|
| private og firewalls Fra : Anders Boholdt-Peter~ |
Dato : 11-08-06 07:49 |
|
Hej,
Jeg har tit tænkt på, hvor vigtigt det egentlig er, at private som f.eks.
anvender Windows XP Home har en firewall installeret på deres system.
Jeg ved, at Windows XP jo har sin egen firewall - er den sikker nok?
For mit eget vedkommende sidder jeg bag en router med NAT-funktionalitet, og
NAT er såvidt jeg ved også næsten en firewall eller hvad?
Hvis XP's egen firewall er dårlig, hvilken en kan I så anbefale mig at
bruge?
På forhånd tak for eventuelle svar.
--
/ Anders
http://www.boholdt-petersen.dk
| |
Michael Rasmussen (11-08-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 11-08-06 08:29 |
|
On Fri, 11 Aug 2006 08:48:57 +0200, "Anders Boholdt-Petersen"
<post-REMOVETHIS-@boholdt-petersen.dk> wrote:
>Jeg har tit tænkt på, hvor vigtigt det egentlig er, at private som f.eks.
>anvender Windows XP Home har en firewall installeret på deres system.
>
>Jeg ved, at Windows XP jo har sin egen firewall - er den sikker nok?
>
>For mit eget vedkommende sidder jeg bag en router med NAT-funktionalitet, og
>NAT er såvidt jeg ved også næsten en firewall eller hvad?
Når du sidder bag en NAT'ende router har dine maskiner lokale
ip-adresser. Dermed kan computerne ikke ses fra internettet Så behøver
du egenlig ikke yderligere firewall funktioner og XP's firewall kan
derfor uden større problemer de-aktiveres....
Med du skal selvfølgelig fortsat have opmærksomheden på lokalnettet.
Hvis der downloades filer fra mere tvivlsomme websteder er det nok en
god ide med antivirus, spyware og malware scanning.
| |
Michael Rasmussen (11-08-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 11-08-06 08:34 |
|
On Fri, 11 Aug 2006 08:48:57 +0200, Anders Boholdt-Petersen wrote:
> Hvis XP's egen firewall er dårlig, hvilken en kan I så anbefale mig at
> bruge?
Hvis du er koblet til internettet gennem en nattet router, har hentet og
afviklet dette script: http://sikkerhed-faq.dk/auto/harden-xp.bat, og har
aktiveret Win XP's indbyggede firewall, er du så sikker, som man kan
blive. Du behøver derfor ikke gøre yderligere. Opfører du dig endvidere
fornuftigt - dette inkluderer, at du ikke anvender MS Explorer og MS
Outlook eller MS outlook Express, har du heller ingen grund til at
installere et antivirus produkt.
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
| |
Bertel Lund Hansen (11-08-2006)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 11-08-06 08:42 |
|
Anders Boholdt-Petersen skrev:
> Jeg har tit tænkt på, hvor vigtigt det egentlig er, at private som f.eks.
> anvender Windows XP Home har en firewall installeret på deres system.
Pudsigt at du lige skulle spørge. Hyp, Lotte!
[Lotte er min kæphest]
Jeg bruger ikke selv nogen firewall, og jeg anbefaler private
(uden specielle krav) at undgå det.
En rigtig firewall er en god ting, men det kræver indsigt at
drive sådan en sikkert, og den må ikke ligge på en computer som
også bruges til arbejdsstation. Så inficeres begge jo på engang
hvis der sker noget.
En såkaldt personlig firewall er noget hø. Man er nervøs for at
ens OS er usikkert, og så anskaffer man et ukendt program og
adderer dets usikkerheder til de eksisterende, og så bilder man
sig ind at man er bedre hjulpet end før. Hvis firewallen i tide
og utide hyler op om at der foregår et eller andet risikabelt,
bliver man lullet endnu mere ind i den tro at den sikrer
systemet.
Ud over at den personlige firewall er mere personlig end sikker,
så vil de fleste troligt sige ja tak hver gang deres
yndlingsprogram gerne vil på nettet, og denne accepteren uden
indsigt fører let til at man får åbnet for nogle ting der ikke
burde have været åbnet for.
Resultatet er et langsommere system med irriterende balladebokse
der popper op.
Her findes en opskrift på hvordan man sikrer et XP-system sådan
at der som udgangspunkt slet ikke er nogen nettjenester der
kører. Sådan et system kan sluttes direkte til internettet uden
andre problemer end dem der forårsages af at man kører usikre
programmer. MSN er f.eks. en kilde til problemer, og IE
indstillet forkert kan vist også lukke snavs ind. Men selve
systemet er rimeligt sikkert.
http://home18.inet.tele.dk/madsen/winxp/Tjenester_SP2.pdf
Opskriften er så nem at gå til at folk der er vant til at bruge
mus og tastatur, men i øvrigt ikke har nogen indsigt i
computerens funktioner, kan bruge den uden hjælp.
Selv har jeg køret i årevis med en pc sluttet direkte til
internettet på den måde.
I dag har jeg en router imellem som både NAT'er og har en
indbygget firewall. Firewallen er ikke en del af min fastsatte
sikkerhedspolitik, men da den overhovedet ikke gør opmærksom på
sig selv og ikke har generet nogen af mine funktioner, får den
lov til at være aktiv (den er jo adskilt fra mine arbejds-pc'er).
XP's indbyggede har jeg slået fra som noget af det første.
> Jeg ved, at Windows XP jo har sin egen firewall - er den sikker nok?
Nej. Den ligger på en arbejdsstation. Mere behøver man ikke at
vide om den.
> For mit eget vedkommende sidder jeg bag en router med NAT-funktionalitet, og
> NAT er såvidt jeg ved også næsten en firewall eller hvad?
NAT giver en god ekstrabeskyttelse, men det har intet med en
firewall at gøre. Den funktion sørger bare for at man ikke så let
kan tilgå en computer på LAN'et (som en biting faktisk) idet den
oversætter en offentlig IP-adresse til den korrekte LAN-adresse.
En firewall derimod tillader eller forhindrer netforbindelser
afhængigt af et sæt regler den er sat op med.
> Hvis XP's egen firewall er dårlig, hvilken en kan I så anbefale mig at
> bruge?
Ingen.
PS. Jeg anbefaler Opera (browser) og Thunderbird (mail- og
debatgruppeprogram) som gode afløsere til IE og OE. De to
programmer er mere sikre og langt mindre udsat for angreb.
--
Bertel
http://bertel.lundhansen.dk/ http://fiduso.dk/
| |
B. Nice (11-08-2006)
| Kommentar Fra : B. Nice |
Dato : 11-08-06 10:44 |
|
On Fri, 11 Aug 2006 09:41:36 +0200, Bertel Lund Hansen
<nospamfilius@lundhansen.dk> wrote:
>Her findes en opskrift på hvordan man sikrer et XP-system sådan
>at der som udgangspunkt slet ikke er nogen nettjenester der
>kører. Sådan et system kan sluttes direkte til internettet uden
>andre problemer end dem der forårsages af at man kører usikre
>programmer. MSN er f.eks. en kilde til problemer, og IE
>indstillet forkert kan vist også lukke snavs ind. Men selve
>systemet er rimeligt sikkert.
>
> http://home18.inet.tele.dk/madsen/winxp/Tjenester_SP2.pdf
>
>Opskriften er så nem at gå til at folk der er vant til at bruge
>mus og tastatur, men i øvrigt ikke har nogen indsigt i
>computerens funktioner, kan bruge den uden hjælp.
Jeg er enig. Hvis man er nogenlunde capabel udi engelsk (eller tysk
for den sags skyld) så findes der på denne side:
http://www.ntsvcfg.de/ntsvcfg_eng.html et lille kommandolinie-script
som gør det samme næsten fuldautomatisk. Det virker på såvel W2k som
XP. Man kan f.eks. vælge mellem om man ønsker at bruge
netværkstjenester eller ej. Og det er med restore funktion så man kan
fortyde hvis det ikke lige gik som forventet.
Jeg har ikke selv den store erfaring med det endnu da jeg kun har
brugt det en kort tid. Men det ser ud til at fungere glimrende. En
perfekt lille ting til værktøjskassen når man skal ud og sikre PC'er i
de danske hjem.
Madsens opskrift har dog den fordel, at man her har mulighed for selv
at lære lidt undervejs. Men til en quicky er scriptet nok bedre.
Forresten. Findes Madsens opskrift i en engelsk version?
>> Jeg ved, at Windows XP jo har sin egen firewall - er den sikker nok?
>
>Nej. Den ligger på en arbejdsstation. Mere behøver man ikke at
>vide om den.
Så længe man ikke er kompromiteret, er den til gengæld mindst ligeså
god om ikke bedre hvad indgående trafik angår end enhver personlig
firewall. For eksempel kan den, da den er en integeret del af OS'en,
levere pålidelig boot-time beskyttelse. Det er der mig bekendt ingen
3. parts produkter der kan (selv om der er nogen af dem der påstår
det).
>> Hvis XP's egen firewall er dårlig, hvilken en kan I så anbefale mig at
>> bruge?
XP's SP2 firewall er ikke dårlig. Men ellers er svaret "brainware".
| |
Kent Friis (11-08-2006)
| Kommentar Fra : Kent Friis |
Dato : 11-08-06 15:36 |
|
Den Fri, 11 Aug 2006 09:43:58 GMT skrev B Nice:
> On Fri, 11 Aug 2006 09:41:36 +0200, Bertel Lund Hansen
> <nospamfilius@lundhansen.dk> wrote:
>
>>> Jeg ved, at Windows XP jo har sin egen firewall - er den sikker nok?
>>
>>Nej. Den ligger på en arbejdsstation. Mere behøver man ikke at
>>vide om den.
>
> Så længe man ikke er kompromiteret, er den til gengæld mindst ligeså
> god om ikke bedre hvad indgående trafik angår end enhver personlig
> firewall.
Og nul services der lytter på nettet er endnu bedre.
En firewalls opgave er at holde to net adskilt, så services der
kan tilgås på det ene net ikke kan på det andet. Er der ikke mindst
to netkort[1] i firewall-maskinen, er der ikke noget at holde
adskilt, og det er bedre at lukke services der ikke skal være
tilgængelige.
Mvh
Kent
[1] herunder modems m.m.
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
B. Nice (11-08-2006)
| Kommentar Fra : B. Nice |
Dato : 11-08-06 16:19 |
|
On 11 Aug 2006 14:35:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>Den Fri, 11 Aug 2006 09:43:58 GMT skrev B Nice:
>> On Fri, 11 Aug 2006 09:41:36 +0200, Bertel Lund Hansen
>> <nospamfilius@lundhansen.dk> wrote:
>>
>>>> Jeg ved, at Windows XP jo har sin egen firewall - er den sikker nok?
>>>
>>>Nej. Den ligger på en arbejdsstation. Mere behøver man ikke at
>>>vide om den.
>>
>> Så længe man ikke er kompromiteret, er den til gengæld mindst ligeså
>> god om ikke bedre hvad indgående trafik angår end enhver personlig
>> firewall.
>
>Og nul services der lytter på nettet er endnu bedre.
Det har jeg vist heller ikke forsøgt at argumentere imod.
>En firewalls opgave er at holde to net adskilt, så services der
>kan tilgås på det ene net ikke kan på det andet. Er der ikke mindst
>to netkort[1] i firewall-maskinen, er der ikke noget at holde
>adskilt, og det er bedre at lukke services der ikke skal være
>tilgængelige.
Det er vi da helt enige om. Der er bare en udbredt trang til
nedvurdere windows firewall'en (som jeg er enig med dig i ikke er en
firewall) i forhold til andre personlige firewalls (som heller ikke er
firewalls).
For en nybegynder eller gennemsnitsbruger uden kendskab til nedlukning
af services (og det er rent faktisk temmelig mange) er windows
firewall'en et stort fremskridt.
>
>Mvh
>Kent
>
>[1] herunder modems m.m.
| |
Kent Friis (11-08-2006)
| Kommentar Fra : Kent Friis |
Dato : 11-08-06 16:48 |
|
Den Fri, 11 Aug 2006 15:18:58 GMT skrev B Nice:
> On 11 Aug 2006 14:35:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>En firewalls opgave er at holde to net adskilt, så services der
>>kan tilgås på det ene net ikke kan på det andet. Er der ikke mindst
>>to netkort[1] i firewall-maskinen, er der ikke noget at holde
>>adskilt, og det er bedre at lukke services der ikke skal være
>>tilgængelige.
>
> Det er vi da helt enige om. Der er bare en udbredt trang til
> nedvurdere windows firewall'en (som jeg er enig med dig i ikke er en
> firewall) i forhold til andre personlige firewalls (som heller ikke er
> firewalls).
Den er alligevel integreret i Windows, og deler formentlig en masse kode
med resten af systemet. Mængden af ekstra kode må derfor være mindre
end 3.parts-produkter, og dermed mindre risiko. Dertil kommer at den
er lavet af det samme firma, og man derfor må forvente at sikkerheds-
nivau'et ligger på samme niveau som man i forvejen har med Windows. Og
da en software-firewall ligger ovenpå OS'et, vil den ikke være mere
sikker end OS'et (fx: en fejl i netkort-driveren vil en personlig
firewall aldrig få en chance for at beskytte imod, da skaden er sket
før den ser trafikken), men kun kunne øge risikoen. Dermed skal
fejl hos 3.part'en lægges oven i de fejl der måtte være i OS'et - og
de firmaer der laver personlige firewall er ikke ligefrem kendte for
at være mere grundige med sikkerheden end Microsoft.
Så helt enig, hvis man absolut vil benytte det skrammel, så er XPs
indbyggede at foretrække frem for fx ZoneAlarm.
> For en nybegynder eller gennemsnitsbruger uden kendskab til nedlukning
> af services (og det er rent faktisk temmelig mange) er windows
> firewall'en et stort fremskridt.
Hvor mange spørgsmål stiller XPs indbyggede firewall? Hvor mange
chancer for man for at svare forkert? Hvis man ikke kan finde
ud af at køre en BAT-fil der lukker de services der lytter på
nettet, vil man så være i stand til at sætte den korrekt op?
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
B. Nice (11-08-2006)
| Kommentar Fra : B. Nice |
Dato : 11-08-06 17:48 |
|
On 11 Aug 2006 15:48:09 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>Den Fri, 11 Aug 2006 15:18:58 GMT skrev B Nice:
>> On 11 Aug 2006 14:35:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>>
>>>En firewalls opgave er at holde to net adskilt, så services der
>>>kan tilgås på det ene net ikke kan på det andet. Er der ikke mindst
>>>to netkort[1] i firewall-maskinen, er der ikke noget at holde
>>>adskilt, og det er bedre at lukke services der ikke skal være
>>>tilgængelige.
>>
>> Det er vi da helt enige om. Der er bare en udbredt trang til
>> nedvurdere windows firewall'en (som jeg er enig med dig i ikke er en
>> firewall) i forhold til andre personlige firewalls (som heller ikke er
>> firewalls).
>
>Den er alligevel integreret i Windows, og deler formentlig en masse kode
>med resten af systemet. Mængden af ekstra kode må derfor være mindre
>end 3.parts-produkter, og dermed mindre risiko.
Nemlig.
>Dertil kommer at den er lavet af det samme firma, og man derfor må forvente
>at sikkerheds-niveau'et ligger på samme niveau som man i forvejen har med
>Windows.
Men i og med at man kører windows har man sådan set accepteret dette
niveau.
>Og da en software-firewall ligger ovenpå OS'et, vil den ikke være mere
>sikker end OS'et
Nemlig.
>(fx: en fejl i netkort-driveren vil en personlig
>firewall aldrig få en chance for at beskytte imod, da skaden er sket
>før den ser trafikken), men kun kunne øge risikoen. Dermed skal
>fejl hos 3.part'en lægges oven i de fejl der måtte være i OS'et - og
>de firmaer der laver personlige firewall er ikke ligefrem kendte for
>at være mere grundige med sikkerheden end Microsoft.
Nej det skal jeg lige love for...
>Så helt enig, hvis man absolut vil benytte det skrammel, så er XPs
>indbyggede at foretrække frem for fx ZoneAlarm.
Forskellen er også at XP firewall'en ikke gør sig nogen anstrengelser
for at forsøge at kontrollere udgående trafik. Man kan derfor godt
isoleret set teste dens evner overfor udefra kommende angreb. Og der
er den faktisk mig bekendt rimelig stærk. Men måske du har andre
oplysninger end mig.
>> For en nybegynder eller gennemsnitsbruger uden kendskab til nedlukning
>> af services (og det er rent faktisk temmelig mange) er windows
>> firewall'en et stort fremskridt.
>
>Hvor mange spørgsmål stiller XPs indbyggede firewall?
Stiller den overhovedet nogen?
>Hvor mange chancer for man for at svare forkert?
På ikke-stillede spørgsmål? - Den vil jeg godt lige tænke over
> Hvis man ikke kan finde ud af at køre en BAT-fil der lukker de
>services der lytter på nettet, vil man så være i stand til at sætte
>den korrekt op?
Den kræver ingen særlig opsætning. XP SP2 firewall'en er aktiveret fra
starten og kræver mig bekendt ingen særlig indsats fra brugerside.
Hvilket er nogenlunde det maksimale man kan forvente af en nybegynder.
For at kunne køre en BAT-fil, kræver det jo li'ssom også at man ved at
en sådan findes og ved hvad meningen med den er, ikke? - Og som regel
gør man ikke sådan noget før man selv har forstået hvorfor det er en
rigitg god ide'.
Intet af det her ændrer selvfølgelig på at deaktiverede nettjenester
er klart at foretrække.
For øvrigt angav top-posteren at han var bag en NAT-router. Det er
ikke fremgået om han f.eks. har flere PC'er og om han foretager sig
nogen form for fil- eller printer-deling. Det skal man lige have med i
sine overvejelser.
>
>Mvh
>Kent
| |
Kent Friis (11-08-2006)
| Kommentar Fra : Kent Friis |
Dato : 11-08-06 18:23 |
|
Den Fri, 11 Aug 2006 16:48:07 GMT skrev B Nice:
> On 11 Aug 2006 15:48:09 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>Så helt enig, hvis man absolut vil benytte det skrammel, så er XPs
>>indbyggede at foretrække frem for fx ZoneAlarm.
>
> Forskellen er også at XP firewall'en ikke gør sig nogen anstrengelser
> for at forsøge at kontrollere udgående trafik. Man kan derfor godt
> isoleret set teste dens evner overfor udefra kommende angreb. Og der
> er den faktisk mig bekendt rimelig stærk. Men måske du har andre
> oplysninger end mig.
Nej, jeg har ikke haft chancen for at lege med den. Den eneste
XP-maskine jeg har er firma-laptop'en, og der er denindbyggede
firewall disablet pr. policy. Til gengæld er netværks-services ikke
disablede, så det kunne egentlig være sjovt at prøve at sætte den
direkte på nettet
>>> For en nybegynder eller gennemsnitsbruger uden kendskab til nedlukning
>>> af services (og det er rent faktisk temmelig mange) er windows
>>> firewall'en et stort fremskridt.
>>
>>Hvor mange spørgsmål stiller XPs indbyggede firewall?
>
> Stiller den overhovedet nogen?
Jeg spørger fordi jeg ikke har brugt den.
>> Hvis man ikke kan finde ud af at køre en BAT-fil der lukker de
>>services der lytter på nettet, vil man så være i stand til at sætte
>>den korrekt op?
>
> Den kræver ingen særlig opsætning. XP SP2 firewall'en er aktiveret fra
> starten og kræver mig bekendt ingen særlig indsats fra brugerside.
> Hvilket er nogenlunde det maksimale man kan forvente af en nybegynder.
Utroligt. Et Microsoft-produkt der ikke kræver en wizard hvor man skal
trykke "next" mindst otte gange?
> For at kunne køre en BAT-fil, kræver det jo li'ssom også at man ved at
> en sådan findes og ved hvad meningen med den er, ikke?
Den er postet her i tråden, så hvis vi stadig diskuterer det oprindelige
spørgsmål om hvorvidt en firewall er nødvendig og hvilken, så ved
han det nu
> - Og som regel
> gør man ikke sådan noget før man selv har forstået hvorfor det er en
> rigitg god ide'.
Det kan så undre at Microsoft endnu ikke har forstået det
> Intet af det her ændrer selvfølgelig på at deaktiverede nettjenester
> er klart at foretrække.
>
> For øvrigt angav top-posteren at han var bag en NAT-router. Det er
> ikke fremgået om han f.eks. har flere PC'er og om han foretager sig
> nogen form for fil- eller printer-deling. Det skal man lige have med i
> sine overvejelser.
Når NAT-routeren allerede er der, er fil og printerdeling ikke noget
problem. Men man skal selvfølgelig huske ikke at disable dem hvis
man bruger dem.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
B. Nice (11-08-2006)
| Kommentar Fra : B. Nice |
Dato : 11-08-06 18:34 |
|
On 11 Aug 2006 17:22:39 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>Den Fri, 11 Aug 2006 16:48:07 GMT skrev B Nice:
>> On 11 Aug 2006 15:48:09 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>>
>>>Så helt enig, hvis man absolut vil benytte det skrammel, så er XPs
>>>indbyggede at foretrække frem for fx ZoneAlarm.
Uhh.. hvor kan du finde på at nævne ZA ...
>> Forskellen er også at XP firewall'en ikke gør sig nogen anstrengelser
>> for at forsøge at kontrollere udgående trafik. Man kan derfor godt
>> isoleret set teste dens evner overfor udefra kommende angreb. Og der
>> er den faktisk mig bekendt rimelig stærk. Men måske du har andre
>> oplysninger end mig.
>
>Nej, jeg har ikke haft chancen for at lege med den. Den eneste
>XP-maskine jeg har er firma-laptop'en, og der er denindbyggede
>firewall disablet pr. policy. Til gengæld er netværks-services ikke
>disablede, så det kunne egentlig være sjovt at prøve at sætte den
>direkte på nettet
>
>>>> For en nybegynder eller gennemsnitsbruger uden kendskab til nedlukning
>>>> af services (og det er rent faktisk temmelig mange) er windows
>>>> firewall'en et stort fremskridt.
>>>
>>>Hvor mange spørgsmål stiller XPs indbyggede firewall?
>>
>> Stiller den overhovedet nogen?
>
>Jeg spørger fordi jeg ikke har brugt den.
Okay. Det forklarer jo en del
>>> Hvis man ikke kan finde ud af at køre en BAT-fil der lukker de
>>>services der lytter på nettet, vil man så være i stand til at sætte
>>>den korrekt op?
>>
>> Den kræver ingen særlig opsætning. XP SP2 firewall'en er aktiveret fra
>> starten og kræver mig bekendt ingen særlig indsats fra brugerside.
>> Hvilket er nogenlunde det maksimale man kan forvente af en nybegynder.
>
>Utroligt. Et Microsoft-produkt der ikke kræver en wizard hvor man skal
>trykke "next" mindst otte gange?
Yup. Believe it or not.
>> For at kunne køre en BAT-fil, kræver det jo li'ssom også at man ved at
>> en sådan findes og ved hvad meningen med den er, ikke?
>
>Den er postet her i tråden, så hvis vi stadig diskuterer det oprindelige
>spørgsmål om hvorvidt en firewall er nødvendig og hvilken, så ved
>han det nu
Klart. Mine betragtninger var generelle.
>> - Og som regel
>> gør man ikke sådan noget før man selv har forstået hvorfor det er en
>> rigitg god ide'.
>
>Det kan så undre at Microsoft endnu ikke har forstået det
>
>> Intet af det her ændrer selvfølgelig på at deaktiverede nettjenester
>> er klart at foretrække.
>>
>> For øvrigt angav top-posteren at han var bag en NAT-router. Det er
>> ikke fremgået om han f.eks. har flere PC'er og om han foretager sig
>> nogen form for fil- eller printer-deling. Det skal man lige have med i
>> sine overvejelser.
>
>Når NAT-routeren allerede er der, er fil og printerdeling ikke noget
>problem. Men man skal selvfølgelig huske ikke at disable dem hvis
>man bruger dem.
Præcis.
>
>Mvh
>Kent
| |
Allan Olesen (11-08-2006)
| Kommentar Fra : Allan Olesen |
Dato : 11-08-06 21:38 |
|
B. Nice wrote:
> On 11 Aug 2006 15:48:09 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>>Hvor mange spørgsmål stiller XPs indbyggede firewall?
> Stiller den overhovedet nogen?
Den spørger, hvis du starter en ny netværksservice. Eller informerer i
stedet for at spørge, hvis du ikke har administratorrettigheder.
Men jeg kan ikke huske, om den spørger om lov til at lade servicen binde
sig til porten, eller om den spørger om lov til at åbne for
netværksadgang til porten. (Jeg ved egentlig heller ikke, hvor vigtig
den skelnen er i praksis, men hvis man vil være lidt pernittengrynet er
det vel kun den sidste af de to, der er en firewall-opgave.)
--
Allan Olesen
| |
Michael Rasmussen (11-08-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 11-08-06 23:21 |
|
On Fri, 11 Aug 2006 22:37:57 +0200, Allan Olesen wrote:
> Men jeg kan ikke huske, om den spørger om lov til at lade servicen binde
> sig til porten, eller om den spørger om lov til at åbne for
> netværksadgang til porten. (Jeg ved egentlig heller ikke, hvor vigtig
> den skelnen er i praksis, men hvis man vil være lidt pernittengrynet er
> det vel kun den sidste af de to, der er en firewall-opgave.)
Det spørger om netadgang skal tillades, denne gang eller for altid.
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
| |
Anders Boholdt-Peter~ (11-08-2006)
| Kommentar Fra : Anders Boholdt-Peter~ |
Dato : 11-08-06 16:11 |
| | |
Michael Rasmussen (11-08-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 11-08-06 18:43 |
|
Kent Friis <nospam@nospam.invalid> wrote:
>Og nul services der lytter på nettet er endnu bedre.
Nu er Anders jo placeret bag en NAT'ende bredbåndsrouter, så der er i
princippet ingen services der kan nås fra internettet....
Og derfor er al snak om firewall akademisk !!
Manden har formentlig slet ikke behov for firewall, hverken XP's
indbyggede eller tredieparts !!
Og jeg forstår slet ikke at I lokker ham til at rode med windows
services. Metoden er da udmærket for nørden der har et indgående
kendskab til windows og netværk. Men den fjerner altså funktionalitet og
den almindelige dødelige bruger ender let op med et amputeret system der
ikke fungerer som forventet.
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Klaus Ellegaard (11-08-2006)
| Kommentar Fra : Klaus Ellegaard |
Dato : 11-08-06 18:56 |
|
Michael Rasmussen <mic@NO_SPAMdou.dk> writes:
>Nu er Anders jo placeret bag en NAT'ende bredbåndsrouter, så der er i
>princippet ingen services der kan nås fra internettet....
Det er en sandhed med modifikationer. Der er features som UPnP der
mere eller mindre selv kan åbne op i ens router for de porte, den
har brug for. Dermed kan en zombie altså selv åbne op for, at den
kan kommunikere med sine med-zombier ude i verden.
Der er også muligheden for, at en anden maskine på samme lokalnet
inficeres, og at denne maskine lukker fremmede ind (bemærk: det
er maskinen på lokalnettet, der her tager initiativ til at lukke
nogen ind; derfor hjælper NAT ikke).
I den situation er det snedigt at have så få services kørende som
muligt. Men du har ret i, at man skal passe på ikke at amputere
sit system.
Mvh.
Klaus.
| |
Michael Rasmussen (11-08-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 11-08-06 19:36 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
>Det er en sandhed med modifikationer. Der er features som UPnP der
>mere eller mindre selv kan åbne op i ens router for de porte, den
>har brug for. Dermed kan en zombie altså selv åbne op for, at den
>kan kommunikere med sine med-zombier ude i verden.
Du har helt ret. Set i sikkerhedsmæssigt perspektiv er UPnP en ren
katastrofe.
Det er noget fanden (eller var det Microsoft ?!) har skabt
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Kent Friis (11-08-2006)
| Kommentar Fra : Kent Friis |
Dato : 11-08-06 19:38 |
|
Den Fri, 11 Aug 2006 20:35:51 +0200 skrev Michael Rasmussen:
> Klaus Ellegaard <klausellegaard@msn.com> wrote:
>
>>Det er en sandhed med modifikationer. Der er features som UPnP der
>>mere eller mindre selv kan åbne op i ens router for de porte, den
>>har brug for. Dermed kan en zombie altså selv åbne op for, at den
>>kan kommunikere med sine med-zombier ude i verden.
>
> Du har helt ret. Set i sikkerhedsmæssigt perspektiv er UPnP en ren
> katastrofe.
>
> Det er noget fanden (eller var det Microsoft ?!) har skabt
"Kært barn har mange navne"? :-þ
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Palle Jensen (12-08-2006)
| Kommentar Fra : Palle Jensen |
Dato : 12-08-06 12:16 |
|
On 11 aug 2006, Michael Rasmussen wrote in dk.edb.sikkerhed:
> Og jeg forstår slet ikke at I lokker ham til at rode med
> windows services. Metoden er da udmærket for nørden der har et
> indgående kendskab til windows og netværk. Men den fjerner altså
> funktionalitet og den almindelige dødelige bruger ender let op
> med et amputeret system der ikke fungerer som forventet.
Subscribe!
--
Venlig hilsen / Regards
Palle Jensen
Kontakt? fang mig på ICQ nr.:
otte-seks-nul-otte-seks-nul-to-syv
| |
Bertel Lund Hansen (12-08-2006)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 12-08-06 12:28 |
|
Michael Rasmussen skrev:
> Og jeg forstår slet ikke at I lokker ham til at rode med windows
> services. Metoden er da udmærket for nørden der har et indgående
> kendskab til windows og netværk. Men den fjerner altså funktionalitet og
> den almindelige dødelige bruger ender let op med et amputeret system der
> ikke fungerer som forventet.
Den almindelige dødelige bruger kan *sagtens* bruge opskriften.
Det er ikke teori som dit postulat. Jeg har flere bekendte eller
bekendtes bekendte der selv har fulgt den uden problemer. Og de
ved så godt som intet om computere ud over det mest basale om
hvordan de betjenes.
--
Bertel
http://bertel.lundhansen.dk/ http://fiduso.dk/
| |
Michael Rasmussen (12-08-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 12-08-06 12:45 |
|
On Sat, 12 Aug 2006 13:27:32 +0200, Bertel Lund Hansen
<nospamfilius@lundhansen.dk> wrote:
>Den almindelige dødelige bruger kan *sagtens* bruge opskriften.
>Det er ikke teori som dit postulat. Jeg har flere bekendte eller
>bekendtes bekendte der selv har fulgt den uden problemer. Og de
>ved så godt som intet om computere ud over det mest basale om
>hvordan de betjenes.
Du har ret: Det er ikke noget større problem at følge Madsens
opskrift...
Men kan den almindelige dødelige bruger overskue konsekvenser af at
f.eks at de-aktivere NetBios over TCP/IP.
Det går måske godt i første omgang, men vi skal såmæn nok finde ham på
et tidspunkt i dk.edb.netværk hvor han jamrer over at netværket ikke
fungerer
Og i den aktuelle tråd: Hvorfor gøre livet besværligt for manden. Han
er jo rigtig godt beskyttet bag sin bredbåndsrouter....
| |
Bertel Lund Hansen (12-08-2006)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 12-08-06 12:50 |
|
Michael Rasmussen skrev:
> Men kan den almindelige dødelige bruger overskue konsekvenser af at
> f.eks at de-aktivere NetBios over TCP/IP.
Naturligvis ikke.
> Det går måske godt i første omgang, men vi skal såmæn nok finde ham på
> et tidspunkt i dk.edb.netværk hvor han jamrer over at netværket ikke
> fungerer
Netværk? Almindelige dødelige kører ikke netværk. Når de begynder
på det, må de lære mere om computere.
> Og i den aktuelle tråd: Hvorfor gøre livet besværligt for manden.
Det er vi ganske enige om. Min opskrift forhindrer at han spilder
sit liv med generende 'firewalls'.
--
Bertel
http://bertel.lundhansen.dk/ http://fiduso.dk/
| |
Palle Jensen (12-08-2006)
| Kommentar Fra : Palle Jensen |
Dato : 12-08-06 13:47 |
|
On 12 aug 2006, Bertel Lund Hansen wrote in dk.edb.sikkerhed:
> Netværk? Almindelige dødelige kører ikke netværk. Når de begynder
> på det, må de lære mere om computere.
Du lever simpelthen i omvendtslev Bertel? Enhver idiot kan sgu da
sætte et netværk op i XP.
>> Og i den aktuelle tråd: Hvorfor gøre livet besværligt for manden.
>
> Det er vi ganske enige om. Min opskrift forhindrer at han spilder
> sit liv med generende 'firewalls'.
Så hvorfor ikke bare give ham det råd?
--
Venlig hilsen / Regards
Palle Jensen
Kontakt? fang mig på ICQ nr.:
otte-seks-nul-otte-seks-nul-to-syv
| |
Peter Brodersen (12-08-2006)
| Kommentar Fra : Peter Brodersen |
Dato : 12-08-06 13:59 |
|
On Sat, 12 Aug 2006 13:44:49 +0200, Michael Rasmussen
<mic@HaderSpam.dou.dk> wrote:
>Og i den aktuelle tråd: Hvorfor gøre livet besværligt for manden. Han
>er jo rigtig godt beskyttet bag sin bredbåndsrouter....
Indtil den dag, en kammerat kommer forbi med sin bærbare og smider den
på lokalnettet.
--
- Peter Brodersen
Ugens^WMånedens^WSommerens værktøj - Find vej: www.findvej.dk
Nu med valgfri tekst: www.findvej.dk/Nybrogade2,1203?text=Kulturministeriet
| |
Palle Jensen (13-08-2006)
| Kommentar Fra : Palle Jensen |
Dato : 13-08-06 20:33 |
|
On 12 aug 2006, Peter Brodersen wrote in dk.edb.sikkerhed:
> Indtil den dag, en kammerat kommer forbi med sin bærbare og
> smider den på lokalnettet.
Det ændrer jo ikke på at det kan være problematisk bare at slukke en
masse services på sin maskine?
--
Venlig hilsen / Regards
Palle Jensen
Kontakt? fang mig på ICQ nr.:
otte-seks-nul-otte-seks-nul-to-syv
| |
Bertel Lund Hansen (13-08-2006)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 13-08-06 21:52 |
|
Palle Jensen skrev:
> Det ændrer jo ikke på at det kan være problematisk bare at slukke en
> masse services på sin maskine?
Du har læst opskriften kan jeg se. Det er det der med "bare at
slukke en masse" der tydeligt viser at du virkelig har sat dig
ind i hvad vi snakker om.
--
Bertel
http://bertel.lundhansen.dk/ http://fiduso.dk/
| |
Palle Jensen (13-08-2006)
| Kommentar Fra : Palle Jensen |
Dato : 13-08-06 22:37 |
|
On 13 aug 2006, Bertel Lund Hansen wrote in dk.edb.sikkerhed:
> Du har læst opskriften kan jeg se. Det er det der med "bare at
> slukke en masse" der tydeligt viser at du virkelig har sat dig
> ind i hvad vi snakker om.
Så ved man når Bertel ikke rigtigt kan finde flere saglige argumenter
frem?
OK. "Stoppe services (tjenester)" så. Kan ikke lige se hvorfor det
skulle freake dig ud?
Der er lavet en vejledning til hvordan man stopper tjenester i
Windows. Det råd giver du til folk der ikke kan finde ud af om de
skal tillade svchost.exe adgang i deres personlige firewall eller ej.
Og nej, jeg finder det ikke sikkert at disse personer misbruger i
firewall ved bare at klikke "yes" til alle forespørgsler der kommer
fra firewallen.
Ja, faktisk aner dem der spørger sikkert ikke en skid om hvad
systemfiler, tjenster, driverer og andet skidt er. Nå men pyt med
det. Lad os nu lokke dem til at rode med skidtet alligevel. Det lyder
federe at sige det, og cool at sige personlige firewalls er noget
lort. Det giver et slags indtryk af at man har indblik i de svære
ting.
Jeg vil vædde min gamle hat på at de personer ikke aner en levende
fis om hvad det er de har stoppet, og hvilke konsekvenser det kan
have. Ja en dag de har et eller andet problem vil de ikke engang
kunne huske og/eller associere dette med handlingen. Ringer de til MS
og spørger deres supportere så tror jeg heller ikke disse vil antage
at brugeren har stoppet diverse tjenester.
Helt overordnet er jeg faktisk enig i at det er en god ide at sætte
sig ind i "tjenester" og sikre sig på den måde. Men jeg er lidt
irriteret over hvordan du konstant beder alle om bare at følge denne
vejledning så er de fri for virus, orme og slanger resten af deres
liv. Og så til folk som i forvejen ikke ved noget om styresystemet.
Synes ligeledes ikke det er fair at du konsekvent kalder personlige
firewalls for noget hø, når det i virkelighden er brugeren der er
noget hø. Nu har du blandet dig i mine kvalifikationer, så vil jeg
også tillade mig at påstå at du ikke har teknisk nok indsigt i alle
de eksisterende personlige firewalls til at komme med sådan en
udtalelse.
--
Venlig hilsen / Regards
Palle Jensen
Kontakt? fang mig på ICQ nr.:
otte-seks-nul-otte-seks-nul-to-syv
| |
B. Nice (14-08-2006)
| Kommentar Fra : B. Nice |
Dato : 14-08-06 06:50 |
|
On 13 Aug 2006 21:36:40 GMT, Palle Jensen <invalid@invalid.invalid>
wrote:
<snip>
>OK. "Stoppe services (tjenester)" så. Kan ikke lige se hvorfor det
>skulle freake dig ud?
>
>Der er lavet en vejledning til hvordan man stopper tjenester i
>Windows. Det råd giver du til folk der ikke kan finde ud af om de
>skal tillade svchost.exe adgang i deres personlige firewall eller ej.
>Og nej, jeg finder det ikke sikkert at disse personer misbruger i
>firewall ved bare at klikke "yes" til alle forespørgsler der kommer
>fra firewallen.
Brugere er tilbøjelige til at klikke "yes" til det der er nødvendigt,
for at opnå det de vil.
Og så er de tilbøjelige til (fordi de tror de er smarte) at blokere
udgående forbindelser for programmer som de ikke umiddelbart mener har
noget at gøre på nettet. Og dermed risikerer de at forhindre deres
programmer i at checke for opdateringer, hvorved de risikerer at
forblive sårbare i stedet for mere sikre.
>Ja, faktisk aner dem der spørger sikkert ikke en skid om hvad
>systemfiler, tjenster, driverer og andet skidt er.
Næh, men spørgsmålet må være om en personlig firewall så er et bedre
alternativ.
>Nå men pyt med det. Lad os nu lokke dem til at rode med skidtet
>alligevel. Det lyder federe at sige det, og cool at sige personlige
>firewalls er noget lort. Det giver et slags indtryk af at man har
>indblik i de svære ting.
Jeg vil heller ikke bruge udtrykket lort, men ud fra et
sikkerhedsmæssigt synspunkt har de ikke megen værdi. Der er endda
personlige firewalls som må betragtes som en decideret
sikkerhedsrisiko i sig selv. Et godt eksempel er Outpost (der i
parantes betragtet anses som værende blandt de bedste) som, fordi
udviklerne ikke har rettet sig efter Microsofts mest basale
anbefalinger vedr. sikkerhed under windows, i årevis og stadigvæk
tillader brugere med begrænsede rettigheder med få midler at tilegne
sig administratorrettigheder. Det er ganske enkelt noget nær en
katastrofal brøler. Samme grundlæggende design fejl har SyGate for
øvrigt.
Og ud fra et sikkerhedsmæssigt synspunkt er det bedre at reducere
kompleksitet (deaktivere tjenester) end at tilføje kompleksitet ved
yderligere at installere en personlig firewall. Det øger blot den
totale angrebsflade.
>Jeg vil vædde min gamle hat på at de personer ikke aner en levende
>fis om hvad det er de har stoppet, og hvilke konsekvenser det kan
>have. Ja en dag de har et eller andet problem vil de ikke engang
>kunne huske og/eller associere dette med handlingen. Ringer de til MS
>og spørger deres supportere så tror jeg heller ikke disse vil antage
>at brugeren har stoppet diverse tjenester.
Det tror jeg du har ret i, men det er nok bare sådan det er med et så
avanceret værktøj som en computer. Du kan også spørge IT supportere
hvor trætte de er af at løse problemer der skyldes installation
og/eller forkert konfiguration af sikkerheds-produkter. Jeg ser
egentlig ingen forskel.
>Helt overordnet er jeg faktisk enig i at det er en god ide at sætte
>sig ind i "tjenester" og sikre sig på den måde. Men jeg er lidt
>irriteret over hvordan du konstant beder alle om bare at følge denne
>vejledning så er de fri for virus, orme og slanger resten af deres
>liv. Og så til folk som i forvejen ikke ved noget om styresystemet.
Der er jeg lidt enig. Vejledningen bør ikke "oversælges" på samme måde
som leverandørerne af sikkerhedsprodukter gør.
>Synes ligeledes ikke det er fair at du konsekvent kalder personlige
>firewalls for noget hø, når det i virkeligheden er brugeren der er
>noget hø.
Efter fremkomsten af XP SP2's firewall har jeg meget svært ved at
finde nogen argumenter for at installere en 3. parts personlig
firewall. Hvis du mener de kan bruges til at stoppe malware der ønsker
at "ringe hjem" bør du lige kigge på
http://www.firewallleaktester.com/tests_overview.php (tryk på "view
results" knappen i bunden) for at få en ide' om hvordan personlige
firewalls sådan generelt håndterer udgående forbindelser - og dette
har ikke noget med brugeren at gøre. Det har noget med upålideligt
software at gøre. Man kan ikke svare på spørgsmål om udgående
forbindelser man slet ikke får.
>Nu har du blandet dig i mine kvalifikationer, så vil jeg
>også tillade mig at påstå at du ikke har teknisk nok indsigt i alle
>de eksisterende personlige firewalls til at komme med sådan en
>udtalelse.
| |
Bertel Lund Hansen (14-08-2006)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 14-08-06 11:29 |
|
Palle Jensen skrev:
> Ja, faktisk aner dem der spørger sikkert ikke en skid om hvad
> systemfiler, tjenster, driverer og andet skidt er.
Dem der har henvendt sig (direkte eller indirekte) til mig, aner
ikke det bitterste om det.
> Jeg vil vædde min gamle hat på at de personer ikke aner en levende
> fis om hvad det er de har stoppet, og hvilke konsekvenser det kan
> have.
Det er også korrekt.
> Ja en dag de har et eller andet problem vil de ikke engang
> kunne huske og/eller associere dette med handlingen.
Klart.
> Ringer de til MS og spørger deres supportere
Det gør de ikke. De ringer til mig. Det er jo derfor jeg har fået
kontakt til dem i første omgamg. Enten ringer de direkte, eller
også er der en fælles bekendt der har fortalt dem at jeg ved lidt
om computere. De fleste gange har det drejet sig om computere der
var så syltet ind i adware og virus at de var ubrugelige.
Personerne fik opskriften samt besked på at de bare kunne komme
igen hvis der var noget der drillede, og siden har jeg ikke hørt
fra dem. Der er også nogle hvor jeg selv var ude og ordne
computeren, men de har heller ikke haft brug for min hjælp siden.
Jeg kan naturligvis ikke vide om de ikke i mellemtiden har købt
en anden computer og hvordan den i så fald er sat op.
> Helt overordnet er jeg faktisk enig i at det er en god ide at sætte
> sig ind i "tjenester" og sikre sig på den måde. Men jeg er lidt
> irriteret over hvordan du konstant beder alle om bare at følge denne
> vejledning så er de fri for virus, orme og slanger resten af deres
> liv.
Min fremturen er udløst af irritation over alle dem der konstant
beder alle om bare at installere firewall og AV så er de fri for
virus, orme og slanger resten af deres liv. Og så til folk som i
forvejen ikke ved noget om styresystemet.
> Synes ligeledes ikke det er fair at du konsekvent kalder personlige
> firewalls for noget hø, når det i virkelighden er brugeren der er
> noget hø.
Det er grundsystemet Windows der er noget hø i sin
standardopsætning.
En firewall på en arbejdsmaskine er noget hø uanset hvilken
kvalitet selve kodningen måtte have. En firewall der skal
administreres af en totalt uvidende person, er usikker.
> Nu har du blandet dig i mine kvalifikationer, så vil jeg
> også tillade mig at påstå at du ikke har teknisk nok indsigt i alle
> de eksisterende personlige firewalls til at komme med sådan en
> udtalelse.
Jeg har ingen teknisk indsigt i nutidens personlige firewalls.
Jeg udtaler mig om det princip de alle er baseret på.
--
Bertel
http://bertel.lundhansen.dk/ http://fiduso.dk/
| |
Anders Boholdt-Peter~ (13-08-2006)
| Kommentar Fra : Anders Boholdt-Peter~ |
Dato : 13-08-06 22:11 |
|
"Palle Jensen" <invalid@invalid.invalid> skrev i en meddelelse
news:Xns981EDB812BBACDuckTrucks@130.225.247.90...
>> Indtil den dag, en kammerat kommer forbi med sin bærbare og
>> smider den på lokalnettet.
>
> Det ændrer jo ikke på at det kan være problematisk bare at slukke en
> masse services på sin maskine?
Som nævnt tidligere i tråden, så roder jeg i forvejen med at deaktivere
services, så jeg skal da prøve den bat-fil I anbefaler på et tidspunkt!
Tak for alt den info vedrørende routere og lokalnet - så lærte jeg også
noget nyt i dag!
Jeg vil hermed gerne sige tak for alle de mange mange svar der er kommet i
denne efterhånden lange debat!
Den har været spændende at følge!
Jeg har pt. ikke andre computere tilkoblet min router, men hvem ved om det
kommer på et tidspunkt!
Jeg har lukket for fil og udskriftsdeling.
--
/ Anders
http://www.boholdt-petersen.dk
| |
Kent Friis (14-08-2006)
| Kommentar Fra : Kent Friis |
Dato : 14-08-06 16:54 |
|
Den Sun, 13 Aug 2006 23:10:59 +0200 skrev Anders Boholdt-Petersen:
>
> "Palle Jensen" <invalid@invalid.invalid> skrev i en meddelelse
> news:Xns981EDB812BBACDuckTrucks@130.225.247.90...
>>> Indtil den dag, en kammerat kommer forbi med sin bærbare og
>>> smider den på lokalnettet.
>>
>> Det ændrer jo ikke på at det kan være problematisk bare at slukke en
>> masse services på sin maskine?
>
> Som nævnt tidligere i tråden, så roder jeg i forvejen med at deaktivere
> services, så jeg skal da prøve den bat-fil I anbefaler på et tidspunkt!
Hvis du så også ved så meget om sikkerhed som "man skal ikke køre
tilfældige programmer man ikke stoler på", så er BAT-filen faktisk ikke
længere end at du kan åbne den og selv disable disse services manuelt.
(Eller bare kigge den igennem og se hvad den disabler)
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Asbjorn Hojmark (14-08-2006)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 14-08-06 14:52 |
|
On 13 Aug 2006 19:32:30 GMT, Palle Jensen <invalid@invalid.invalid>
wrote:
> Det ændrer jo ikke på at det kan være problematisk bare at slukke en
> masse services på sin maskine?
Hvis man fuldstændig ukritisk lukkede for alt muligt, så kunne det
potentielt godt give problemer, men her er det netop ikke ukritisk.
Du ved godt, at Microsoft selv er gået samme vej med Windows Server
2003? Der skal man selv slå det til, man gerne vil bruge (i temmelig
markant modsætning til tidligere). Det siges at blive det samme med
Vista.
-A
| |
Anders Boholdt-Peter~ (13-08-2006)
| Kommentar Fra : Anders Boholdt-Peter~ |
Dato : 13-08-06 21:57 |
|
"Michael Rasmussen" <mic@NO_SPAMdou.dk> skrev i en meddelelse
news:6uepd2pbg7aaecc21nd3d2hd8f4gb8n2gh@4ax.com...
> Nu er Anders jo placeret bag en NAT'ende bredbåndsrouter, så der er i
> princippet ingen services der kan nås fra internettet....
Det har jeg efterhånden fundet ud af ved at kikke med her i gruppen.
> Og jeg forstår slet ikke at I lokker ham til at rode med windows
> services. Metoden er da udmærket for nørden der har et indgående
> kendskab til windows og netværk. Men den fjerner altså funktionalitet og
> den almindelige dødelige bruger ender let op med et amputeret system der
> ikke fungerer som forventet.
Jeg er nørdet i forvejen, så OK at jeg bliver logget til at rode med
bat-filer.
Jeg roder selv lidt med netværk, og syntes faktisk det er meget spændende at
afprøve nye ting.
--
/ Anders
http://www.boholdt-petersen.dk
| |
Niels Callesøe (11-08-2006)
| Kommentar Fra : Niels Callesøe |
Dato : 11-08-06 10:47 |
| | |
Bertel Lund Hansen (11-08-2006)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 11-08-06 11:47 |
| | |
Christian E. Lysel (12-08-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 12-08-06 10:36 |
|
On Fri, 2006-08-11 at 17:56 +0000, Klaus Ellegaard wrote:
> har brug for. Dermed kan en zombie altså selv åbne op for, at den
> kan kommunikere med sine med-zombier ude i verden.
Behøver det være så advanceret?
Hvorfor kan jeg ikke lave et link du trykker på, som i virkeligheden
sætter din NAT/firewall op til at vidersende en TCP port til din PC, via
UPnP?
| |
Kent Friis (12-08-2006)
| Kommentar Fra : Kent Friis |
Dato : 12-08-06 10:59 |
|
Den Sat, 12 Aug 2006 11:35:44 +0200 skrev Christian E. Lysel:
> On Fri, 2006-08-11 at 17:56 +0000, Klaus Ellegaard wrote:
>> har brug for. Dermed kan en zombie altså selv åbne op for, at den
>> kan kommunikere med sine med-zombier ude i verden.
>
> Behøver det være så advanceret?
>
> Hvorfor kan jeg ikke lave et link du trykker på, som i virkeligheden
> sætter din NAT/firewall op til at vidersende en TCP port til din PC, via
> UPnP?
"Et link"? Snakker du om HTML? Og i så fald, hvordan vil du gøre
noget som helst ved firewall'en via HTML? Selv Javascript kan vist
ikke klare det uden et par store sikkerhedshuller til hjælp.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Christian E. Lysel (12-08-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 12-08-06 11:11 |
|
On Sat, 2006-08-12 at 09:59 +0000, Kent Friis wrote:
> "Et link"? Snakker du om HTML? Og i så fald, hvordan vil du gøre
> noget som helst ved firewall'en via HTML? Selv Javascript kan vist
> ikke klare det uden et par store sikkerhedshuller til hjælp.
Et link til UPnP som er en webserver, bør vel kunne konfigurer den efter
ønske.
| |
Klaus Ellegaard (12-08-2006)
| Kommentar Fra : Klaus Ellegaard |
Dato : 12-08-06 11:14 |
|
"Christian E. Lysel" <sunsite.dk@spindelnet.dk> writes:
>Et link til UPnP som er en webserver, bør vel kunne konfigurer den efter
>ønske.
UPnP kører HTTP over UDP. Det er ikke en feature, de fleste browsere
har indbygget.
Mvh.
Klaus.
| |
Kent Friis (12-08-2006)
| Kommentar Fra : Kent Friis |
Dato : 12-08-06 11:14 |
|
Den Sat, 12 Aug 2006 12:11:03 +0200 skrev Christian E. Lysel:
> On Sat, 2006-08-12 at 09:59 +0000, Kent Friis wrote:
>> "Et link"? Snakker du om HTML? Og i så fald, hvordan vil du gøre
>> noget som helst ved firewall'en via HTML? Selv Javascript kan vist
>> ikke klare det uden et par store sikkerhedshuller til hjælp.
>
> Et link til UPnP som er en webserver, bør vel kunne konfigurer den efter
> ønske.
UPnP en webserver? Tænker du ikke på routerens webinterface, eller
kræver UPnP standarden at alt hvad der snakker UPnP skal indeholde
en webserver og/eller klient?
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
N/A (12-08-2006)
| Kommentar Fra : N/A |
Dato : 12-08-06 11:14 |
|
| |
Christian E. Lysel (12-08-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 12-08-06 11:32 |
|
On Sat, 2006-08-12 at 10:13 +0000, Klaus Ellegaard wrote:
> UPnP kører HTTP over UDP. Det er ikke en feature, de fleste browsere
> har indbygget.
Ups, jeg glemte den køre HTTPU
| |
Christian E. Lysel (12-08-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 12-08-06 11:42 |
|
On Sat, 2006-08-12 at 12:31 +0200, Christian E. Lysel wrote:
> On Sat, 2006-08-12 at 10:13 +0000, Klaus Ellegaard wrote:
> > UPnP kører HTTP over UDP. Det er ikke en feature, de fleste browsere
> > har indbygget.
>
> Ups, jeg glemte den køre HTTPU
Og dog... kontrol metoden kan også køre HTTP, er det ikke afhængigt af
enheden?
| |
Christian E. Lysel (12-08-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 12-08-06 11:43 |
|
On Sat, 2006-08-12 at 10:14 +0000, Kent Friis wrote:
> UPnP en webserver?
Ja.
> Tænker du ikke på routerens webinterface,
Nej.
> eller kræver UPnP standarden at alt hvad der snakker UPnP skal indeholde
> en webserver og/eller klient?
Ja.
Der er dog flere methoder rundt om UPnP: discovery, beskrivelse af
enheden, control af enheden, beskeder og præsentation.
Her metode, bruger forskellige protokoller, men grundlæggende bruges UDP
eller TCP, og i de 3 sidste metoder http.
| |
Christian E. Lysel (14-08-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 14-08-06 00:36 |
|
On Sun, 2006-08-13 at 19:32 +0000, Palle Jensen wrote:
> > Indtil den dag, en kammerat kommer forbi med sin bærbare og
> > smider den på lokalnettet.
Eller man tager den ud til en kammerat, eller .... (find selv på flere
scenarier).
> Det ændrer jo ikke på at det kan være problematisk bare at slukke en
> masse services på sin maskine?
I ovenstående situation løser det en lang række kende og ukende
sikkerhedsproblemmer.
Det eneste problem ved vejledningen er at enhver
installation/opgradering kan/vil ændre på opsætningen...
således skal netstat køres for at sikre nye eller gamle services
ikke lytter igen.
Hvordan kan en vejledning der "slukke en masse services" fylde 7
sider...står der virkelig ikke mere i den vejledning?
Når jeg læser vejledningen er flere af tingene forklaret.
| |
Christian E. Lysel (14-08-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 14-08-06 11:58 |
|
On Mon, 2006-08-14 at 12:28 +0200, Bertel Lund Hansen wrote:
> En firewall der skal
> administreres af en totalt uvidende person, er usikker.
En firewall der administreres af en vidende person er også
usikker, og har flere mangler der gør de kan omgåes trivielt.
Jeg tænker på at pakke udgående trafik ind i DNS, DHCP eller kørende
programmer som fx Internet explore eller MAPI.
Alle sammen er kende huller.
Hvis vi kikker på DNS som er det mest kende hul, har selv microsoft
omtaler denne, og løsningen der kan bruges....ingen bruger løsningen,
der kræver ændring af registeringsdatabasen og man skal således væk
fra standard opsætningen.
| |
Christian E. Lysel (14-08-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 14-08-06 12:00 |
|
On Sun, 2006-08-13 at 21:36 +0000, Palle Jensen wrote:
> Jeg vil vædde min gamle hat på at de personer ikke aner en levende
> fis om hvad det er de har stoppet, og hvilke konsekvenser det kan
> have. Ja en dag de har et eller andet problem vil de ikke engang
> kunne huske og/eller associere dette med handlingen. Ringer de til MS
> og spørger deres supportere så tror jeg heller ikke disse vil antage
> at brugeren har stoppet diverse tjenester.
Problem stillingen er den samme med en personlig firewallen, da
denne også ændre ved standard opsætningen.
Det er ikke unormalt folk bliver bedt om at afinstallere deres
firewall når de ringer til support.
| |
|
|