wpad.dsl.inet.fi[194.251.244.142] verkkoyhteys
kake
Verkkoyhteyden käyttöönoton aluksi palomuuri kysyy aina lupaa
verkkoyhteyteen: wpad.dsl.inet.fi[194.251.244.142] joka on
Komentokehotteen (cmd.exe) ipconfig kohdassa Sonera Laajakaista yhteyden
"Yhteyksien DNS-liite . . . . : dsl.inet.fi". Eli välityspalvelinko vai
mikä?
Mitä tuo oikein hakee ja tarvitaanko sitä? Jos tarvitaan, niin liittyykö
siihen jotain mahdollisuuksia tietoturvaongelmiin jos yhteydelle
raksittaa "Allow" palomuurisääntöihin, tai kannattaako pitää "Ask"
kohdassa rasti?
Juttu on nimittäin niin että 10/10 Mbit/s laajakaistaliittymäni
latausnopeus ei pääse maksimiin selaimella, torrent-clientillä ym.
internet-ohjelmilla jos wpad.dsl.inet.fi[194.251.244.142]
Incoming/Outgoing liikenne blokataan palomuurista, vaan yhteysnopeus on
luokkaa 6 Mbit/s:ssa. Miksi näin, automaattiseen välityspalvelun
konffaus vaikuttaa laajakaistaliittymän huippunopeuteen aivan selvästi?
Onko välityspalvelimen ja liittymäni välillä jokin nopeampi putki, kuin
suoraan muihin IP-osoitteisiin? Tämä ei riipu ajankohdasta tai
IP-osoitteesta, vaan latausnopeus on aina luokkaa max 6 Mbit/s:ssa jos
wpad.dsl.inet.fi[194.251.244.142] liikenne blokataan.
Palomuurin lokitietoja wpad.dsl.inet.fi[194.251.244.142] yhteydestä:
-----------------------------------------------------
Severity: 10
Direction: Outgoing
Protocol: TCP
Remote Host: wpad.dsl.inet.fi [194.251.244.142]
Remote MAC**-**-**-**-**-**
Remote Port: 80
Local Host: 88.***.***.**
Local MAC: **-**-**-**-**-**
Local Port: 3277
Application Name: C:\WINDOWS\system32\svchost.exe
Domain: *
Security: Normal
Occourences: 3
Rule name:
GUI%GUICONFIG#SRULE@APPCONFIG-TCP#C:\WINDOWS\system32\svchost.exe
-----------------------------------------------------
Palomuurin yhteysilmoituslaatikon detailit:
-----------------------------------------------------
File Version : 5.1.2600.2180
File Description : Generic Host Process for Win32 Services (svchost.exe)
File Path : C:\WINDOWS\system32\svchost.exe
Process ID : 0x418 (Heximal) 1048 (Decimal)
Connection origin : local initiated
Protocol : TCP
Local Address : 88.***.***.**
Local Port : 3163
Remote Name : wpad.dsl.inet.fi
Remote Address : 194.251.244.142
Remote Port : 80 (HTTP - World Wide Web)
Ethernet packet details:
Ethernet II (Packet Length: 80)
Destination: **-**-**-**-**-**
Source: **-**-**-**-**-**
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x6b93 (Correct)
Source: 88.***.***.**
Destination: 194.251.244.142
Transmission Control Protocol (TCP)
Source port: 3163
Destination port: 80
Sequence number: 3656876874
Acknowledgment number: 0
Header length: 32
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x4604 (Correct)
Data (0 Bytes)
-----------------------------------------------------
ipconfig-komento Komentorivillä (cdm.exe) tulostaa seuraavaa:
-----------------------------------------------------
Windows IP-määritykset
Ethernet-sovitin Lähiverkkoyhteys
Yhteyksien DNS-liite . . . . : dsl.inet.fi
IP-osoite . . . . . . . . . .: 88.***.***.0
Aliverkon peite . . . . . . .: 255.255.248.0
Oletusyhdyskäytävä. . . . . .: 88.***.***.1
-----------------------------------------------------
Eli kannattaako tuon yhteyden antaa ottaa automaattisesti aina yhteys
palomuurista "Allow", kysellä sitä "Ask" tai jotenkin poistaa
yhteydenotto eli välityspalvelun konffaus, niin että laajakaistan
yhteysnopeus ei kuitenkaan hidastuisi? Ja onko tämän
svchost.exe-palvelun sallimisesta mahdollisesti jotain tietoturvariskiä?
Tomi Jaskari
> Juttu on nimittäin niin että 10/10 Mbit/s laajakaistaliittymäni
> latausnopeus ei pääse maksimiin selaimella, torrent-clientillä ym.
> internet-ohjelmilla jos wpad.dsl.inet.fi[194.251.244.142]
> Incoming/Outgoing liikenne blokataan palomuurista, vaan yhteysnopeus on
> luokkaa 6 Mbit/s:ssa. Miksi näin, automaattiseen välityspalvelun
Kyseessä on teoreettinen maksimi ja kyllä minä sallisin liikenteen Soneran
ip-numeroon.
http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
--
/*. Käytössä Opera 9.xx: http://www.opera.com/
O>'O________________________________________________
Homepage: http://www.kolumbus.fi/tomijaskari/
Sami Setälä
> verkkoyhteyteen: wpad.dsl.inet.fi[194.251.244.142] joka on
> Komentokehotteen (cmd.exe) ipconfig kohdassa Sonera Laajakaista yhteyden
> "Yhteyksien DNS-liite . . . . : dsl.inet.fi". Eli välityspalvelinko vai
> mikä?
WPAD = Windows Proxy AutoDetect tai jotain sinnepäin oleva lyhenne. Eli jos
sinulla on IE:ssä välityspalvelimen asetuksissa automaattitunnistus päällä,
niin se etsii wpad -nimistä konetta siitä nimipalveludomainista, johon se
itse katsoo kuuluvansa. Jos tuo vastaa, niin se ohjaa selaimen käyttämään
tiettyä proxyä tietyin asetuksin.
Kysely loppuu sillä, että otat välityspalvelimen automaattitunnistuksen pois
päältä. Onko tuosta hyötyä vai haittaa, riippuukin sitten jo Soneran
välityspalvelimen tasosta. Itse suosin pääsääntöisesti suoraa yhteyttä, kun
nykyään harva palvelin on niin hitaan yhteyden päässä, että
välityspalvelimesta olisi oikeasti hyötyä. Jos sonera kertoo liittymän
teknisissä tiedoissa, että mikä välityspalvelimen osoite on, niin sen voi
tietysti vertailun vuoksi asettaa käsin selaimen asetuksiin. Ainakin jossain
IE:n versioissa asetukset astuvat voimaan vasta, kun selain suljetaan
(kaikki ikkunat) ja avataan sitten uudelleen.
-Sami-
kake
Juttu on vain niin ettei IE:n asetuksissa ole määritetty
Välityspalvelinta, vaan raksi on pois kohdasta:
Ominaisuudet: Internet -> Yhteydet -> Lähiverkon asetukset:
Lähiverkkoasetukset: Välityspalvelin [ ] Käytä välityspalvelinta
lähiverkossa (Nämä asetukset eivät vaikuta puhelinverkko- ja
VPN-yhteyksiin).
wpad.dsl.inet.fi[194.251.244.142] yhteyttä ei sitä paitsi ota selain,
vaan svchost.exe !
Nopeusmittauksissa Sonera Laajakaista Huoneisto Plus on erittäin hyvin
pysynyt siirtonopeuksissa luvatussa, eli 10Mbit/s upload/download kun
wpad.dsl.inet.fi:lle on sallittu verkkoyhteys, ja nopeus on noin 6Mbit/s
upload/download kun wpad.dsl.inet.fi-verkkoyhteys blokataan palomuurista.
Minulla on tapana Lähiverkkoyhteys kuvakkeesta tehtäväpalkissa poistaa
käytöstä verkkoyhteys tietoturvan takia, kun en sitä käytä. ja aina kun
otan yhteyden uudelleen käyttöön, ensimmäiseksi svchost.exe pyytää lupaa
verkkoyhteyteen wpad.dsl.inet.fi[194.251.244.142].
Tomi Jaskari
> svchost.exe
Tämä on koneessa pyörivien palveluiden isäntäprosessi, jolla on
alaisuudesta yhdestä useampaan varsinaista palvelua. Eli ei sinänsä kerro
mitään oleellista.
Sami Setälä
> Välityspalvelinta, vaan raksi on pois kohdasta:
>
> Ominaisuudet: Internet -> Yhteydet -> Lähiverkon asetukset:
>
> Lähiverkkoasetukset: Välityspalvelin [ ] Käytä välityspalvelinta
> lähiverkossa (Nämä asetukset eivät vaikuta puhelinverkko- ja
> VPN-yhteyksiin).
Niin mutta kun se automaattiasetusruksi onkin siinä samaisessa näkymässä
muutaman rivin ylempänä, ja vaikka sen kohdalla ei puhuta mitään
välityspalvelimesta, niin sitä se kuitenkin tarkoittaa. Valitettavasti
minulla ei ole tässä suomenkielistä käyttöjärjestelmää käsillä, mutta
englanniksi tuossa samassa kohtaa on "automatically detect settings",
"automatic configuration script" ja tuo mainitsemasi "use a proxy
server...". Ja nimenomaan tuo ylimmäinen ruksi kytkee tuon wpad-kyselyn
käyttöön.
> wpad.dsl.inet.fi[194.251.244.142] yhteyttä ei sitä paitsi ota selain, vaan
> svchost.exe !
IE on niin syvällä naimisissa käyttöjärjestelmän kanssa, että tuo ei ole
yhtään yllättävää.
> Minulla on tapana Lähiverkkoyhteys kuvakkeesta tehtäväpalkissa poistaa
> käytöstä verkkoyhteys tietoturvan takia, kun en sitä käytä. ja aina kun
> otan yhteyden uudelleen käyttöön, ensimmäiseksi svchost.exe pyytää lupaa
> verkkoyhteyteen wpad.dsl.inet.fi[194.251.244.142].
Tuo svchost tosiaan palvelee kaikkia käyttöjärjestelmän prosesseja. Koska
ainakin automaattiset päivitykset ja kenties joku muukin Windowsin oma
palikka noudattaa IE:n proxyasetuksia, niin siksi tuo selvitetään heti kun
verkkoyhteys tulee käytettäväksi. Vakaasti uskon, että wpad-kysely loppuu
kun otat tuon automaattiasetusruksin pois ja boottaat koneen, jotta kaikki
jo taustalla käynnissä olevat palvelut tulevat tietoisiksi senhetkisistä
asetuksista.
-Sami-
kake
Nyt on vain sanottava ettei niissä kahdessa kohdassa siinä ylempänä..
[ ] Automaattinen asetusten haku
[ ] Käytä automaattisen kokoonpanon komentosarjaa
..ole rasteja. Kyllä tämä svchost.exe hakee sen
wpad.dsl.inet.fi[194.251.244.142] osoitteen jostain muualta kuin IE:stä.
Mika Iisakkila
> ..ole rasteja. Kyllä tämä svchost.exe hakee sen
> wpad.dsl.inet.fi[194.251.244.142] osoitteen jostain muualta kuin
> IE:stä.
No anna hakea. Mikä siinä ahdistaa? Windowsin itsensä tekemisiä se
joka tapauksessa on...
--
http://www.hut.fi/u/iisakkil/ --Foo.
Tomi Jaskari
> Nyt on vain sanottava ettei niissä kahdessa kohdassa siinä ylempänä..
>
> [ ] Automaattinen asetusten haku
> [ ] Käytä automaattisen kokoonpanon komentosarjaa
>
> ..ole rasteja. Kyllä tämä svchost.exe hakee sen
> wpad.dsl.inet.fi[194.251.244.142] osoitteen jostain muualta kuin IE:stä.
Eli ilmeisesti siihen on Soneran asennusrompulta asennettu jokin
ohjelmisto, joka on muuttanut järjestelmän asetuksia?
kake
> kake <rand...@luukku.com> kirjoitti Sat, 05 Jan 2008 22:27:13 +0200:
>
>> Nyt on vain sanottava ettei niissä kahdessa kohdassa siinä ylempänä..
>>
>> [ ] Automaattinen asetusten haku
>> [ ] Käytä automaattisen kokoonpanon komentosarjaa
>>
>> ..ole rasteja. Kyllä tämä svchost.exe hakee sen
>> wpad.dsl.inet.fi[194.251.244.142] osoitteen jostain muualta kuin IE:stä.
>
> Eli ilmeisesti siihen on Soneran asennusrompulta asennettu jokin
> ohjelmisto, joka on muuttanut järjestelmän asetuksia?
En ole asentanut mitään Soneran romppuja, vaan luonut itse uuden yhteyden.
Ja mitäkö väliä sillä on mitä jokin Windowsin svchost.exe ottaa
verkkoyhteyksiä wpad.dsl.inet.fi[194.251.244.142] osoitteeseen? No en
pidä vain siitä että käyttis tai jokin ohjelma tekee jotain mitä en
tiedä, varsinkaan lähetä/vastaanota nettiin mitään. Kun annan luvan
vaikka svchost.exe:lle päivitysten tai kellonajan tarkastukseen, niin
voin tarkastella pakettilokeilla mitä lähetetään ja vastaanotetaan ja
blokata palvelun yhteydenotot sen jälkeen. Sen sijaan kun antaa
wpad.dsl.inet.fi[194.251.244.142] yhteydelle oikeuden, niin palomuuri ei
enää hälytä kun se myöhemmin lähettää/vastaanottaa.
Tomi Jaskari
Lisätietoja proxy-käytännöstä wikistä englanniksi:
http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Joku Keni on kysellyt samasta asiasta jo toukokuussa 2006 ja saanut 2
vastausta. Microsoftin tietoturvablogissa on myös aiheesta tuore merkintä:
http://blogs.technet.com/tietoturvan_weblogi/
Välityspalvelimet ovat verkossa juuri helpottamassa ruuhkaa. En kuitenkaan
ole aiheen superasiantuntija, joten en osaa selittää mitä koneessasi
tapahtuu. Hieman haiskahtaa jos ja kun automaattinen tunnistus jää väkisin
päälle, mutta todennäköisesti kuitenkin kaikki on ihan kunnossa ja asiat
turvallisella tolalla :)
Kannattaa perehtyä koneen ohjelmistoihin vielä tarkemmin, josko se selitys
löytyisi: Security Task Manager on hyvä testattavissa oleva maksullinen
apuväline:
http://www.neuber.com/taskmanager/index.html
Tein oman koneeni ohjelmistoista sivun kyseisen työkalun avulla. Toisessa
sarakkeessa on arvio ohjelmistoon liittyvästä riskistä, joka perustuu
suoraan ominaisuuksiin, joita voi itse sitten tarkemmin tutkia ja
mahdollisesti hyväksyä harmittomaksi. Suurimman riskin omassa koneessa
muodostava Apache http-palvelin ja MySQL tietokanta - en ole yllättynyt.
NTPD sai vielä korkeammat riskipisteet, mutta sen merkkasin jo
harmittomaksi, koska sen toiminta on suhteellisen yksinkertaista.
Ohjelmiston yksi parhaista ominaisuuksista omasta mielestäni on se, että
alhaalta vasemmalta käynnistä-riviä napsauttamalla saa tietää mihin
järjestelmärekisterin haaroihin ohjelmisto on kiinnittynyt. Hieman hidas
se kyllä - ainakin omassa koneessani.
http://www.kolumbus.fi/tomijaskari/processinfo.html
Hyperteksti ei ole aivan alkuperäinen TM:n tuloste, vaan laitoin mukaan
mausteeksi joukon tyylimäärittelyjä.
Tomi Jaskari
Jos oikein ymmärsin wikipedian artikkelin niin tämä osoite tulee Soneran
DHCP:n kautta. Microsoftin tietoturvan webblogi kertoo sitten lisää siitä,
minkälaiseksi MS riskin arvioi. COM-osoitteille asia paikattiin jo
aikaisemmin, mutta muut TLD:t jäivät haavoittuviksi. Tosin itse arvioisin,
että tätä kautta tulevan hyökkäyksen riski on mitätön (mutta ei olematon).
Ville Hietarinta
>Tomi Jaskari kirjoitti:
>> kake <rand...@luukku.com> kirjoitti Sat, 05 Jan 2008 22:27:13 +0200:
>>
>>> ..ole rasteja. Kyllä tämä svchost.exe hakee sen
>>> wpad.dsl.inet.fi[194.251.244.142] osoitteen jostain muualta kuin IE:stä.
>>
>> Eli ilmeisesti siihen on Soneran asennusrompulta asennettu jokin
>> ohjelmisto, joka on muuttanut järjestelmän asetuksia?
>
>En ole asentanut mitään Soneran romppuja, vaan luonut itse uuden yhteyden.
Voisikohan Windowsupdaten määrityksissä olla proxy käytössä?
Proxycfg.exe:llä voit tarkistaa proxy-asetukset.
Tomi Jaskari
+0200:
> Proxycfg.exe:llä voit tarkistaa proxy-asetukset.
Vaatii siis komentorivin käyttöä:
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Tomi>proxycfg
Microsoft (R) WinHTTP Default Proxy Configuration Tool
Copyright (c) Microsoft Corporation. All rights reserved.
Current WinHTTP proxy settings under:
HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\Connections\
WinHttpSettings :
Direct access (no proxy server).
C:\Documents and Settings\Tomi>proxycfg /?
Microsoft (R) WinHTTP Default Proxy Configuration Tool
Copyright (c) Microsoft Corporation. All rights reserved.
usage:
proxycfg -? : to view help information
proxycfg : to view current WinHTTP proxy settings
proxycfg [-d] [-p <server-name> [<bypass-list>]]
-d : set direct access
-p : set proxy server(s), and optional bypass list
proxycfg -u : import proxy settings from current user's
Microsoft Internet Explorer manual settings (in HKCU)
C:\Documents and Settings\Tomi>
Eli ilmeisesti "proxycfg -d" on haluttu komento kun ei haluta proksia :).