges som er smarte at
sætte ud i cyberspace? Jeg mener: Er der nogle områder som KUN er
sikkerhedsmæssigt farlige?


--
Palle Jensen

---

On 05 Jan 2003 15:12:03 GMT, Palle Jensen <usenetmail@tiscali.dk> wrote:
>
> http://home.tiscali.dk/palle/misc/spoof.gif (8 KB)
>
> - Hvornår kan det være interessant af spoofe mac adressen?

Jeg forstår ikke det faneblad i din router. Jeg forstår heller ikke
hvorfor at MAC adressen skal spoofes, da den ikke flyttes videre end til
din udbyder (højst).

> Så har jeg sat port 135 - 139 (NetBios) til at gå til 192.168.1.30 da
> den ikke findes. Er det en OK måde at gøre det på?

Det ville ikke blive accepteret i et setup jeg har. Problemet er at
antaget en person får tilgang til routeren, så kan han relativt let
tilgå dine indre shares ved at flytte in IP.

> Hvis ja. Er der nogle der kan anbefale nogle ranges som er smarte at
> sætte ud i cyberspace? Jeg mener: Er der nogle områder som KUN er
> sikkerhedsmæssigt farlige?

RFC1918 adresser? Er det det du mener? Hvis eksempeltvist 192.168.x.x/16
kommer som afsender af en pakke, så skal den dø, da der ikke findes en
sådan adresse på internettet.

--
Jesper

---

> Jeg forstår ikke det faneblad i din router. Jeg forstår heller
> ikke hvorfor at MAC adressen skal spoofes, da den ikke flyttes
> videre end til din udbyder (højst).

- OK.

> Det ville ikke blive accepteret i et setup jeg har. Problemet er
> at antaget en person får tilgang til routeren, så kan han
> relativt let tilgå dine indre shares ved at flytte in IP.

- Hvordan skal jeg så via routeren lukke for porte? Ellere rettere:
Hvordan lukker du for porte?

>> Hvis ja. Er der nogle der kan anbefale nogle ranges som er
>> smarte at sætte ud i cyberspace? Jeg mener: Er der nogle
>> områder som KUN er sikkerhedsmæssigt farlige?
>
> RFC1918 adresser? Er det det du mener? Hvis eksempeltvist
> 192.168.x.x/16 kommer som afsender af en pakke, så skal den dø,
> da der ikke findes en sådan adresse på internettet.

- Tjae... Nu mente jeg mere på det niveau jeg kan sætte på min
routere, og det er vist mere som det nævnte eksempel.

--
Palle Jensen

---

On 05 Jan 2003 18:44:20 GMT, Palle Jensen <usenetmail@tiscali.dk> wrote:
>
>> Det ville ikke blive accepteret i et setup jeg har. Problemet er
>> at antaget en person får tilgang til routeren, så kan han
>> relativt let tilgå dine indre shares ved at flytte in IP.
>
> - Hvordan skal jeg så via routeren lukke for porte? Ellere rettere:
> Hvordan lukker du for porte?

Jeg har et setup med 3 computere bag routeren. Første antagelse er at
folkene der lavede routeren ikke er til at stole på. Der 2 maskiner jeg
bruger til dagligt bag routeren. Det er min workstation og min server.
Min workstation har ingen åbne porte whatsoever. Jeg kan checke det med
en

netstat -Aan

I mit operativsystem (FreeBSD). Min router er konfigureret til at bridge
til min server, så alle porte i routeren peger på serveren. Der er
næsten samme setup, bortset fra tilladte services (www samt ssh). Jeg
kan igen checke med netstat om de porte er åbne.

Ny antagelse: systemerne bliver kompromiteret så netstat bliver
udskiftet med noget andet. Det er her at den 3. maskine kommer ind i
billedet. Det er en ældre sparc64, kørende OpenBSD. Den har
vedligeholdte kryptografiske checksums af systembinaries, der sammen med
en bootbar cd-rom udgør mit recovery toolset. Jeg kan relativt hurtigt
boote til en ramdisk pushe og teste mine kryptografiske checksums
mod systemet og se, hvad der er ændret. Når jeg opgraderer mit system
skal jeg altså huske at opgradere mine checksums, så det har jeg et
script til.

Jeg forventer at det er nemmere at tiltvinge sig fysisk adgang til min
maskine, efter ovenstående. Hvis jeg en dag får væsentlige data har
FreeBSD gbde systemet, der kan levere krypterede partitioner. Systemet
supporterer også hurtig destruktion af data, hvilket jeg ser som en
meget væsentlig faktor.

Pointen:

Jeg lukker ikke for porte i min router, fordi jeg ikke stoler på den.
Jeg har pt ikke nogle firewalls, da jeg ikke har haft tid til at sætte
mig ned og gennemtænke et fornuftigt firewall-setup. Desuden kan du høre
at jeg ikke beskæftiger mig specielt meget med windows-platformen.

--
Jesper

---

On 05 Jan 2003 15:12:03 GMT, Palle Jensen <usenetmail@tiscali.dk>
wrote:

> - Hvornår kan det være interessant af spoofe mac adressen?

Nogle udbydere bruger MAC-adressen til noget specielt, som fx. at
bestemme hvilken IP-adresse kunden skal have, eller simpelthen at
holde styr på, om kunden nu også er den, han siger han er. (Det
er ikke særlig genialt, men det er jo en anden sag).

Ved at lade routeren bruge en anden MAC-adresse, kan man opnå, at
routeren bliver (endnu mere) transparent overfor udbyderen.

I praksis vil det være meget få steder, det er ønskeligt eller
nødvendigt.

På andre routere kan man simpelthen angive en MAC-adresse til
routeren i stedet for at lade den bruge en anden maskines MAC-
adresse, hvilket på mig virker unødigt kompliceret.

> Jeg har to PC'ere sat på routeren. De får tildelt 192.168.1.10 og
> 192.168.1.20 hver gang.
>
> Så har jeg sat port 135 - 139 (NetBios) til at gå til 192.168.1.30 da
> den ikke findes. Er det en OK måde at gøre det på?

Det er der ingen grund til. Det er smarere simpelthen at droppe
trafik, som man ikke har noget at bruge til, dvs. kun at stille
trafik videre, som man ved, man har brug for.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote:
> I praksis vil det være meget få steder, det er ønskeligt eller
> nødvendigt.

Som kunde hos arrownet får man brug for det, hvis man skifter om på sine
interfaces i sin firewall (hvis man ikke gider at blande kundeservice
ind i sagen)


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:ava8sg$ehh$1@sunsite.dk...
> Asbjorn Hojmark wrote:
> > I praksis vil det være meget få steder, det er ønskeligt eller
> > nødvendigt.
>
> Som kunde hos arrownet får man brug for det, hvis man skifter om på sine
> interfaces i sin firewall (hvis man ikke gider at blande kundeservice
> ind i sagen)

Kun hvis du har en public IP, og det netkort der er registreret til den IP
er brændt af.

mvh Jens

---

Palle Jensen skrev:

> Sidder lige og piller ved min router..

> Første spørgsmål:

> Screendump:

> http://home.tiscali.dk/palle/misc/spoof.gif (8 KB)

Det ligner noget fra en Zyxel, jeg kan kun anbefale dig at hente den
store manual og smide den lille du har fået udleveret væk (tingene er
langt bedre forklaret i den store manual):

<URL: http://zyxel.com/support/doclib.php >

---

I heard "Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> mumble something
about:

> Det ligner noget fra en Zyxel, jeg kan kun anbefale dig at hente den
> store manual og smide den lille du har fået udleveret væk (tingene er
> langt bedre forklaret i den store manual):
>
> <URL: http://zyxel.com/support/doclib.php >

Tak, det prøver jeg så

--
Palle