---

Hej

Jeg har læst gruppens OSS, især argumenterne for ikke at bruge en software
firewall. Men hvad med NAT routers?

Hvilken ekstra sikkerhed opnås der ved at installere en NAT router på en
computer til privatbrug? Her er en kort systembeskrivelse: ADSL med modem
(TDC bredbånd), ingen software firewall, operativsystem Win98 SE (på længere
sigt: XP), kun en bruger. Jeg har ikke planer om at køre webservers,
fildelingstjenester, el.lign. (altså ren arbejdsstation).

Ved at læse OSSen har jeg fået følgende opfattelse: NAT vil afvise
indkommende trafik fra IP adresser, som jeg ikke selv har kontaktet. Hvis
jeg ikke har NAT, ryger trafikken videre til operativsystemet, der vil
afvise den medmindre jeg kører en service på den pågældende port. Er det
korrekt forstået?

Jeg er klar over at hverken NAT routers eller software firewalls er en
sovepude

På forhånd tak for eventuelle svar.
Jesper Lund

---

Jesper Lund wrote:
>
> Hej
>
> Jeg har læst gruppens OSS, især argumenterne for ikke at bruge en software
> firewall. Men hvad med NAT routers?

En hardware løsning har nogle klare fordele fremfor
en software firewall. Jeg vil mene en korrekt
konfigureret NAT router kan dække de fleste
privatbrugeres firewall behov.

>
> Hvilken ekstra sikkerhed opnås der ved at installere en NAT router på en
> computer til privatbrug? Her er en kort systembeskrivelse: ADSL med modem
> (TDC bredbånd), ingen software firewall, operativsystem Win98 SE (på længere
> sigt: XP), kun en bruger. Jeg har ikke planer om at køre webservers,
> fildelingstjenester, el.lign. (altså ren arbejdsstation).

En NAT router kan forhindre adgang udefra til åbne
porte på maskiner bagved. Hvis du ved en fejl har
en usikker service kørende, så kan NAT routeren
rede dig.

NAT routeren kan til gengæld på ingen måde hjælpe
dig, hvis der er sikkerhedshuller i de klient
programmer, du kører bagved. Altså webbrowser,
mailklient, P2P klienter, mm. Her vil hverken
firewall eller antivirus hjælpe dig. Den eneste
løsning er at kun køre programmer fra pålidelige
kilder og installere alle sikkerhedsopdateringer.

>
> Ved at læse OSSen har jeg fået følgende opfattelse: NAT vil afvise
> indkommende trafik fra IP adresser, som jeg ikke selv har kontaktet. Hvis
> jeg ikke har NAT, ryger trafikken videre til operativsystemet, der vil
> afvise den medmindre jeg kører en service på den pågældende port. Er det
> korrekt forstået?

Næsten. En NAT router arbejder normalt ikke med
IP adresser, men med socket adresser. Altså et
par bestående af IP og port adresse.

En del af formålet med NAT routeren er at kunne
bruge flere maskiner end man har IP adresser. Da
hver maskine sjældent vil bruge alle sine port
adresser, kan NAT routeren ved at ændre port og
IP adresserne få et antal maskiner til at deles
om én IP adresse.

Når der bruges TCP kan en NAT router faktisk
bruger samme IP+portadresse til mere end en
forbindelse hvis bare de ikke snakker med samme
peer.

Med UDP bliver det lidt mere kompliceret, da svar
på dine udgående pakker ikke nødvendigvis vil
komme fra den IP adresse du selv sendte en pakke
til.

Man kan sagtens lave en UDP baseret protokol, hvor
klienten sender en pakke til en server, som sender
den videre til en anden server som sender svar
tilbage til klienten. Nogle NAT routere vil
tillade det andre vil ikke.

Så med UDP kan du faktisk modtage pakker fra en
afsender IP som du ikke selv har kontaktet. Men
de kan kun sendes til porte du selv har sendt noget
fra. Så en server bagved NAT routeren, der lytter
på en UDP port vil altså ikke modtage nogen pakker
udefra.

>
> Jeg er klar over at hverken NAT routers eller software firewalls er en
> sovepude

Godt. Du skal stadig lukke alle unødvendige
services og installere sikkerhedsopdateringerne.
Maskinen skal være så sikker at den kan sættes på
nettet uden firewall. En firewall er kun for dem,
der vil gå med livrem og seler.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <40262908.F49D9F@daimi.au.dk>, Kasper Dupont wrote:
>> (TDC bredbånd), ingen software firewall, operativsystem Win98 SE (på længere
>
> En NAT router kan forhindre adgang udefra til åbne
> porte på maskiner bagved. Hvis du ved en fejl har
> en usikker service kørende, så kan NAT routeren

Windows 98SE er dog heldigvis trivielt at sikre, behold
en tcp/ip stak med kun "tcp/ip" og netværkskortet installeret.
Andre services og klienter er ikke nødvendige for at kunne
bruge Internet.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote:

>Windows 98SE er dog heldigvis trivielt at sikre, behold
>en tcp/ip stak med kun "tcp/ip" og netværkskortet installeret.
>Andre services og klienter er ikke nødvendige for at kunne
>bruge Internet.
>

Er det ikke her at Windows brikker sig over at netværket ikke er komplet, men at
alt aligevel virker fortrinligt?

--
Med venlig hilsen, Ove Kjeldgaard, nospam AT privat DOT dk
Natur og Friluftsliv: <http://hiker.dk>

---

In article <5pqc20h58pmmblqmh9ai3pt2q29pkk7297@4ax.com>, Ove Kjeldgaard wrote:
> Er det ikke her at Windows brikker sig over at netværket ikke er komplet, men at
> alt aligevel virker fortrinligt?

Det er nok "Microsoft" netværket den hentyder til. Jo.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote:

Tak for svaret.

> > Jeg har læst gruppens OSS, især argumenterne for ikke at bruge en
software
> > firewall. Men hvad med NAT routers?
>
> En hardware løsning har nogle klare fordele fremfor
> en software firewall. Jeg vil mene en korrekt
> konfigureret NAT router kan dække de fleste
> privatbrugeres firewall behov.

Jeg er med på at NAT er bedre end software firewalls...
Men har privatbrugere et reelt firewall behov (altså NAT, da software
firewalls er "udelukket"), hvis de opfører sig "fornuftigt" på internettet?

Ulempen ved en NAT router er købsprisen, lidt ekstra strømforbrug,
eventuelle konfigurationsproblemer, og måske (?) at nogle ting på
internettet som ikke vil virke (så godt) som før. NB: jeg har ingen
erfaring med sidstnævnte punkt.

> > Hvilken ekstra sikkerhed opnås der ved at installere en NAT router på en
> > computer til privatbrug? Her er en kort systembeskrivelse: ADSL med
modem
> > (TDC bredbånd), ingen software firewall, operativsystem Win98 SE (på
længere
> > sigt: XP), kun en bruger. Jeg har ikke planer om at køre webservers,
> > fildelingstjenester, el.lign. (altså ren arbejdsstation).
>
> En NAT router kan forhindre adgang udefra til åbne
> porte på maskiner bagved. Hvis du ved en fejl har
> en usikker service kørende, så kan NAT routeren
> rede dig.
>
> NAT routeren kan til gengæld på ingen måde hjælpe
> dig, hvis der er sikkerhedshuller i de klient
> programmer, du kører bagved. Altså webbrowser,
> mailklient, P2P klienter, mm. Her vil hverken
> firewall eller antivirus hjælpe dig. Den eneste
> løsning er at kun køre programmer fra pålidelige
> kilder og installere alle sikkerhedsopdateringer.

I hvilken gruppe falder den typiske orm/virus/trojan? Hvis den slipper
ind i systemet "ved en fejl", vil den så køre som klientprogram, hvor
NAT heller ikke hjælper mig?

Jesper

---

In article <4026356f$0$170$edfadb0f@dtext02.news.tele.dk>,
Jesper Lund wrote:

> Jeg er med på at NAT er bedre end software firewalls...
> Men har privatbrugere et reelt firewall behov (altså NAT, da software
> firewalls er "udelukket"), hvis de opfører sig "fornuftigt" på internettet?

Jeg tror de er lige elendige.

> Ulempen ved en NAT router er købsprisen, lidt ekstra strømforbrug,
> eventuelle konfigurationsproblemer, og måske (?) at nogle ting på
> internettet som ikke vil virke (så godt) som før. NB: jeg har ingen
> erfaring med sidstnævnte punkt.

Du kan faa problemer med at proxy'e ting over NAT, ja.

> I hvilken gruppe falder den typiske orm/virus/trojan? Hvis den slipper
> ind i systemet "ved en fejl", vil den så køre som klientprogram, hvor
> NAT heller ikke hjælper mig?

Korrekt.

--
j.

---

Jesper Lund wrote:
>
> Jeg er med på at NAT er bedre end software firewalls...
> Men har privatbrugere et reelt firewall behov (altså NAT, da software
> firewalls er "udelukket"), hvis de opfører sig "fornuftigt" på internettet?

Det har egentlig ikke så meget med fornuftig opførsel
at gøre. Den fornuftige opførsel er nødvendig både
med og uden. Der hvor NAT kan hjælpe er hvis maskinen
i sig selv ikke er så sikkert konfigureret som den
burde være.

>
> Ulempen ved en NAT router er købsprisen, lidt ekstra strømforbrug,
> eventuelle konfigurationsproblemer, og måske (?) at nogle ting på
> internettet som ikke vil virke (så godt) som før. NB: jeg har ingen
> erfaring med sidstnævnte punkt.

Hvad mener du her med ingen erfaringer? Har du ingen
erfaringer med NAT? Eller har du erfaringer med NAT
som fortæller dig at alt (eller næsten alt) virker?

Jeg har for nylig siddet og kodet på min egen tunnel
protokol baseret på UDP. Og den virker ikke altid
bagved NAT. Jeg har dog ikke undersøgt detaljerne så
grundigt at jeg kan fortælle hvorfor og hvornår den
ikke virker.

>
> I hvilken gruppe falder den typiske orm/virus/trojan? Hvis den slipper
> ind i systemet "ved en fejl", vil den så køre som klientprogram, hvor
> NAT heller ikke hjælper mig?

Det vi ser mest af lige nu er disse programmer, hæftet
til emails, som man selv skal køre for at sprede
smitten videre. Jeg ved ikke lige hvilken af de tre
katagorier de passer bedst ind i. Hvis de udnytter et
sikkerhedshul for at blive afviklet kan vi nok godt
kalde dem for orm, ellers er trojan nok en bedre
betegnelse.

Under alle omstændigheder mener jeg at når du først
har fået malware indenfor, så har du tabt. Den slags
skal ikke holdes inde, det skal holdes ude.

Imod en konventionel orm, der udnytter et sikkerhedshul
i en server, kan NAT hjælpe. Jeg går ud fra, at du ikke
har til hensigt at køre serveren. Men hvis du kører
serveren ved en fejl kan NAT forhindre ormen i at
slippe ind til din server.

Men man må ikke glemme, at der er set tilfælde, hvor
smitten alligevel er sluppet ind på et netværk man
troede var sikkert. F.eks. pga. laptops der bliver
flyttet rundt mellem "sikre" og usikre netværk.

Og hvis først ormen er sluppet ind bagved NAT routeren,
så kan NAT routeren ikke forhindre den i at slippe ud
og inficere flere systemer.

Imod virus og trojaner er NAT routeren overhovedet
ikke til hjælp. Det eneste middel mod trojaner er
fornuftig opførsel. Og viruser hæfter sig selv på
legitime filer således at de kommer med når du nu
engang kopierer dem mellem systemer. Virusen har
altså nøjagtigt samme muligheder for at sprede sig
med og uden NAT.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote:

> Det har egentlig ikke så meget med fornuftig opførsel
> at gøre. Den fornuftige opførsel er nødvendig både
> med og uden. Der hvor NAT kan hjælpe er hvis maskinen
> i sig selv ikke er så sikkert konfigureret som den
> burde være.

Ud dette svar (igen: tak for svaret!) får jeg lyst til at stille to
andre spørgsmål

1) Hvor "besærligt" er det at konfigurere sit system (f.eks. Win XP
Home), så en NAT router ikke er/bør være nødvendig?

2) Erstatter man ikke et problem (konfigurering af operativsystem) med
et andet, nemlig konfigurering af routeren? Jeg kan se at den
nyeste version af OSS
http://a.area51.dk/sikkerhed/hjemme_pc#firewall
ikke er helt så positiv på NAT routere som den forrige.

> Hvad mener du her med ingen erfaringer? Har du ingen
> erfaringer med NAT? Eller har du erfaringer med NAT
> som fortæller dig at alt (eller næsten alt) virker?

Beklager den dårlige formulering Jeg har ingen personlig erfaring
med NAT routere. Dvs. jeg har læst om andres problemer i
nyhedsgrupper, ikke andet.

Jesper

---

Jesper Lund wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote:
>
> > Det har egentlig ikke så meget med fornuftig opførsel
> > at gøre. Den fornuftige opførsel er nødvendig både
> > med og uden. Der hvor NAT kan hjælpe er hvis maskinen
> > i sig selv ikke er så sikkert konfigureret som den
> > burde være.
>
> Ud dette svar (igen: tak for svaret!) får jeg lyst til at stille to
> andre spørgsmål
>
> 1) Hvor "besærligt" er det at konfigurere sit system (f.eks. Win XP
> Home), så en NAT router ikke er/bør være nødvendig?

Tag et kig på en tidligere tråd her i gruppen:
http://tinyurl.com/296dm

>
> 2) Erstatter man ikke et problem (konfigurering af operativsystem) med
> et andet, nemlig konfigurering af routeren? Jeg kan se at den
> nyeste version af OSS
> http://a.area51.dk/sikkerhed/hjemme_pc#firewall
> ikke er helt så positiv på NAT routere som den forrige.

Ja og nej. Du bør selvfølgelig gennemgå konfigurationen
af både NAT router og OS. Men hvis du bare får gjort
det rigtigt det ene af stedderne burde du være sikret.

NAT routeren er altså som sagt tidligere et spørgsmål
om at gå med både livrem og seler.

Jeg vil ikke udtale mig omkring default konfigurationen
af NAT routere (for jeg har ikke noget grundlag at
udtale mig på). Men det burde være forholdsvis nemt at
lave en konfiguration som dækker de flestes behov og
som kan sikre dig i tilfælde af usikre services bagved
routeren.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */