Åbne porte på routere.....

[Guest Supermule]

Nogen der har erfaring med div. porte og deres brug... Her tænker jeg lidt på porte der kun bliver brugt af specifikke programmer og apps...

[Malezar 10]

Lidt nat nat læsning til dig. http://www.iana.org/assignments/port-numbers hvad vil du ellers vide?

[thomas_lund 10]

Skyd løs - har en del erfaring i den slags

[Guest Supermule]

Jeg ville bare lige høre om der var nogle der lå inde med viden omkring hvilke programmer der bruger hvilke porte... Vi har nemlig fået internet i foreningen og det er mig der står som admin på it fronten.... :) Som sagt er det ikke fordi jeg ikke kan finde ud af det, men f.eks bruger RTP port 5004. Istedetfor at definere 50000000 regler, såhar jeg kun åbnet for trafik på kendte porte... Lidt nemmere at administrere. Resten er block'ed.... Og jeg ville jo gerne undgå at folk ikke kunne bruge deres progremmer og andre finurligheder fordi jeg har lukket for det varme vand....

[Furland 10]

Det er jo umligt at sige hvilke kendte porte der findes, da mange spil f.eks. jo kører på vidt forskellige porte, tager du så IRC og andet administrativt software, så kan jeg kun anbefale dig én vej frem; Brugeren er selv ansvarlig for at undersøg hvilke porte der behøves til netop hans program, hvilket han mailer til dig... Meget, meget firkantet, men når du kører en så stram policy er det jo nemmere for dig...

[Guest Supermule]

Ja du har sgu nok ret. Jeg gider bare ikke at forbindelsen bliver langsom grundet alt muligt crap og gøjl, folk har liggende latent på deres pc'ere... Så bliver det sgu så'n.... :)

[willerup 0]

Vi har nemlig fået internet i foreningen og det er mig der står som admin på it fronten.... :)

he he - Mr. sysadmin:-)) Tillykke med jobbet, og håber ikke at "dine brugere" er sådan nogen der klikker på at hvad de får i indbakken...

[Gio 23]

he he - Mr. sysadmin:-)) Tillykke med jobbet' date=' og håber ikke at "dine brugere" er sådan nogen der klikker på at hvad de får i indbakken...[/quote']Ja..."tillykke" med jobbet, S´mule. Glæd dig til dine brugere begynder at udforske nettets muligheder, og pludselig ikke kan forstå at deres båndbredde forsvinder....som i det her tilfælde (...som var en maskine jeg rensede op i for et stykke tid siden) Læg mærke til den korte tid den har været online - og tjek så det antal pakker!! Så tror pokker fyren havde problemer *LOL*

[thomas_lund 10]

Normale programmer er typisk ikke problemet - 1 eller 2 porte. Men nogle spil er svin, og skal have åbnet for 65000 porte op mod hele C-klasser af IP

[Guest jxhab]

Hvis du bare skal holde dig til de gængse så er det jo nok med følgende: 80 tcp, 443tcp, 25tcp, 20-21tcp, 110tcp Så kan folk surfe, sende mails, bruge ftp og hente deres mail. (ingen vpn osv). Skal de også kunne streame og dette ikke sker over port 80 (http), så skal du åbne for de enkelte streaming protokoller, disse kan variere meget. Men kig lidt på den der port liste der blevet postet tidligere. Men ovenstående er absolut minimum og hvis folk ikke skal bruge SSL (netbanker osv), så kan du skippe port 443tcp. Men husk på at fordi du spærre for portene, så betyder det ikke at trafikken ikke kommer ud. Jeg kan jo godt få noget bestemt trafik til at komme igennem portene hvis de er åbne. Men så skal du kigge på noget mere avanceret udstyr og jeg ved ikke hvor meget behov eller tid der er for det. Ellers skal du over og kigge i noget IDS/IPS eller applikationsstyrret firewall og det er nok lidt overkill. Som Thomas er inde på, så er spillene den absolutte synder, fordi de kører på dynamiske porte, så kræver de typisk at man åbner for et range af porte.

[Guest jxhab]

Læg mærke til den korte tid den har været online - og tjek så det antal pakker!! Så tror pokker fyren havde problemer *LOL*

Avs. Ligner noget vira, orme halløj.

[Gio 23]

Avs. Ligner noget vira' date=' orme halløj.[/quote']En trojansk hest der havde "sneget" sig ind (læs: LAD VÆRE med at klikke ja på skumle sider/pop-ups! *gg*) Denne manifesterede sig så i at maskinen blev trigget til at udføre et DDoS-angreb mod en række servere. Deraf de MANGE små pakker. Jeg har endnu ikke set noget lignende på en anden maskine. Er du GAL der var knald på!

[Guest jxhab]

En trojansk hest der havde "sneget" sig ind (læs: LAD VÆRE med at klikke ja på skumle sider/pop-ups! *gg*) Denne manifesterede sig så i at maskinen blev trigget til at udføre et DDoS-angreb mod en række servere. Deraf de MANGE små pakker. Jeg har endnu ikke set noget lignende på en anden maskine. Er du GAL der var knald på!

Avs ja det kan gå galt når små drenge fra østeuropa får adgang til dårligt sikrede maskiner. Jeg mindes et angreb på 650mbit på en core router fra xs4all.nl .. av av

[Kasper 10]

Åben for alt, indefra og ud. Det må være op til folk selv at sikre deres pc'er. spær evt. for smtp port 25. så ryger I ikke i orbs fra første dag ;o) Alt andet vil give dig mere arbejde/bøvl end du ønsker.

[willerup 0]

Åben for alt, indefra og ud. Det må være op til folk selv at sikre deres pc'er. spær evt. for smtp port 25. så ryger I ikke i orbs fra første dag ;o) Alt andet vil give dig mere arbejde/bøvl end du ønsker.

Det er vist "frisk fyr" metoden:-)

[Guest Supermule]

Jeg har valgt den omvendte... Ganske enkelt af den årsag, at vi skal passe på med hvilken trafik der er på forbindelsen, samt det faktum at vira, spyware osv sænker hastigheden betragteligt... Så derfor er der kun åbnet for porte der er relevante.

[Guest jxhab]

Jeg har valgt den omvendte... Ganske enkelt af den årsag, at vi skal passe på med hvilken trafik der er på forbindelsen, samt det faktum at vira, spyware osv sænker hastigheden betragteligt... Så derfor er der kun åbnet for porte der er relevante.

Set ud fra et It-sikkerhedsperspektiv, er dette også det bedste. Det er langt nemmere at være restriktiv fra start af og så åbne op efter behov end det er at åbne op for alt og derefter forsøge at lukke kritiske porte.

[molnartos 0]

Åben for alt, indefra og ud. Det må være op til folk selv at sikre deres pc'er. spær evt. for smtp port 25. så ryger I ikke i orbs fra første dag ;o) Alt andet vil give dig mere arbejde/bøvl end du ønsker.

Det er også det man kalder for Microsoft metoden...:D Den omvendte situation kaldes cisco metoden og er MEGET mere sikker men dog også mere tidskrævende... Hvis man f.eks skal sætte en PIX op så åbner man ikke for ALT og så lukker porte hen ad vejen...

[Guest jxhab]

Det er også det man kalder for Microsoft metoden...:D Den omvendte situation kaldes cisco metoden og er MEGET mere sikker men dog også mere tidskrævende... Hvis man f.eks skal sætte en PIX op så åbner man ikke for ALT og så lukker porte hen ad vejen...

Mjah ikke nødvendigvis Cisco.. Måske bare almen it-sikkerhed :) Micrsofts sikkerhedsanvisninger skal man i hvert fald ikke følge det er helt sikkert. Jeg mener i øvrigt det var et af Microsofts sikkerhedsråd at man skulle skrive tilbage til eventuelle spammere at man ikke ville have spam, eller sådan noget.. Udover det ville man da aldrig sætte en PIX op.. Den kan ikke bruges til andet end bogstøtte.. :P

[Guest ThomasO]

Det er nok heller ikke nogen dårlig ide, at lige lave en generel vejledning i elementær brugersikkerhed for dine fremtidige brugere. Skrevet i klart og uteknisk sprog. Eks. vedr at sikkerhedsopdatere deres operativsystem, antivirus, og anvende minimum windows firewall, (og evt en ekstra fra Zonealarm, Tiny, McAfee eller andet) samt at melde hvis de har problemer med eks hjemmearbejde via VPN m.v. Sommetider skal folk også remote andre maskiner via et consol, VNC eller lign, der må de enten anvende en anden port eller du må åbne programmets default port. Men husk at give folk info så de har en chance for at læse det elementære inden de spørger, ellers risikerer du at sidde og køre helpdesk for folk - hver dag lige fra fyraften til sengetid.

[Guest jxhab]

Det er nok heller ikke nogen dårlig ide' date= at lige lave en generel vejledning i elementær brugersikkerhed for dine fremtidige brugere. Skrevet i klart og uteknisk sprog. Eks. vedr at sikkerhedsopdatere deres operativsystem, antivirus, og anvende minimum windows firewall, (og evt en ekstra fra Zonealarm, Tiny, McAfee eller andet) samt at melde hvis de har problemer med eks hjemmearbejde via VPN m.v. Sommetider skal folk også remote andre maskiner via et consol, VNC eller lign, der må de enten anvende en anden port eller du må åbne programmets default port. Men husk at give folk info så de har en chance for at læse det elementære inden de spørger, ellers risikerer du at sidde og køre helpdesk for folk - hver dag lige fra fyraften til sengetid.

Helt Enig med Thomas, så det er nok også et spørgsmål om hvor meget du gider gøre ud af det ..

[Guest ThomasO]

He he he .. jo men jeg kender brugere... når nu det ikke lige virker.... Så ville det jo være rart at have lidt elementær info de kunne støtte sig til. Den kan samtidigt fraskrive admin for ansvaret for at nogen bliver hacket, hvis ikke de selv opfylder bare lidt af det basale. Bare en ide.... :)

[Guest Supermule]

Tak. Skriver en med det samme....

[Kasper 10]

I en virksomhed ville jeg også kun åbne for det "nødvendige". Men til privatbrug må det være op til den enkelte bruger. På samme måde som alle andre bbb/adsl kunder. Men spændende når supermules nabo surfer efter børneporne og siger det må være genboen ;)

[Guest Supermule]

Vi kører med fast IP internt på lan'et og ingen DHCP. Desuden er switch'en konfigureret til at håndtere én mac adresse pr IP.