Hjemme PC på lille netværk

Jeg har installeret en personlig firewall. Hvad skal jeg vide?

Det lyder banalt, men læs manualen og gå alle menu- og opsætningspunkter i programmet igennem. Hvis det er mere end et par punkter brugeren ikke forstår, selv efter at have læst manualen bør han eller hun overveje at fjerne programmet igen. Som nævnt tidligere giver en firewall ikke "sikkerhed" -- den håndhæver blot nogle regler, og hvis brugeren ikke har fuld forståelse for hvordan programmet virker, er det ikke til gavn.

Når email afleveres af f.eks. Outlook til en SMTP-server, vil denne SMTP-server ofte forsøge at skabe forbindelse til port 113 (auth) på den maskine som afleverer posten. Hvis den personlige firewall afviser alle SYN-pakker uden at sende en RST-pakke tilbage vil SMTP-serveren vente op til et par minutter før den fortsætter med SMTP-samtalen. Sæt firewallen til at sende et RST-svar tilbage på forbindelsesforsøg for at undgå denne ventetid.

FTP kan give problemer. I aktiv tilstand virker FTP ved at klienten skaber en kommando forbindelse til serveren på port 20. Når klienten så ønsker at hente eller sende en fil, sendes en instruktion til FTP-serveren om at oprette en forbindelse tilbage til den forespørgende maskine. Her tager klienten så imod. I tilfælde hvor en er firewall installeret vil dette forbindelsesforsøg naturligvis blive afvist. Løsningen er at bruge passiv FTP.

DNS pakker kan til tider også blive blokeret af personlige firewalls således at navneopslag ikke virker og Internetforbindelsen dermed er ubrugelig. DHCP bruges til at uddele IP adresser i dynamiske miljøer som f.eks. et ADSL netværk. Når DHCP klienten beder om en IP adresse kan svaret blive blokeret af den personlige firewall og uden en IP adresse kan din maskine ikke bruges til Internet kommunikation. Det er muligt at din firewall ikke når at starte op ved opstarten hvorfor DHCP forespørgselen går igennem. Når IP adressen så skal fornyes kan DHCP serveren ikke sende svaret til din DHCP klient og derfor mistes adgang til Internettet også i dette tilfælde.

Denne slags angreb kaldes normalt "denial of service", men det er i dette tilfælde blot mangel på forståelse hos maskinens ejer.

Et andet problem med personlige firewalls er, at de bliver startet af brugeren som et almindeligt program. Dette betyder at onde programmer skrevet bestemt til formålet kan ændre den personlige firewall i hukommelsen, lukke den helt, osv. Dette er især et problem hvis der benyttes et operativsystem uden en sikkerhedsmodel (eller en trusted computing base), da et ondt program også vil kunne manipulere med filerne som den personlige firewall har brug for.

Det er også blevet påvist, at ved at benytte en anden TCP/IP stack (netværkskomponent) i Windows kan det lade sig gøre at både sende og modtage IP pakker uden at de fleste personlige firewalls kan forhindre eller opdage det.

En bedre løsning ville være at starte firewallen som administrator (eller bruge en indbygget) og derefter logge ind som almindelig bruger der ikke har adgang til at påvirke filer uden for hans eller hendes hjemmebibliotek.

Hvad betyder logbeskederne fra min firewall?

Uden at have set dem kan vi ikke give tekniske detajler, men beskederne betyder at en computer sendte en IP pakke til din computer, og denne pakke er blevet stoppet af din firewall. Alt virker som det skal. Uheldigvis nævnes der ofte ord som "trojan" som virker skræmmende hvis man ikke helt forstår hvad der sker.

Disse forbindelser udefra kan skyldes mange ting. Hvis der kun kommer ganske få fra en IP adresse, kan det være tastefejl begået af et menneske. Hvis de kommer regelmæssigt hver dag kan det være at nogen har sat et automatiseret program forkert op. Hvis der kommer et betydeligt antal pakker er det muligt at nogen scanner din IP adresse efter kendte sikkerhedshuller. I de fleste tilfælde drejer det sig om porte som ikke ville have været aktive, og derfor var der intet sket selvom du ikke havde en firewall.

Scans efter Back Orifice, SubSeven, Netbus, osv ville også kun have en negativ effekt hvis du var blevet narret til at installere dette program, og hvis det er sket, bør du straks udsætte din sult efter viden om firewalls for i stedet at bruge tiden på at forstå gode vaner på nettet.

Der drages ofte uhensigtsmæssige sammenligninger mellem Internettet og den virkelige verden i et forsøg på at forklare ikke-tekniske personer hvad der egentlig sker. En af de mest populære af disse er, at sammenligne det at sende bestemte IP pakker med en indbrudstyv der hiver i din hoveddør. Sådan en sammenligning er direkte fjollet, og jeg vil bruge et eksempel for at understrege min pointe.

Du sidder en varm søndag eftermiddag i dit køkken og kigger ud af vinduet mens der drikkes eftermiddagskaffe i rigelige mængder. Du ser nu en bil komme kørende langsomt ned ad gaden hvorefter den holder ind til siden på den anden siden af gaden. Efter at have holdt der et minut kører den langsomt videre.

Ville du med det samme tro, at det var en indbrudstyv? Chaufføren kunne være kørt forkert, det kunne være et kærestepar som var ude at se på hus, osv. Du kunne umuligt vide noget med sikkerhed. Hvis du ringede til politiet fordi du havde set en bil køre langsomt ned af gaden ville de bede dig lade være med at spilde deres tid.

Hvis din firewall brokker sig er det fordi pakken er blevet stoppet, og der er derfor ingen grund til at spekulere mere over det. Nyd evt. en plade mørk chokolade i stedet. Lys chokolade er intet værd.

Hvis du endelig vil bruge tid på at tolke dem bør du tage dig tid til at forstå hvad der sker. Din firewall fanger nemlig kun det, som hedder SYN-pakken, hvilket ikke på nogen måde er nok til at afgøre afsenderens hensigt. Yderligere kan SYN-pakker uden problemer spoofes således der kommer alarmer i din firewall log fra IP adresser der aldrig har forsøgt at skabe forbindelse til din maskine. Lidt basal viden om TCP/IP hjælper:

Du kan finde andet hjælp på disse engelsksprogede sider:

Hvordan skal jeg reagere på disse beskeder?

Det skal du ikke nødvendigvis. Hvis du er i tvivl om deres betydning, kan du ikke gøre noget ved det alligevel, og når du har fået en forståelse for betydningen, vil du med stor sandsynlighed indse, at de ikke gør noget.

Med viden nok om TCP/IP til at forstå hvad der sker, kan der komme en naturlig interesse for at hjælpe den stakkels person der har sat et automatisk værktøj forkert op, eller for at få en ISP til at kigge nærmere på hvorfor en af deres maskiner sidder og scanner dig. CERT Coordination Center har en beskrivelse af hvordan man rækker ud og skaber kontakt med ejeren af det netværk hvor uønsket aktivitet stammer fra.

Hvis du er i tvivl om betydningen af en besked i dine logfiler, eller du ikke ved præcist hvordan du kontakter ejeren af en IP adresse bør du se bort fra logfilerne og bruge tiden på noget andet.

Jeg har et trådløst netværk. Hvad skal jeg vide?

Trådløse netværk er meget brugervenlige. Det er rart at kunne synce sin telefon eller PDA uden at skulle rode efter et kabel, og det er rart at kunne sætte sig ud på terrassen og nyde Danmarks smukke sensommer med sin laptop og et glas rødvin.

Navnet på det mest udbredte trådløse netværk til PC'er er i 802.11- Faktisk er der en familie af standarder under det navn, og de har hver især et lille bogstav efter 802.11. Der findes andre standarder som f.eks. Bluetooth.

802.11 netværk bør benytte WPA2 kryptering med AES til at beskytte trafik der flyver gennem luften.

Det giver ingen nævneværdige sikkerhedsfordele at benytte sig af følgende:

Vælg et SSID dine naboer sandsynligvis ikke ville vælge ('linksys', 'default' og 'home' findes over alt). Lad være med at vælge personlige oplysninger som f.eks. dit navn. Forfatteren har gadenavn og husnummer som SSID i sit AP.

Hvilket program eller server benytter port X?

IANA vedligeholder listen over registrerede TCP og UDP porte. Alene baseret på portnummeret er det ikke muligt at fastslå hvilken slags trafik, du har modtaget, eller hvilket program der afsendte den. For at kunne fastslå den slags er det nødvendigt at opsnappe trafikken med en netværkssniffer.

Du kan konsultere Incidents.org eller Dshield.org hvis du mistænker at trafikken er en type angreb. De har flotte grafer over hvilken slags angreb der er populære for tiden.