|
|
 | Loop Back
Fra : J.K.Arning |
Dato : 09-02-05 14:34 |
|
Begrebet loop back traffic .. findes der en klar definition på dette ?
Jeg har en Win 2k3 DC med Exch 2k3. Boksen står ude i byen (hosted) så
udover at den er hærdet har jeg også lagt en Kerio server firewall på
boksen om ikke andet så for at kunne se i loggen hvad der foregår på
boksen.
En ting jeg er studset over er denne loop back traffic som i loggen står
som indkommende fra 127.0.0.1 (localhost). Firewallen opfatter det af en
eller anden årsag som et intrusion forsøg hvilket i mine øjne er noget
pladder men har i en forklaring på hvad det er for en trafik der er tale
om her ?
--
Regards J.K.Arning :: 09-02-2005 14:27:48 :: http://arning.dk
Og husk nu "Din tisser er dit tempel - Pas godt på den"
Ungdomsblade idag er måske nok uintelligente men kedellig
det er de ikke!
| |
 Troels Arvin (09-02-2005)
| Kommentar
Fra : Troels Arvin |
Dato : 09-02-05 15:12 |
|
On Wed, 09 Feb 2005 14:33:48 +0100, J.K.Arning wrote:
> Begrebet loop back traffic .. findes der en klar definition på dette ?
IP-trafik, der foregår over loopback-interface'et (127.0.0.1). I
praksis: IP-trafik mellem to processer, der begge kører på samme host.
Kunne fx. være en web-server-proces, der kommunikerer med en
database-server-proces.
> Firewallen opfatter det af en eller anden årsag som et intrusion
Dit firewall-produkt er interesseret i at fremtræde som om, det
gør en forskel.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Jesper Louis Anderse~ (09-02-2005)
| Kommentar
Fra : Jesper Louis Anderse~ |
Dato : 09-02-05 15:54 |
|
Troels Arvin <troels@arvin.dk> wrote:
>> Firewallen opfatter det af en eller anden ?rsag som et intrusion
>
> Dit firewall-produkt er interesseret i at fremtr?de som om, det
> g?r en forskel.
Eller ogsaa, saa er det spoofing forsoeg udefra.
--
jlouis
| |
 Peter Brodersen (09-02-2005)
| Kommentar
Fra : Peter Brodersen |
Dato : 09-02-05 18:58 |
|
On Wed, 9 Feb 2005 15:53:46 +0100, Jesper Louis Andersen
<jlouis@miracle.mongers.org> wrote:
>Eller ogsaa, saa er det spoofing forsoeg udefra.
Så bør man ta' en alvorlig snak med sin udbyder.
--
- Peter Brodersen
| |
Troels Arvin (09-02-2005)
| Kommentar
Fra : Troels Arvin |
Dato : 09-02-05 19:53 |
|
On Wed, 09 Feb 2005 18:58:27 +0100, Peter Brodersen wrote:
>>Eller ogsaa, saa er det spoofing forsoeg udefra.
> Så bør man ta' en alvorlig snak med sin udbyder.
Ja, det vil jeg nok sige.
Er der nogen, der ved, om de danske udbydere generelt foretager
ingres/egress filtering, som man må håbe/antage, at de gør?
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Kasper Dupont (14-02-2005)
| Kommentar
Fra : Kasper Dupont |
Dato : 14-02-05 12:02 |
|
Troels Arvin wrote:
>
> Er der nogen, der ved, om de danske udbydere generelt foretager
> ingres/egress filtering, som man må håbe/antage, at de gør?
Hvis man bruger webspeed er der i hvert fald en eller anden
form for filtrering, som forhindrer at man sender pakker med
anden source IP end den man fik tildelt med DHCP. Præcis hvor
og hvordan filtret er lavet ved jeg ikke.
--
Kasper Dupont
| |
Peter Brodersen (14-02-2005)
| Kommentar
Fra : Peter Brodersen |
Dato : 14-02-05 18:10 |
|
On Wed, 09 Feb 2005 19:53:18 +0100, Troels Arvin <troels@arvin.dk>
wrote:
>Er der nogen, der ved, om de danske udbydere generelt foretager
>ingres/egress filtering, som man må håbe/antage, at de gør?
Jeg kan ikke lige komme på nogen, der ikke gør.
--
- Peter Brodersen
| |
Alex Holst (09-02-2005)
| Kommentar
Fra : Alex Holst |
Dato : 09-02-05 15:12 |
|
J.K.Arning wrote:
> Jeg har en Win 2k3 DC med Exch 2k3. Boksen står ude i byen (hosted) så
> udover at den er hærdet har jeg også lagt en Kerio server firewall på
> boksen om ikke andet så for at kunne se i loggen hvad der foregår på
> boksen.
....
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
J.K.Arning (09-02-2005)
| Kommentar
Fra : J.K.Arning |
Dato : 09-02-05 15:25 |
|
On Wed, 09 Feb 2005 15:12:13 +0100, Alex Holst in newsgroup
dk.edb.sikkerhed wrote:
> OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
Du mener altså at loopback traffic forklares i faq`en
Sådan skal jeg vel forstå dit svar ?
Vil du nærmere ind på hvor i faq`en det sker ?
| |
Alex Holst (09-02-2005)
| Kommentar
Fra : Alex Holst |
Dato : 09-02-05 18:08 |
|
J.K.Arning wrote:
> Du mener altså at loopback traffic forklares i faq`en
> Sådan skal jeg vel forstå dit svar ?
>
> Vil du nærmere ind på hvor i faq`en det sker ?
Signaturer betragtes normalt ikke som en del af et indlaeg. Det var
faktisk ikke det jeg mente, men nu du siger det, er dette afsnit meget
daekkende for din situation:
http://sikkerhed-faq.dk/hjemme_net#fwinstall
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
J.K.Arning (09-02-2005)
| Kommentar
Fra : J.K.Arning |
Dato : 09-02-05 19:25 |
|
On Wed, 09 Feb 2005 18:08:24 +0100, Alex Holst in newsgroup
dk.edb.sikkerhed wrote:
>
> Signaturer betragtes normalt ikke som en del af et indlaeg. Det var
> faktisk ikke det jeg mente, men nu du siger det, er dette afsnit meget
> daekkende for din situation:
>
Åh .. så jeg forstod evt. ikke din sarkasme korrekt eller ?
Det er lidt trivielt at skulle trække svarene ud af næsen på dig på den
måde Alex kunne du ikke svare lige ud af posen ?
--
Regards J.K.Arning :: 09-02-2005 19:23:13 :: http://arning.dk
Og husk nu "Din tisser er dit tempel - Pas godt på den"
Ungdomsblade idag er måske nok uintelligente men kedellig
det er de ikke!
| |
Alex Holst (10-02-2005)
| Kommentar
Fra : Alex Holst |
Dato : 10-02-05 00:33 |
|
J.K.Arning wrote:
> Det er lidt trivielt at skulle trække svarene ud af næsen på dig på den
> måde Alex kunne du ikke svare lige ud af posen ?
Det har jeg forsoegt og det var der mindst et par stykker herinde der
ikke kunne lide.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Peder Vendelbo Mikke~ (12-02-2005)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 12-02-05 00:26 |
|
J.K.Arning skrev:
> Begrebet loop back traffic .. findes der en klar definition på
> dette ?
Hvad med denne definition:
http://www.rfc-editor.org/rfc/rfc3330.txt
" 127.0.0.0/8 - This block is assigned for use as the Internet host
loopback address. A datagram sent by a higher level protocol to an
address anywhere within this block should loop back inside the host.
This is ordinarily implemented using only 127.0.0.1/32 for loopback,
but no addresses within this block should ever appear on any network
anywhere [RFC1700, page 5]."
> Jeg har en Win 2k3 DC med Exch 2k3. Boksen står ude i byen (hosted)
> så udover at den er hærdet har jeg også lagt en Kerio server
> firewall på boksen om ikke andet så for at kunne se i loggen hvad
> der foregår på boksen.
Du kunne overveje at udskifte den med kombinationen af Port Reporter
og Port Reporter Parser:
http://support.microsoft.com/default.aspx?scid=kb;en-us;837243
--
'Besides, how can you not like a movie with lines like: "I hope you
don't screw like you type." and "God gave men brains larger than dogs'
so they wouldn't hump women's legs at cocktail parties."' -- fwojcik,
on "Hackers"
| |
|
|