---

Jeg har netop fået installeret en standard TDC bredbåndsforbindelse. Det er
en router Unex BR 400 med 2 pc'ere tilkoblet. Den ene kører WinXP prof og
den anden Win98. På begge maskiner er installeret Norton antivirus 2002.
Systemet kører glimrende med internetadgang fra begge maskiner.

Iflg. TDC's salgsmateriale har routeren en indbygget firewall med rimelig
sikkerhed. En samtale med en medarbejder på TDC Hotline afslører dog, at der
er tale om en "billig router, hvis firewall ikke er noget værd, men det er
den eneste, man har på lager for tiden".

Mit spørgsmål er nu, om jeg yderligere skal lægge en firewall efter routeren
på begge PC'ere - f.eks. Norton Sikkerhedspakke? Jeg har kørt en
portscanning på scan.sygate.com. Den viser, at alle porte er "Blocked" med
undtagelse af følgende:

Port WEB er "Closed"
Port IDENT er "Closed"
Port ICMP er "Open".

Jeg forstår på testen, at
"Blocked" er OK.
"Closed" betyder, at man alligevel kan komme ind.
"Open" - ja den er åben.

Er det en forsvarlig sikkerhed at operere med?

Jørgen Ladegaard

---

Den Sat, 24 May 2003 16:58:30 +0200 skrev Jørgen Ladegaard:
>Mit spørgsmål er nu, om jeg yderligere skal lægge en firewall efter routeren
>på begge PC'ere - f.eks. Norton Sikkerhedspakke? Jeg har kørt en
>portscanning på scan.sygate.com. Den viser, at alle porte er "Blocked" med
>undtagelse af følgende:
>
>Port WEB er "Closed"
>Port IDENT er "Closed"
>Port ICMP er "Open".
>
>Jeg forstår på testen, at
>"Blocked" er OK.
>"Closed" betyder, at man alligevel kan komme ind.
>"Open" - ja den er åben.

Nej.

Open betyder at der er noget der svarer.
Closed betyder at operativ-systemet eller en firewall svarer "go away".
Blocked betyder at der ikke er nogen der svarer.

Reelt ved man ikke om der er nogen i den anden ende, hvis der ikke
er nogen der svarer - enten er det fordi der ikke er nogen der lytter,
eller også gider den bare ikke svare.

Det kan sagtens lade sig gøre at lave et program der åbner en UDP
port, og lytter men ikke svarer, hvilket vil give status "Blocked".
Dette program kunne sagtens modtage kommandoer som "formater lige
harddisken" eller "smid lige den her virus ind på maskinen", og
testen ville stadig give Blocked.

Altså:

Open = åben
Closed = lukket
Blocked = ved ikke

Mvh
Kent
--
IE is the only thing capable of making Netscape look good
- D. Spider in comp.os.linux.advocacy

---

"Jørgen Ladegaard" <leneladegaard@mail.tdcadsl.dk> writes:

> Port WEB er "Closed"
> Port IDENT er "Closed"
> Port ICMP er "Open".
>
> Jeg forstår på testen, at
> "Blocked" er OK.
> "Closed" betyder, at man alligevel kan komme ind.
> "Open" - ja den er åben.

Jeg er uenig i deres beskrivelser.

"Open" betyder at der er en service der lytter på porten. Man kan
altså komme til at kommunikere med maskinen. Man skal selvfølgelig
sætte denne service rigtigt op (eller lukke den hvis den ikke er
nødvendig). Hvis servicen er sat rigtigt op (og ikke lider af fejl),
så er den sikker. At forbinde til den svarer til at banke på en dør,
det er servicen der bestemmer om man må komme ind.

"Closed" betyder at der ikke er nogen service der lytter på porten.
Man kan ikke komme til at kommunikere med maskinen. Den svarer dog
venligt og fortæller dig det. Det svarer mere til at banke på en
væg.

"Blocked" (som de også kalder "stealthed") betyder at ikke alene
er der ikke nogen der lytter på porten, maskinen vælger heller ikke
at rapportere det tilbage. Det svarer til at banke på en væg, mens
en person inde i huset holder sig for ørerne. Det ændrer intet
ved sikkerheden i forhold til "Closed", overhovedet.

Det eneste tilfælde hvor der kan være en forskel, er hvis *alle* ens
porte er "blocked". Så kan det, måske, være svært at se at der
overhovedet er en maskine. Man fristes dog til at sige: "Og hvad så?".
Hvis alle porte er Closed, så er maskinen fuldstændig sikker alligevel
(undtaget fejl i selve operativsystemet, men det gælder jo altid)

> Er det en forsvarlig sikkerhed at operere med?

ICMP åben, resten lukket. ICMP er (delvist) nødvendig for at bruge
resten af IP-protokolfamilien. Det er fx den der rapporterer hvis en
pakke ikke kan nå frem.

Det lyder rimeligt for mig. Der er dog nogle ICMP-pakker der kan være
farlige i nogle tilfælde (fx Redirect). Jeg ved ikke om din maskine
retter sig efter sådan nogen.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
Art D'HTML: <URL:http://www.infimum.dk/HTML/randomArtSplit.html>
'Faith without judgement merely degrades the spirit divine.'

---

"Lasse Reichstein Nielsen" <lrn@hotpop.com> skrev i en meddelelse
news:y90wcqzb.fsf@hotpop.com...
> "Jørgen Ladegaard" <leneladegaard@mail.tdcadsl.dk> writes:
>


> > Er det en forsvarlig sikkerhed at operere med?
>
> ICMP åben, resten lukket. ICMP er (delvist) nødvendig for at bruge
> resten af IP-protokolfamilien. Det er fx den der rapporterer hvis en
> pakke ikke kan nå frem.
>
> Det lyder rimeligt for mig. Der er dog nogle ICMP-pakker der kan være
> farlige i nogle tilfælde (fx Redirect). Jeg ved ikke om din maskine
> retter sig efter sådan nogen.
>

Hvordan fnder jeg ud af det?
Bortset fra det, forstår jeg, at du ikke mener, at det er nødvendigt at
installere firewalls på de enkelte maskiner efter routeren?

Mvh
Jørgen Ladegaard

---

"Jørgen Ladegaard" <leneladegaard@mail.tdcadsl.dk> writes:

> Hvordan fnder jeg ud af det?

Det ved jeg desværre ikke. Jeg kender ikke så meget til Windows på det
punkt.
Du kan starte med at læse OSS'en (<URL:http://a.area51.dk/sikkerhed/>).

> Bortset fra det, forstår jeg, at du ikke mener, at det er nødvendigt at
> installere firewalls på de enkelte maskiner efter routeren?

Der er ikke noget galt med en firewall på routeren. Hvis du vil lukke for
nogle typer ICMP-trafik, så er det det rigtigt sted at gøre det. Man skal
blot vide hvad man laver.

Personlige firewalls har jeg ikke den store fidus til, da jeg ikke kan
se hvilket problem de løser. De har to opgaver: pakkefilter på
udefrakommende pakker (og der advarer de typisk når der er mindst brug
for det) og advarsel om opførsel af lokale programmer (der ville jeg
nok foretrække et dedikeret program der kunne tjekke og forhindre mere
end blot net-opførslen ... ellers fortæller den jo blot at man *er*
kompromiteret).

"Stealthede" porte er det samme. Det lyder flot, men det giver ingen
ekstra sikkerhed, og kan være til gene for en selv og andre. Falsk
sikkerhed når den er bedst :)

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
Art D'HTML: <URL:http://www.infimum.dk/HTML/randomArtSplit.html>
'Faith without judgement merely degrades the spirit divine.'

---

Hej

On Sat, 24 May 2003 16:58:30 +0200, "Jørgen Ladegaard"
<leneladegaard@mail.tdcadsl.dk> wrote:

>Jeg har netop fået installeret en standard TDC bredbåndsforbindelse. Det er
>en router Unex BR 400 med 2 pc'ere tilkoblet. Den ene kører WinXP prof og
>den anden Win98. På begge maskiner er installeret Norton antivirus 2002.
>Systemet kører glimrende med internetadgang fra begge maskiner.
>
>Iflg. TDC's salgsmateriale har routeren en indbygget firewall med rimelig
>sikkerhed. En samtale med en medarbejder på TDC Hotline afslører dog, at der
>er tale om en "billig router, hvis firewall ikke er noget værd, men det er
>den eneste, man har på lager for tiden".
>
>Mit spørgsmål er nu, om jeg yderligere skal lægge en firewall efter routeren
>på begge PC'ere - f.eks. Norton Sikkerhedspakke? Jeg har kørt en
>portscanning på scan.sygate.com. Den viser, at alle porte er "Blocked" med
>undtagelse af følgende:
>
>Port WEB er "Closed"
>Port IDENT er "Closed"
>Port ICMP er "Open".
>
>Jeg forstår på testen, at
>"Blocked" er OK.
>"Closed" betyder, at man alligevel kan komme ind.
>"Open" - ja den er åben.
>
>Er det en forsvarlig sikkerhed at operere med?

Jeg tror Du spørger om det forkerte !

Du har formentligt een IP
isåfald kører Din router NAT, hvilket sikre at alle dine maskiner kan
se nettet igennem een IP.

Under antagelse af ovenståpende gælder så følgende.

Din måling handler om routeren og ikke dine maskiner, medmindre at
nogen har mapper eller forwardet porte fra routeren til een af dine
maskiner.

ICMP er til at sende beskeder tilbage eks. på windows ping og på
forspørgsler til ikke eksisterende steder, . Der findes helt
fornuftiige grunde til at pinge Din router og det skal den kunne svare
på. der findes masser af fornuftige grunde til at kunne sende ICMP til
Din router og det skal den også kunne håndtere.

IDENT er sat som closed fordi Du ellers vil time ud i relation til
mange systemer der checker hvem Du er via IDENT. Dette sker meget tit
i relation til eksempelvis FTP, IMAP, IRC og meget andet.
For at sikre at Din internet oplevelse er bedst mulig, vælger man
altså at IDENT porten kan svare (".. hrrmm.. der kører ingen service
her ..") imodsætning til hvis den var blocked, hvor forskellige
services så kunne bruge ventetider på f.eks. knap et minut før de
pludseligt virker alligevel.

At WEB er closed virker lidt underligt... måske skulle man checke
om den ikke er mappet igennem eller om der er noget med at man kan
køre web configuration af routeren. er det tilfældet er det
hensigtsmæssigt at sikre at det både er slået fra samt slået fra på
internet siden af interfacet, således at den hvis den bliver slået til
igen, kun kan ses fra din side af routeren.

Alt i alt - under antagelse af NAT mv. - så er Din router faktisk sat
glimrende op hvad angår åbne. lukkede og svarende porte.



mvh

Kristian

---

"Kristian Rask" <krask123SpamMeSenseless321@isupport.dk> skrev i en
meddelelse news:3ed1b4c7.2403328@news.tele.dk...
> Hej
>
> On Sat, 24 May 2003 16:58:30 +0200, "Jørgen Ladegaard"
> <leneladegaard@mail.tdcadsl.dk> wrote:
>
> Jeg tror Du spørger om det forkerte !
>
> Du har formentligt een IP
> isåfald kører Din router NAT, hvilket sikre at alle dine maskiner kan
> se nettet igennem een IP.
>
> Under antagelse af ovenståpende gælder så følgende.
>
> Din måling handler om routeren og ikke dine maskiner, medmindre at
> nogen har mapper eller forwardet porte fra routeren til een af dine
> maskiner.
>
> mvh
> Kristian
>

Ja. jeg har en fast IP adresse. At målingen handler om routeren stemmer godt
overens med, at jeg får nøjagtigt samme resultat, når jeg kører målingen på
begge computere.

Mange tak for svarene til alle. Jeg tror, jeg kører uændret videre.

Mvh
Jørgen Ladegaard