Ziggo Gebruikers  - Grootste onafhankelijke Ziggo Forum


Ga terug   Ziggo Gebruikers - Grootste onafhankelijke Ziggo Forum > Ziggo Internet > Ziggo Internet - Vragen en nieuws > Firewalls

Mededelingen

Firewalls Hulp bij firewalls bij gebruik Ziggo Internet

Discussie gesloten
 
Discussietools Weergave
  #1  
Oud 16 januari 2014, 22:59
Edbou's schermafbeelding
Edbou Edbou is offline
Junior Member
 
Geregistreerd: 16 januari 2014
Locatie: leiden / ziggo
Berichten: 2
Standaard ftp en firewall

Hoi,

sinds kort heb ik de volgende probleem: met een IPv4 bescherming op medium ingesteld in de firewall van mijn modem (ubee EVW3200) , de FTP service is niet meer toegestaan. Dat betekent dat ik geen toegang kan krijgen naar de ftp van mijn website. Alleen ftp-s is toegestaan met deze instelling, maar dat is niet ondersteund door de host.

Weet iemand of deze instelling aangepast kan worden op de ubee, en hoe? Of moet ik (niet wenselijk) met een laag bescherming van de firewall werken?

Alvast bedankt voor de antwoorden.

EB
  #2  
Oud 19 januari 2014, 20:37
ton250's schermafbeelding
ton250 ton250 is offline
Senior Member
 
Geregistreerd: 7 februari 2009
Locatie: Leidschendam/Casema
Ziggo Internet: All in 1 plus
DTV: Humax IR-FOX C, Humax iHDR5050-C
Berichten: 281
Standaard

Citaat:
Oorspronkelijk geplaatst door Edbou Bekijk bericht
Hoi,

sinds kort heb ik de volgende probleem: met een IPv4 bescherming op medium ingesteld in de firewall van mijn modem (ubee EVW3200) , de FTP service is niet meer toegestaan. Dat betekent dat ik geen toegang kan krijgen naar de ftp van mijn website. Alleen ftp-s is toegestaan met deze instelling, maar dat is niet ondersteund door de host.

Weet iemand of deze instelling aangepast kan worden op de ubee, en hoe? Of moet ik (niet wenselijk) met een laag bescherming van de firewall werken?

Alvast bedankt voor de antwoorden.

EB
Firewall weer op 'low' zetten en in de 'Gateway Opties' 'ports' blokkeren die je niet gebruikt.
  #3  
Oud 19 januari 2014, 21:32
CeeS's schermafbeelding
CeeS CeeS is offline
Senior Member
Site Admin
 
Geregistreerd: 22 september 2002
Locatie: Enkhuizen
Ziggo Internet: Ai1X|EVM-3200|WNDR-3700 (OpenWRT)
DTV: CI+1.3 LG|CI+ Samsung|Humax 5050|Humax 5200
Berichten: 10.067
Standaard

De firewall op laag zetten of zelfs uit is niet zo 'eng' als je zou denken, voor binnenkomende verbindingen beschermd de NAT firewall in je router je al. De firewall gaat over uitgaande verbindingen, die kun je ook in je computer tegenhouden. De firewall in het modem is dan 'extra', deze uitschakelen of op laag zetten geeft niet veel extra risico.
__________________
The difference between theory and practice in practice is greater than the difference between theory and practice in theory....
  #4  
Oud 19 januari 2014, 21:58
ton250's schermafbeelding
ton250 ton250 is offline
Senior Member
 
Geregistreerd: 7 februari 2009
Locatie: Leidschendam/Casema
Ziggo Internet: All in 1 plus
DTV: Humax IR-FOX C, Humax iHDR5050-C
Berichten: 281
Standaard

Citaat:
Oorspronkelijk geplaatst door CeeS Bekijk bericht
De firewall op laag zetten of zelfs uit is niet zo 'eng' als je zou denken, voor binnenkomende verbindingen beschermd de NAT firewall in je router je al. De firewall gaat over uitgaande verbindingen, die kun je ook in je computer tegenhouden. De firewall in het modem is dan 'extra', deze uitschakelen of op laag zetten geeft niet veel extra risico.
Het is een groot misverstand dan NAT bescherming biedt.
Bij een verbinding met een website, kan de website een verbinding opbouwen met je PC. NAT beschermt je dan niet.
Ports dicht zetten die je niet gebruikt is gewoon verstandig.
  #5  
Oud 19 januari 2014, 23:25
CeeS's schermafbeelding
CeeS CeeS is offline
Senior Member
Site Admin
 
Geregistreerd: 22 september 2002
Locatie: Enkhuizen
Ziggo Internet: Ai1X|EVM-3200|WNDR-3700 (OpenWRT)
DTV: CI+1.3 LG|CI+ Samsung|Humax 5050|Humax 5200
Berichten: 10.067
Standaard

Citaat:
Oorspronkelijk geplaatst door ton250 Bekijk bericht
Het is een groot misverstand dan NAT bescherming biedt.
Bij een verbinding met een website, kan de website een verbinding opbouwen met je PC. NAT beschermt je dan niet.
Ports dicht zetten die je niet gebruikt is gewoon verstandig.
Elk virus of trojan kan je computer opdracht geven een verbinding naar buiten te maken. Bij bezoek aan een website bouwt je computer een verbinding op met een uitgaande poort van jou en de bestemmingspoort van de website (meestal poort 80). De website heeft op dat moment een verbinding naar jouw uitgaande poort. Niet naar een andere poort. Als die website een verbinding op wil bouwen naar een poort die niet geforward is in je router kan hij niet op je PC terechtkomen.

Wel kan door een aanval via een 'gat' in je bescherming op de PC (oude javaversies op je pc en andere hacks) je computer gehacked worden, maar dat voorkom je niet door "alle ongebruikte inkomende poorten dicht te zetten".
__________________
The difference between theory and practice in practice is greater than the difference between theory and practice in theory....
  #6  
Oud 20 januari 2014, 08:34
ton250's schermafbeelding
ton250 ton250 is offline
Senior Member
 
Geregistreerd: 7 februari 2009
Locatie: Leidschendam/Casema
Ziggo Internet: All in 1 plus
DTV: Humax IR-FOX C, Humax iHDR5050-C
Berichten: 281
Standaard

Citaat:
Oorspronkelijk geplaatst door CeeS Bekijk bericht
Elk virus of trojan kan je computer opdracht geven een verbinding naar buiten te maken. Bij bezoek aan een website bouwt je computer een verbinding op met een uitgaande poort van jou en de bestemmingspoort van de website (meestal poort 80). De website heeft op dat moment een verbinding naar jouw uitgaande poort. Niet naar een andere poort. Als die website een verbinding op wil bouwen naar een poort die niet geforward is in je router kan hij niet op je PC terechtkomen.

Wel kan door een aanval via een 'gat' in je bescherming op de PC (oude javaversies op je pc en andere hacks) je computer gehacked worden, maar dat voorkom je niet door "alle ongebruikte inkomende poorten dicht te zetten".
Vroeger in mijn jeugdige onschuld dacht ik dat ook. Tot ik in de log van Zonealarm ontdekte dat er dus wel degelijk pogingen werden gedaan om een verbinding op te bouwen vanaf Internet met mijn pc.
In het TCP protocol is zelfs ingebouwd dat je het locale adres van een host (je pc) kan opvragen. Dat is onder andere nodig voor VOIP.
  #7  
Oud 20 januari 2014, 14:58
CeeS's schermafbeelding
CeeS CeeS is offline
Senior Member
Site Admin
 
Geregistreerd: 22 september 2002
Locatie: Enkhuizen
Ziggo Internet: Ai1X|EVM-3200|WNDR-3700 (OpenWRT)
DTV: CI+1.3 LG|CI+ Samsung|Humax 5050|Humax 5200
Berichten: 10.067
Standaard

Citaat:
Oorspronkelijk geplaatst door ton250 Bekijk bericht
Vroeger in mijn jeugdige onschuld dacht ik dat ook. Tot ik in de log van Zonealarm ontdekte dat er dus wel degelijk pogingen werden gedaan om een verbinding op te bouwen vanaf Internet met mijn pc.
In het TCP protocol is zelfs ingebouwd dat je het locale adres van een host (je pc) kan opvragen. Dat is onder andere nodig voor VOIP.
Zelfs als de 'tegenpartij' het lokale ip-adres van jouw computer weet kan een externe computer nooit uit zichzelf een verbinding opzetten via jouw NAT router naar een bepaalde poort op jouw computer. Daarvoor moet eerst een verbinding open gezet worden. De enige manier om een NAT firewall open te zetten voor een inkomende verbinding is door een Trojan/Virus die een uitgaande verbinding opzet, of door via UPNP een poort open te zetten. Wat jij gezien hebt in Zonealarm zal vermoedelijk verkeer geweest zijn wat vanuit jouw computer geïnitieerd is.

Wat bedoel je trouwens met :
Citaat:
in de 'Gateway Opties' 'ports' blokkeren die je niet gebruikt.
Want die optie zie in niet bij Options in het gateway menu in deze handleiding. Alle ports (1-65535) wil je echt niet allemaal blokkeren en dat zit op een andere pagina van het menu zo te zien.
__________________
The difference between theory and practice in practice is greater than the difference between theory and practice in theory....
  #8  
Oud 20 januari 2014, 15:48
ton250's schermafbeelding
ton250 ton250 is offline
Senior Member
 
Geregistreerd: 7 februari 2009
Locatie: Leidschendam/Casema
Ziggo Internet: All in 1 plus
DTV: Humax IR-FOX C, Humax iHDR5050-C
Berichten: 281
Standaard

Citaat:
Oorspronkelijk geplaatst door CeeS Bekijk bericht
Zelfs als de 'tegenpartij' het lokale ip-adres van jouw computer weet kan een externe computer nooit uit zichzelf een verbinding opzetten via jouw NAT router naar een bepaalde poort op jouw computer. Daarvoor moet eerst een verbinding open gezet worden. De enige manier om een NAT firewall open te zetten voor een inkomende verbinding is door een Trojan/Virus die een uitgaande verbinding opzet, of door via UPNP een poort open te zetten. Wat jij gezien hebt in Zonealarm zal vermoedelijk verkeer geweest zijn wat vanuit jouw computer geïnitieerd is.
Wat ik heb geschreven is dat als je contact hebt met een website, dan kan deze website een verbinding opzetten naar je PC. NAT beschermt je hier niet tegen. Wat ik gezien heb is dat vanuit Internet sommige sites een verbinding proberen te initiëren. Verder stop ik hier de discussie over, het leidt tot niets.
Citaat:
Oorspronkelijk geplaatst door CeeS Bekijk bericht
Wat bedoel je trouwens met :

Want die optie zie in niet bij Options in het gateway menu in deze handleiding. Alle ports (1-65535) wil je echt niet allemaal blokkeren en dat zit op een andere pagina van het menu zo te zien.
Bij Options in de Gateway worden functies genoemd. Die zijn gerelateerd aan port nummers.

Er is ook de mogelijkheid om port nummers in te vullen op een andere pagina, maar er zijn niet veel mensen die de moeite nemen om al die nummers uit te zoeken. Ik zelf filter dus direct op de port nummers. Uiteraard niet alle, maar wel zoveel mogelijk ports die ik niet gebruik. Het aantal lijnen is net te weinig om alles te coveren.
Sindsdien zie ik dus niets meer in Zonealarm.
  #9  
Oud 20 januari 2014, 16:15
CeeS's schermafbeelding
CeeS CeeS is offline
Senior Member
Site Admin
 
Geregistreerd: 22 september 2002
Locatie: Enkhuizen
Ziggo Internet: Ai1X|EVM-3200|WNDR-3700 (OpenWRT)
DTV: CI+1.3 LG|CI+ Samsung|Humax 5050|Humax 5200
Berichten: 10.067
Standaard

Citaat:
Oorspronkelijk geplaatst door ton250 Bekijk bericht
Wat ik heb geschreven is dat als je contact hebt met een website, dan kan deze website een verbinding opzetten naar je PC. NAT beschermt je hier niet tegen. Wat ik gezien heb is dat vanuit Internet sommige sites een verbinding proberen te initiëren. Verder stop ik hier de discussie over, het leidt tot niets.
Jammer hoor. Ik kan verder niet zoveel met dit antwoord.

Citaat:
Ik zelf filter dus direct op de port nummers. Uiteraard niet alle, maar wel zoveel mogelijk ports die ik niet gebruik. Het aantal lijnen is net te weinig om alles te coveren.
Sindsdien zie ik dus niets meer in Zonealarm.
Je weet zelf nooit welke poorten je wel of niet gebruikt, aangezien bijvoorbeeld je browser en andere programma's uitgaand een (min of meer) willekeurig port nummer gebruikt om een verbinding op te zetten naar poort 80 van de tegenpartij. Als jij toevallig deze (uitgaande) port geblokkeerd hebt in je router werkt je verbinding naar die site ineens niet. Bij een volgende sessie waarbij je een andere port gebruikt werkt het weer wel.
Een willekeurige uitgaande poort levert dus ook inkomend verkeer op naar die willekeurige poort (omdat je zelf die verbinding hebt opgezet) wat je mogelijk blokkeert. Vaak is een TCP sessie nog niet gesloten als je bijvoorbeeld naar veel pagina's met je browser gegaan bent. Dat lijkt dan 'vreemd verkeer' naar willekeurige poorten, maar dat zijn gewoon verbindingen die je zelf opgezet hebt. Je kunt dan tientallen poorten zien. Met het commando 'netstat -n' in een dos-venster zie je deze bijvoorbeeld ook. Niets om wakker van te liggen. De NAT firewall heeft deze poorten open gezet en sluit deze op een gegeven moment weer.
__________________
The difference between theory and practice in practice is greater than the difference between theory and practice in theory....
  #10  
Oud 20 januari 2014, 17:06
PetervdM's schermafbeelding
PetervdM PetervdM is nu online
Senior Member
 
Geregistreerd: 27 november 2008
Locatie: den Bosch @home
Ziggo Internet: AIO EVW3200
Berichten: 264
Standaard

Citaat:
Oorspronkelijk geplaatst door ton250 Bekijk bericht
Wat ik heb geschreven is dat als je contact hebt met een website, dan kan deze website een verbinding opzetten naar je PC. NAT beschermt je hier niet tegen. Wat ik gezien heb is dat vanuit Internet sommige sites een verbinding proberen te initiëren. Verder stop ik hier de discussie over, het leidt tot niets.
Kul, kul en nog eens kul.

als dat zo zou zijn zou internet niet meer funktioneren, een zéér groot aantal verbindingen bevinden zich achter een NAT router ( gateway ), voor een nieuwe verbinding is de weg terug ontoegankelijk. een nieuwe verbinding is onmogelijk, tenzij portforwarding aanstaat.
wel kan zich op bv een website een element bevinden, bv een afbeelding van één pixel groot, die je onbedoeld en ongewenst leidt naar een andere site en/of een stuk malware.
vwb stateful services zoals bv in dit geval ftp kan het command channel op 21/tcp de firewall een tijdelijke port forward laten maken voor de in dat command channel afgesproken poorten. maar dan nog ben jij de initiator, jouw ftp client heeft die tijdelijke port forward bewerkstelligd.

Laatst gewijzigd door PetervdM; 20 januari 2014 om 17:46
Discussie gesloten

Ziggo Gebruikers - Grootste onafhankelijke Ziggo Forum > Ziggo Internet > Ziggo Internet - Vragen en nieuws > Firewalls


Favorieten/bladwijzers

Discussietools
Weergave

Regels voor berichten
Je mag geen nieuwe discussies starten
Je mag niet reageren op berichten
Je mag geen bijlagen versturen
Je mag niet je berichten bewerken

BB code is Aan
Smileys zijn Aan
[IMG]-code is Aan
HTML-code is Uit

Forumnavigatie


Alle tijden zijn GMT +1. Het is nu 13:10.


© 2014 - Ziggo-Gebruikers.nl