---

Som nybegynder på ADSL (tilsluttes i næste uge) er jeg i tvivl om hvilken
sikkerhed jeg får ved installering af deres standard router, en ZyXEL
Prestige 650R-31. Jeg tænker specielt på Sasser orm-agtige virus og hacker
angreb.

Jeg har allerede en hub med 3 PC'ere i Windows XP netværk og vil tilslutte
hub'en til routeren. Så vidt jeg har forstået får vi ikke fast IP adresse,
alle 3 PC'ere skal på nettet gennem samme forbindelse.

mvh

JimR

---

Hej.
Hvis du ikke har købt deres sikkerhedspakke, så er der ingen firewall eller
anti virus. Der er nok nogle åbne porte i routeren !!!!!!! Du må ud og
finde de forskellige produkter.
Du kan starte med denne firewall. Zone alarm (den er gratis) og kan hentes
på www.download.com Der kan du også finde andre nødvendige programmer, som
spybot, ad-aware6.0 og popup-killer.
Håber at du kan bruge svaret





"JR" <Neutral1@NO!SPAMofir.dk> skrev i en meddelelse
news:ccmp4r$mtu$1@news.cybercity.dk...
> Som nybegynder på ADSL (tilsluttes i næste uge) er jeg i tvivl om hvilken
> sikkerhed jeg får ved installering af deres standard router, en ZyXEL
> Prestige 650R-31. Jeg tænker specielt på Sasser orm-agtige virus og hacker
> angreb.
>
> Jeg har allerede en hub med 3 PC'ere i Windows XP netværk og vil tilslutte
> hub'en til routeren. Så vidt jeg har forstået får vi ikke fast IP adresse,
> alle 3 PC'ere skal på nettet gennem samme forbindelse.
>
> mvh
>
> JimR
>
>

---

Hej Benny Jensen, du skrev i dk.edb.sikkerhed:

> Hvis du ikke har købt deres sikkerhedspakke, så er der ingen
> firewall eller anti virus.

Hvis det er XP, er der en firewall indbygget, man skal blot aktivere
den (hvis man er til firewalls; routeren i sig selv er glimrende til
formålet, hvis maskinerne ellers er sat korrekt op, jf. mit andet
indlæg i tråden).

Er man til AV-programmer er det blot at tilmelde sig. Det er gratis
resten af 2004. Se evt. <http://www.tiscali.dk/services/maildefender/>.

Personlig vil jeg ikke anbefale det, men smag og behag er jo
forskellig.

> Der er nok nogle åbne porte i routeren !!!!!!!

Ja, alle sammen uden undtagelse. Men bruger man fx "ingen maskine på
IP'en til ukendt trafik udefra"-tricket, kan det være ligegyldigt.

Du må gerne prøve at portscanne mig. ('Se mor, uden ildvæg'

--
Hygge fra Århus - Rudi

---

JR wrote:

> Som nybegynder på ADSL (tilsluttes i næste uge) er jeg i tvivl om hvilken
> sikkerhed jeg får ved installering af deres standard router, en ZyXEL
> Prestige 650R-31. Jeg tænker specielt på Sasser orm-agtige virus og hacker
> angreb.

Din router laver en adskillelse af internettet og dit interne
netværk. Du kan sætte din router til at lukke af for al trafik
"udefra" og så er du ret godt sikret mod sasser, hackere og andet
snavs. Du skal dog stadig være opmærksom på hvilke porte dine
maskiner åbner "indefra og ud".

> Jeg har allerede en hub med 3 PC'ere i Windows XP netværk og vil tilslutte
> hub'en til routeren. Så vidt jeg har forstået får vi ikke fast IP adresse,
> alle 3 PC'ere skal på nettet gennem samme forbindelse.

Din router får et fast ipnummer. Maskinerne på dit interne net kan
du tildele faste eller dynamiske ipnumre som du selv har lyst, det
gør ingen forskel.

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

Hej JR, du skrev i dk.edb.sikkerhed:

> Som nybegynder på ADSL (tilsluttes i næste uge) er jeg i tvivl om
> hvilken sikkerhed jeg får ved installering af deres standard
> router, en ZyXEL Prestige 650R-31. Jeg tænker specielt på Sasser
> orm-agtige virus og hacker angreb.

Hvis du kører Windows NT/2000/XP, så hent Madsens pdf-fil og luk de
unødvendige tjenester. Hvis det er XP så
<http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf>.

Jeg formoder, at ZyXEL-routeren som Ciscoerne smider ukendt trafik til
en bestemt intern IP, formentlig 192.168.1.2

Skal du ikke kunne bruge maskinerne udefra (dvs. fra en maskine på
ydersiden af routeren), dvs. typisk som servere, fpt-noget e.l., men
"kun" bruge internettet fra maskinerne, så undgå at give nogen maskine
IP'en 192.168.1.2
Giv fx pc1 IP'en 192.168.1.3, pc2 IP'en 192.168.1.4 ... etc.

Det betyder i praksis, at man kun modtager, hvad noget bag routeren har
bedt om. Dvs. fra en af jeres pc'er, herunder personer ved dem og
programmer på dem.
Smider nogen noget efter jer, uden der bag routeren er bedt om det,
sendes det automatisk til 192.168.1.2, hvor der ingenting er - dvs. de
evige bitmarker.

Det giver en _ret_god_ sikkerhed, hvis man ellers undlader at bede om
noget forkert. Det er reelt kun indefra, man er udsat for nogen
sikerhedsrisiko på den måde, og simpelt er det.

Problemet med Windows XP (og i nogen grad 2000) er, at de har en hulens
masse bagdørsprogrammer - kaldt "tjenester" - hvorfor de uden din
vidende beder om alt, hvad de kan få. Derfor tricket med at lukke for
disse tjenester (Madsens pdf-fil ovenfor) og så henad vejen evt. åbne
for den/dem, man har brug for og til den tid have fundet ud af risikoen
ved det.

Routeren kan jo ikke vide, at skidtet ikke skal bedes om, når det sker
bag denne. Den kender ikke forskel på, om personer ved eller programmer
på pc'erne beder om noget godt eller skidt. Den ved blot, om der bedes
om det fra lokalnetværket eller ej.

> Jeg har allerede en hub med 3 PC'ere i Windows XP netværk og vil
> tilslutte hub'en til routeren. Så vidt jeg har forstået får vi
> ikke fast IP adresse, alle 3 PC'ere skal på nettet gennem samme
> forbindelse.

Tiscalis net og routere (både på WAN- og LAN-siden) kører med DHCP, så
der er intet problem.

Dog: Hvis du kan afse et par hundrede kroner eller måske tre, ville det
være en god ide at skifte den hub ud med en switch.
Se evt. <http://www.net-faq.dk/faq.pl?get=search&q=hub+switch>, spec.
<http://www.net-faq.dk/faq.pl?get=switchhub>

--
Hygge fra Århus - Rudi

---

Tak til alle, jeg er blevet meget klogere på et øjeblik.

Jeg havde hentet Madsens pdf, den bliver studeret i øjeblikket.

mvh

Jim Radmer

"Rudi Stegen" <newsnospam@stegen.dk> skrev i en meddelelse
news:Xns95221F93A3A28RudiStegen@katie.ellegaard.dk...
> Hej JR, du skrev i dk.edb.sikkerhed:
>
> > Som nybegynder på ADSL (tilsluttes i næste uge) er jeg i tvivl om
> > hvilken sikkerhed jeg får ved installering af deres standard
> > router, en ZyXEL Prestige 650R-31. Jeg tænker specielt på Sasser
> > orm-agtige virus og hacker angreb.
>
> Hvis du kører Windows NT/2000/XP, så hent Madsens pdf-fil og luk de
> unødvendige tjenester. Hvis det er XP så
> <http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf>.
>
> Jeg formoder, at ZyXEL-routeren som Ciscoerne smider ukendt trafik til
> en bestemt intern IP, formentlig 192.168.1.2
>
> Skal du ikke kunne bruge maskinerne udefra (dvs. fra en maskine på
> ydersiden af routeren), dvs. typisk som servere, fpt-noget e.l., men
> "kun" bruge internettet fra maskinerne, så undgå at give nogen maskine
> IP'en 192.168.1.2
> Giv fx pc1 IP'en 192.168.1.3, pc2 IP'en 192.168.1.4 ... etc.
>
> Det betyder i praksis, at man kun modtager, hvad noget bag routeren har
> bedt om. Dvs. fra en af jeres pc'er, herunder personer ved dem og
> programmer på dem.
> Smider nogen noget efter jer, uden der bag routeren er bedt om det,
> sendes det automatisk til 192.168.1.2, hvor der ingenting er - dvs. de
> evige bitmarker.
>
> Det giver en _ret_god_ sikkerhed, hvis man ellers undlader at bede om
> noget forkert. Det er reelt kun indefra, man er udsat for nogen
> sikerhedsrisiko på den måde, og simpelt er det.
>
> Problemet med Windows XP (og i nogen grad 2000) er, at de har en hulens
> masse bagdørsprogrammer - kaldt "tjenester" - hvorfor de uden din
> vidende beder om alt, hvad de kan få. Derfor tricket med at lukke for
> disse tjenester (Madsens pdf-fil ovenfor) og så henad vejen evt. åbne
> for den/dem, man har brug for og til den tid have fundet ud af risikoen
> ved det.
>
> Routeren kan jo ikke vide, at skidtet ikke skal bedes om, når det sker
> bag denne. Den kender ikke forskel på, om personer ved eller programmer
> på pc'erne beder om noget godt eller skidt. Den ved blot, om der bedes
> om det fra lokalnetværket eller ej.
>
> > Jeg har allerede en hub med 3 PC'ere i Windows XP netværk og vil
> > tilslutte hub'en til routeren. Så vidt jeg har forstået får vi
> > ikke fast IP adresse, alle 3 PC'ere skal på nettet gennem samme
> > forbindelse.
>
> Tiscalis net og routere (både på WAN- og LAN-siden) kører med DHCP, så
> der er intet problem.
>
> Dog: Hvis du kan afse et par hundrede kroner eller måske tre, ville det
> være en god ide at skifte den hub ud med en switch.
> Se evt. <http://www.net-faq.dk/faq.pl?get=search&q=hub+switch>, spec.
> <http://www.net-faq.dk/faq.pl?get=switchhub>
>
> --
> Hygge fra Århus - Rudi

---

Rudi Stegen wrote:

[snip]

> Routeren kan jo ikke vide, at skidtet ikke skal bedes om, når det sker
> bag denne. Den kender ikke forskel på, om personer ved eller programmer
> på pc'erne beder om noget godt eller skidt. Den ved blot, om der bedes
> om det fra lokalnetværket eller ej.

Det er vigtigt at skelne ml. et hjemme LAN uden offentlig tilgængelige
services og et prof. driftsnetværk, der tilbyder globalt tilgængelige
services.

Eftersom du ved Zyxel's (og de fleste andre routere til privat/ADSL
brug), standard brug af RFC 1918 afdresser, internt befinder dig på et
ikke globalt routebart NAT'et lokalnetværk, er det fløjtende ligegyldigt
hvad din XP box kører af tjenester!

De netværksrelaterede tjenester i 2000/XP, som både "Madsens PDF" og du
henviser til, er primært rettede mod MS Client/Server
netværksfunktionalitet, dvs. de lytter/sender kun på dit lokale subnet,
og *ingen* af dem "ringer selv op" til Internettet gennem routeren, som
du antyder det i din post.

Der, det bliver interessant/farligt, er hvis routeren uden brugerens
vidende, automatisk forwarder bestemte porte på WAN siden til LAN
indersiden! I sådanne tilfælde er der forhåbentlig tale om en decideret
konfigurationsfejl fra ISP'ens side, og routeren skal omkonfigureres.

Mange af de i gruppen omtalte "hærdnings-guides", (se nedenstående),
retter sig mod system-administratorer der skal sætte bastion hosts op,
dvs. servere på globalt routebare ip'ere, typisk som ex. mail-servere,
web-servere, osv, hvor det er meningen, at der skal køre offentligt
tilgængelige services på boxen. I den sammenhæng er det *meget* relevant
at få låst boxen så meget ned som muligt, dvs. lukke de før omtalte
netværksservices, lukke de forsk. SMB/NetBIOS porte, disable forsk.
distribuerede programmerings API'er (DCOM m.m.), osv

Men der er stor forskel på sådanne "exposed" servere, og ex. tre lokale
pc'ere der befinder sig bag en ADSL router på et NAT'et subnet, uanset
om ADSL routeren har fast ell. dynamisk WAN ip. Samtidig er det vigtig
at have noget basal netværksviden, så man forstår hvad man laver, og
ikke blindt bare følger en guide, uden at forstå hvad udfaldet bliver,
resp. om guiden overhovedet er relevant for ens hjemme-netværk. Generelt
vil jeg sige, at man for at få noget ud af de nedenstående guides udover
rutineret viden om Windows 2000/XP, skal have en basal
netværksforståelse + viden om emner som NAT/PAT, RFC 1918-adresser,
router-funktionalitet m.m.

Som det er blevet diskuteret tidligere i gruppen, drejer sikkerhed sig
ikke så meget om et enkelt produkt/dims/whatever, men i højere grad om
en forståelse af sammenhængen og interaktionen ml. de forskellige
elementer i et netværk, herunder hardware/software/mennesker osv, og de
heraf følgende sårbarheder.

Det er derfor i mine øjne meget forkert (og naivt), at fortælle
"newbies", at "bare du gør sådan her, og *ikke* sådan her", er du
sikker. Så simpelt er det desværre ikke, istedet mener jeg at man skal
opfordre folk til selv at opsøge mere viden, ved eksterne links, guides,
bøger m.m.

Særligt vigtigt er det i mine øjne, at man *selv forstår stoffet man
rådgiver om ordentligt*, før man begynder at give folk råd, det kunne jo
være at folk fulgte dem...

Jeg har iøvrigt selv haft ADSL hos Tiscali, og en Zyxel 650R, og der var
som standard *ingen* forwardede porte, heller ikke "bitspanden
192.168.1.2", som du nævner. Faktisk var routeren forbilledligt lukket
ned. Check den udmærkede manual, der følger med Zyxel, hvis der er tvivl.

/mvh
michael

Links:

http://www.systemexperts.com/tutors/HardenW2K101.pdf
http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html
http://nsa2.www.conxion.com/

---

"Michael U. Hove" <pots_72@e-mail.dk> wrote in message
news:40efbc57$0$169$edfadb0f@dread11.news.tele.dk...

[snip]

> Som det er blevet diskuteret tidligere i gruppen, drejer sikkerhed sig
> ikke så meget om et enkelt produkt/dims/whatever, men i højere grad om
> en forståelse af sammenhængen og interaktionen ml. de forskellige
> elementer i et netværk, herunder hardware/software/mennesker osv, og de
> heraf følgende sårbarheder.
>
> Det er derfor i mine øjne meget forkert (og naivt), at fortælle
> "newbies", at "bare du gør sådan her, og *ikke* sådan her", er du
> sikker. Så simpelt er det desværre ikke, istedet mener jeg at man skal
> opfordre folk til selv at opsøge mere viden, ved eksterne links, guides,
> bøger m.m.


[snip]

Nej, men så simpelt er det _heller_ ikke :)

Hvis vi lige springer delen med "sådan burde verdenen være" over også
forholder os til, hvordan den rent faktisk ser ud - så står vi med følgende
situation:

1) Vi har en stor gruppe mennesker som IKKE er interesseret i
computernetværk, sikkerhed eller andet. De vil simpelthen bruge deres
computer og de vil have en quick and dirty solution.

2) Vi har en mængde firmaer som tilbyder the quick and dirty solution
(antivirus firmaer, firewall producenter) og vi har en række mennesker
(blandt andet i den her gruppe) som ikke tilbyder en quick and dirty
solution.

Imho så kan man ikke forvente af den almindelige Herr und Frau Jensen, at de
skal sætte sig ind i alt det tekniske stof. (man kan godt, men man bliver
slemt skuffet). At sikkerhed består af den definition du giver udtryk for, i
det ovenstående, kan vi godt blive delvist enige om. Problemet er bare, at
den definition ikke fungerer for almindelige mennesker. Når de bliver
stillet over for valget imellem at skulle gennemføre et større selvstudium
ELLER at installere en firewall og et antivirus program - så kender vi vist
folk godtnok til at vide, hvad de gør :)

Nå, bare lige mit indskud :)

/Martin

---

Den Sat, 10 Jul 2004 13:02:42 +0200 skrev Martin Jensen:
>
> 2) Vi har en mængde firmaer som tilbyder the quick and dirty solution
> (antivirus firmaer, firewall producenter)

Quick and dirty kan jeg gå med til. Men ikke solution.

Antivirus og personlige "firewalls" skaber flere problemer end de løser.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Hej Michael U. Hove, du skrev i dk.edb.sikkerhed:

> Eftersom du ved Zyxel's (og de fleste andre routere til
> privat/ADSL brug), standard brug af RFC 1918 afdresser, internt
> befinder dig på et ikke globalt routebart NAT'et lokalnetværk, er
> det fløjtende ligegyldigt hvad din XP box kører af tjenester!

O.k., tak for rettelsen.
Jeg bruger ikke XP og har hele tiden blot antaget, at dens tjenester
(med default opsætning) kontaktede/lyttede til WAN-siden, uden man selv
gjorde noget, NAT eller ej.

> Jeg har iøvrigt selv haft ADSL hos Tiscali, og en Zyxel 650R, og
> der var som standard *ingen* forwardede porte, heller ikke
> "bitspanden 192.168.1.2", som du nævner.

Så antog jeg forkert, jf. mit: "Jeg formoder, at ZyXEL-routeren som
Ciscoerne smider ukendt trafik til en bestemt intern IP, formentlig
192.168.1.2" <news:Xns95221F93A3A28RudiStegen@katie.ellegaard.dk>.

Jeg kender ikke ZyXEL-routerne men kun Ciscoerne (dog specielt kun
677'eren som jeg har brugt fra starten og stadig frydes over - omend
den kun formelt er en Cisco [CBOS og ikke IOS]).

De bruger "bitspanden 192.168.1.2" (hvilket efter andenhåndsoplysning,
men pålidelig, skulle være det samme for 827'eren - og iøvrigt SOHO 77,
som de stadig har en del af ude af svømme).

Men tak for rettelserne.

--
Hygge fra Århus - Rudi

---

Michael U. Hove skrev:

> De netværksrelaterede tjenester i 2000/XP, som både "Madsens PDF"
> og du henviser til, er primært rettede mod MS Client/Server netværks-
> funktionalitet, dvs. de lytter/sender kun på dit lokale subnet,

....

> Mange af de i gruppen omtalte "hærdnings-guides", (se nedenstående),
> retter sig mod system-administratorer der skal sætte bastion hosts
> op, dvs. servere på globalt routebare ip'ere, typisk som ex. mail-
> servere, web-servere, osv, hvor det er meningen, at der skal køre
> offentligt tilgængelige services på boxen. I den sammenhæng er det
> *meget* relevant at få låst boxen så meget ned som muligt, dvs. lukke
> de før omtalte netværksservices, lukke de forsk. SMB/NetBIOS porte,
> disable forsk. distribuerede programmerings API'er (DCOM m.m.), osv

Phew, stort citat, men jeg kunne ikke skære det ned til mindre uden at
miste meningen.

Jo, men, hvis man på sit hjemmenetværk af og til har besøg af maskiner
som bevæger sig i usikre miljøer, er der meget mening i at implementere
sikkerhed i dybden (en enkelt ormeinficeret maskine kan lynhurtigt
sprede smitten, hvis ikke der er gjort noget forsøg på at undgå spred-
ningen (f.eks. ved hærdning af maskinens opsætning)).

En sidegevisnt ved hærdning, er at man ved at stoppe unødvendige servi-
ces kan spare en del systemressourcer. Hmm, der viser jeg nok min alder,
ved at jeg bekymrer mig om forbruget af ressourcer, jeg kan stadigvæk
huske da RAM kostede en halv bondegår med tilhørende svinestald og det
førstefødte barn.

> Samtidig er det vigtig at have noget basal netværksviden, så man
> forstår hvad man laver, og ikke blindt bare følger en guide, uden at
> forstå hvad udfaldet bliver, resp. om guiden overhovedet er relevant
> for ens hjemme-netværk.

Enig.

> Det er derfor i mine øjne meget forkert (og naivt), at fortælle
> "newbies", at "bare du gør sådan her, og *ikke* sådan her", er du
> sikker. Så simpelt er det desværre ikke, istedet mener jeg at man
> skal opfordre folk til selv at opsøge mere viden, ved eksterne links,
> guides, bøger m.m.

Men som udgangspunkt synes jeg det er fint med læse-let guides, gerne
fulgt af en opfordring til at læse mere om og links til emnet.

> http://nsa2.www.conxion.com/

Jeg tror det er bedre at anbefale: http://csrc.nist.gov/itsec/, da det
ikke virker som om NSAs guides bliver opdateret.

---

Peder Vendelbo Mikkelsen wrote:

[snip]

> Jo, men, hvis man på sit hjemmenetværk af og til har besøg af maskiner
> som bevæger sig i usikre miljøer, er der meget mening i at implementere
> sikkerhed i dybden (en enkelt ormeinficeret maskine kan lynhurtigt
> sprede smitten, hvis ikke der er gjort noget forsøg på at undgå spred-
> ningen (f.eks. ved hærdning af maskinens opsætning)).
>
> En sidegevisnt ved hærdning, er at man ved at stoppe unødvendige servi-
> ces kan spare en del systemressourcer. Hmm, der viser jeg nok min alder,
> ved at jeg bekymrer mig om forbruget af ressourcer, jeg kan stadigvæk
> huske da RAM kostede en halv bondegår med tilhørende svinestald og det
> førstefødte barn.

Jamen jeg er rørende enig...

Mit svar gik mest på, at det virkede som om, at nogle af posterne i
tråden, var lidt i tvivl om hvordan Windows netværkstjenester fungerer,
såvel i RFC 1918 NAT'ede subnet, som globalt gyldige net.

Mit svar kan, når jeg kigger på det igen med friske øjne, måske godt
tolkes som om at jeg mener at diverse hærdning/nedlukningsforsøg er
irrelevante i private RFC 1918 NAT'ede subnet, og at det kun er de
"store drenge" der kan have fornøjelse af div. papers om
sikring/minimering af Windows OS.

Det beklager jeg, det var absolut ikke min ide med indlægget, tværtimod
mener jeg, at jo mere reel sikkerhed (læs *ikke* AV + pers. FW) "hr og
fru Jensen" gennemfører, jo bedre, til gavn for både Jensens og "de
store drenges" netværk.

[snip]

>>Det er derfor i mine øjne meget forkert (og naivt), at fortælle
>>"newbies", at "bare du gør sådan her, og *ikke* sådan her", er du
>>sikker. Så simpelt er det desværre ikke, istedet mener jeg at man
>>skal opfordre folk til selv at opsøge mere viden, ved eksterne links,
>>guides, bøger m.m.
>
>
> Men som udgangspunkt synes jeg det er fint med læse-let guides, gerne
> fulgt af en opfordring til at læse mere om og links til emnet.

Vi er igen enige, men:

Jeg tror desværre at hr og fru Jensen vil opfatte selv den let
tilgængelige "Madsen PDF", som møntet på avancerede brugere.

Jeg synes faktisk det kunne være interessant at høre fra "nybegyndere",
der sidder med et reelt ønske om at sikre deres computer "the right
way", eller har gjort det iflg. nogle af de nævnte guides.

På mit job, møder jeg endda folk, der er begyndt at stille spørgsmål som
"sløver mit AV program ikke min maskine lidt rigeligt, og om Zonealarm
ikke bare er en pest..."!

Måske er vinden ved at vende og folk ved at vågne lidt op fra
forherligelsen af Symantec, Zonealarm m.fl.
Man har lov at håbe...

>>http://nsa2.www.conxion.com/
>
>
> Jeg tror det er bedre at anbefale: http://csrc.nist.gov/itsec/, da det
> ikke virker som om NSAs guides bliver opdateret.

Det har du ret i, jeg synes bare NSA angreb (no pun intended...) emnet
ret seriøst, har ikke kigget på NIST's anbefalinger endnu, så tak for
tippet.

/mvh
michael

--
"Humans are the best value in computers - where else can you get a
non-linear computer weighing only about 160lbs, having a billion binary
decision elements, that can be mass-produced by unskilled labour?"
Anonymous

---

Michael U. Hove wrote:

> De netværksrelaterede tjenester i 2000/XP, som både "Madsens PDF" og du
> henviser til, er primært rettede mod MS Client/Server
> netværksfunktionalitet, dvs. de lytter/sender kun på dit lokale subnet,
> og *ingen* af dem "ringer selv op" til Internettet gennem routeren, som
> du antyder det i din post.

En korrektion...

Teknisk set har jeg ikke helt ret der:

Xp aktiverer som standard sin NTP-klient til at synkronisere med
time.windows.com, hver uge!

Så faktisk *ringer *XP hjem, i dette enkelte tilfælde, endda helt hjem
til farmand Bill

--
"Come to think of it, there are already a million monkeys on a million
typewriters, and Usenet is nothing like Shakespeare."
Blair Houghton

---

"Michael U. Hove" wrote:

> De netværksrelaterede tjenester i 2000/XP, som både "Madsens PDF" og du
> henviser til, er primært rettede mod MS Client/Server
> netværksfunktionalitet, dvs. de lytter/sender kun på dit lokale subnet,
> og *ingen* af dem "ringer selv op" til Internettet gennem routeren, som
> du antyder det i din post.

Jeg kan sagtens se fornuften i dit indlæg, men jeg synes ikke du
har helt ret i ovenstående.

En ting jeg har oplevet er, at når folk starter deres Outlook
eller Outlook Express (bruger dem ikke selv og får dem som regel
forvekslet), så startes MSN messenger automatisk op. Jeg er ikke
helt sikker på om man skal indtaste et username og password før
den kobler op mod en MSN server, men det er et eksempel på en
service der selv åbner en port ud gennem routeren, uden brugeren
nødvendigvis er informeret om det.

Jeg kan ikke huske hvilken af windowsinstallationerne det er der
automatisk installerer og starter en lokal SMTP server, men i mine
øjne er det også "en katastrofe der bare venter på at ske"
(katastrofe måske et lidt voldsomt ord, men du er nok med på hvad
jeg mener).

Jeg synes der er god fornuft i at "hærde" sit system, også som
privatbruger, om ikke andet fordi man opnår et overblik over hvad
man bør være opmærksom på. Er man uheldig og får sluppet en
virus/orm løs er det heller ikke nogen ulempe, at en del af de
processer der kan misbruges på forhånd er lukket ned.

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

Thomas Strandtoft wrote:

[snip]

> En ting jeg har oplevet er, at når folk starter deres Outlook
> eller Outlook Express (bruger dem ikke selv og får dem som regel
> forvekslet), så startes MSN messenger automatisk op. Jeg er ikke
> helt sikker på om man skal indtaste et username og password før
> den kobler op mod en MSN server, men det er et eksempel på en
> service der selv åbner en port ud gennem routeren, uden brugeren
> nødvendigvis er informeret om det.

Der er *væsentlig* forskel på en åben lokal port på din workstation, og
en fuldgyldig etableret client/server forbindelse fra din pc, gennem en
router, til en server på I-nettet.

Messenger (MSN-klienten), *åbner* flere porte, og den *er* registreret
som en auto-opstarts Windows service (i XP), men den laver *ikke*
automatisk udgående netværksforbindelser til MSN serverne, medmindre du
sætter klienten op til at connecte automatisk ved Win opstart.

Fordi de fleste private lokalnet er baseret på RFC 1918 adresserne, og
til med NAT'ede gennem en router, vil en åben lokal port på en pc *bag*
NAT routeren *ikke* resultere i at routeren åbner den tilsvarende port.
Først i det øjeblik at din pc requester en fornbindelse til en server,
der ligger udenfor dit private subnet, vil routeren åbne udgående porte.

Ydermere implementerer mange af ADSL-routerne Stateful Packet Inspektion
(SPI), hvor routeren checker headeren på enhver pakke der passerer ind
ell. ud af devicet, mod en state-table, der holder styr på, om den givne
TCP/UDP stream er initieret på LAN-indersiden af routeren. Hvis dette
ikke er tilfældet, smides pakken væk.

For at tillade globalt tilgængelige services på dit inderside LAN, skal
du altså manuelt fortælle routeren, at den skal forwarde requests på
WAN-side portene til de tilsvarende LAN-side porte, før eksterne pc'ere
overhovedet kan se og tilgå dine lokalt lyttende porte. Det er derfor en
NAT-router også kaldes en "fattigmands-firewall". Den gør reelt dit RFC
1918 baserede LAN usynligt for Internettet, medmindre du manuelt beder
den om noget andet.

De fleste (læs min post om XP's NTP-klient...) Windows services
begrænser sig til at lytte på det lokale subnet, fordi de venter på at
connecte til en Windows Server. De gør altså ingen skade, *sålænge* du
indsætter et NAT-device mellem det globale Internet og dit LAN. Om de så
skal lukkes ned for at forbedre den generelle sikkerhed, er en helt
anden snak.

Det er dog vigtig at forstå samspillet ml. Windows' lokale services, og
aktivt netværksudstyr som routere, for at få det fulde billede af
sikkerhed/tilgængelighed på et RFC 1918 baseret NAT'et lokalnet.

Lang historie til kort historie: En lokalt lyttende netværksport er
*ikke* ensbetydende med en fuldt etableret client/server forbindelse!

Laver din PC altså mystiske udgående netforbindelser til andre pc'ere,
er det værd at undersøge nærmere. (I en cmd-shell med "netstat -an")

Højst sandsynligt er det MS Auto-update (ups, den glemte jeg også...),
en pers. FW, et AV-program, ell. anti-spyware program, der checker for
updates hos moder-firmaet.

Hvis alle disse er checket og ikke er tilfældet, er det tid til at gå i
panik...

> Jeg kan ikke huske hvilken af windowsinstallationerne det er der
> automatisk installerer og starter en lokal SMTP server, men i mine
> øjne er det også "en katastrofe der bare venter på at ske"
> (katastrofe måske et lidt voldsomt ord, men du er nok med på hvad
> jeg mener).

Jeg kender ikke til en Windows Workstation, der automatisk installerer
en SMTP-server, tænker du ikke på Windows Server ?! XP kan installere en
personlig IIS server, men den skal du selv installere fra CD'en.

> Jeg synes der er god fornuft i at "hærde" sit system, også som
> privatbruger, om ikke andet fordi man opnår et overblik over hvad
> man bør være opmærksom på. Er man uheldig og får sluppet en
> virus/orm løs er det heller ikke nogen ulempe, at en del af de
> processer der kan misbruges på forhånd er lukket ned.

110% Enig.

/mvh
michael

--
"Come to think of it, there are already a million monkeys on a million
typewriters, and Usenet is nothing like Shakespeare."
Blair Houghton