3com firewall en vits?

[Lurifaksen]

Jeg har en 3com ruter, med innebygget firewall.

Det står at firewallen er "On", men jeg skjønner ikke dette helt.

 

Altså, hvorfor fungerer web serveren min f.eks, selv om jeg ikke har åpnet port 80?

 

Og hvorfor har ikke jeg problemer med å sende filer i f.eks MSN/IRC DC++ og slike ting?

 

Forresten, hvorfor er det ingen mulighet for å skru av firewallen?

[pantrax]

Hvilken modell er du har?

 

Angående grunnen til at du mest sannsynlig ikke har problemer med msn, dc og lignende programmer er nok helt sikkert pga. ruteren støtter UPnP. Forenklet sagt er dette en løsning som ble lagt til for å gjøre pc og internett ruting lettere for den enkle mann (og kvinne). Det som skjer er at ruteren husker dine forespørseler og lagrer de en stund, når da ruteren får informasjonen tilbake ifra internett ser den tilbake til hvem det var som øsnket dette innholdet.

 

Når det så gjelder webserveren din. Har du sjekket dette utenifra nettverket, med det mener jeg ifra en kompis sitt hus, jobb el lignende som ikke er direkte koblet til ditt nettverk. Det er bare å sjekke på IP addressen utenifra.

 

Dette høres meget merkelig ut, og skal ikke skje - er vel faktisk umulig at det skjer hvis du da ikke har DMZ eller port forwarding på. Det er vel ruteren din som er koblet til nettverket og du til internettet via ruteren. Husk da at alle forespørsler utenifra havner hos ruteren, og hvis ikke ruteren har beskjed om å sende ting og tang videre til deg så gjør han ikke det.

 

Men hvis han enda gjør dette så har du fått deg en merkelig liten internett ruter.

 

Som et siste og ikke minst viktig forslag, sjekk for ny firmware for ruteren din. På internettrutere har dette som regel mye å si, da dette er noe produsentene jobber hardt med, spesielt trådløse internett rutere.

[Lurifaksen]

Er denne ruteren jeg har: http://www.komplett.no/k/ki.asp?action=inf...9&GrpID=16&s=pl

 

Ja, det er merkelig. Jeg har satt opp portforwarding, slik at alle forespørsler til port 80 ble videresendt til 10.0.0.2. Men denne slettet jeg, siden jeg har mistanke om at dette ikke var nødvendig. Det har nå gått over en time siden slettet dette, og det fungerer fortsatt å nå webserveren.

 

Jeg har også sjekket nettsidene fra en enhet utenfor nettverket (mobilen med Opera via GPRS med IP fra telenor).

 

Men som du nevner er jo ikke dette mulig, så jeg antar at grunnen er at innstillingene av en eller annen grunn ikke er oppdatert.

 

Men det var egentlig dette med IRC og MSN og slikt jeg lurte på. Jeg har liksom bare en mistanke om at PC-ene er temmelig åpne.

[prolixin]

Da fleste "firewaller" som er innebygd i billig routere er ikke noe å skriv hjem om nei.

[agvg]

Det har nå gått over en time siden slettet dette, og det fungerer fortsatt å nå webserveren.

Kjører du via cable/DSL-porten på denne?

[pantrax]

Vel. Det er snakk om bruket. Nå når det er snakk om internett ruter med firewall så er det som regel snakk om å stenge portene helt eller å sende requests videre til neste pc.

 

GeeZuZz du leste vel det jeg skrev om UPnP? Dette systemet ble laget for vanlige brukere skulle slippe å kaste datamaskinen på dynga siden ingenting virket. Det som skjer er at UPnP tillater å åpne hull i ruterens brannmuren etter som det trengs.

 

Når det kommer til UPnP og sikkerhet er mange i tvil om hva de skal si. UPnP er en ny og fortsatt under store forbedringer, programmet er jo laget av Microsoft tross alt. I 2001 ble det oppdaget 2 store feil i UPnP systemet og FBI sendte ut informasjon om at man aller helst skulle slå av dette systemet og det dukket opp manger patcher for å stenge UPnP. Dette er nå rettet.

 

Helt sikkert er det jo ikke, men UPnP i samarbeid med NAT er bra for de som ikke vet helt hva som man burde gjøre for å fikse feiler med DC, MSN, spilling og alt sånt. Det er kanskje for voldsomt å si at det er usikkert, men det åpner tross alt porter i ruterens brannmur uten å si ifra til deg. I enkelte tilfeller kan det ta en stund før ruteren stenger porten som ble åpnet pga. en programfeil el. ett problem med at ruteren ikke helt skjønner når forbinnelsen er over.

 

Men som med alt annet så er det services i seg selv som er den store stygge. Dette kommer jo enkelt av at når det ikke er noen services på portene så kommer man jo ingen vei - den er jo så godt som "stengt" da.

 

Det jeg har lest derimot er at man kan bounce forbinnelsen og lure ruteren til å tro at du skulle på en annen port bak ruteren (og hvis du da har port forwarding kan den havne hos deg) men det begynner å bli fryktelig avansert nå. Og det er bedre å lese andre artikkler om UPnP/NAT og sikkerhet - ellers så blir jeg sittende her i hele kveld

[Hårek]

Enkel måte å sjekke firewall er Shields Up på www.grc.com

[Lurifaksen]

Det har nå gått over en time siden slettet dette, og det fungerer fortsatt å nå webserveren.

Kjører du via cable/DSL-porten på denne?

Hva mener du? Det er ruteren som deler internett ja.

 

pantrax: Takk for svar! Jo jeg leste det første innlegget ditt også, men jeg burde kanskje presisert det... Men uansett det andre var litt mer forståelig.

[frejoh]

Kjører en 3com router selv, og har flere ganger vært borti at den ikke stenger ned port-forwarding eller maskiner i DMZ før du har restartet routeren...

 

Gjør en restart via menyen eller napp ut strømmen litt og sett den inn igjen.

Tror nok det skal fungere da

 

Fredrik.

[Lurifaksen]

Enkel måte å sjekke firewall er Shields Up på www.grc.com

 

Nå blir jeg nesten skremt!

 

Den testen der kjørte jeg for ikke lenge siden, og resultatet var at maskinene var godt sikret. Det var kun 4 porter som ble rapportert åpne (80 og 21, og 1025+6)

 

Nå var immidlertid noen flere porter åpne, inkludert port 139!!! Det vil si at den testen kunne vise maskinnavn, og delte mapper på PC-en.

 

Hva i alle dager skjer?

 

I ruteren har jeg satt opp følgende:

When a request from the Internet is not directed to a virtual server (listed in the table below): Block request

I listen under er selvsagt portene for webserver og slikt satt opp, men andre porter som 139 og 1025, 1026 og 1029 er overhode ikke i den listen, og allikevel vises de som åpne i den testen!

 

Edit: Når jeg kjører testen viser den info fra serveren, og ikke maskinen min - det tyder jo på at ruteren aktivt videresender forespørsler på port 139 til 10.0.0.2 (serveren).

Endret 22. januar 2004 av GeeZuZz

[Thorvald]

Gå inn på 3com sine hjemsider og last ned nyeste firmvare.

Da får du en reset og oppgradering. Kjør så testen en gang til.

[pantrax]

Noe er altså meget feil der.

 

Privat så kjører jeg en UPnP løsning ifra Linksys og jeg får bare rapportet som port 5000 åpen (Upnp porten) når systemene har stått litt stille eller tar en sjekk.

 

Sjekk for port forwarding og dmz. Slå disse av og ta en test her

 

http://www.securityspace.com/sspace/index.html

 

Gjør også som Frejoh sier, ta en restart av ruteren etter du har fikset oppsettet.

 

Man skulle nesten tro at serveren din sitter i DMZ siden den rapporterer alle de portene åpne.

 

Bruker du andre programvare brannmurer? T.ex på din server, jeg vet enkelte programmer har muligheten som heter Act as Server i innstillingene for hvilke programmer som skal få nett aksess. Slå disse av.

 

Edit: Og ja. Glemm ikke å oppdatere firmwaren.

Endret 22. januar 2004 av pantrax

[Lurifaksen]

Firmwaren ble oppdatert for ikke lenge siden. Og den gang hadde jeg til og med satt innstillingen jeg siterte over til "Redirect request to Virtual DMZ host - 10.0.0.2"

Åpningen av portene må har skjedd etter at jeg oppdaterte firmwaren (ikke det at det trenger å ha en sammenheng).

 

Jeg prøver en restart.

[Lurifaksen]

Restart gjennomført, og det løste problemet!

 

Pc-ene er nå sikker som banken - så lenge ingen bevisst prøver å bryte seg inn, noe jeg ikke ser noen grunn til at noen har interesse av (port 80 er vel veien å gå da hvis noen ville prøve seg).

 

Testen viste nå følgende:

 

Open: 21, 25, 80, 110

Closed: 1, 88, 113, 412 + 1008 -> 1023 (hvorfor alle disse siste?)

Stealth: Resten

 

Tusen takk for hjelpen folkens!!

 

Edit: Jeg er klar over at port 21 (ftp), 25 (smtp), 80 (web) og 110 (pop) er åpen, og dette har jeg åpnet for selv...

Endret 22. januar 2004 av GeeZuZz

[pantrax]

Ut av nysgjerrighet. Kan du ta den testen jeg pekte deg til? Den tar litt tid, men den er verdt det.

[Lurifaksen]

Holder på å se på den. Så ut til at det kostet penger? Men fant noe "free" opplegg. forsøker det.

[pantrax]

Det skal være minst 2 forskjellige tester der som er gratis.

[Lurifaksen]

For et opplegg. Nå er testen endelig ferdig, etter 2 timer.

 

Tror det hele er bare noe tull.

 

Jeg scoret 11% hvor 100% er "sikkert".

 

"You had 5 High Risk and 2 Medium Risk vulnerabilities that were not disclosed in the above report. To view the details of these vulnerabilities and solutions to fix them, please subscribe to one of the services below."

 

Jeg hadde i tillegg til det 2 "low risk" og 2 "other", hvor den ene low risk ikke angikk meg (det stod at hvis ingen av IP adressene i listen var fra det interne nettverket var det ikke en "risk" - kun securityspace sine IP adresser var i listen).

 

Hvor sannynlig er det at jeg har flere high risk, enn low risk? Jeg antar at disse skjulte "high risk" punktene innebærer "you are running windows", "we could see your IP", "You used an unsecured form giving us the VISA code to pay us for seeing these stupid so-called risks"

 

Ikke det at jeg tror at systemet mitt er bombesikkert, men de burde helt seriøst klare å finne flere "low risk" og "other" punkter for at det skal være troverdig. Og jeg nekter å tro at mitt system er 11% "sikkert". Bare det at flertallet av portene er "stealth" fremfor "closed" (eller eventuelt open) burde jo klart å score bedre enn 11%.

 

Jeg lurer på hvordan en win98 maskin uten brannmur scorer...

 

At jeg har en mail server med pop3 ble ikke nevnt, mens SMTP opplegget ble nevnt som low risk. Er pop da medium eller high risk?

 

Det der er nok bare et griskt firma som skal tjene penger ved å få folk til å tro at systemet er dårlig sikret. Skikkelig sleipt.

 

Edit:

 

OMG. Jeg fikk denne e-posten 25 minutter etter at testen var ferdig:

 

Hello,

 

A manual(!!) review of your audit results has been conducted by SecuritySpace staff, and it is our opinion that there are at least one or more legitimate problems in the High/Med risk categories.

 

We highly encourage you to do one of the following:

 

1. Arrange to make a payment for either the report, or

    for an auditing package, so that you may take the

    necessary steps to improve the security of your

    system and validate the changes through a subsequent

    set of tests.

 

2. If you choose not to use our services, we suggest

    you take the time to run a vulnerability assessment

    yourself using another scanning product or service.

........

 

Endret 23. januar 2004 av GeeZuZz

[pantrax]

Hehe. Slapp av. Ditt system er 11% mer sikkrere enn gjennomsnittet, eller?. Det er det det betyr. Men det var en del warnings der, etter min smak i allefall. Kan du sende over informasjonen på high og medium risk til meg, om du da ikke har problemer med å poste det public?

 

Det morsomme er at når man har testet de forskjellige testene så har denne scoret best.

 

Stod det virkelig "You used an unsecured form giving us the VISA code to pay us for seeing these stupid so-called risks"?

 

Når jeg tok testen så la jeg ikke merke til så ekstreme salgstriks.

[Lurifaksen]

Hehe. Slapp av. Ditt system er 11% mer sikkrere enn gjennomsnittet, eller?. Det er det det betyr. Men det var en del warnings der, etter min smak i allefall. Kan du sende over informasjonen på high og medium risk til meg, om du da ikke har problemer med å poste det public?

 

Det morsomme er at når man har testet de forskjellige testene så har denne scoret best.

 

Stod det virkelig "You used an unsecured form giving us the VISA code to pay us for seeing these stupid so-called risks"?

 

Når jeg tok testen så la jeg ikke merke til så ekstreme salgstriks.

Ehm, poenget var at jeg ikke fikk vite hva high og medium risks var! Hvis jeg ville vite det, så måtte jeg betale, noe jeg overhode ikke har tenkt til å gjøre (med tanke på at dette er et privat nettverk).

 

Det er derfor det er sleipt, siden de får oss til å tro at systemet er skikkelig usikkert, mens disse "high" og "medium" risks sikkert ikke er noe alvorlige.

 

De forslagene med visa etc. var bare tull, jeg diktet opp...