/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Netgear RP114 Gateway Router, NAT og filte~
Fra : Henrik Dissing


Dato : 27-11-01 14:22

Hej.

Undskyld at det bliver lidt langt, men OSS'en gør et stort nummer ud af at
man skal være omhyggelig med at give alle relevante informationer. Bær
ligeledes over med mig hvis jeg visse steder udtrykker mig lidt tåget. Jeg
har læst routerens manual og OSS'en, men jeg er stadig novice på området.

Jeg har brug for nogle råd omkring opsætning af min nyindkøbte
router/switch, men først lidt om den tekniske situation generelt:

PC 1: Windows 2000 SP2 (snart XP) og Windows 98SE
PC 2: Windows 98SE (og snart XP)
PC 3: Windows 98
TDC Bredbånd ADSL 1024/512, dynamisk IP
Netgear RP114 Gateway Router m. indbygget 4-ports switch

De tre PC'er er naturligvis forbundet til routeren som igen er forbundet til
ADSL-modemet via ethernet. Routeren fungerer både som DHCP-server indadtil
og DHCP-klient mod TDC, og via NAT sikres det, såvidt jeg forstår, at vi ser
ud som én PC for resten verden. Alle PC'er kan se hinanden og internettet.

Mine ønsker til sikkerhed er følgende:

1. Alle PC'erne skal helst frit kunne bruge hinandens harddiske, CD-ROM
drev, printere, osv. med så lidt password-tam-tam som muligt. Det bliver
alligevel i familien.

2. Vi skal kunne føle os nogenlunde trygge i forhold til internettet. Vi
ligger ikke inde med uerstattelige eller meget sensible data, men det er
alligevel træls at få sit system ødelagt af ondskabsfulde idioter. Er
uheldet ude, overlever vi dog nok alligevel.

3. Vi ønsker ikke at blive forstyrret af falske alarmer i tide og utide, og
eftersom jeg har i alt 5 operativsystemer at vedligeholde, ønsker jeg at
routeren skal give os den fornødne sikkerhed, bortset fra den uundværlige
virus-checker (McAfee). Som det nok fremgår, er jeg interesseret i helt at
undgå ZoneAlarm eller andre software-firewals som skal installeres på de
enkelte maskiner, men jeg kan naturligvis overtales af gode argumenter.

5. Vi ønsker ikke umiddelbart at tilbyde nogen form for server-virksomhed,
men det kan ikke udelukkes at vi af og til vil ønske at hoste forskellige
spil via internet. ICQ og andre klientprogrammer som stiller særlige krav,
kører vi vist ikke, men det kan nok heller ikke udelukkes i fremtiden. Under
alle omstændigheder vil vi i hvert tilfælde vurdere om et bestemt program er
interessant nok for os til at vi vil reducere sikkerhedskravene for at
kunne bruge det.

Routeren tilbyder så vidt jeg kan se to metoder til begrænsning af uønsket
trafik: NAT og packet-filtrering. Nu kommer mine spørgsmål:

Hvis jeg helt undlader at konfigurere nogen port-forwarding, kan jeg så være
sikker på at alle hacker-angreb initieret fra internettet vil blive afvist?
Jeg er på det rene med at vi kan komme til at downloade og eksekvere
forskellige trojanske heste, eller hvad det nu hedder, men derudover?

Routeren tilbyder endvidere noget de kalder "TCP/IP-filtre" og "generiske
filtre".

TCP/IP-filtrene opsættes udfra følgende:

Protokol (0-255)
IP Source Route (yes/no)
Destination (IP addr, mask, port #)
Source (IP addr, mask, port #)
Established TCP connection only (yes/no)

Hvad er source routing?
Hvad kan man bruge "established TCP connection only" til?

De generiske filtre er baseret på mønstergenkendelse i angivet offset og
længde. Det kræver tydeligvis meget detaljeret viden og sikkert også
specifikke mistanker for at man kan bruge det til noget.

Men hvordan anvender jeg bedst filtreringsmulighederne, og har jeg i det
hele taget brug for dem? Som sagt, jeg kræver ikke superhøj sikkerhed, men
hvis jeg med enkle greb kan eliminere de mest oplagte risici uden at gøre
dagligdagen alt for besværlig, vil jeg naturligvis godt investere noget tid
i det nu.

Routeren leveres med tre default filtre:

NETBIOS_WAN, som forhindrer NetBIOS name service packets i at blive sendt
til TDC.

NETBIOS_LAN, som blokerer NetBIOS name service DNS requests fra lokal PC til
TDC's DNS server.

TEL_FTP_WEB_WAN, som blokerer Telnet, FTP og HTTP requests fra internettet
til routeren. Det var ikke aktiveret fra starten, men jeg formoder dets
funktion er at forhindre fjernkonfigurering af routeren, så det det har jeg
aktiveret nu.

Hvilken gavn, om nogen, gør NetBIOS filtrene?

Venlig hilsen
Henrik Dissing

 
 
Alex Holst (27-11-2001)
Kommentar
Fra : Alex Holst


Dato : 27-11-01 17:18

Henrik Dissing <hendis@tdcadsl.dk> wrote:
> Undskyld at det bliver lidt langt, men OSS'en gør et stort nummer ud af at
> man skal være omhyggelig med at give alle relevante informationer. Bær
> ligeledes over med mig hvis jeg visse steder udtrykker mig lidt tåget. Jeg
> har læst routerens manual og OSS'en, men jeg er stadig novice på området.

OSS'en har totalt styr paa livet, specielt sikkerhed og chokolade, og den
siger sjaeldent noget uden der er en god grund til det. Du giver de rigtige
informationer i dit indlaeg. Det hjaelper os med at hjaelpe dig.

> Mine ønsker til sikkerhed er følgende:
>
> 1. Alle PC'erne skal helst frit kunne bruge hinandens harddiske, CD-ROM
> drev, printere, osv. med så lidt password-tam-tam som muligt. Det bliver
> alligevel i familien.

Det kan sagtens lade sige goere med Windows's indbyggede fildeling, men du
skal vaere opmaerksom paa at evt. ondt kode (virus og orme) paa blot een af
maskinerne kan goere det ubehageligt for alle brugere. Derfor boer du
overveje hvordan du vil beskytte imod det.

Een loesning kunne vaere at forbyde skriveadgang paa PC'erne undtaget til
een folder paa hver. Dette ville forhindre at system filer og programmer
bliver oedelagte eller inficerede. I teorien kan du helt undgaa skrivbare
omraader hvis folk alligevel kan se store dele af hinandens systemer. Saa
ville det vaere op til "klienten" at hente de filer der var behov for.

Det eneste der skal kunne skrives til er delte printere.

> 2. Vi skal kunne føle os nogenlunde trygge i forhold til internettet. Vi
> ligger ikke inde med uerstattelige eller meget sensible data, men det er
> alligevel træls at få sit system ødelagt af ondskabsfulde idioter. Er
> uheldet ude, overlever vi dog nok alligevel.

Backup skal der til. Det kan vaere saa simpelt som at til daglig samle alle
sine filer i "My Documents" (eller hvad det nu hedder) og regelmaessigt
zippe det hele op i en fil med dit navn og dagens dato, og bede en af de
andre tage en kopi over paa deres PC.

Hvis I har en CD writer kan I skrive en ugenlig backup af disse filer til CD.

> Routeren tilbyder så vidt jeg kan se to metoder til begrænsning af uønsket
> trafik: NAT og packet-filtrering. Nu kommer mine spørgsmål:
>
> Hvis jeg helt undlader at konfigurere nogen port-forwarding, kan jeg så være
> sikker på at alle hacker-angreb initieret fra internettet vil blive afvist?
> Jeg er på det rene med at vi kan komme til at downloade og eksekvere
> forskellige trojanske heste, eller hvad det nu hedder, men derudover?

Jeg kender ikke din router saa jeg kan ikke udtale mig om kvaliteten af dens
NAT og IP filtre implementation. Maaske andre at erfaring med den?

> Hvad er source routing?

Det tillader at afsenderen angiver IP adresser som hans IP pakke skal sendes
igennem. Det kan bruges til at omgaas firewalls og NAT systemer. Du boer
ikke tillade source routing.

> Hvad kan man bruge "established TCP connection only" til?

TCP pakker har forskellige flag eller bits sat afhaengig af hvilken type
pakke den er. Naar du loader www.google.com i din browser, har TCP pakkerne
som sendes tilbage til din maskine et "established" flag sat, som goer at
din router ved pakken er et svar paa noget du spurgte om, og derfor faar den
lov til at komme igennem.

Hvis din router ikke har stateful IP filtre tror den blindt paa de flag som
er sat paa TCP pakkerne. Dette betyder at enhver som kan skabe sine egne
TCP pakker kan angive et "established" flag og komme igennem din router.

Stateful filtre har en tabel hvor der holdes styr paa hvilke forbindelser
der er gaaet ud af routeren og hvis den modtager en forfalsket tcp
established pakke bliver pakken smidt vaek fordi der ikke er information om
den originale forbindelse i dens state table.

For at kunne vaere vaert for et netvaerksspil skal din router ukritisk sende
alle UDP/TCP pakker paa bestemte porte ind til en maskine.

> Men hvordan anvender jeg bedst filtreringsmulighederne, og har jeg i det
> hele taget brug for dem? Som sagt, jeg kræver ikke superhøj sikkerhed, men
> hvis jeg med enkle greb kan eliminere de mest oplagte risici uden at gøre
> dagligdagen alt for besværlig, vil jeg naturligvis godt investere noget tid
> i det nu.

Umiddelbart tror jeg ikke du har brug for filtre, men der kan vaere
underligheder med din router som goer, at du skal bruge filtre hvis du
nogensinde faar brug for at forwarde pakker ind i forbindelse med spil.

> Routeren leveres med tre default filtre:
>
> NETBIOS_WAN, som forhindrer NetBIOS name service packets i at blive sendt
> til TDC.

NetBIOS er en protokol beregnet til et lokalt netvaerk, og hoerer derfor
ikke til paa det store vildt net.

> NETBIOS_LAN, som blokerer NetBIOS name service DNS requests fra lokal PC til
> TDC's DNS server.

Dette forhindrer at din PC kan spoerge TDCs DNS om ipadressen paa MOMSEMOR
og SUPERFAR naar I arbejder med interne Windows navne.

Haaber det hjalp.

Alex

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


N/A (27-11-2001)
Kommentar
Fra : N/A


Dato : 27-11-01 23:14



Christian Andersen (27-11-2001)
Kommentar
Fra : Christian Andersen


Dato : 27-11-01 23:14

Henrik Dissing wrote:

>>Haaber det hjalp.

>Helt sikkert! Mange tak for svarene

Alex kan være rar, når man stiller ham de rigtige spørgsmål

--
"'Gid man var ligeså smart som dig.' - Christian Andersen i
tele.koncern.intranet.pil" - Lars Kyndi Laursen i dk.edb.internet

http://chran.dyndns.dk - Nu med statistik!

Lars Kyndi Laursen (28-11-2001)
Kommentar
Fra : Lars Kyndi Laursen


Dato : 28-11-01 00:01

On 27 nov 2001 Christian Andersen enriched usenet with:

>>Helt sikkert! Mange tak for svarene
>
> Alex kan være rar, når man stiller ham de rigtige spørgsmål

Denne tråd kan faktisk anvendes som eksempel på, hvordan man stiller gode
spørgsmål.

--
Lars Kyndi Laursen, som ikke repræsenterer noget som helst

"Gid man var ligeså smart som dig." - Christian Andersen i
tele.koncern.intranet.pil

Alex Holst (28-11-2001)
Kommentar
Fra : Alex Holst


Dato : 28-11-01 02:41

Christian Andersen <igqgfq001@sneakemail.com> wrote:
> Henrik Dissing wrote:
>
>>>Haaber det hjalp.
>
>>Helt sikkert! Mange tak for svarene
>
> Alex kan være rar, når man stiller ham de rigtige spørgsmål

Ha, det hoerte jeg godt! Spoerg mig om jeg vil have en oel. Jeg er i danmark
i januar[1]. Hvem giver?


[1] http://a.area51.dk/travelplan
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Christian Laursen (28-11-2001)
Kommentar
Fra : Christian Laursen


Dato : 28-11-01 02:59

Alex Holst <a@area51.dk> writes:

> > Henrik Dissing wrote:
> >
> > Alex kan være rar, når man stiller ham de rigtige spørgsmål
>
> Ha, det hoerte jeg godt! Spoerg mig om jeg vil have en oel. Jeg er i danmark
> i januar[1]. Hvem giver?



Niels Callesøe (28-11-2001)
Kommentar
Fra : Niels Callesøe


Dato : 28-11-01 04:15

Alex Holst wrote:

> Ha, det hoerte jeg godt! Spoerg mig om jeg vil have en oel. Jeg er
> i danmark i januar[1]. Hvem giver?

Tjaeh, hvis dit punkt 3 bliver til Århus, så må du endlig give lyd.

Dit arbejde med OSS'en fortjener ganske givet en enkelt på Bridgewater
(eller tilsvarende).

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

Christian Andersen (28-11-2001)
Kommentar
Fra : Christian Andersen


Dato : 28-11-01 09:35

Alex Holst wrote:

>> Alex kan være rar, når man stiller ham de rigtige spørgsmål

>Ha, det hoerte jeg godt! Spoerg mig om jeg vil have en oel. Jeg er i danmark
>i januar[1]. Hvem giver?

>[1] http://a.area51.dk/travelplan

Jeg har et 7 m2 gulv, et liggeunderlag og en sovepose i Hasle. Niels har
en øl og et sted at drikke den.

Lyder det som en plan?

--
"'Gid man var ligeså smart som dig.' - Christian Andersen i
tele.koncern.intranet.pil" - Lars Kyndi Laursen i dk.edb.internet

http://chran.dyndns.dk - Nu med statistik!

Alex Holst (28-11-2001)
Kommentar
Fra : Alex Holst


Dato : 28-11-01 16:23

Christian Andersen <igqgfq001@sneakemail.com> wrote:
>>[1] http://a.area51.dk/travelplan
>
> Jeg har et 7 m2 gulv, et liggeunderlag og en sovepose i Hasle. Niels har
> en øl og et sted at drikke den.
>
> Lyder det som en plan?

Jep, snakken fortsaetter i email. Andre kan sende mig email eller foelge med
paa travelplan siden.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Karsten H. (28-11-2001)
Kommentar
Fra : Karsten H.


Dato : 28-11-01 23:16

Thus spake Alex Holst in news:slrna08g4n.2j73.a@C-Tower.Area51.DK:

> Ha, det hoerte jeg godt! Spoerg mig om jeg vil have en oel. Jeg er i
> danmark i januar[1]. Hvem giver?

JEg skylder vist en chokoladeis, svjh.

--
Karsten H. (Public PGP key at www.egotrip.dk/pgp.php)
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste