Brannmur

[la-luva]

Trenger jeg og innstallere brannmur på pc,ene mine når jeg har en router med innebygd brannmur?

Routeren er en SMC 7004abr.

[DarkKing888]

du bør ha...

[fondus]

Firewall er etter min mening ingen vits for private brukere uten noe spesiell hemmelig informasjon på pc-en sin. når du har innebygget firewall i routeren din, burde dette være mer enn nok.

[DanteUseless]

Det fine med enkelte software firewalls er at man i tillegg kan styre hva som går ut ifra pc'en.

Spesielt hendig for de av oss som er litt kontrollfreaks =)

Men strengt tatt.. firewall på pc når routern din har, kan være overkill. Avhengig av hvor god firewallen til routern din er =)

 

-Dante

[Spenol]

Quote:

Den 2002-08-01 23:26, fondus skrev: Firewall er etter min mening ingen vits for private brukere uten noe spesiell hemmelig informasjon på pc-en sin. når du har innebygget firewall i routeren din, burde dette være mer enn nok.

 

Kan du nok til å komme med en slik uttalelse?

[bidz]

Quote:

Den 2002-08-02 00:25, Spenol skrev: Quote: Den 2002-08-01 23:26, fondus skrev: Firewall er etter min mening ingen vits for private brukere uten noe spesiell hemmelig informasjon på pc-en sin. når du har innebygget firewall i routeren din, burde dette være mer enn nok.   Kan du nok til å komme med en slik uttalelse?

 

 

Kan du nok til og komme med en motsigelse mot en slik uttalelse?

[Killer_DT]

Kan dere begge nok til å motsi hverandre?

[Dan Hansen]

Forhåpentligvis, det er da det blir diskusjon

[Photons]

Hehe!

 

Men seriøst, firewall'en i ruteren holder bare ikke. Snakker av erfaring. En kollega har satt en Linux-maskin (med ip-cop OS) til å logge all trafikk mellom nettet og PC-en sin, og da fikk han seg en negativ overraskelse. Ser ofte at det er folk som prøver å komme inn på maskinen - særlig FTP'en.

 

Det beviser at ruteren og den såkalte "firewall'en" ikke holder. Hvis man kan programmere Cisco, så kan man jo stenge av de "farlige" portene, men for en vanlig bruker er det lettest å installere en (gratis) firewall.

[DanteUseless]

Hm...

Har aldri testet slike hardware-"routere" m/ firewall. (Kjører bestandig heller box med NAT/Masq)

 

Så.. *mental note: Stol ikke på hardware-firewall-med-default-config* =)

 

Men jeg må da tro at dette avhenger veldig ifra produsent til produsent.

 

Til sistnevnte:

Var det konsekvente porter som var åpne? Og i så fall, hvordan kom ip-pakkene gjennom firewallen og nådde en maskin som sansynligvis hadde "privat-ip"?

Kunne det vært i sammenheng med "connection tracking"?

 

-Dante

[Dan Hansen]

Ulempen er som regel at dersom du kjøpte ruteren for f.eks 3 år siden sitter du i praksis med en 3 år gammel firewall.

 

Dersom disse kan oppgraderes er det greit å bruke den som er innebygd i ruteren - men kan den ikke bør en egen firewall settes opp.

 

Ellers er det ikke å anbefale å installere softwarebasert firewall siden vedkommende inntrenger da allerede er inne i maskinen før han stanses.

[Photons]

Quote:

Den 2002-08-02 08:57, 4-Dante skrev: Til sistnevnte: Var det konsekvente porter som var åpne? Og i så fall, hvordan kom ip-pakkene gjennom firewallen og nådde en maskin som sansynligvis hadde "privat-ip"? Kunne det vært i sammenheng med "connection tracking"?

Det er NAT'ing i ruteren som gjør at PING-pakker osv. når PC-er inne i LAN'et (bak ruteren/firewall'en). Hvilke porter som var åpne på ruteren, har jeg ikke oversikt over - men han har ikke åpnet for mer enn FTP-porten fra han fikk ruteren.

[Photons]

Quote:

Den 2002-08-02 09:01, Dan Hansen skrev: Ellers er det ikke å anbefale å installere softwarebasert firewall siden vedkommende inntrenger da allerede er inne i maskinen før han stanses.

Hmmm! Mener du det altså?

"Inntrengeren" er jo ikke inne på maskinen før du evt. gir han lov til å koble mot en port på PC-en. Firewall'en (hvis den er konfigurert riktig) skal enten spørre deg om du ønsker at en ekstern IP skal få lov til å koble mot PC-en, eller bare ignorere slike forespørsler! For det som skjer er at "hackeren's" PC sender en forespørsel til PC-en din om å koble sammen... Right?

 

Men det er sant; Bedre med en egen PC som står som firewall/ruter enn å ha Firewall'en på PC-en som skal beskyttes!

 

_________________

- mOdEtWo -

 

[ Denne Melding var redigert av: mOdEtWo på 2002-08-02 09:08 ]

[DanteUseless]

Quote:

Den 2002-08-02 09:03, mOdEtWo skrev: Quote: Den 2002-08-02 08:57, 4-Dante skrev: Til sistnevnte: Var det konsekvente porter som var åpne? Og i så fall, hvordan kom ip-pakkene gjennom firewallen og nådde en maskin som sansynligvis hadde "privat-ip"? Kunne det vært i sammenheng med "connection tracking"? Det er NAT'ing i ruteren som gjør at PING-pakker osv. når PC-er inne i LAN'et (bak ruteren/firewall'en). Hvilke porter som var åpne på ruteren, har jeg ikke oversikt over - men han har ikke åpnet for mer enn FTP-porten fra han fikk ruteren.

 

Vet godt hvordan NAT fungerer. Problemet er at ved vanlig n:1 NAT så er det _veldig_ vanskelig å vite hvilken maskin som skal få den riktige pakken som kommer til NAT/Firewallen.

Det er der connection tracking kommer inn med at firewallen er såpass smart at den følger med hva hvilken maskin inne på nettverket gjør hva. Et klart eksempel på dette er ved bruk av ftp. Passiv vs aktiv.

 

Og strengt tatt.. hvis en ping pakke kommer seg gjennom firewallen (som NAT'er n:1, ikke 1:1) til en maskin så kunne aldri jeg tenkt meg å bruke denne =)

 

-Dante

[Photons]

Sant Dante! Er ikke selv noen durkdreven hacker, så hvordan de løser det med NAT'inga - vet jeg ikke...

 

Men ja, en PING-pakke kommer seg igjennom NGT-ruteren/firewall'en - noe som gjør den dårlig egnet som firewall.

 

Hele poenget er jo å "gjemme" seg så hackeren ikke "finner" deg... :razz:

[DanteUseless]

Hihi.. så sant så sant =)

Men glem nå ikke at hacker er et postivt utrykk.

Du må ikke forveksle hacker vs cracker =)

("whitehat" vs "blackhat", og noen midt i mellom;)

 

-Dante

[Photons]

Jeg vet! Hehe...

Er blitt så påvirket av media desverre - der er jo hacking en 'negativ' ting... :wink:

[Spenol]

Quote:

Den 2002-08-02 00:28, bidz skrev: Kan du nok til og komme med en motsigelse mot en slik uttalelse?

 

Det skal ikke mye til. Klarer du å skrive '<ip-adressen til en eller annen gauk på IRC>'? Da har du brutt deg inn på en Windows 9x-maskin med fildeling og ingen passordbeskyttelse. Hvis du også klarer å starte en bruteforce-cracker, har du brutt deg inn på en Windows-maskin med fildeling OG passordbeskyttelse. Hvis du i tillegg greier å lese bugtraq, og finne en exploit til et program som bruker en åpen port på maskinen du nettopp scannet, da har du gjerne brutt deg inn på en maskin som ikke bruker SMB-fildeling i det hele tatt. Hvis gauken du prøver å hacke ikke har noen åpner porter, fordi han har installert en brannmur, da har du et problem.

 

Veldig mange privatpersoner har verdifulle data på PC-en sin: Epost-konversasjoner i forbindelse med jobb, bilder av minnerike hendelser, viktige passord, og dokumenter av forskjellig slag.

 

For noe tull dette "brannmur" er!

[vwik]

De flste H/W NAT router / firewalls har default config: "slipp all trafikk ut" og "slipp ingen trafikk inn".

 

Så lenge du ikke forwarder masse porter til PC'n bak ruter'n trenger du ikke ekstra brannmur på PC'n for å beskytte mot innkommende trafikk.

 

Derimot finnes det så mye spyware og trojaner og drit at det kan være kjekt å ha en software brannmur for å passe på trafikk som går UT fra PC'n.

[teddy]

Vil bare si at det skader ikke å benytte en software firewall, jeg har benyttet meg av Zonealarm og er godt fornøyd med den. Har du stående en gammel 486 eller pentium maskin som ikke er til annen nytte, så annbefaler jeg smoothwall. Den kan lastes ned fra : http://www.smoothwall.org har benyttet den i ca 1,5 år og er meget godt fornøyd med den. At behovet for firewall for oss private, vil jeg påstå bekreftes av firewall loggen på min smoothwall. Til slutt har jeg en link for å teste hvor sårbar din maskin er : http://www.grc.com og prøv "test my shield" og " probe my ports" Anbefales !

mvh

Terje