/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Spm. vedr. router og sw firewall
Fra : Kenneth L. Pedersen


Dato : 16-11-01 21:46

Hej,

Først: Jeg er net-begynder - bær over med mig!

Jeg har en TDC ADSL linie og Norton Personal Firewall på min PC.
Før i tiden havde jeg ADSL-modemet direkte i computeren via
et ATM kort. Jeg fik jævligt (hver 2./3. dag) en advarsel om
eventuelle hackerangreb fra NPF.
Jeg har nu fået en SpeedStream Router og en switch, som ADSL-
en kører igennem. Siden da (ca. 1 md.) har jeg ikke fået en eneste
advarsel fra NPF.

Det kan så vidt jeg kan se betyde én af to ting:

1) Pga. routeren er jeg nu "usynlig" for hackere og NPF er dermed
overflødig.

2) (Skrækscenariet): Min NPF er gået i coma og fungerer ikke. Der
er fri adgang til min PC fra Internettet.

Kan nogen gi' mig en (populær) forklaring på ovenstående (og gerne
berolige mig lidt)?

Mvh. Kenneth



 
 
Kent Friis (16-11-2001)
Kommentar
Fra : Kent Friis


Dato : 16-11-01 22:35

Den Fri, 16 Nov 2001 21:46:25 +0100 skrev Kenneth L. Pedersen:
>Hej,
>
>Først: Jeg er net-begynder - bær over med mig!
>
>Jeg har en TDC ADSL linie og Norton Personal Firewall på min PC.
>Før i tiden havde jeg ADSL-modemet direkte i computeren via
>et ATM kort. Jeg fik jævligt (hver 2./3. dag) en advarsel om
>eventuelle hackerangreb fra NPF.
>Jeg har nu fået en SpeedStream Router og en switch, som ADSL-
>en kører igennem. Siden da (ca. 1 md.) har jeg ikke fået en eneste
>advarsel fra NPF.
>
>Det kan så vidt jeg kan se betyde én af to ting:
>
>1) Pga. routeren er jeg nu "usynlig" for hackere og NPF er dermed
> overflødig.

Check dit ip-nummer.

Hvis det hedder noget med 10.x.x.x eller 192.168.x.x eller 172.16-31.x.x
så er det et nummer der ikke kan routes på internettet.

Mvh
Kent
--
Det skete i de dage i november engang
at de første kataloger satte hyggen igang

Michael Knudsen (17-11-2001)
Kommentar
Fra : Michael Knudsen


Dato : 17-11-01 13:04

Hej Kent

> Check dit ip-nummer.
>
> Hvis det hedder noget med 10.x.x.x eller 192.168.x.x eller 172.16-31.x.x
> så er det et nummer der ikke kan routes på internettet.

Afhængig af hvordan routeren/firewallen er konfigureret, kan han vel stadig
"rammes af"/modtage sourceroutede pakker, eller har jeg misforstået noget?

Mvh. Michael
--
Rumour is information distilled so finely that it can filter through
anything.
It does not need doors and windows -- sometimes it does not need people. It
can exist free and wild,running from ear to ear without ever touching lips.
-- (Terry Pratchett, Feet of Clay)

Asbjorn Hojmark (17-11-2001)
Kommentar
Fra : Asbjorn Hojmark


Dato : 17-11-01 14:14

On Sat, 17 Nov 2001 13:04:12 +0100, Michael Knudsen
<mk267673@but.auc.dk> wrote:

> Afhængig af hvordan routeren/firewallen er konfigureret, kan han vel stadig
> "rammes af"/modtage sourceroutede pakker, eller har jeg misforstået noget?

Jeg vil tro, at de fleste udbydere efterhånden har lukket for
source-routede pakker.

-A
--
http://www.hojmark.org/

Michael Knudsen (17-11-2001)
Kommentar
Fra : Michael Knudsen


Dato : 17-11-01 14:47

Hej Asbjorn (Asbjørn?)

> Jeg vil tro, at de fleste udbydere efterhånden har lukket for
> source-routede pakker.

Okay, men det, jeg var i tvivl om, var, om man kunne sende pakker til
unrouteable adresser vha. source-routing.
Iøvrigt lyder det meget fornuftigt at droppe source-routede pakker. Det er
vel primært noget, man har brug for ved diagnosticering/fejlretning?

Mvh. Michael
--
Rumour is information distilled so finely that it can filter through
anything.
It does not need doors and windows -- sometimes it does not need people. It
can exist free and wild,running from ear to ear without ever touching lips.
-- (Terry Pratchett, Feet of Clay)

Kasper Dupont (17-11-2001)
Kommentar
Fra : Kasper Dupont


Dato : 17-11-01 14:52

Michael Knudsen wrote:
>
> Iøvrigt lyder det meget fornuftigt at droppe source-routede pakker. Det er
> vel primært noget, man har brug for ved diagnosticering/fejlretning?

Det kan vel også bruges til at opnå en mere stabil
netforbindelse, ved at route pakkerne uden om nedbrud/
congestion på nettet. Men mulighederne for misbrug
vejer nok alligevel tungere, så redundante netværk bør
nok anvendes på en anden måde.

--
Kasper Dupont

Asbjorn Hojmark (18-11-2001)
Kommentar
Fra : Asbjorn Hojmark


Dato : 18-11-01 00:54

On Sat, 17 Nov 2001 14:51:44 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>> Iøvrigt lyder det meget fornuftigt at droppe source-routede pakker.
>> Det er vel primært noget, man har brug for ved diagnosticering /
>> fejlretning?

> Det kan vel også bruges til at opnå en mere stabil netforbindelse,
> ved at route pakkerne uden om nedbrud / congestion på nettet.

Det med at route udenom nedbrud er den slags man har routere med
dynamiske routing-protokoller til at gøre. Det med at route uden
om congestion er i praksis umuligt.

-A
--
http://www.hojmark.org/

Kasper Dupont (18-11-2001)
Kommentar
Fra : Kasper Dupont


Dato : 18-11-01 02:00

Asbjorn Hojmark wrote:
>
> On Sat, 17 Nov 2001 14:51:44 +0100, Kasper Dupont
> <kasperd@daimi.au.dk> wrote:
>
> >> Iøvrigt lyder det meget fornuftigt at droppe source-routede pakker.
> >> Det er vel primært noget, man har brug for ved diagnosticering /
> >> fejlretning?
>
> > Det kan vel også bruges til at opnå en mere stabil netforbindelse,
> > ved at route pakkerne uden om nedbrud / congestion på nettet.
>
> Det med at route udenom nedbrud er den slags man har routere med
> dynamiske routing-protokoller til at gøre. Det med at route uden
> om congestion er i praksis umuligt.

En kortvarig congestion med pakketab til følge er i
praksis umulig at undgå. Men en langvarig congestion
er ikke meget forskellig fra et nedbrud, og i dette
tilfælde kan man route udenom når man opdager
problemet.

Men jeg er bestemt enig i at det i stort set alle
tilfælde er bedst at foretage routningen undervejs
og ikke ved afsendelse.

Hvordan alternative ruter skal håndteres er lang fra
trivielt. Men jeg mener faktisk, at det ville være
fornuftigt at vælge en tilfældig rute for hver enkelt
pakke. Sandsynligheds fordelingen bør så justeres
dynamisk efter trafikken.

--
Kasper Dupont

Asbjorn Hojmark (19-11-2001)
Kommentar
Fra : Asbjorn Hojmark


Dato : 19-11-01 00:49

On Sun, 18 Nov 2001 02:00:16 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

> En kortvarig congestion med pakketab til følge er i praksis
> umulig at undgå.

Netværkstrafik er i sin natur ekstremt 'bursty', så netop de
kortvarige overbelastninger vil være de almindelige. (Hvis en
linie sådan helt generelt er overbelastet i lange perioder, er
udbyderen en idiot, og lever ikke længe).

> Hvordan alternative ruter skal håndteres er lang fra trivielt.
> Men jeg mener faktisk, at det ville være fornuftigt at vælge
> en tilfældig rute for hver enkelt pakke.

Med mindre man ved, de to veje er lige gode, er det en skidt idé.
Der er masser af ting der ikke virker ordentligt (eller slet ikke
virker), hvis pakkerne ikke kommer frem i den forventede række-
følge.

-A
--
http://www.hojmark.org/

Kasper Dupont (19-11-2001)
Kommentar
Fra : Kasper Dupont


Dato : 19-11-01 07:46

Asbjorn Hojmark wrote:
>
> > Hvordan alternative ruter skal håndteres er lang fra trivielt.
> > Men jeg mener faktisk, at det ville være fornuftigt at vælge
> > en tilfældig rute for hver enkelt pakke.
>
> Med mindre man ved, de to veje er lige gode, er det en skidt idé.
> Der er masser af ting der ikke virker ordentligt (eller slet ikke
> virker), hvis pakkerne ikke kommer frem i den forventede række-
> følge.

Kan du nævne nogle eksempler? Mig bekendt er TCP designet
til at håndtere det. Og alle de UDP protokoller, jeg kender,
er RPC lignende protokoller, hvor man ikke har mere end en
pakke ude på nettet ad gangen.

--
Kasper Dupont

Asbjorn Hojmark (20-11-2001)
Kommentar
Fra : Asbjorn Hojmark


Dato : 20-11-01 00:41

On Mon, 19 Nov 2001 07:45:59 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>> Der er masser af ting der ikke virker ordentligt (eller slet
>> ikke virker), hvis pakkerne ikke kommer frem i den forventede
>> rækkefølge.

> Kan du nævne nogle eksempler?

Voice (RTP) er ubrugeligt.
Telnet kører ekstremt ringe.
FTP kører temmelig langsomt.

> Mig bekendt er TCP designet til at håndtere det.

Nej, TCP er designet til at *opdage* det, ikke som sådan at rette
op på det, og hvis man giver sig til at rydde op i problemet med
masser af buffering, så får man bare dårligere performance.

> Og alle de UDP protokoller, jeg kender, er RPC lignende protokoller,
> hvor man ikke har mere end en pakke ude på nettet ad gangen.

Det er ikke mange UDP-baserede protokoller, du kender, kan jeg
forstå.

-A
PS: Vi er way off-topic for d.e.s. FUT.
--
http://www.hojmark.org/

Carsten W. Smith (20-11-2001)
Kommentar
Fra : Carsten W. Smith


Dato : 20-11-01 15:21


Undskyld mig, men det kan da være ligegyldig, hvilken rækkefølge de enkelte
pakker kommer frem i. Modtager computeren opbevarer alle pakker, og
kontrollerer om der mangler nogen. IØVRIGT sender den kvitteringer for hver
gang en gruppe pakker er modtaget, NÅR afsender opdager at der IKKE er
modtaget kvitteringer for en gruppe pakker, bliver de sendt igen.

MVH
cws.


"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:2s5jvto5sc641s09s76fbs57kgbpqk1heb@news.worldonline.dk...
> On Mon, 19 Nov 2001 07:45:59 +0100, Kasper Dupont
> <kasperd@daimi.au.dk> wrote:
>
> >> Der er masser af ting der ikke virker ordentligt (eller slet
> >> ikke virker), hvis pakkerne ikke kommer frem i den forventede
> >> rækkefølge.
>
> > Kan du nævne nogle eksempler?
>
> Voice (RTP) er ubrugeligt.
> Telnet kører ekstremt ringe.
> FTP kører temmelig langsomt.
>
> > Mig bekendt er TCP designet til at håndtere det.
>
> Nej, TCP er designet til at *opdage* det, ikke som sådan at rette
> op på det, og hvis man giver sig til at rydde op i problemet med
> masser af buffering, så får man bare dårligere performance.
>
> > Og alle de UDP protokoller, jeg kender, er RPC lignende protokoller,
> > hvor man ikke har mere end en pakke ude på nettet ad gangen.
>
> Det er ikke mange UDP-baserede protokoller, du kender, kan jeg
> forstå.
>
> -A
> PS: Vi er way off-topic for d.e.s. FUT.
> --
> http://www.hojmark.org/



Asbjorn Hojmark (18-11-2001)
Kommentar
Fra : Asbjorn Hojmark


Dato : 18-11-01 00:52

On Sat, 17 Nov 2001 14:47:04 +0100, Michael Knudsen
<mk267673@but.auc.dk> wrote:

>> Jeg vil tro, at de fleste udbydere efterhånden har lukket for
>> source-routede pakker.

> Okay, men det, jeg var i tvivl om, var, om man kunne sende pakker
> til unrouteable adresser vha. source-routing.

Ja (med visse forbehold).

> Iøvrigt lyder det meget fornuftigt at droppe source-routede pakker.
> Det er vel primært noget, man har brug for ved diagnosticering /
> fejlretning?

Det er i praksis ikke noget man har brug for.

-A
--
http://www.hojmark.org/

Henning Petersen (18-11-2001)
Kommentar
Fra : Henning Petersen


Dato : 18-11-01 15:00

On Fri, 16 Nov 2001 21:46:25 +0100, "Kenneth L. Pedersen"
<kenneth.lillelund@mail.sletdette.dk> wrote:

> Det kan så vidt jeg kan se betyde én af to ting:
>
> 1) Pga. routeren er jeg nu "usynlig" for hackere og NPF er dermed
> overflødig.

Lige netop.
Før var det din PC som hackeren forsøgte at pille ved.
Nu er det routeren. Dvs for at komme ind til din PC skal han først
knække routeren, og bruge den til at komme ind til din PC.

> 2) (Skrækscenariet): Min NPF er gået i coma og fungerer ikke. Der
> er fri adgang til min PC fra Internettet.

Det skal du i de fleste tilfælde ikke være så bange for i forbindelse
med en NAT-router.

> Kan nogen gi' mig en (populær) forklaring på ovenstående (og gerne
> berolige mig lidt)?

Som Kent skrev, sidder du efter al sanddynlighed på et lukket internt
net, og din router sørger for adgangwn ud til omverdenen.

Selvfølgelig kan routeren kompromiteres, men det er vist mere teori
end praksis at det sker. Men lad du bare din NPF køre videre, og vær
til gengæld for alvor på vagt hvis den siger at din PC før besøg.


--
Venlig hilsen / Best regards
   Henning

_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408943
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste