Branmuren fra NGT tilstrekkelig?

[baldrick-the-man]

Poenget med tråden var om NGT´s brannmur er tilstrekkelig. Ikke hvem som har flest skrivefeil osv. Jeg er kanskje ikke den aller mest aktive på forumet, men jeg er nå innom i tide og utide. Men det blir mer og mer sjeldent ettersom tiden går, rett og slett fordi jeg blir møkka lei av å begynne å lese en tråd, og oppleve at den sporer fullstendig av - grunnet sånne "jalla-kommentarer" om skriveleif osv. Mulig enkelte faktisk har "skriveleif-virus", men gudene skal vite at det også er noen som har "skjønner ikke poenget-virus"!!

 

Om NGT´s brannmur er god nok, det vet jeg egentlig ikke - men jeg tviler på det. Har aldri vært bruker av den brannmuren. Men jeg har brukt mange andre såkalte brannmurer i diverse routere. Og de er iallfall ikke gode nok. Jeg tilhører vel muligens den gruppen mennesker som kan kalles "lettere paranoid" når det gjelder internett, mest fordi jeg ikke kan ustå tanken på at maskinen min gjør en masse ting jeg ikke har kontroll på. Gjorde et forsøk et par ganger. Satte opp en ekstra maskin kun med Windows installert - frisk installasjon, med samtlige oppdateringer. Så koblet jeg den rett på nett uten noen form for brannmur eller beskyttelse. Det gikk mindre enn 1 time, så var de første ormene og trojanerne på plass!! Det sier litt om sikkerhet. Nå var ikke disse tingene spesielt destruktive, men som nevnt tidligere i tråden - så ble maskinen forsøkt tatt i bruk som "node" for utsending av både spam og flere ormer.

 

Å bruke antivirus program bør være minimum i dag etter mitt skjønn. Men selv det er jo i mange tilfeller ikke nok. Mange virus og trojanere i dag, de har som første oppgave å disable antivirusprogrammer de detekterer. Og da kan en jo scanne etter virus så lenge og ofte en vil - hva hjelper det, når ikke antivirusprogrammet er i stand til å detektere virusene.

 

Mange (kanskje de aller fleste) hardware brannmurene i dag, de gir ingen eller svært få tilbakemeldinger om hva som egentlig skjer - sett i forhold til ormer, virus, og annen aktivitet på linja. Jeg har for tiden gående en sånn Linux sak som brannmur - Smoothwall heter den. Og den har et utmerket logg-system på all aktivitet inn og ut. De loggene er rimelig betenkelig lesestoff Kan anbefale alle som har anledning å prøve ut Smoothwall eller tilsvarende, bare for å se på tingene - veldig nyttig kunnskap.

 

Hardware eller software brannmur - bruk en av dem uansett, og oppdatert antivirus programvaren ofte. Det er enkle ting å forholde seg til - tror til og med bestemor klarer å gjøre slike ting. Da gjør du iallfall ditt til at maskinen din ikke blir enda et ledd i kjedene av ormer og trojanere som sprer seg på nettet.

 

Argumenter som at "jeg har ingen beskyttelse jeg - og ikke har jeg hatt virus heller i løpet av de siste 5 årene" - det blir jo bare for dumt. Det blir jo det samme som å si at "når jeg har sex - så har jeg aldri brukt kondom - og jeg har aldri pådratt meg gonoré" ........ Som om dét var poenget

[DidzisK]

Funker fint den, men jeg har disablet hele skiten Orker ikke stresse med NAT/Filter hver gang jeg skal sette opp en server.

Hvordan gjør du det? Jeg vet hvordan jeg slår av filtrering, men er det mulig å sette opp Netopia routeren slik at jeg kan bruke den som modem og heller filtrere/NATe selv - for eksempel sette opp en Linux router?

 

Slik 1:1 NATing er, så vidt jeg skjønner, mulig når man ikke bruker PAT, men Static i "NAT public range type". Problemet der er at dette går ikke an med dynamisk IP-adresse på utsiden av routeren som de fleste av oss har (nei, jeg vil ikke betale 100 kr. mer for fast IP!).

 

Versjon 8.3.1 av firmwaren har noe som heter IP passthrough. Noen som vet om denne versjonen er tilgjengelig for oss? Og løser dette det jeg er ute etter?

[DidzisK]

Hvis jeg har lest dokumentasjon riktig, så er det kun to "nivåer" av firewall som er implementert på Netopia routeren. Det første er NAT - det at IP-adressen til PCen din skjules. Det andre er Packet Filtering - kun bestemte pakker slippes inn. Hvis pakke kommer gjennom et portnummer som er kjent for å bli brukt for angrep, slippes ikke pakken inn.

 

Og her begynner problemet. Hvis jeg leser filterlistene riktig, så slippes alle pakker på porter høyere enn 1023 inn. Kun 2000 og 6000 (?) filtreres vekk. Dette gjør meg allerede litt paranoid. Normalt er det kun returtrafikk som kommer inn gjennom disse portene, men i siste tiden er det flere og flere programmer som bruker disse (Counter-strike server bruker ca. 27000, eDonkey/eMule ca. 4600 osv.) Dette betyr at hacker kan også sette opp server hos meg som bruker disse upriviligerte portene. Er det nok at etter filtrering skjer NATing? Da blir pakkene, som ikke har bestemt mål, droppet. Holder det?

 

I hvert fall, tredje nivå - stateful inspection - er ikke implementert. Denne delen av firewallen skal kontrollere innhold av pakkene - for eksempel, pakke som "sier" at dette er svar til en pakke som ble sendt for en stund siden - stemmer ikke det, skal pakken droppes. Her snakker vi om RELATED og ESTABLISHED status på pakkene som kommer inn.

 

Her er det jeg har lyst til å implementere på Linux-routeren. Hvis jeg får det til med Netopia. FIAIF

Endret 22. mars 2004 av DidzisK

[tvangsgreie]

Hvis jeg har lest dokumentasjon riktig, så er det kun to "nivåer" av firewall som er implementert på Netopia routeren. Det første er NAT - det at IP-adressen til PCen din skjules. Det andre er Packet Filtering - kun bestemte pakker slippes inn. Hvis pakke kommer gjennom et portnummer som er kjent for å bli brukt for angrep, slippes ikke pakken inn.

Egentlig er ingen av delene primært brannmurfunksjonalitet, det er NAT. Siden det kan være flere maskiner bak samme IP, og man ønsker å kunne koble til utenfra, må man si ifra hvilke porter de eksterne portnummerene skal videresendes til. Dette er på et vis det omvendte av filtrering, siden man aktivt må si ifra hvilke porter som skal videresendes, ikke hvilke som skal sperres. I praksis blir selvsagt konsekvensen omtrent den samme.

[AMD-King]

Når man er inne på IPporter og slik, vet noen om en internettside med litt oversikt over hva de forskjellige portene blir brukt til?

EDIT: [url="http://www.iana.org/assignments/port-numbers"]http://www.iana.org/assignments/port-numbers[/url]

570 - 600 KB text file Endret 22. mars 2004 av AMD-King

[Torbjørn]

det bør du kunne finne fort på google.

 

baldrick-the-man: hvorfor tviler du på at den er god nok? Uten at jeg har satt meg inn i den, vil jeg tro at det kreves svært lite å identifisere en pakke som del av en related (engelsk på norsk?) forbindelse eller ikke, og stoppe alle "NEW" forbindelser som kommer. Og selvsagt stoppe alle pakker med destinasjon i et lokalt ipområde, da de per def må være hackerangrep eller det som verre er.

 

Kan ikke skjønne at dette skal være vanskelig å implementere.

 

Videre, det er vel og bra med firewall i ruterern hvis man er eneste bruker bak, men det er nok å få besøk av en kompis med bærbar pc med MSBlast så bryter ****** løs. Så klient-firewall kan være å anbefale.

[Sicho]

Satte opp en ekstra maskin kun med Windows installert - frisk installasjon, med samtlige oppdateringer. Så koblet jeg den rett på nett uten noen form for brannmur eller beskyttelse. Det gikk mindre enn 1 time, så var de første ormene og trojanerne på plass!! Det sier litt om sikkerhet. Nå var ikke disse tingene spesielt destruktive, men som nevnt tidligere i tråden - så ble maskinen forsøkt tatt i bruk som "node" for utsending av både spam og flere ormer.

Akkurat dette har jeg utrolig vanskelig å forstå, jeg har hatt internett i ca 10 år nå, har aldri kjørt noe brannmur, enkelte ganger har jeg kjørt antivirus kun får å se om jeg har vært smittet, ettersom det er vanskelig å se. Men uansett logger jeg alle pakker ut så jeg kan se om det er noe mistenkelig aktivitet på linjen min. Jeg har kun engang fått et virus på pcen, det var når samboeren min åpnet et vedlegg av en venninne, et par restreksjoner på hennes bruker så er det problemet ute av verden. Så at du har klart å få virus på en pc med alle sikkerhetsoppdateringer på 1 time finner jeg utrolig lite sannsynelig, hvist du ikke har publisert ip din til noen haxor grupper med melding om at de kan kan dra til H******.

 

Sunn brukervett er det eneste du trenger, da kan du bare droppe antiviurs å firewall. Ingen er interessert å bruke tid på en vanlig brukerpc hvist alle sikkerhetsoppdateringer er installert.

[crownjewel]

Jeg har NGT, brukte den innebygde brannmuren en stund. Men den er tungvinn å bruke da du må inn i telnet. så jeg disablet hele brannmuren dens og la inn zonealarm som er bedre utviklet og lettere å konfigurere. (NIS2004 vil ikke virke på maskinen min etter reinstallering av os, men dette også er et bra program)

[crownjewel]

En ting om virus og trojanere. Skjønner ikke helt hvordan det kan skje. Men etter jeg har formatert os hd og reinstallert windows får jeg automatisk inn ormen blasterworm. den slår inn nøyaktig 15sek. etter jeg har startet maskinen og fører til automatisk shutdown med mindre jeg skriver inn shutdown -a i kjør, og deretter kjører blasterwormfix og sikkerhetsoppdatering. så det er tydelig at det er lett å bli infisert.

[baldrick-the-man]

Sunt bondevett kommer en langt med - ingen tvil om det. Hadde bare alle klart å forholde seg til det "sunne bondevettet". Noe av problemet ligger vel nettopp her. For folk med over gjennomsnitt av kunnskaper om tingene, så tror jeg vel egentlig heller ikke at det er absolutt påkrevd med ørten brannmurer, antivirusprogram og slike ting. Men det er jo et sørgelig faktum at PC´r faktisk blir bærere av både virus, trojanere og det som verre er. Og det skjer selv om folk har både software og hardware brannmur.

 

Når jeg anbefaler å bruke slike ting, så er det basert på mine erfaringer om den generelle PC-kunnskap som folk flest har. Tror ikke den jevne familiefar eller den vanlige PC-bruker gidder å sette seg så altfor mye inn i ting som pakkelogging etc. For slike skal bare maskinene fungere. Og da er det min ydmyke mening at både brannmur og antivirus bør være på plass og fungere. Det var slike tilfeller jeg baserte mine kommentarer på.

 

Når en person finner det nødvendig å spørre om NGT´s brannmur er nok - da mener iallfall jeg at det er på sin plass å anbefale både brannmur i router og gjerne også software basert brannmur. Og det sier jeg ikke for å rakke ned på noens kunnskapsnivå, men for å illustrere poenget mitt.

 

At det for noen kan være det enkleste eller greieste å kjøre hele nettverket sitt uten slik beskyttelse, se det er en annen side av denne saken. For folk flest så tror jeg uansett det vil lønne seg i lengden å ha det minimum av sikkerhet som både software og hardware kan gi.

[Never]

hm jeg blir litt betenkt ang en del av lesingen i denne tråden..(ja jeg er nok av de paranoide)

 

jeg har vært av den oppfatningen at NATing skjulte/værnet enn fra det meste av ting og tang fra inet.. hvis man bare ikke kjørte tjenester ut dvs ftp web server osv

stemmer ikke dette?

 

selv har jeg i tillegg swfw (forskjellige) på alle maskiner( kjekt å kunne stenge uønskettrafikk til div som M$?) og AV(avg) i tillegg på serven

+ at jeg bruker housecallr gjevenelig dvs 1-5 scanninger hver 14. dag alt ettersom

+ spybot

på servene finner jeg aldrig noe (win2000 server og 1 linux(test) )

men på klientene (xp) er det bare spybot som finner ting og tang..(etter surfing)

 

 

opplever systemet(lanet) mitt som "relativt" sikkert men hvor enkelt er det EGENTLIG å trenge gjennom NAT? som ikke har FW beskytelse (har slått den av)

[DidzisK]

Nei, jeg skal ikke ha firewall på min PC hjemme, det holder med antivirus.

 

Hvis jeg må konfigurere software FW på hver av 3-4 PCene mine slik at de får tillgang til nettet og alt, da blir jeg fort gærn. Nei, jeg skal ha hardware firewall, eller kanskje Linux firewall i tillegg - alt skal skje sentralt.

 

Man må være ekstremt uheldig for å få besøk av kamerat med nyeste virus akkurat før antivirus rekker å hente ned oppdatering som skal detektere dette viruset.

[GVS]

Jeg har NGT's Cisco router. Jeg har også en Draytek router med firewall, Vigor 2200we. Jeg har testet med og uten Draytek'en mot disse sidene: https://grc.com/x/ne.dll?bh0bkyd2 og http://scan.sygate.com/probe.html . Det er stor forskjell med og uten Draytek routeren, dvs at NGT routeren ikke er 100% sikker.

 

Test selv og finn ut!

[tvangsgreie]

Jeg har testet med og uten Draytek'en mot disse sidene: https://grc.com/x/ne.dll?bh0bkyd2 og http://scan.sygate.com/probe.html . Det er stor forskjell med og uten Draytek routeren, dvs at NGT routeren ikke er 100% sikker.

Svarene man får på disse testsidene er ikke spesielt gode. Sikkerheten blir egentlig ikke noe bedre av at maskinen/ruteren dropper pakken i stedet for å svare at porten ikke er åpen. Begge deler hindrer ormer og andre angrep på en service som kjører på den porten like effektivt.

[Tycho]

VELDIG ofte

De blir ikke hacket for å hente ut personlig informasjon om deg, men for å gjøre om PCen din til en drone de kan kontrollere senere.  Dette brukes til bla. DDoS angrep og til å skjule sine egne spor når de skal hacke seg vidre.

Hva er din definisjon av veldig ofte? Hvor ofte blir en gjennomsnitts norsk internettbruker hacket i løpet av et år?

Jeg tipper at de flesete får seg tilsendt et par trojaner i uka...

 

Jeg personlig får prøvd tilsendt minst 5 trojaner/viruz/osv pr dag

[znapper]

VELDIG ofte

De blir ikke hacket for å hente ut personlig informasjon om deg, men for å gjøre om PCen din til en drone de kan kontrollere senere.  Dette brukes til bla. DDoS angrep og til å skjule sine egne spor når de skal hacke seg vidre.

Hva er din definisjon av veldig ofte? Hvor ofte blir en gjennomsnitts norsk internettbruker hacket i løpet av et år?

La meg si det slik, 50% av all mail som sendes, er spam, av dette er ca 30% generert gjennom idioter som disabler brannmuren sin, samt ikke kjører noe som helst virussjekk på mail, som står å spyr ut masse spam og virus 24 timer i døgnet.

(et megabra gratis antivirus er www.avast.com)

 

I tillegg har man andre idioter igjen som er smittet fra alt fra Code red (I og II), samt Blaster og all mulig annen møkk der ute, sånne folk skulle fått inndratt modemene sine etter min mening.

 

 

Jeg har en Linux webserver stående på nextgentel sitt nett og den mottar DAGLIG over 200 forsøk på CodeRed og andre ormer. Disse ormene prøver systematisk å infisere alle ip adresser som 10.0.0*, 192.168.0.* og sitt eget subnet (nextgentel sitt), en infisert maskin prøver kontinuelig å gjøre dette og sender sansynligvis ut flere tusen request i løpet av et døgn, båndbredden dette krever, er omtrent null, da pakkene som sendes, tilsammen ikke utgjør rare greiene, så folk som mener de ikke merker noe fordi de ikke merker noe på ytelsen, bare beviser ytterligere hvor utrolig bak mål "sunnt bondevett" egentlig er i denne sammenhengen.

 

Jeg lagde også en testmail adresse og postet 3 (TRE) meldinger på news, etter 4 dager hadde mailgatewayen min stoppet ca 168 virusmail, bare fordi folk hadde LEST postingen min (og adressen blitt lagt inn i det virusinfiserte windows cachen deres).

 

Det er altså så mange idioter der ute at ISP'ene etter min mening burde vært lovpålagt å kjøre antivirus i sine egne nett og evt. sperre brukere som sprer mye dritt og ikke skjerper seg, da hadde nok 80% av all møkka forsvunnet kan jeg tenke meg.

 

Nei, la brannmuren du får fra ngt stå på, og åpne porter dersom du trenger det etterhvert, så slipper 1000 andre personer å motta masse møkk fra din pc, uten at du engang er klar over det. Nextgentels brannmur er GOD NOK som den kommer i fra dem, i motsetning hva andre tror, kommer netopia modemene (i allefall de jeg har sett) med BÅDE firewall (packetfilter) og router innebygget, så den er TRYGG og beskytter deg og nettverket ditt BRA.

Selv kun router er veldig god beskyttelse, så lenge portener som ormer bruker IKKE er NAT'te, kan heller ikke ormer el. nå din pc, veldig enkelt og greit, dette er bekreftet på no.alt.sikkerhet, og de gutta vet hva de prater om.

(hadde de sett denne tråden hadde de nok fått slag )

 

Kjør i tillegg antivirus på mail, og du vil sansynligvis ikke få noen problemer i det heletatt. (bortsett i fra at du til stadighet mottar virus i fra masse ukjente folk (egentlig folk som befannt seg i adresseboka til den virusinfiserte kameraten din), da kan det bli slitsomt å slette unna virus etterhvert, men du slipper i allefall å bli smittet.

Endret 22. mars 2004 av znapper

[znapper]

Jeg blir tilkoblet NGT om noen dager. Er det noen som vet om Brannmuren som er på ruteren gir tilstrekkelig beskyttelse, eller må jeg ha brannmur på mine PC-er og?

 

Finnes det i så tifelle noen bra gratis brannmur som jeg kan laste ned?

halla

Jeg suns det er synsykt bra jeg.

Jeg sitter uten et enste virus program og har ikke et virus eller.

Kjempe fornyd jeg.

Telenor s branmur suger noe helt jevli der kommer det alle slags virus som blaster og osv.

Så du trenger ikke noe program ikke instaler norton , leter sakt ikke noe virus program i det helle tat.

Nextgentel er det best som har hent meg.

Tror vi tralala, så har vel unngått både sven og netsky du da?

(du vet, den lille windows update mailen du fikk her om dagen, vakke windows update det vettu, det var nemlig SVEN viruset!)

 

Se å kom deg til http://housecall.trendmicro.com/housecall/start_corp.asp å få renska opp i maskinen din, din fjott, hva gjør du online egentlig??!?

[znapper]

Satte opp en ekstra maskin kun med Windows installert - frisk installasjon, med samtlige oppdateringer. Så koblet jeg den rett på nett uten noen form for brannmur eller beskyttelse. Det gikk mindre enn 1 time, så var de første ormene og trojanerne på plass!! Det sier litt om sikkerhet. Nå var ikke disse tingene spesielt destruktive, men som nevnt tidligere i tråden - så ble maskinen forsøkt tatt i bruk som "node" for utsending av både spam og flere ormer.

Akkurat dette har jeg utrolig vanskelig å forstå, jeg har hatt internett i ca 10 år nå, har aldri kjørt noe brannmur, enkelte ganger har jeg kjørt antivirus kun får å se om jeg har vært smittet, ettersom det er vanskelig å se. Men uansett logger jeg alle pakker ut så jeg kan se om det er noe mistenkelig aktivitet på linjen min. Jeg har kun engang fått et virus på pcen, det var når samboeren min åpnet et vedlegg av en venninne, et par restreksjoner på hennes bruker så er det problemet ute av verden. Så at du har klart å få virus på en pc med alle sikkerhetsoppdateringer på 1 time finner jeg utrolig lite sannsynelig, hvist du ikke har publisert ip din til noen haxor grupper med melding om at de kan kan dra til H******.

 

Sunn brukervett er det eneste du trenger, da kan du bare droppe antiviurs å firewall. Ingen er interessert å bruke tid på en vanlig brukerpc hvist alle sikkerhetsoppdateringer er installert.

Sjekk om guest er medlem av administratorgruppa du.....

 

I såfall er CodeRed ute å går...

 

Det er jo egentlig ganske komisk at du etter 10 år online enda ikke har forstått at du må sikre pc'ene dine?

 

Som regel er kun winnt/2k og winxp maskiner utsatt, win98 har ingen servicer å utnytte, så det er faktisk det eneste os'et jeg vet om som man kan sette rett ¨på nett uten å bli tatt av ormer eller hacket. (ser bort fra fildelingsblunderen win win9x nå)

[miniPax]

Dette hysteriet med at folk blir hacket er jo bare tull.

 

Hvis man har en router med NAT og et oppdatert antivirusprogram holder det lenge, og det skader heller ikke å bruke huet

Nå er vel ikke NAT i seg selv en sikkerhet mot å bli hacket da...

[znapper]

Dette hysteriet med at folk blir hacket er jo bare tull.

 

Hvis man har en router med NAT og et oppdatert antivirusprogram holder det lenge, og det skader heller ikke å bruke huet 

Nå er vel ikke NAT i seg selv en sikkerhet mot å bli hacket da...

 

Så lenge man ikke natter porter som ormer eller som fører mot kjente sikkerhetshull så...da kan heller ingen nå maskinen bak routeren.

Hvis de ikke klarer å hacke routeren din (lite sansynlig)da

 

Men det krever jo en mann som ikke vet hva windows update er (evt linux errata) også da for å faktisk bli hacket på servicer man Natter til, da burde folk være våkne nok til å holde systemene oppdaterte.

 

(men problemet er som regel ikke disse, men "hvermannsen" med bredbånd og null peil, åpner allt av vedlegg og vet ikke hva sikkerhet er i det heletatt)

Endret 22. mars 2004 av znapper