22 berichten aan het bekijken - 1 tot 22 (van in totaal 22)
  • Q:
    Moderator
    Night

    Stealth?

    Waarom laat de OSX firewall, ondanks dat je ‘Stealth’ aanvinkt toch poorten open?

    http://www.grc.com (en dan bij ‘services’ kiezen voor ‘Shields up’)

    Bijdrager
    iJoost

    Heb je geen router?

    Moderator
    Night

    Jawel

    Maar poort 80 en 21 blijven open…

    Bijdrager
    iJoost

    Dan gaat dit niet over je Mac maar over je router.

    (Bovendien is het een beetje een paniekzaaier die GRC, niet al te serieus nemen.)

    Moderator
    Night

    Op m’n router heb ik de firewall uitstaan, omdat ik een eigen web- en FTP server heb draaien, anders werkt het niet meer …

    Bijdrager
    iJoost

    Nou dan staan die poorten toch zeker ook open? Dicht lijkt me dan geen optie.;-)
    En dan kan Stealth (lees: dicht + onfatsoenlijk TCP gedrag) dus al helemaal niet.

    Bijdrager
    franssie

    Dus -ten overvloede- als je de port forwards uit je router sloopt wordt je wel stealth maar dat wil je niet want 80 is je webserver en 21 je ftp server – dat moet je opgezocht hebben toen je het op je router instelde.

    Bijdrager
    iJoost

    Dat gel*l over Stealth is nog uit de tijd dat iedereen z’n computer rechtstreeks aan internet had hangen. Nu heeft bijna iedereen er een NAT-router tussen zitten. Dat maakt (voor inkomend verkeer) een Firewall zelfs al overbodig. En los daarvan voegt Stealth alleen iets toe als je helemaal geen poorten open hoeft te hebben. Wat dus bij het draaien van wat voor servertje dan ook al niet kan. Kortom een beetje misplaatst allemaal.

    Als je je zorgen maakt over de veiligheid kun je beter eens kijken naar de poorten die je open hebt staan (en wat daar achter zit). Dat zou een hacker (of een botnet, die kans is veel groter) ook doen.

    En kijk ook voor de grap eens naar je netwerkverkeer. Is het wel versleuteld? Of kan elke andere student in het huis (aan de kant van de server of aan de kant van de clients) vrolijk meekijken door simpelweg WireShark op te starten.

    Bijdrager
    franssie

    met iJoost.
    Echter hoewel een NAT wel veel slechts van buiten naar binnen tegenhoudt – werkt een goede (!) firewall ook de andere kant op, dus geen ongedefinieerd verkeer van binnen naar butien en daar laat een NAT wel alles door.
    Een aangezien je netwerk relatief simpel te kraken is zou ik het meeste energie steken (en doe dat dan ook) in het beveiligen van mijn vertrouwelijke internet verkeer (dus mail alleen via https etc etc).
    Gelukkig hangt bijna niemand meer de PC/Mac direct aan het internet – ‘mooie’ tijden waren dat …

    Moderator
    Night

    De draadloze verbinding is uiteraard beveiligd, en m’n Mac zit als enige via UTP aan de router.

    Bijdrager
    iJoost

    Uiteraard is je draadloze netwerk beveiligd. Maar is dat ook zo bij de gebruikers van je server? En hoe zit het tussen de twee netwerken in? Heeft er iemand van die gebruikers kabelinternet in plaats van ADSL? (Dan kunnen alle buren ook meekijken.) Of zit ie inderdaad in een studentenhuis? Dan moet niet je netwerk maar je netwerkverkeer versleuteld zijn. De S van HTTPS etc…

    Maar goed, als je dat allemaal niet wilt. Kan ook. Keuzes… natuurlijk. Alleen hoef je je dan zeker ook geen zorgen te maken over het al dan niet Stealth zijn van je poorten. Geloof me.;-)

    Bijdrager
    LordChaos

    Stealth heeft niets te maken met het wel of niet openlaten van poorten, maar of de firewall wel of niet bevestigd dat een poort gesloten is.

    Bijdrager
    iJoost

    Toch heeft het wel te maken met het open of dicht zijn van poorten, want Stealth kan alleen in het geval van een dichte poort. Als je probeert daarmee een verbinding te maken kan de server (met of zonder firewall, dat doet er niet toe) twee dingen doen. Een foutmelding geven dat de poort dicht is of geen foutmelding geven dat de poort dicht is. Dat laatste noemen ze dan dus Stealth. Kortom, lekker belangrijk als andere poorten op dezelfde server gewoon open staan. ;-P

    Bijdrager
    LordChaos

    Het heeft een hoog “security by obscurity” gehalte, dat geef ik toe. Maar het kan in bepaalde (server) situaties erg handig zijn.

    Bijdrager
    iJoost

    Ik zou niet weten waarvoor.

    Bijdrager
    LordChaos

    Omdat je soms machines die rechtstreeks verbonden zijn met het internet zoveel mogelijk wilt maskeren.

    Bijdrager
    iJoost

    Ik zou niet weten waarom.

    Bijdrager
    LordChaos

    En dat hoef jij ook niet te weten;)

    Bijdrager
    iJoost

    Ah… daar zit je vergissing.;-)

    Maar goed. Van mij mag je.

    Bijdrager
    LordChaos
    ”iJoost”

    Ah… daar zit je vergissing.;-)

    Ongetwijfeld weet jij het beter.

    Moderator
    unSOUND

    Sterker nog, als het goed is is het zelfs zijn werk om dit soort zaken beter te weten dan de gebruikers… :wink:

    Bijdrager
    LordChaos
    ”unSOUND”

    Sterker nog, als het goed is is het zelfs zijn werk om dit soort zaken beter te weten dan de gebruikers… :wink:

    Dat is heel mooi, kunnen we elkaar de hand schudden. Desalniettemin zou ik niet tot die conclusie komen zonder enige vorm van een referentiekader.

22 berichten aan het bekijken - 1 tot 22 (van in totaal 22)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.