Mcaffee firewall + Novell Netværk

396/tcp Novell Netware over IP
396/udp Novell Netware over IP
1366/tcp Novell NetWare Comm Service Platform
1366/udp Novell NetWare Comm Service Platform
1416/tcp Novell LU6.2
1416/udp Novell LU6.2

Når ovenstående så er sagt, så er en personlig firewall en dårlig ide på et netværk. Brug en ordentlig firewall, der giver beskyttelse på netværks niveau

Manglede lige

213/tcp IPX
213/udp IPX

Jeg er fuldstændig enig i at en personlig firewall er en dårlig ide på et netværk. Pcén er til en hjemmearbejdsplads som via ISDN forbindelse logger på Novell netværk.

Men jeg prøver lige din anvisning i morgen. Og er det muligt med en Mcaffee firewall at definere hver port med nævnte protocoller ???

Det må jeg inrømme at jeg ikke ved, har du kikket i dokumentationen

De fleste firewalls, i hvert fall av "personal typen" de virker jo i utgangspunktet som "enveisventiler". "Normalt" så skal det vel ikke være behov for å åpne noen porter for å oppnå forbindelse ut.

For en del personal firewalls så er det slik at man må åpne for trafikk ut ikke for en port eller en serie porter men for et prosessnavn eller event et prosessnummer. Ut i fa dette så kan firewall i noen grad holde styr på returtrafikken i forhold til trafikken ut. (Prinsipp a la Zone alarm.)

Her er det vel kanskje slik at måten som de forskjellige protokollene komuniserer på er litt forskjellige slik at firewalls ofte klarer greit å åpne for returtrafikken for tcp men kanskje ikke for udp. Ville tro at prblemstillingen for Novell tilkoplingen ligger innfor udp problematikken med ref til det som står over. (Har ellers ingen peiling på eller noen ide om hvilke porter Novell kjører på.)

Dersom man lager en sårbarhetsscan i forhold til en "standard" Windows 2000/XP så vil man se at alle risikofaktorene primært sett ligger innefor tcp protokoll området. Ingen av disse risikofaktorene eller sårbarhetene på en stansdard windows installasjon ligger innefor udp protokol området. (Med mindre man skulle ha fått etterinstallert spesiell software.)

Dersom man aktiviserer det innebygde pakkefiltert i Windows uten å spesifisere noe mere enn det så mister man vel vanligvis forbindelsen ut. Dette skyldes at pakkefiltret til Win  XP/2000 er bygget opp etter "enveisventil" prinsippet, dvs full åpning ut og ingen åpning inn. For tcp protokollen så fungerer dette slik som det skal. For udp protokollen så fungerer det ikke. Dette vil vel så si at dns resolvingen/server oppslagene ikke fungerer, den klarer ikke å åpne for returen av requestene. Løsningen er at man kan sette tcp protokollen som lukket, dvs bare åpen for trafikk ut. Pakkefiltret til windows vil så holde styr på returtrafikken og åpne dynamisk etter behov. Dette klarer den ikke for UDP. Derfor så må udp protokollen settes åpne inn, dvs begge veier.

Man kan godt også spesifisere at det bare er udp og tcp som er tillatte protokoller. Microsoft har et litt spesielt oppsett ved at man må spsifisere protokoll nummer i stedet for navn:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This file contains the Internet protocols as defined by RFC 1700
# (Assigned Numbers).
#
# Format:
#
# <protocol name>  <assigned number>  [aliases...]  [#<comment>]

ip      0    IP      # Internet protocol
icmp    1    ICMP    # Internet control message protocol
ggp      3    GGP      # Gateway-gateway protocol
tcp      6    TCP      # Transmission control protocol
egp      8    EGP      # Exterior gateway protocol
pup      12    PUP      # PARC universal packet protocol
udp      17    UDP      # User datagram protocol
hmp      20    HMP      # Host monitoring protocol
xns-idp  22    XNS-IDP  # Xerox NS IDP
rdp      27    RDP      # "reliable datagram" protocol
rvd      66    RVD      # MIT remote virtual disk

Tror at den samme problemstillingen må gjelde for pålogging på novell som for ved vanlig surfing via web browser, den klarer å holde styr på tcp men ikke udp. Løsningen blir den samme, lukk for alle tcp og åpne for alle udp.

Ettersom det normalt ikke finnes noen udp server funsjoner på en Windows maskin mens alle tcp servicene kjører med full beskyttelse så vil dette si det samme som at man i utgangspunktet har en noenlunde beskyttelse for de praktiske angrep som "normalt" kan forekomme utenfra.

For 2000/server/workstation/XP: My network places -> properties -> properties -> Internet-Protokol TCP/IP -> Properties -> Advanced -> Options -> TCP/IP Filtering -> Properties.

Merk av for "enable".
Merk av for permit only og så ingen ting mere.
Merk av for permit all for udp.
Merk eventuelt også for protokollnummer 6 og 17.

Det kan kanskje virke risikabelt å åpne for alle udp, men med de få konfigureringsalternativer som finnes så har man vel ikke noe valg. Den sikreste måten å forhindre at noen stjeler 50 Kr det er jo ikke ved å låse dem inne men tvert i mot ved å slett ikke ha 50 Kr. Så lenge ingenting kjører udp protokoll inne på PC så skulle dette være ok. (Hvis det hadde vært bedre konfigureringsmuligheter så hadde man jo bare åpnet for udp retur innenfor det uprioriterte port området.

Mon ikke denne bruken av Windows innebygde pakkefilter skulle fungere både i forhold til å kunne sufe på nett, å kunne logge inn på novell og en sårbarhetsscan utenfra ???

Har ellers ikke testet dette, men tror det skulle stemme (Håper jeg :)

Laget en funsjonsprøve (uten Novell) og en sårbarhestsjekk mot en XP med denne konfigureringen slik som foreslaått.

Med hensyn til tcp protokollen så ser det ut til å fungere helt ok.

Med hensyn til udp så hadde jeg nok glemt udp 137. Sårbarhetscanner sier dette:

. The following 5 NetBIOS names have been gathered :
WIN-XP          = This is the computer name registered for workstation services by a WINS client.
WORKGROUP      = Workgroup / Domain name
WIN-XP          = Computer name that is registered for the messenger service on a computer that is a WINS client.
WIN-XP       
WORKGROUP      = Workgroup / Domain name (part of the Browser elections)
. The remote host has the following MAC address on its adapter :
  0x00 0x10 0xa7 0x08 0x08 0xa1

If you do not want to allow everyone to find the NetBios name
of your computer, you should filter incoming traffic to this port.

Risk factor : Medium
CVE : CAN-1999-062

Vel, vel, det står "Medium risiko" men mon dette ikke skulle fungere allikevell ??

XP har ellers også en funksjon som heter "firewall". Testet denne også. Ser ut som om denne klarer problematikken både rundt tcp og udp og at det også blir helt tett. (Og når det ser ut til å være helt tett så tar en full sikkerhetsscan sånn om lag hele natten.)

"Firewall" (Bare XP) og "pakkefilter" (som også finnes på 2000/server/workstaktion) ser ut til å virke litt forskjellig. Firewallen (XP) ser ut til å klare problematikken med returen for udp.

Forslag 1: Hvis XP, aktiviser "firewall".
Forslag 2: Hvis 2000, aktiviser pakkefilter med udp åpen.

XP firewall ser ut til å være 100 % tett samtidig som "enveisventil" og åpning for retur ser ut til å fungere både for tcp og udp. Win 2000 pakkefilter stengte heller ikke for "ping". Det gjør XP firewall.

Man setter eventuelt et kryss for å aktivisere XP firewall og så ingen ting annet. Da er basic konfigurering åpen ut (også for trojanske hester) og stengt inn, med unntak for trafikk som er initiert innefra. Der åpnes det automatisk.

Problemet er løst. Tak for indsatsen (-:

Håper det ikke ble for mye "off topic" i forhold til spørsmålet. Hadde uansett tenkt et stykke tid på å gå de firewall funksjonene som finnes på win2000/XP litt etter i sømmene. Interesant å se hvordan det egentlig fungerer. Pussig denne foskjellen i hånderingen av udp protokollen synes jeg.

Ellers for å ha nevnt det så kan man jo sette opp og spesifisere denne filtreringen langt mere detaljert i Linux mht alle parametre.

Hva ble ellers den konkrete løeningen på problemet ??? Bruk av innebygget "firewall" i win 2000/XP eller Mcaffee (eller begge deler) ??

Takker ellers for points !

Jeg droppede Mcaffee og bruger istedet den indbyggede firewall i WinXP. Det var den "nemmeste" løsning på problemet.

Takker for tilbakemelding. Det var dette jeg var nyskjerrig på, fordi man rekker jo ikke å teste alle ting, og med noen tilbakemeldinger .. :-)