Flere brannmurer?
May-Brith
brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på meg som
"smør på flesk".
Malla
John Hilt
wrote in news:no.it.sikkerhet.diverse
>Er det noen fordeler/bakdeler ved å bruke både WIN XP sin brannmur og
>brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på meg som
>"smør på flesk".
Here we go again. Prøv heller å se på tidligere postinger om emnet.
--
-= jh =-
- Oh, I'm terribly sorry. Isn't this the off.topic newsgroup?
Rolf Arne Schulze
Kort oppsummert:
Har du mobile windows-maskiner i nettet ditt, kjør begge deler. De
mobile maskinene kan dra med seg dritt fra andre nett.
Har du bare pc-er som aldri er utenfor nettet ditt klarer du deg lenge
med brannmuren i bredbånds-ruteren din.
--
Rolf Arne Schulze
Min Weblog: http://rolfas.net/
Thomas Bjørseth
wrote:
Hvis man først har innrømmet at man har maskiner hvor man ikke har
kontroll (dvs ikke har tettet alle sikkerhetshull) og dermed vil ha en
brannmur så bør man ha lokale brannmurer på alle PCer. Det er nok dritt
som kommer via mail og kan spres fra maskin til maskin selv om de står
bak en felles brannmur.
For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
så er mye gjort.
Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
deretter 2-3 minutter hver gang en patch krever restart. Sammenligner
man dette med tiden det tar å lære seg brannmurens særegenheter, reagere
på brannmurens alarmer, skjønne hva den faktisk alarmerer på og så fikse
alle feil som oppstår når man har gjort noe man ikke burde med
brannmuren så er det forbausende lite tid som må til for å holde
maskinen fri for virus og angrep utenfra helt uten brannmur.
Thomas B
--
Thomas Bjørseth
Mail: sp...@bjorseth.no
Alf P. Steinbach
>
> For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
> utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
> alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
> lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
> kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
> så er mye gjort.
>
> Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
> deretter 2-3 minutter hver gang en patch krever restart.
Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
få som var oppmerksomme på akkurat det RPC-hullet. Microsoft legger inn all
slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
helt feil fokus på sikkerhet (nemlig å gjøre ting enkle for administratorene
i en større bedrift, ikke for brukeren) og det er klin umulig å vite om dem
eller skru dem av før det kommer "vellykket" malware som bruker de aktuelle
mulighetene, slik at Noen finner ut hvordan akkurat denne tjenesten skal
skrus av -- og det kan trenge en sikkerhetsfiks fra MS, som da er Noen.
--
A: Because it messes up the order in which people normally read text.
Q: Why is it such a bad thing?
A: Top-posting.
Q: What is the most annoying thing on usenet and in e-mail?
May-Brith
>>brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på meg
>>som
>>"smør på flesk".
>
> Here we go again. Prøv heller å se på tidligere postinger om emnet.
Du antyder at dette emnet er tatt opp mange ganger før i dette forumet.
Burde du ikke først vite hvor lenge jeg har lest "no.it.sikkerhet.diverse"
før du tar den
tonen? Til din informasjon så har jeg fulgt med siden 23. feb. 2005, og kan
ikke se at problemet er tatt opp i denne perioden, i allefall ikke nevnt som
eget
emne. Det er vel heller ikke å forvente at alle leser alle innlegg som
postet?
Linken din var heller ikke til stort nytte, da den mye gikk ut på diskutere
Kerio".
Den belyste lite fordeler/ulemper hardware kontra software løsninger,
iallefall ble ikke jeg stort klokere der.
> - Oh, I'm terribly sorry. Isn't this the off.topic newsgroup?
Mer sjikane?
Takker forøvrig for hyggelige, forståelige svar fra andre medlemmer i denne
nyhetsgruppa.
Malla
Rune Mikalsen
> Du antyder at dette emnet er tatt opp mange ganger før i dette
> forumet.
Takk for at du brakte emnet på bane, Malla - for jeg har lurt på det samme.
Og slik er verden og news: Noen faller hele tiden fra mens nye kommer
til, -og hele tiden stilles det spørsmål og kanskje gis det svar.
--
-Rune-
Hasta la Victoria siempre.
Olaf Berli
Stort sett enig i dette. Det kan imidlertid være verd å merke seg at en
"brannmur" i en billig bredbåndsrouter nesten alltid vil si "OK" til
utgående trafikk og blokkere inngående trafikk som ikke er "bestilt"
innenfra. I de fleste tilfellene er dette greit. Om du skulle være så
uheldig (eller uforsiktig) å få en eller annen form for malware på
innsiden av denne brannmuren vil du altså ikke oppdage om maskinene dine
setter igang med å spy ut skit gjennom routeren. For min del er dette
den eneste situasjonen der jeg synes at en "personal firewall" på pc-en
kan være nyttig.
-Olaf-
Thomas Bjørseth
wrote:
>* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:
>>
>> For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
>> utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
>> alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
>> lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
>> kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
>> så er mye gjort.
>>
>> Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
>> deretter 2-3 minutter hver gang en patch krever restart.
>
>Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
>få som var oppmerksomme på akkurat det RPC-hullet.
I en helt standard installasjon av WinXP er det ikke så mange lyttende
tjenester, og WinXP slipper heller ikke inn trafikk til tjenester hvor
det finnes vanlige brukere uten passord. Man står selvfølgelig fritt til
å sette elendige passord, men da er vi over på brukerfeil og ikke
system- eller designfeil.
En sikkerhetsfiks som tettet hullet MSBlaster utnyttet ble sluppet midt
16. juli 2003, og det ble oppdaget spredning av MSBlaster 14. august
samme år. Det er fire uker fra Microsoft hadde en sikkerhetsfiks og til
en vellykket exploit var ute.
Hvordan mener du at MS skulle informert alle sine brukere om at en fiks
var tilgjengelig? Hvordan skal de på generell basis informere alle
brukere hver gang en fiks er tilgjengelig.
>Microsoft legger inn all
>slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
>helt feil fokus på sikkerhet (nemlig å gjøre ting enkle for administratorene
>i en større bedrift, ikke for brukeren) og det er klin umulig å vite om dem
>eller skru dem av [...]
Sier du at det er "hemmelige" åpne porter som lytter på trafikk, og som
man ikke kan oppdage eller skru av? Kan du vise til dokumentasjon for
den påstanden?
> før det kommer "vellykket" malware som bruker de aktuelle
>mulighetene, slik at Noen finner ut hvordan akkurat denne tjenesten skal
>skrus av -- og det kan trenge en sikkerhetsfiks fra MS, som da er Noen.
Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
Det er selvfølgelig mulig å se hvilke porter som er åpne på en PC, og
det er også mulig å begrense tilgangen til de aller fleste av disse
portene uten å tape funksjonalitet som er essensiell for en bedrifts
funksjon. Og det burde være enda enklere å begrense tilgangen til porter
for en privatperson, uten å tape nevneverdig funksjonalitet.
Thomas B
--
Thomas Bjørseth
Mail: thomas-...@bjorseth.no
C A Gloersen
"Thomas Bjørseth" <thoma...@bjorseth.no> skrev i melding
news:vg2te194se1sfn70n...@4ax.com...
> Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
> Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
Sasser var et, tror jeg. Men jeg er forsåvidt helt enig med deg i dine
anbefalinger. Jeg har droppet antivirus og softwarefirewallen for lenge
siden og ikke savnet dem siden.
Etter at XP SP2 kom så har det vel ikke vært noen ormer som har fått stor
spredning i det hele tatt. I følge diverse rapporter så vris
malware-aktiviteten mer over mot spyware samt at man prøver å utnytte feil i
vanlige programmer (iTunes har vært et hvis ikke jeg tar helt feil).
C A G
Thomas Bjørseth
wrote:
>
>"Thomas Bjørseth" <thoma...@bjorseth.no> skrev i melding
>news:vg2te194se1sfn70n...@4ax.com...
>
>> Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
>> Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
>
>Sasser var et, tror jeg.
MS slapp sin bulletin 13. april 2004, mens deteksjon for Sasser ble lagt
til Symantec sine "Rapid Release" oppdateringer 30. april 2004. Det
indikerer at Sasser også kom flere uker _etter_ at MS slapp sin fiks.
I følge Mark Minasi sin uttalelse på MPC TechMentor i 2004 så blir det
mer og mer vanlig at man bruker "reverse engineering" på MS sine patcher
for på den måten finne ut hva hullet egentlig innebærer, og så skrive
kode som best mulig utnytter hullet. Hvis dette stemmer så kommer
nødvendigvis patchen før exploiten i ihvertfall disse tilfellene. Om
M.M. har rett kan jeg ikke bekrefte, men Mark Minasi pleier å ha god
kontroll på det som skjer på MS-plattformen både av sikkerhets- og
administrasjonsrelaterte ting.
>Men jeg er forsåvidt helt enig med deg i dine
>anbefalinger. Jeg har droppet antivirus og softwarefirewallen for lenge
>siden og ikke savnet dem siden.
Jeg må innrømme at jeg har begge deler på laptop og arbeidsstasjon på
jobb, pga bedriftspolicy. Hjemme har jeg ikke antivirus eller brannmur
på noen private maskiner. Men jeg _har_ NATingen på bredbåndsrouteren
som en barriære mellom omverdenen og mine maskiner.
>Etter at XP SP2 kom så har det vel ikke vært noen ormer som har fått stor
>spredning i det hele tatt. I følge diverse rapporter så vris
>malware-aktiviteten mer over mot spyware samt at man prøver å utnytte feil i
>vanlige programmer (iTunes har vært et hvis ikke jeg tar helt feil).
Du skal ikke se bort ifra at det er en sammenheng mellom sikrere Windows
og fokusdreining mot svakheter andre steder...
Alf P. Steinbach
> On Mon, 01 Aug 2005 14:23:51 GMT, al...@start.no (Alf P. Steinbach)
> wrote:
>
> >* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:
> >>
> >> For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
> >> utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
> >> alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
> >> lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
> >> kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
> >> så er mye gjort.
> >>
> >> Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
> >> deretter 2-3 minutter hver gang en patch krever restart.
> >
> >Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
> >få som var oppmerksomme på akkurat det RPC-hullet.
>
> I en helt standard installasjon av WinXP er det ikke så mange lyttende
> tjenester, og WinXP slipper heller ikke inn trafikk til tjenester hvor
> det finnes vanlige brukere uten passord.
Hallo.
> Man står selvfølgelig fritt til
> å sette elendige passord, men da er vi over på brukerfeil og ikke
> system- eller designfeil.
Hallo?
> En sikkerhetsfiks som tettet hullet MSBlaster utnyttet ble sluppet midt
> 16. juli 2003, og det ble oppdaget spredning av MSBlaster 14. august
> samme år. Det er fire uker fra Microsoft hadde en sikkerhetsfiks og til
> en vellykket exploit var ute.
11. august, mener du... Du imponerer ikke.
> Hvordan mener du at MS skulle informert alle sine brukere om at en fiks
> var tilgjengelig? Hvordan skal de på generell basis informere alle
> brukere hver gang en fiks er tilgjengelig.
Jeg foreslår å starte en ny tråd hvis du virkelig er interessert i den
problematikken, som så vidt jeg kan se er helt urelatert til denne tråden.
> >Microsoft legger inn all
> >slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
> >helt feil fokus på sikkerhet (nemlig å gjøre ting enkle for administratorene
> >i en større bedrift, ikke for brukeren) og det er klin umulig å vite om dem
> >eller skru dem av [...]
>
> Sier du at det er "hemmelige" åpne porter som lytter på trafikk, og som
> man ikke kan oppdage eller skru av?
Mener du at det er umulig å reise til Afrika?
Hint: det koster litt å reise til Afrika.
> Kan du vise til dokumentasjon for den påstanden?
Hvilken påstand? Er du verdensmester i tom retorikk?
> > før det kommer "vellykket" malware som bruker de aktuelle
> >mulighetene, slik at Noen finner ut hvordan akkurat denne tjenesten skal
> >skrus av -- og det kan trenge en sikkerhetsfiks fra MS, som da er Noen.
>
> Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
> Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
Ett stort tilfelle klarer seg: nyinstallasjon av Windows på en PC, der man
så ønsker å laste ned sikkerhetsfikser, som betyr at man (den jevne bruker
som ikke har et sett av CD-er med alt dette) nødvendigvis går på nett...
Det finnes intet sett av fikser som beskytter maskinen totalt: å tro det er
grenseløst naivt. Bjørn Furuknap og muligens du kan klare dere uten
brannmur. Andre som ikke har den tekniske ekspertisen, tiden og villigheten
til å begrense bruken av maskinen, gjør klokt i å ha en brannmur.
> Det er selvfølgelig mulig å se hvilke porter som er åpne på en PC,
Og du mener at May-Brith skal sitte og _kontinuerlig_ overvåke portbruken?
> og det er også mulig å begrense tilgangen til de aller fleste av disse
> portene
Brannmur, ja. Heh. :-)
> uten å tape funksjonalitet som er essensiell for en bedrifts
> funksjon. Og det burde være enda enklere å begrense tilgangen til porter
> for en privatperson, uten å tape nevneverdig funksjonalitet.
Igjen, her argumenterer du mot deg selv, men det er kjekt: jeg er enig.
Odd H. Sandvik
>
> "Thomas Bjørseth" <thoma...@bjorseth.no> skrev i melding
> news:vg2te194se1sfn70n...@4ax.com...
>
> > Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
> > Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
>
> Sasser var et, tror jeg.
Den første Sasser, SASSER.A ble oppdaget 1 Mai, 2004.
Microsoft hadde allerede patchet for denne med MS04-011
den 13 April.
Neste! :)
--
Odd H. Sandvik
Tobias Brox
> Du antyder at dette emnet er tatt opp mange ganger før i dette forumet.
> Burde du ikke først vite hvor lenge jeg har lest "no.it.sikkerhet.diverse"
> før du tar den tonen?
Første bud på news må være at man prøver å unngå å bli provosert, man
bør prøve å unngå å lese alle innlegg i værste mening. Det er veldig
mange opphissede diskusjoner her - jeg vet ikke, noen folk finner
kanskje underholdning i det, men jeg synes mest det forsøpler
atmosfæren her. Dersom man føler seg "tråkket på", er det ofte best å
bare la det passere. Jeg tror ikke innlegget du svarer på var ment
som noe personangrep.
"Noen" burde sette opp en FAQ (eller, Ofte Besvarte Spørsmål) for
no.it.sikkerhet.diverse, der temaet blir belyst fra alle sider. Jeg
vil gjøre et forsøk på å oppsummere tidligere debatter her:
1. Det er mange her på gruppa (meg inkludert) som innerst inne mener
at brannvegger og virusscannere er noe tull. Argumentet er at
brannvegger ikke gir noen sikring utover hva korrekt konfigurering
av tjenester på maskinen ville ha gitt, og at virusbeskyttere kun
hjelper mot kjente virus; det aller meste av virus i dag benytter
seg av sikkerhetshull i programvare, og da bør slik programvare
fikses.
2. Eventuelt, unntaket må være dersom man har et lokalnett som man
anser som "sikker sone", og ønsker "fri flyt" av tjenester og
innhold på lokalnettet, og ikke har tid/lyst til å konfigurere hver
enkelt av disse tjenestene; da er det bedre å ha en brannvegg
stående mellom lokalnett og internett. Enkelte vil hevde at et
lokalnett nesten aldri kan ansees for å være en "sikker sone", og
at tjenester på lokalnettet uansett bør være beskyttet gjennom
innlogging (brukernavn/passord).
3. På en gjennomsnitts windowsmaskin, administrert av en
gjennomsnittlig bruker, bør man antageligvis ha både brannvegg(er)
og virusscanning.
4. Ulempen med brannvegger er at man risikerer at "ting ikke virker",
brannvegger har ofte en tendens til å stenge ute legitim trafikk,
ofte uten at man får tilstrekkelig tilbakemelding om at trafikken
er blitt blokkert.
5. Uansett hvor gode virusscannere og brannvegger man har, kan man i
utgangspunktet aldri være trygg mot angrep.
--
Tobias Brox, Tromsø
Tobias Brox
> Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
> få som var oppmerksomme på akkurat det RPC-hullet. Microsoft legger inn all
> slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
> helt feil fokus på sikkerhet
I værste fall, kan man ikke finne ut hva slags lyttende tjenster man
har ved en portscan?
På min maskin har jeg et ypperlig verktøy som heter lsof - 'lsof -i'
gir meg en veldig god oversikt over all internetaktivitet på boksen,
inkludert lyttende porter. Det ser imidlertid ikke ut som at lsof er
tilgjengelig for windows.
--
Tobias Brox
Thomas Bjørseth
wrote:
>* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:
>> On Mon, 01 Aug 2005 14:23:51 GMT, al...@start.no (Alf P. Steinbach)
>> wrote:
>>
>> >* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:
>> >>
>> >> For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
>> >> utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
>> >> alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
>> >> lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
>> >> kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
>> >> så er mye gjort.
>> >>
>> >> Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
>> >> deretter 2-3 minutter hver gang en patch krever restart.
>> >
>> >Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
>> >få som var oppmerksomme på akkurat det RPC-hullet.
>>
>> I en helt standard installasjon av WinXP er det ikke så mange lyttende
>> tjenester, og WinXP slipper heller ikke inn trafikk til tjenester hvor
>> det finnes vanlige brukere uten passord.
>
>Hallo.
Meaning?
>> Man står selvfølgelig fritt til
>> å sette elendige passord, men da er vi over på brukerfeil og ikke
>> system- eller designfeil.
>
>Hallo?
Meaning?
>> En sikkerhetsfiks som tettet hullet MSBlaster utnyttet ble sluppet midt
>> 16. juli 2003, og det ble oppdaget spredning av MSBlaster 14. august
>> samme år. Det er fire uker fra Microsoft hadde en sikkerhetsfiks og til
>> en vellykket exploit var ute.
>
>11. august, mener du... Du imponerer ikke.
Nøyaktig dato var ikke poenget. Poenget var at MS hadde en patch
tilgjengelig flere uker før exploiten dukket opp.
>> Hvordan mener du at MS skulle informert alle sine brukere om at en fiks
>> var tilgjengelig? Hvordan skal de på generell basis informere alle
>> brukere hver gang en fiks er tilgjengelig.
>
>Jeg foreslår å starte en ny tråd hvis du virkelig er interessert i den
>problematikken, som så vidt jeg kan se er helt urelatert til denne tråden.
Punktet om patching og info om patcher var for meg en naturlig
forlengelse av temaet, ergo ble det med i denne meldingen. Du sa selv at
få visste om RPC-hullet, og da blir det enda mer naturlig for meg å
spørre om du eventuelt hadde tenkt på hvordan MS skulle informere
brukerne sine om slikt.
>> >Microsoft legger inn all
>> >slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
>> >helt feil fokus på sikkerhet (nemlig å gjøre ting enkle for administratorene
>> >i en større bedrift, ikke for brukeren) og det er klin umulig å vite om dem
>> >eller skru dem av [...]
>>
>> Sier du at det er "hemmelige" åpne porter som lytter på trafikk, og som
>> man ikke kan oppdage eller skru av?
>
>Mener du at det er umulig å reise til Afrika?
Nei. Men du påstår Windows har "lyttende og rapporterende tjenester " og
at disse ikke kan oppdages og lukkes (som du sier "klin umulig å vite om
dem eller skru dem av"). Kan du vise til noe som dokumenterer dette,
eller skal vi betrakte det som en udokumentert påstand som dermed ikke
er verdt veldig mye?
>Hint: det koster litt å reise til Afrika.
Det koster ingen ting å kjøre kommandoen "netstat -a". Det koster heller
ikke mye å lese litt om Windows og hvordan ting fungerer.
>> Kan du vise til dokumentasjon for den påstanden?
>
>Hvilken påstand? Er du verdensmester i tom retorikk?
Påstanden om at det er klin umulig å oppdage de lyttende og
rapporterende tjenestene i Windows som MS har lagt inn?
>> > før det kommer "vellykket" malware som bruker de aktuelle
>> >mulighetene, slik at Noen finner ut hvordan akkurat denne tjenesten skal
>> >skrus av -- og det kan trenge en sikkerhetsfiks fra MS, som da er Noen.
>>
>> Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
>> Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
>
>Ett stort tilfelle klarer seg: nyinstallasjon av Windows på en PC, der man
>så ønsker å laste ned sikkerhetsfikser, som betyr at man (den jevne bruker
>som ikke har et sett av CD-er med alt dette) nødvendigvis går på nett...
Akkurat det er et problem, ja, men hvor ofte reformaterer egentlig en
vanlig bruker PCen sin uten litt assistanse fra en person som er litt
datakyndig? Nye PCer leveres dog med ferdig-installert SP2 og
restore-CDer hvor SP2 er på plass, så dette blir et mindre og mindre
problem.
Uansett var din påstand at det var klin umulig å finne ut av de
"lyttende og rapporterende" tjenestene før det kommer exploits som
utnytter hull og at MS først da finner ut hvordan tjenesten kan stoppes
og slipper en patch. Forutsatt at jeg har tolket deg rett, selvfølgelig.
Du hadde en setningslengde og oppbygning som var rimelig vrien.
>Det finnes intet sett av fikser som beskytter maskinen totalt: å tro det er
>grenseløst naivt.
Fiksene tetter naturlig nok kun kjente hull, men det finnes vel ingen
"vellykkede" exploits som har utnyttet _ukjente_ hull hvor fiks ikke har
vært tilgjengelig? Ergo så er man rimelig sikker ved å hele tiden legge
inn alle tilgjengelige fikser.
>Bjørn Furuknap og muligens du kan klare dere uten
>brannmur. Andre som ikke har den tekniske ekspertisen, tiden og villigheten
>til å begrense bruken av maskinen, gjør klokt i å ha en brannmur.
>
>
>> Det er selvfølgelig mulig å se hvilke porter som er åpne på en PC,
>
>Og du mener at May-Brith skal sitte og _kontinuerlig_ overvåke portbruken?
Portbruken er knyttet opp mot de tjenestene (og programmene, hvis man
skiller på tjenester og programmer) som kjører på maskinen og ikke noe
annet. Stopper man de tjenestene (og programmene) man ikke trenger så
lukkes også portene. Da er det ikke nødvendig å kontinuerlig overvåke
portbruken. Ingen lyttende tjenester = ingen åpne porter. Fordelen med
denne tankegangen er at man tar problemet i stedet for symptomet.
>> og det er også mulig å begrense tilgangen til de aller fleste av disse
>> portene
>
>Brannmur, ja. Heh. :-)
Eller stoppe tjenestene som lytter på portene. Hvorfor skal man ha
kjørende tjenester som man ikke bruker? Det fører bare til økt
ressursbruk og større risiko for at en eller flere av disse tjenestene
blir rapportert med sikkerhetshull og exploits dukker opp for å
kompromittere maskinen.
>> uten å tape funksjonalitet som er essensiell for en bedrifts
>> funksjon. Og det burde være enda enklere å begrense tilgangen til porter
>> for en privatperson, uten å tape nevneverdig funksjonalitet.
>
>Igjen, her argumenterer du mot deg selv, men det er kjekt: jeg er enig.
Hvorfor? En privatperson kan også stoppe tjenester, og trolig flere
porter enn en business-PC fordi den ikke trenger den samme
funksjonaliteten.
Med en brannmur hindrer du tilgang til maskinen fra utsiden. Det stopper
ormer som prøver å få tilgang til usikre tjenester på maskinen. Med en
gang brukeren stopper brannmuren så er plutselig alle de usikre
tjenestene eksponert. Ved å stoppe alle usikre og unødvendige tjenester
og holde maskinen oppdatert med alle sikkerhetsfikser så løser man
problemet på en mye bedre måte. Og med Windows sin Automatic
Updates-funksjon så har man som privatperson egentlig ingen unnskylding
for ikke å holde en Windowsinstallasjon oppdatert.
Thomas Bjørseth
<tob...@stud.cs.uit.no> wrote:
>[Alf P. Steinbach]
>> Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
>> få som var oppmerksomme på akkurat det RPC-hullet. Microsoft legger inn all
>> slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
>> helt feil fokus på sikkerhet
>
>I værste fall, kan man ikke finne ut hva slags lyttende tjenster man
>har ved en portscan?
For eksempel, ja. Det tar ikke lang tid å portscanne alle mulige porter
på en Windows-maskin. Dette forutsetter at man sitter i relativ nærhet
av maskinen man portscanner, selvfølgelig.
>På min maskin har jeg et ypperlig verktøy som heter lsof - 'lsof -i'
>gir meg en veldig god oversikt over all internetaktivitet på boksen,
>inkludert lyttende porter. Det ser imidlertid ikke ut som at lsof er
>tilgjengelig for windows.
Windows har den nesten allestedsværende "netstat -a", som viser alle
lyttende porter og porter hvor det går trafikk.
Thomas B
--
Thomas Bjørseth
Mail: thomas-...@bjorseth.no
Tobias Brox
> Windows har den nesten allestedsværende "netstat -a", som viser alle
> lyttende porter og porter hvor det går trafikk.
netstat -a funker likedan (?) her, men lsof har den fordelen at den
også viser hvilken prossess (navn og pid) som står bak; veldig viktig
informasjon (både for å identifisere tjenestene og for å eventuelt
kverke dem).
--
Tobias Brox
C A Gloersen
> MS slapp sin bulletin 13. april 2004, mens deteksjon for Sasser ble lagt
> til Symantec sine "Rapid Release" oppdateringer 30. april 2004. Det
> indikerer at Sasser også kom flere uker _etter_ at MS slapp sin fiks.
Okey.. fullt mulig at jeg tar feil :) Bare mente å huske at det var en av de
store ormene som var en 0-day exploit, men hvis det ikke stemmer så er det
forsåvidt bare positivt.
C A G
Alf P. Steinbach
> [Alf P. Steinbach]
> > Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
> > få som var oppmerksomme på akkurat det RPC-hullet. Microsoft legger inn all
> > slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
> > helt feil fokus på sikkerhet
>
> I værste fall, kan man ikke finne ut hva slags lyttende tjenster man
> har ved en portscan?
Jo, i verste fall (se nedenfor).
Men det kan i praksis ikke gjøres kontinuerlig.
Den vanlige brukeren som kjører opp Outlook Express (say) og dermed får
automatisk aktivert og endog reinstallert Windows Messenger (say) -- uten
at jeg vet om akkurat den er noen stor fare eller fare i det hele tatt --
kan føle seg rimelig sikker hvis alt annet enn HTTP (say) er stengt, og
ellers føler i alle fall jeg meg rimelig usikker, for det er ikke
dokumentert noe sted hva som blir kjørt opp her og der; tvert i mot sier for
eksempel EULA-en til Windows Media Player at du godtar at hva som helst rusk
og rask fra Microsoft-godkjent tredjepart blir installert bak kulissene, og
WMP prøver stadig å endre på sikkerhetsinnstillingene.
Så kan man selvfølgelig la være å bruke Microsoft programvare som Outlook
Express (jeg bruker OE kun av og til, til spesielle formål) og WMP (bruker
den kun til P4) og Visual Studio og whatever.
Men da er litt av poenget med Windows borte.
> På min maskin har jeg et ypperlig verktøy som heter lsof - 'lsof -i'
> gir meg en veldig god oversikt over all internetaktivitet på boksen,
> inkludert lyttende porter. Det ser imidlertid ikke ut som at lsof er
> tilgjengelig for windows.
Det som følger med i Windows XP er 'netstat' for å liste åpne porter, som så
vidt jeg husker er full av feil (den lister ikke alt), og 'openfiles' for å
liste åpne filer. I Windows 2000 var det et program tilsvarende 'openfiles'
kalt 'oh' (open handles), som var bedre, men det var kun i Resource Kit hvis
jeg ikke husker feil. Det kan lastes ned og fungerer også på Windows XP.
Når jeg kjører 'netstat' nå så går den listingen uhyggelig tregt, og det er
så mye der at jeg kuttet listen øverst i UDP-settet.
Det er vel kun sikkerhetsentusiaster (om noen) som har noen idé om hva alt
dette er, og hvordan det kan skrus av -- jeg bare stenger for portene, så
får rasket stå der.
C:\Documents and Settings\Alf> netstat -a -b
Active Connections
Proto Local Address Foreign Address State PID
TCP SpringFlower:ftp SpringFlower:0 LISTENING 1588
[inetinfo.exe]
TCP SpringFlower:http SpringFlower:0 LISTENING 1588
[inetinfo.exe]
TCP SpringFlower:epmap SpringFlower:0 LISTENING 688
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]
TCP SpringFlower:https SpringFlower:0 LISTENING 1588
[inetinfo.exe]
TCP SpringFlower:microsoft-ds SpringFlower:0 LISTENING 4
[System]
TCP SpringFlower:1026 SpringFlower:0 LISTENING 1588
[inetinfo.exe]
TCP SpringFlower:netbios-ssn SpringFlower:0 LISTENING 4
[System]
TCP SpringFlower:1025 SpringFlower:0 LISTENING 1268
[navapw32.exe]
TCP SpringFlower:1032 SpringFlower:0 LISTENING 2372
[alg.exe]
TCP SpringFlower:1223 nomms22no.ulv.nextra.no:554 ESTABLISHED
1536
[wmplayer.exe]
TCP SpringFlower:1313 localhost:1314 ESTABLISHED 652
[firefox.exe]
TCP SpringFlower:1314 localhost:1313 ESTABLISHED 652
[firefox.exe]
UDP SpringFlower:1027 *:* 816
C:\WINDOWS\system32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]
...
Odd H. Sandvik
In article <dcm99i$1b9r$1...@news.uit.no>, Tobias Brox says...
> "Noen" burde sette opp en FAQ (eller, Ofte Besvarte Spørsmål) for
> no.it.sikkerhet.diverse, der temaet blir belyst fra alle sider. Jeg
> vil gjøre et forsøk på å oppsummere tidligere debatter her:
> 1. Det er mange her på gruppa (meg inkludert) som innerst inne mener
> at brannvegger og virusscannere er noe tull.
Mens, i den virkelige verden, som tross alt er den som teller, så kan og
vil ofte ikke de aller fleste brukere lære seg såpass sikkerhet at de
ikke trenger antivirus og brannvegger.
> Argumentet er at
> brannvegger ikke gir noen sikring utover hva korrekt konfigurering
> av tjenester på maskinen ville ha gitt, og at virusbeskyttere kun
> hjelper mot kjente virus;
Det skal vel dog nevnes at flere og flere virusbeskyttere benytter
seg av såkalt heuristisk skanning. I tillegg til å trigge på signatur,
så trigges det også på oppførsel.
> det aller meste av virus i dag benytter
> seg av sikkerhetshull i programvare, og da bør slik programvare
> fikses.
Ja, ideelt sett. Men det er ikke alltid realistisk at det skjer, eller
at det skjer innenfor en relevant tidsramme.
> 2. Eventuelt, unntaket må være dersom man har et lokalnett som man
> anser som "sikker sone", og ønsker "fri flyt" av tjenester og
> innhold på lokalnettet, og ikke har tid/lyst til å konfigurere hver
> enkelt av disse tjenestene; da er det bedre å ha en brannvegg
> stående mellom lokalnett og internett. Enkelte vil hevde at et
> lokalnett nesten aldri kan ansees for å være en "sikker sone", og
> at tjenester på lokalnettet uansett bør være beskyttet gjennom
> innlogging (brukernavn/passord).
>
> 3. På en gjennomsnitts windowsmaskin, administrert av en
> gjennomsnittlig bruker, bør man antageligvis ha både brannvegg(er)
> og virusscanning.
>
> 4. Ulempen med brannvegger er at man risikerer at "ting ikke virker",
> brannvegger har ofte en tendens til å stenge ute legitim trafikk,
> ofte uten at man får tilstrekkelig tilbakemelding om at trafikken
> er blitt blokkert.
>
> 5. Uansett hvor gode virusscannere og brannvegger man har, kan man i
> utgangspunktet aldri være trygg mot angrep.
--
Odd H. Sandvik
Odd H. Sandvik
Den eneste ormen som jeg kan huske ble sluppet innen 24 timer etter
at et hull var annonsert er Witty ormen. Men den var myntet på
sikkerhets-programvare fra Internet Security Systems (ISS).
Ormen var teknisk interessant og meget destruktiv.
--
Odd H. Sandvik
C A Gloersen
"Tobias Brox" <tob...@stud.cs.uit.no> skrev i melding
news:dcmb5d$1bdh$1...@news.uit.no...
> netstat -a funker likedan (?) her, men lsof har den fordelen at den
> også viser hvilken prossess (navn og pid) som står bak;
Med netstat -o får du PID. Det enkleste er allikevel TCPview som gir deg
både navnet og resten kontinuerlig oppdatert.
http://www.sysinternals.com/Utilities/TcpView.html
C A G
Tobias Brox
> Men det kan i praksis ikke gjøres kontinuerlig.
Det er et poeng; et forsøk på "korrekt" konfigurering kan ikke hindre
et vilkårlig program (enten det skyldes features, malware, bugs, etc)
å åpne en lyttende port, og en god brannvegg kan vel også rapportere
om uforventet utgående trafikk på ukjente porter. I teorien bør det
vel være mulig å lage en brannvegg som detekterer om det kjøres noe
annet enn forventede protokoller på kjente porter. Kanskje
brannvegger kan ha noe for seg. Men personlig mener jeg uansett at
brannvegger er en uting, i de aller fleste tilfeller :-)
> Så kan man selvfølgelig la være å bruke Microsoft programvare som Outlook
> Express (jeg bruker OE kun av og til, til spesielle formål) og WMP (bruker
> den kun til P4) og Visual Studio og whatever.
> Men da er litt av poenget med Windows borte.
Poenget med Windows er vel at den allerede kommer preinstallert, og at
gjennomsnittsbrukeren ikke har noen større grunn til å skifte. Men
det gjelder kanskje OE/WMP/VS/whatever?
> Når jeg kjører 'netstat' nå så går den listingen uhyggelig tregt, og det er
> så mye der at jeg kuttet listen øverst i UDP-settet.
> Det er vel kun sikkerhetsentusiaster (om noen) som har noen idé om hva alt
> dette er, og hvordan det kan skrus av -- jeg bare stenger for portene, så
> får rasket stå der.
Der er fordelen med lsof. Jeg får kjapt en idé om hva alt er.
Eksempler:
(...)
autossh 17619 tobias 3u IPv4 16614 TCP localhost:23554 (LISTEN)
(...)
skype.bin 30356 tobias 5u IPv4 1935931 UDP *:35006
(...)
wish 25163 tobias 8u IPv4 2044179 TCP 10.0.0.2:42248->baym-cs187.msgr.hotmail.com:1863 (ESTABLISHED)
Hadde jeg ikke sett prossessnavnene, hadde jeg kverket disse tvert -
men uten prossessnavn/pid blir det også vanskelig å kverke dem, så da
måtte jeg heller stengt det i brannveggen?
(aMSN, chatklient, er bygd over wish - hadde jeg ikke tenkt over at
jeg faktisk har en del peers som tvinger meg til å være koblet opp mot
msn-nettverket hadde jeg fått panikk over denne. Skype også, liker
ikke helt å bruke produkter med lukkede standarder, men det er nå så,
nå behøver jeg i allefall ikke å lure på hvorfor port 35006 er åpen
lengre. Også autossh, den kjører noe forwarding på bestemte porter
for å sjekke at forbindelsen fungerer, også noe jeg ikke ville ha
tenkt på sånn helt av meg selv).
> C:\Documents and Settings\Alf> netstat -a -b
> Active Connections
> Proto Local Address Foreign Address State PID
> TCP SpringFlower:ftp SpringFlower:0 LISTENING 1588
> [inetinfo.exe]
Vel, netstat på windows funker visst litt bedre enn netstat på Linux.
Jeg får ikke innblikk i pid og programnavn.
Tobias Brox
> Bare noen kommentarer til din ellers utmerkete FAQ. :)
>> 1. Det er mange her på gruppa (meg inkludert) som innerst inne mener
>> at brannvegger og virusscannere er noe tull.
> Mens, i den virkelige verden, som tross alt er den som teller, så kan og
> vil ofte ikke de aller fleste brukere lære seg såpass sikkerhet at de
> ikke trenger antivirus og brannvegger.
Og da er vi på punkt 3. :-)
>> Argumentet er at
>> brannvegger ikke gir noen sikring utover hva korrekt konfigurering
>> av tjenester på maskinen ville ha gitt, og at virusbeskyttere kun
>> hjelper mot kjente virus;
> Det skal vel dog nevnes at flere og flere virusbeskyttere benytter
> seg av såkalt heuristisk skanning. I tillegg til å trigge på signatur,
> så trigges det også på oppførsel.
Kjent oppførsel?
>> det aller meste av virus i dag benytter
>> seg av sikkerhetshull i programvare, og da bør slik programvare
>> fikses.
> Ja, ideelt sett. Men det er ikke alltid realistisk at det skjer, eller
> at det skjer innenfor en relevant tidsramme.
Og da er vi igjen inne på punkt 3 ;-)
>> 3. På en gjennomsnitts windowsmaskin, administrert av en
>> gjennomsnittlig bruker, bør man antageligvis ha både brannvegg(er)
>> og virusscanning.
--
Tobias Brox, Tromsø
C A Gloersen
"Alf P. Steinbach" <al...@start.no> skrev i melding
news:42eeab8b...@news.individual.net...
> Proto Local Address Foreign Address State PID
> TCP SpringFlower:ftp SpringFlower:0 LISTENING
1588
> [inetinfo.exe]
>
> TCP SpringFlower:http SpringFlower:0 LISTENING
1588
> [inetinfo.exe]
Du kjører tydeligvis web- og FTP- server (IIS), men det er kanskje meningen?
Hvis ikke, kunne det kanskje vært en fordel å skru det av...
C A G
Odd H. Sandvik
> Odd H. Sandvik <inv...@online.invalid> wrote:
>
> > Det skal vel dog nevnes at flere og flere virusbeskyttere benytter
> > seg av såkalt heuristisk skanning. I tillegg til å trigge på signatur,
> > så trigges det også på oppførsel.
>
> Kjent oppførsel?
Man gir et program en score basert på hvor mange virus-liknende
egenskaper det har. Jo høyere score, jo større sjanse for at det
er et virus. Da trenger en ikke en eksakt signatur for å flagge
et virus. Men teknikken er langt fra perfekt. Man risikerer at
enkelte uskyldige program blir flagget som virus.
--
Odd H. Sandvik
Alf P. Steinbach
FTP-serveren er og skal være åpen.
Web-serveren er stengt for innkommende men brukes lokalt.
Listingen nedenfor viser hvordan det ligger an med dét, og også at man ikke
bør stole blindt på gratis portscannere på nettet (FTP-en rapporteres ikke),
her fra <url: http://www.alken.nl/portscan.php>:
<quote>
Portscan on IP 81.191.161.87
Checking for a SMTP server....
Testing port 25: Connection timed out....
Checking for a POP3 Server....
Testing port 110: Connection timed out....
Checking for a open proxy server....
Testing port 1080: Connection timed out....
Testing port 81: Connection timed out....
Testing port 8080: Connection timed out....
Checking for a open Windows share....
Testing port 136: Connection timed out....
Testing port 137: Connection timed out....
Testing port 138: Connection timed out....
Checking misc ports....
Results:
Tested ports that are closed:
25, 110, 1080, 81, 8080, 136, 137, 138,
Tested ports that are Open but not accepting connections:
None
Tested ports that are Open and accepting connections:
None
Guess
My guess is that the machine has:.. a firewall
</quote>
Og fra <url: http://networking.ringofsaturn.com/Tools/probe.php>:
<quote>
Address lookup
Hostname 81.191.161.87
Addresses
Aliases
Service scan
Port Service Response
21 ftp
Nmap 1
</quote>
Tobias Brox
> Listingen nedenfor viser hvordan det ligger an med dét, og også at man ikke
> bør stole blindt på gratis portscannere på nettet (FTP-en rapporteres ikke),
> her fra <url: http://www.alken.nl/portscan.php>:
> <quote>
> Portscan on IP 81.191.161.87
(...)
> Results:
> Tested ports that are closed:
> 25, 110, 1080, 81, 8080, 136, 137, 138,
Det er ikke hva jeg velger å kalle "portscan", med en "scan" tenker
jeg på en prossess som starter med portnummer 1 og fortsetter oppover
- men å forvente at en gratis, offentlig tilgjengelig tjeneste skal
gjøre slikt på forespørsel er vel for mye forlangt - særlig siden det
krever mye mer ressurser med portscan mot firewall enn uten.
Sist jeg kjørte en portscan ... og det er temmelig mange år siden ...
gjorde jeg det vha noen få linjer perl-kode ;-)
--
Tobias Brox, Tromsø
furu...@gmail.com
netstat kan gjøre nytten, men ellers bruker jeg ofte TCPView eller
TDIMon fra Sysinternals (*1) som gir en kjapp oversikt over alt som
kjører, hvilke porter det lyttes på og også om det er aktivitet der.
Bjørn
Bjørn Furuknap
> Er det noen fordeler/bakdeler ved å bruke både WIN XP sin brannmur og
> brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på
> meg som "smør på flesk".
Har dessverre ikke hatt muligheten til å svare deg før nå.
Temaet 'hvilken brannmurconfig skal jeg bruke' dukker opp med jevne
mellomrom. Min mening om dette er som følger:
Du trenger ingen brannmur i det hele tatt. Brannmuren gjør ingen nytte, og
kan være direkte skadelig. Dog er det eksplisitte tilfeller der brannmurer
kan være nyttige, men med mindre du vet at du har et slikt eksplisitt
tilfelle bør du gjøre de tiltakene du skal gjøre på maskinen din uansett og
så fjerne brannmuren helt.
I korthet er problemet med brannmurer basert på følgende problemområder:
- Brannmurer sperrer porter. De portene du ikke vil at folk skal inn på skal
du uansett skru av, så dermed gjør ikke brannmuren annet enn akkurat det
samme som du likevel gjør.
- Brannmurer er programvare, på lik linje med all annen programvare du
kanskje har problemer med å holde ved like allerede. Hvorfor skulle _mer_
programvare å holde oppdatert og forstå løse problemet med at du allerede
har for mye programvare å holde oppdatert og forstå?
- Brannmurer kan lett bli en sovepute fra å holde maskinen tilstrekkelig
sikret bak brannmuren. Oppdateringer av programvare og sikring av
operativsystemet er absolutt nødvendig uansett, og har du gjort det er det
ingenting brannmuren gjør som er en nyttig funksjon for deg. Tror du derimot
at brannmuren kan spare deg for jobben med å sikre maskinen bak så lever du
livsfarlig; hva tror du for eksempel skjer da dersom noen finner en feil i
brannmuren og kommer seg gjennom den og rett på din totalt usikrede og
feilbefengte maskin?
- Brannmuren kan like gjerne inneholde feil som alt annet, og _mer_
programvare på maskinen din øker sannsynligheten for kritiske feil som kan
medføre sikkerhets- eller stabilitetsproblemer.
Der brannmurer har en funksjon er når de 'vanlige' vedlikeholds- og
sikringsoppgavene du har ikke kan gjennomføres i det hele tatt eller ikke
kan gjennomføres tilstrekkelig for å fjerne eventuelle problemer. For
eksempel kan det være at en sikkerhetsoppdatering ikke fungerer, og inntil
du får funnet ut av hvorfor kan du sperre de utsatte funksjonene gjennom en
brannmur. Et annet tilfelle er der du må bruke eksplisitt usikker
programvare eller protokoller, for eksempel tfpt eller lanmanager
autentisering. Dette er aktuelt for noen sære tilfeller, men for den jevne
bruker er det såpass spesielt at det ikke fordrer noen generell
brannmuranbefaling.
Konklusjonen i min argumentasjon er derfor at du _må_ sikre maskinen din som
om brannmuren ikke var der fordi det kan hende at den svikter eller settes
til side. Når du likevel sikrer maskinen som om brannmuren ikke er der så
kan du like gjerne fjerne brannmuren og de potensielle ekstra problemene som
mer programvare medfører.
Ellers finner du dette temaet behørlig diskutert tidligere i gruppa, men du
må kanskje litt lenger bak enn februar i år. Google er din venn.
Lykke til,
Bjørn