ADSL router med BRA? brandvägg

Netgear RP614GE. Lät en polare som jobbar med nätsäkerhet försöka nå mina burkar utan framgång. Han sa den maskerade mycket proffsigt. Även portforwarding funkade som det skall.

Har även kört alla nättester som jag hittat och alla säger jag ahr högsta säkerhet!

Så jag känner mig trygg!

Vart kan man hitta dessa nättester?

http://grc.com/default.htm
http://www.auditmypc.com/

och massor mer!

Kolla på google!

Skulle ngn vänlig själ kunna redogöra för vilka inställningar man behöver göra direkt från lådan. Är brandväggen aktiverad när du pluggar in den?

Detta är grekiska för mig...

Själv har jag en Netgear FM114PGE. Den har trådlöst nätverk samt en brandvägg med stateful packet inspection, dvs den tittar på varje paket som kommer in och avgör om paketets innehålla är ok. "Vanliga" bredbandsgateways har oftast bara NAT, en teknik som också kollar på paketen, men på ett mycket enklare sätt.

NAT
Den "brandväggsfunktion" som de flesta bredbandsgateways har är NAT(Network Address Translation).
NAT är en teknik som, liksom namnet antydyder, översätter ip-addresser.

Normalt sett när du har en bredbandsuppkoppling får du tillgång till en ip-address (antingen en statisk eller en dynamiskt tilldelad). För att kunna använda flera datorer så använder du en bredbandsrouter, och det är just här NAT kommer in i bilden. Bredbandsrouterns "ena sida" får den tillgängliga ip-addressen, medans den "andra sidan" kopplas mot de datorer du vill ansluta. Dina datorer får varsin egen ip-adress, antingen av bredbandsgatewayens DHCP-server(Dynamic Host Configuration Protocol) eller så ställer du in det själv på varje dator.
NAT är den funktionen i bredbandsgatewayen som ser till att du kan skicka information(t ex en begäran av en websida) till internet och att sedan iformationen som kommer tillbaka (websidan som begärdes) skickas till just den dator som ville ha den. Från utsidan ser det ut som att all trafik kommer ifrån en ip-adress trots att det finns flera datorer bakom bredbandsgatewayen.

Det som kan kallas brandväggsfunktion i NAT är just den "bieffekt" som tekniken har. Det går inte att nå en specifik dator bakom bredbandsgatewayen just på grund av att dessa ip-adresser inte syns utifrån.

Port forwarding
För att råda bot på denna bieffekt (om du t ex har en server som du vill att folk utifrån skall kunna komma åt) finns det något som kalla port forwarding. Port forwarding ser till att alla förfrågningar som kommer till en viss port, tex http(web), port 80 skickas till en specifik ip-address inom det interna nätverket - din webserver.

Den här tekniken fungerar riktigt bra för att skydda datorer ifrån intrång utifrån om den fungerar som den ska. Det som möjligtvis är nackdelen är att de packet som skickas kan innehålla vad som helst. Om du tex har en server som du har aktiverat portforwarding till på ett par portar så kan någon skicka tex en ping of death eller något annat obehagligt och det enda som kan hindra skadan är att din server kan hantera ping of death.

SPI
Har man däremot en bredbandsgateway med SPI (Stateful Packet Instpection) så tittar den på alla packet som kommer in och ser till att det inte är något obehagligt som kommer in. Det är även möjligt att reglera så att t ex förfrågningar till t ex www.microsoft.com stoppas innan de kommit ut. Man har alltså en helt annan kontroll över trafiken.

Länkar
Ett par websidor med information om teknikerna nämnda ovan finns här:
NAT
DHCP
SPI (firewalls.com)
SPI (sonicwall)
Macs and the "Ping Of Death"
Teardrop
Denial of Service Attacks (pdf)

/arvid

Om du inte ska göra några speciella saker (som t ex sätt upp engen server eller något sånt) så behöver du vanligtvis inte göra några mer inställningar än att stoppa in alla kablar och eventuellt göra de startinställnigar som står i dokumentationen som följer med bredbandsgatewayen...

/arvid

Om man köper en router med w-lan-funktion bör man däremot göra en viktig sak: slå på WEP-krypteringen. Det skyddar inte mot alla hackare, men det är ett visst skydd i alla fall. Betydligt bättre än att lämna nätet helt öppet.

Arvid - tack, bra intro!

Min wlanrouter har just fått spatt - dlink 713P. Den låter sig inte resetas heller - begriper inte vad jag skall göra. Erfarenheter?

Några tillägg!

NAT har inga filtreringsfunktioner, utan säkerheten beror enbart på att du har en egen privat IP-serie bakom routern/switchen.

Vissa routrar/switchar har möjlighet att etablera en s.k. DMZ på insidan för vissa funktioner.
Vissa har även content-filtrering.

Vad gäller W-LAN så kan man dra till med en extra skyddsåtgärd. Ofta kan man i basstationen ställa in så att man bara accepterar kommunikation med trådlösa kort som definierats med MAC-adress. Slår man till den funktionen och WEP blir det klart svårare att hacka.

Stateful Inspection kollar alltså att det är rätt typ av info som kommer(eller skickas) i resp. paket. Om du begär en websida på port 80 kommer SPI kolla att den returnerande informationen verkar vara information som är normal för en web-sida som skickas på port 80. Den packar således upp informationen och kollar den innan den skickar den vidare.

Arvid, jag kan inte hitta Netgear FM114PGE det verkar som om den utgått. Vet du vilken ersättaren är ?

FM114

Utan FW med NAT och WLAN har du här

MR 314

Utgått? Dustin har den i lager i alla fall. Och på Netgears hemsida finns info om den.

Edit: Herr Våffla han visst före mig. Men att säga att MR314 är helt utan brandvägg är lite missvisande, för själva NAT ger ett visst skydd

[ 16 December 2002, 21:31: Meddelandet ändrat av: Adrian B ]

Netgear RP614 verkar vara helt ok och funka till mac enligt ovanstående inlägg. Vad jag nu undrar. Modemet Alcatec Touch Home ska väl heller inte vara ngt problem med att använda till PPPoE adsltjänst?
Dessa två ihop till mac. Kan nog köpa båda för tusen kr om nu det inte är sålt...