Firewall i modem undervurdert?

[pcp160]

Hei.

Jeg har 3 forskjellige pc'er som alle er koblet trådløst til nettet via et accesspoint og en Thomson speedtuch 510i router/modem.

Idag prøvde jeg for morro skyld å teste sikkerheten på Symatech's (Norton) hjemmeside.testet på alle de 3 forskjellige maskinene, fordi alle har foskjellige sikkerhetsprogrammer.

For å gjøre en lang historie kort var det som overasket meg at med firewall i modem på (defoult) var sikkerheten like god på min gamle laptop uten noe som helst sikkerhetsprogrammer innstalert og med XP uten servicepacks, som på "hovemaskinen" med full Norton internetsecurity 04 innstalert og på.

 

Det som overasket enda mer var at når jeg så gikk inn og skrudde av firewallen i modemet, falt naturlig nok sikkerheten betraktelig på laptopen (som da var helt uten noe sikkerhet). Men heller ikke "hovedmaskinen" med Nortons firewall kom særlig godt ut på denne testen...

 

Jeg synes disse resultatene overasker litt, hører liksom ikke mye snakk om firewallen i modem sånn til daglig, og jeg trodde Norton software ville gi større sikkerhet (i alle fall på Nortons egen test..)

 

Jeg vil legge til at dette ikke er snakk om en maskin som har vært surfet i "hytt og pine" i lang tid. Ganske clean install, alle innstillinger i Norton er originale eller strengere, og reklameblokkering og alt annet fungerer tilsynelatende veldig bra.

 

 

Er det noen som har noen komentarer til dette, eller er det bare min uvitenhet som gjør meg overasket?

[jevel]

Disse online sikkerhetssjekkene er ikke verdt så mye da de kun sjekker "ytterste" enhet i nettet ditt og dermed sier nada om sikkerhetsnivået på akkurat den maskinen du befinner deg på.

 

Grunnen til at man alltid skal kjøre en lokal brannmur i tillegg til NATløsningen i en evt. router er at man skal begrense skaden hvis et agrep faktisk slår seg gjennom denne. Uten vil man da være helt åpen og et lett bytte.

 

-KJ

Endret 2. desember 2004 av jevel

[pcp160]

jevel Skrevet 02/12/2004 : 18:53

Grunnen til at man alltid skal kjøre en lokal brannmur i tillegg til NATløsningen i en evt. router er at man skal begrense skaden hvis et agrep faktisk slår seg gjennom denne. Uten vil man da være helt åpen og et lett bytte.

 

-KJ

 

Jeg skjønner, så når folk anbefaler og ikke ha mer enn 1 brannmur på, er ikke det helt riktig altså..?

 

Slik jeg forstår det er det riktig å ha kun 1 software brannmur, men da sammen med den i modem på?

 

Det jeg registrerte skjedde med "bare" Norton brannmur, var at ingen porter var helt åpne, men en del av dem var "synlige", mens de ble "usynlige med brannmur i modem på.

[jevel]

Det er ikke noe problem å kjøre to brannmurer "i serie". Problemet kommer når / hvis man installerer flere brannmurprogrammer som prøver å få kontroll over de samme ressursene på samme maskin.

 

Nå vet jeg veldig lite om hvordan din maskin er satt opp, men regner med at de portene du ser som "levende" er porter du har valgt å åpne selv, f.eks. for bruk med P2P programvare eller andre programmer som har serverfunksjon. Så hvis du hadde valgt å blokkere alle porter ville nok Norton Internet Security ha fått akkurat samme "karakter" som routeren.

 

Modemet (eller routeren som det egentlig er) har sannsynligvis blokkert alle porter fra lavt til et stykke opp. Dette er for å forhindre adgang til de aller vanligste sikkerhetshullene i programvare / OS.

 

Det eneste testen gjør er å lete gjennom en gitt mengde porter på din maskin / router for å se om den finner noen som svarer eller er åpne. Finner den det har den bevis for at det er en PC på den adressen det gjelder, og dermed er maskinen i teorien "compromised" ovenfor en tenkt angriper. Den beste sikkerheten får du nemlig gjennom å ikke avsløre at du finnes i det heletatt.

 

Hvis du har slått på UPnP både på PC og i routeren så vil dette føre til at programmer på maskinene kan åpne porter midlertidig for å betjene de behov de har for direktetilgang. Dette er imidlertid noe omstridt med hensyn til sikkerhet. Anbefaler at du leser litt om dette før du slår det på.

 

Hvis du er interessert i en "skikkelig" brannmur anbefaler jeg at du leser litt om tema som f.eks. Cisco PIX, Stateful Packet Inspection og IPchains. Bruker selv en Cisco PIX 506E, noe som gir meg full kontroll over hva som skal gå ut og inn, samt at jeg har VPN kapabilitet direkte i boksen.

[pcp160]

Supert! takk for grundig svar jevel

 

Jeg er vel (som de fleste de fleste uvitende) av den oppfatning at jeg er ganske godt sikret...

Jeg er "usynelig" når alt er på, ifølge den kanskje ikke alt for bra testen that is, da.

 

Og som du sier, hare jeg jo gitt enkelte programmer "tilgang" i Norton, så det er sikkert derfor resultatet ble litt annerledes.

 

Prøver igrunn bare å lære meg litt mer om hvordan det fungerer det hele (Norton\firewalls osv) så takker for god forklaring.