Windows XP firewall
Antti Tolamo
ihan heti
mieleen missä käyttöjärjetselmässä noin olis. Ehkä jossain Unixissa?i:
http://netsecurity.miningco.com/library/weekly/aa071601a.htm
On näköjään mukana myös Windows XP Home Editionissa.
Tiedä sitten kuinka hyvä tuo on käyttäjäpuolella, mutta toteutus
käyttäjäpuolella vaikuttaa
suhteellisen yksinkertaiselta. Voikohan tuohon lisätä sääntöjä itse?
Antti
Jarkko Hakala
tule
> ihan heti
> mieleen missä käyttöjärjetselmässä noin olis. Ehkä jossain Unixissa?i:
Ainakaan taannoin asentamani Redhatin 7.0 ei asentanut Windows XP firewallia
oletuksena koneeseen. Ei muistaakseni ollut edes valittavissa lisäoptiona.
-
Jarkko Hakala - jak...@www.com
http://byterapers.com/~jhakala/
IRCnet: privmsg jakemus :
Aki Rossi
"Jarkko Hakala" <jak...@www.com> wrote in message
news:lutnm9.l0j.ln@hevonen...
> > Onko tuo ainoa OS ikinä missä se on mukana ja päällä perusasetuksissa?
Ei
> tule
> > ihan heti
> > mieleen missä käyttöjärjetselmässä noin olis. Ehkä jossain Unixissa?i:
>
> Ainakaan taannoin asentamani Redhatin 7.0 ei asentanut Windows XP
firewallia
> oletuksena koneeseen. Ei muistaakseni ollut edes valittavissa lisäoptiona.
Hmm, eikös "Windows XP firewall" ole semmoinen joka pitää kaikki XP-koneet
turvallisesti verkon ulkopuolella? ;)
Markus Jansson
"Antti Tolamo" <use...@linux.tola.org> wrote in message
news:9mmjfu$33j9e$1...@ID-101768.news.dfncis.de...
> Onko tuo ainoa OS ikinä missä se on mukana ja päällä perusasetuksissa? Ei
tule
> ihan heti mieleen missä käyttöjärjetselmässä noin olis. Ehkä jossain
Unixissa?i:
Ei ole ollut missään muussa.
> On näköjään mukana myös Windows XP Home Editionissa.
> Tiedä sitten kuinka hyvä tuo on käyttäjäpuolella, mutta toteutus
> käyttäjäpuolella vaikuttaa suhteellisen yksinkertaiselta. Voikohan tuohon
lisätä sääntöjä itse?
Pitäisi voida lisätä sääntöjä itse. En ole kylläkään varma onko palomuuri
päällä oletuksena vai pitääkö se itse laittaa päälle. Kaiken kaikkiaan, ei
tuo palomuuri ole läheskään yhtä hyvä kuin vaikkapa ZoneAlarm, huono
kompromissiratkaisu M$:ltä.
--
Markus Jansson
************************************
My privacy related homepage and PGP keys:
http://www.geocities.com/jansson_markus/
************************************
Antti Tolamo
"Markus Jansson" <jansson...@ziplip.com> wrote in message
news:9mt6j8$2foo$1...@bowmore.utu.fi...
>
> Pitäisi voida lisätä sääntöjä itse. En ole kylläkään varma onko palomuuri
> päällä oletuksena vai pitääkö se itse laittaa päälle. Kaiken kaikkiaan, ei
> tuo palomuuri ole läheskään yhtä hyvä kuin vaikkapa ZoneAlarm, huono
> kompromissiratkaisu M$:ltä.
Hyvä puoli(jos on artikkelia uskominen) että se on helposti saatavilla ja
päällä kun
on itse käyttöjärjestelmässä.
Minusta tuo olisi jo huomattava parannus. Esim. minulla ei pitkään aikaan ollut
palomuuria Windowsissa(56k modeemilla) kun noin puolitoista vuotta sitten
ensimmäisen Windows PC:n hankin. Ja kun asentelin Linuxia ensimmäisi kertoja,
niin tuli ainakin surffailtua jonkin tovin ilman mitään palomuuria Linuxista(EI
tod. hyvä idea!). Linuxin kohdalla tuo voi olla itse asiassa tietyssä mielessä
riskialttiimpaa jos ei tiedä tarkkaan mitä tekee.
Ainakin noin moni välttyisi siltä kohtalolta että joku ohjelmointia osaamaton
pojankoltiainen ottaa netistä jonkun valmiin ohjelman, skannaa heti hirveän
määrän osoitteita ja BAM! löytää heti sisälle johonkin kotikoneeseen jota joku
ei ole tajunnut suojata ollenkaan.
Kyllä palomuurin pitäisi olla jo perusominaisuus käyttöjärjestelmissä ja sen
pitäisi olla päällä
oletuksena jos minkäänlainen verkkoyhteys muodostetaan internettiin IMHO.
Minusta on älytöntä
että niin monessa käyttöjärjestelmässä kyllä tulee mukana kaikenlaisia
verkkopalveluita jotka on helppo asentaa ja joista osa asentuu kysymättäkin.
Mutta ei suojamekanismia samalle yheydelle joka olisi helppo asentaa, säätää ja
joka huolehtisi oletusasetuksineen siitä että ellei ole erikseen sallinut
jotain palvelua, niin siihen ei voi ottaa myöskään yhteyttä ulkopuolelta.
Antti
Ari Laitinen
"Antti Tolamo" <use...@linux.tola.org> kirjoitti viestissä
news:9mtm1l$44b3b$1...@ID-101768.news.dfncis.de...
> Kyllä palomuurin pitäisi olla jo perusominaisuus käyttöjärjestelmissä ja
sen
> pitäisi olla päällä
> oletuksena jos minkäänlainen verkkoyhteys muodostetaan internettiin IMHO.
> Minusta on älytöntä
Microsoftin Windowsissa on perusoletuksena rasti ruudussa "Tee järjestelmän
suojaustarkistus ennen soittoa" kun käytät modeemia.
Tämä tarkastus varmistaa että käyttäjällä ei ole päällä verkkoon jaettavia
resursseja yhdistäessään koneen nettiin.
Ainakin Windows 95..Me siis täyttää vaatimuksesi tältä osin. Siihen ei pääse
verkon kautta kun em. tarkastus on päällä eikä ole löytänyt mitään
turvariskiä, josta se varoittaisi käyttäjää.
Linux koneessa saattaa sen sijaan olla root käyttäjä ilman salasanaa ja
kaikki peruspalvelut aktiivisia, jolloin koneella ei ole välttämättä
minkäänlaista turvaa ketä tahansa verkosta tulevaa käyttäjää vastaan, mutta
tämä on toisaalta vakavan luokan asennusvirhe.
Antti Tolamo
"Ari Laitinen" <nos...@arisoft.fi> wrote in message
news:9mtolk$gtv$1...@tron.sci.fi...
>
>>
> Ainakin Windows 95..Me siis täyttää vaatimuksesi tältä osin. Siihen ei pääse
> verkon kautta kun em. tarkastus on päällä eikä ole löytänyt mitään
> turvariskiä, josta se varoittaisi käyttäjää.
Windows 2000:ssa tuota ei ilmeisesti ole. Ainakaan en löytänyt vastaava
valikkoa.
Mutta ilmeisesti verkkokortin kohdalla tuo ei päde ollenkaanv vaikka olisi,
vain modeemin?
>
> Linux koneessa saattaa sen sijaan olla root käyttäjä ilman salasanaa ja
> kaikki peruspalvelut aktiivisia, jolloin koneella ei ole välttämättä
> minkäänlaista turvaa ketä tahansa verkosta tulevaa käyttäjää vastaan, mutta
> tämä on toisaalta vakavan luokan asennusvirhe.
Niin, ja aika monessa distrossa tulee telnet/rpc/ sun muut joihin
voi loggautua. Helposti jos haluaa nettiin pelkällä modeemilla, voi tulla
vahingossa aika paljon muitakin verkkopalveluja asennuksen aikana.
Varmaan aika moni asentaa samalla kertaa verkkopalveluita isona rypäleenä vain
halutessaan käyttää esim. modeemia.
Antti
Markus Jansson
> Minusta tuo olisi jo huomattava parannus. Esim. minulla ei pitkään aikaan
ollut
> palomuuria Windowsissa(56k modeemilla) kun noin puolitoista vuotta sitten
> ensimmäisen Windows PC:n hankin. Ja kun asentelin Linuxia ensimmäisi
kertoja,
> niin tuli ainakin surffailtua jonkin tovin ilman mitään palomuuria
Linuxista(EI
> tod. hyvä idea!). Linuxin kohdalla tuo voi olla itse asiassa tietyssä
mielessä
> riskialttiimpaa jos ei tiedä tarkkaan mitä tekee.
Itse asiassa palomuuri ei ole Wintoosaan mikään välttämättömyys mikäli ei
itse ala leikkiä asetuksilla. Windows kun ei pidä mitään tärkeitä portteja
auki eikä porttien skannailulla ole muuta merkitystä kuin että mikäli kone
on jo sisältäpäin vaarannettu, joku toinenkin kuin se hakkeri joka sen
mursi, voi löytää sen. Palomuurin tärkein ominaisuus on tosin se että se
"kätkee" koko koneen eli sitä ei edes löydä netistä käsin jolloin esim. DDoS
hyökkäys ei ole "mahdollinen" etsimällä uhria käymällä läpi IP-osoitteita
jne. Toinen tärkeä ominaisuus on että sisältä ei pääse mitään ulospäin ja
muistaakseni tässä WindowsXP:n palomuuri ei ollut kovin tarkka.
Antti Tolamo
> Itse asiassa palomuuri ei ole Wintoosaan mikään välttämättömyys mikäli ei
> itse ala leikkiä asetuksilla
No jaa. Muistaakseni Windows 98 netbios on oletuksenä päällä.
Ja Win 98 on aika yleinen.
>. Windows kun ei pidä mitään tärkeitä portteja
> auki eikä porttien skannailulla ole muuta merkitystä kuin että mikäli kone
> on jo sisältäpäin vaarannettu, joku toinenkin kuin se hakkeri joka sen
> mursi, voi löytää se
Enpä tiedä. Portti 445 on Windows 2000:ssa, ja se käsittääkseni vastaa
tuota Windows 98 netbiossia. Siitä pääsee sisään jos ei viitsi käyttää
salasanoja ja tunnuksia.
Sitä ei vaan vielä ole pahemmin hyväksikäytetty, vielä.
Ja sitäpaitsi, joskus ihmiset eivät tiedä mitä ovat edes
asentaneet.
> Palomuurin tärkein ominaisuus on tosin se että se
> "kätkee" koko koneen eli sitä ei edes löydä netistä käsin jolloin esim. DDoS
> hyökkäys ei ole "mahdollinen" etsimällä uhria käymällä läpi IP-osoitteita
> jne.
Oma palomuuri ei ole sellainen etteikö kone löytyisi. Oma palomuurini
ainakin
vastaa osaan skannauksista rejectilla ja osan se pudottaa. Omasta
mielestäni
se on aika yhdentekevää kumpaa se tekee. Useimmiten taitaa olla parempi että
ilmoittaa jotain eikä pysy hiljaa.
Jos on kiinteä IP jossa on kone pidemmän aikaa niin yleensä se on jotain
palvelua varten ja
silloin suurella todennäköisyydellä tuota palvelua ei kannata piilottaa.
Ja kun se löytyy,
niin silloin löytyy koko konekin. Sitäpaitsi, väkisinkin jättää jälkiä
moneen paikkaa omasta
IP:stä(esim. uutisryhmiin), jotenka joku kumminkin tulee katsomaa ihan
kutsumattakin.
Jos taas on dynaaminen IP, niin minusta ei ole paljoa hyötyö piilottaa
konetta koska jollei pidä
konetta 24h linjoilla eikä ole mitään palveluita mihin iskeä, ja IP
vaihtuu niin ei kukaan voi
yrittää kohdista iskuja samaan koneeseen kun ei sitä ei edes löydä. Jos
joku heitttää Ddos
hyökkäyksen satunnaiseeen uhriin, sitten sen uhriksi voisi joutua joka
tapauksessa teki mitä
tahansa.
Jokatapauksessa teki mitä tahansa tuhat skript kiddietä kumminkin
skannaa joka tapauksessa
summamutikassa samoja osoitteita.
>Toinen tärkeä ominaisuus on että sisältä ei pääse mitään ulospäin ja
> muistaakseni tässä WindowsXP:n palomuuri ei ollut kovin tarkka.
No jaa, riippuu palomuurista ja systeemistä. Minusta helpointa olisi jos
kaikilla olisi joku välikappale(serveri
tai joku muu boxi) ulkomaailmaan jossa olisi palomuuri. Vaikka olisi
troijalainen koneessa, niin sitä ei saa
edes kirveellä yhdistettyä skannaamalla sitä välikappaletta jossa sitä
ei ole. Siitäkin huolimatta että tuo välikappale päästäisikin
kaiken liikenteen sisältäpäin ulos.
Ellei joku löydä hirveän määrän vapaita IP osoitteita joitteinka
omistaja on tuntematon, en oikein usko että
näemme troijalaista joka ottaa yhteyttä suoraan hackeriin ja joka leviää
nopeasti ilman että kyseinen henkilö(t)
jäisi nopeasti kiinni.
Sircamin kaltaisista viruksista en olisi niin huolissani. Ellei ole OE,
oma postipalvelin tai MAPI käytössö niin on vaikea nähdä mitenkä
virus voisi lähettää viestejä omalta kovalevyltä noin vaan.
Muunkaltaisiin viruksiin palomuuri sitten tuskin auttaakaan.
Poistinpa muuten juuri Outlookin 6:en. Olisinpa vaan varma että se
todella ei enää toimi Windowsissa ......
Antti
Markus Jansson
> No jaa. Muistaakseni Windows 98 netbios on oletuksenä päällä.
> Ja Win 98 on aika yleinen.
NetBIOSilla ei voi käytännössä tehdä mitään pahaa. Urkkia jonkin verran
mutta siinä se. Mitä sillä muka voitaisiin muuta tehdä?
> Oma palomuuri ei ole sellainen etteikö kone löytyisi. Oma palomuurini
> ainakin vastaa osaan skannauksista rejectilla ja osan se pudottaa. Omasta
> mielestäni se on aika yhdentekevää kumpaa se tekee. Useimmiten taitaa olla
parempi että
> ilmoittaa jotain eikä pysy hiljaa.
Saanko arvata mikä sinun "palomuurisi" on? BlackIce. Joka muuten ei ole
palomuuri. Minun ZA nielee kaikki yhteydenotot joten vaikuttaa siltä että
mitään tietokonetta ei minun IP-osoitteessani ole olemassakaan.
> Sitäpaitsi, väkisinkin jättää jälkiä moneen paikkaa omasta
> IP:stä(esim. uutisryhmiin), jotenka joku kumminkin tulee katsomaa ihan
> kutsumattakin.
Totta. Mutta ei voi tietää onko kone sillä hetkellä verkossa vaiko ei, eikä
voi tehdä mitään koneelle. Korkeintaan DDoS hyökkäyksen voi laittaa
menemään.
> Poistinpa muuten juuri Outlookin 6:en. Olisinpa vaan varma että se
> todella ei enää toimi Windowsissa ......
Mulla OE tekee sitä että kun sen käynnistää, on about 50/50 mahdollisuus
että se ilmoittaa Explorerin tehneen jonkun virheen jossakin ja sulkee sen
ja käynnistää uudestaan heti. Outoa... :)
Markus Peuhkuri
> mitään tietokonetta ei minun IP-osoitteessani ole olemassakaan.
...
> Totta. Mutta ei voi tietää onko kone sillä hetkellä verkossa vaiko ei, eikä
> voi tehdä mitään koneelle. Korkeintaan DDoS hyökkäyksen voi laittaa
Miten turvaa sinulle tuo se, että palomuurisi pistää pään pensaaseen
eikä toimi määritysten mukaisesti? Sinänsä sama kummin asia on, jos
joku haluaa kaataa esim. koneen 130.232.140.36 tai tehdä muuta kiusaa
niin se onnistuu pudotti palomuuri paketteja tai ei.
Jos tarkkoja ollaan, niin koneen päälläolon voi saada selville, vaikka
koneessa olisi millainen palomuuri. Tämä riippuu k.o. kohdekoneen
reitittimen konfiguraatiosta.
Esimerkiksi voin kertoa, että koneesi oli päällä (verkossa)
2001-09-03T16:40EEST (noin), mutta esimerkiksi kone 130.232.140.70 ei
samalla hetkellä (+- minuutti) ollut päällä (verkossa).
--
Markus Peuhkuri ! http://www.iki.fi/puhuri/
Jussi Torhonen
>
> Pitäisi voida lisätä sääntöjä itse. En ole kylläkään varma onko palomuuri
> päällä oletuksena vai pitääkö se itse laittaa päälle. Kaiken kaikkiaan, ei
> tuo palomuuri ole läheskään yhtä hyvä kuin vaikkapa ZoneAlarm, huono
> kompromissiratkaisu M$:ltä.
WinXP RC1:ssä se muuri toimii siten, että kun sen aktivoi, se estää
verkon kautta kaikki yhteydet tähän koneeseen. Tältä suojatulta koneelta
pääsee edelleen ulos esim. internettiin. Liikenne kielletään
drop-säännöillä. Ei siis rejectillä, joka palauttaa icmp:llä 'port no
available' tms. kontrolliviestin. Kukin portti on joko auki tai kiinni.
Jos se on kiinni, se on aina tukittu deny-säännöllä. Myös
yhteydenmuodostukset TCP-yläportteihin on estetty, vaikka TCP-sessioiden
toimivuuden vuoksi TCP-paluupaketit yläportteihin otetaankin vastaan.
Siis SYN-bittiä tutkitaan.
Jos jonkun portin haluaa auki, se pitää varta vasten avata. Muutamia
portteja (telnet, pop3, ftp, http, ...) on käyttöliittymässä valmiina ja
Add-napista niitä saa lisää. Toteutus on tyhmä, eli portti on sitten
kerran avattuna kaikille. Lähdeosoitteen perusteella portteja ei saa
avattua.
ICMP-viestityypeille on omat valinnat, jotka saa aktivoida halutessaan
(rasti ruutuun, jos haluaa antaa konettaan pingattavan ulkoa -
lähdeosoitteita ei voi näihin laittaa.
Suojaus tuntuu peruskäyttäjälle ihan riittävältä ja se on helppo ottaa
käyttöön laittamalla rasti ruutuun. Tehokäyttäjälle se ei anna
riittävästi konfigurointimahdollisuuksia.
Jussi
Jussi Torhonen
>
> No jaa. Muistaakseni Windows 98 netbios on oletuksenä päällä.
> Ja Win 98 on aika yleinen.
Mitenkähän monella surffaajalla on aivan turhaan koneeseensa asennettuna
Microsoft Network Client, joka avaa NetBIOS-portit nettiin. Tai
Win2k:ssa se AD:n 445/tcp. MS Network Clientin voi poistaa sieltä,
jolloin porteista ei löydy mitään palveluakaan. Silti TCP/IP-pino
Windows Sockets -rajapintapalveluineen jää henkiin ja
surffailu/mail/news/irc/... käkättimet toimivat ongelmitta.
Em. virittelyssä komento 'netstat -a -n | more' on ystäväsi. Se
paljastaa, mitkä TCP- ja UDP-portit on koneessa kuulolla. Turhat
palvelut kannattaa ajaa alas ja sen päälle asentaa asianmukainen
palomuuri.
WinXP RC1:ssä se ICF eli Internet Connection Firewall muuri toimii
siten, että kun sen aktivoi, se estää verkon kautta kaikki yhteydet
tähän koneeseen. Tältä suojatulta koneelta pääsee edelleen ulos esim.
internettiin. Liikenne kielletään drop-säännöillä. Ei siis rejectillä,
joka palauttaa icmp:llä 'port no available' tms. kontrolliviestin. Kukin
portti on joko auki tai kiinni. Jos se on kiinni, se on aina tukittu
deny-säännöllä. Myös yhteydenmuodostukset TCP-yläportteihin on estetty,
vaikka TCP-sessioiden toimivuuden vuoksi TCP-paluupaketit yläportteihin
otetaankin vastaan. SYN-bitin tilaa siis tutkitaan TCP-yläportteihin
tulevista ip-paketeista.
Jos jonkun portin haluaa auki, se pitää varta vasten avata. Muutamia
portteja (telnet, pop3, ftp, http, ...) on käyttöliittymässä valmiina ja
Add-napista niitä saa lisää. Toteutus on tyhmä, eli portti on sitten
kerran avattuna kaikille. Lähdeosoitteen perusteella portteja ei saa
avattua.
Eri ICMP-viestityypeille on omat valinnat, jotka saa aktivoida
halutessaan. Periaate on, että rasti ruutuun, jos esim. haluat antaa
konettasi pingattavan ulkoapäin. Lähdeosoitteita ei voi näihin laittaa,
eli et voi rajata näitä temppuja lähdeosoitteen perusteella.
Suojaus tuntuu peruskäyttäjälle ihan riittävältä ja se on helppo ottaa
käyttöön laittamalla rasti ruutuun. Tehokäyttäjälle se ei anna
riittävästi konfigurointimahdollisuuksia. Peruskäyttäjille tuollaisen
karvahattupalomuurin toivoisi tulevan esim. Windows Updaten kautta
jakoon kaikille muillekin Windows-versioille. Kaupalli$i$ta $yi$tä tuo
tu$kin ko$kaan toteutuu. Kuten viime viikkojen
lisen$$imak$ukirjoittelu$ta olette huomanneet, M$ tarvit$ee li$ää rahaa.
Jussi
Markus Jansson
"Markus Peuhkuri" <puh...@iki.fi> wrote in message
news:mcuheuk...@iki.fi...
> Miten turvaa sinulle tuo se, että palomuurisi pistää pään pensaaseen
> eikä toimi määritysten mukaisesti? Sinänsä sama kummin asia on, jos
> joku haluaa kaataa esim. koneen 130.232.140.36 tai tehdä muuta kiusaa
> niin se onnistuu pudotti palomuuri paketteja tai ei.
Nyt en ymmärrä mitä tarkoitat.
> Jos tarkkoja ollaan, niin koneen päälläolon voi saada selville, vaikka
> koneessa olisi millainen palomuuri. Tämä riippuu k.o. kohdekoneen
> reitittimen konfiguraatiosta.
Voitko selventää mitä tarkoitat? Minä tarkoitin että ei ole mahdollista
löytää konetta koska se ei vastaa mihinkään paketteihin mitä sille
lähetetään koska palomuuri imaisee ne sisäänsä.
Markus
Olli Rajala
<jansson...@ziplip.com> wrote:
>Saanko arvata mikä sinun "palomuurisi" on? BlackIce. Joka muuten ei ole
>palomuuri. Minun ZA nielee kaikki yhteydenotot joten vaikuttaa siltä että
>mitään tietokonetta ei minun IP-osoitteessani ole olemassakaan.
_Ihanko_ kaikki? Silloin se on pahasti särki. En ole mikään tämän
alan asiantuntija, mutta tästä(kin) on keskusteltu tässä(kin) ryhmässä
viime aikoina, ellen väärin muista.
--
Olli Rajala "Quite normal guy"
http://gamma.nic.fi/~h.rajala/linkit/linkit.php?linux
"Taustatietoa Linuxista ja opensourcesta."
Antti Tolamo
> "Antti Tolamo" <use...@linux.tola.org> wrote in message
> news:3B9325DB...@linux.tola.org...
>
>>No jaa. Muistaakseni Windows 98 netbios on oletuksenä päällä.
>>Ja Win 98 on aika yleinen.
>>
>
> NetBIOSilla ei voi käytännössä tehdä mitään pahaa. Urkkia jonkin verran
> mutta siinä se. Mitä sillä muka voitaisiin muuta tehdä?
Riippuu mitä on koneella:
http://cable-dsl.home.att.net/netbios.htm
Vaikuttaa ihan pätevältä sivustolta, varsinkin sen takia
kun kritisoi GRC:tä ja Gibsonia.
>
>
>
>
>>Oma palomuuri ei ole sellainen etteikö kone löytyisi. Oma palomuurini
>>ainakin vastaa osaan skannauksista rejectilla ja osan se pudottaa. Omasta
>>mielestäni se on aika yhdentekevää kumpaa se tekee. Useimmiten taitaa olla
>>
> parempi että
>
>>ilmoittaa jotain eikä pysy hiljaa.
>>
>
> Saanko arvata mikä sinun "palomuurisi" on? BlackIce. Joka muuten ei ole
> palomuuri. Minun ZA nielee kaikki yhteydenotot joten vaikuttaa siltä että
> mitään tietokonetta ei minun IP-osoitteessani ole olemassakaan.
Ei ole Black Ice tai edes Windowsin. Ja luulenpa että tarpeeksi taitava
osaa kyllä ottaa selville missä
on koneita ja missä ei.
>
>
>
>>Poistinpa muuten juuri Outlookin 6:en. Olisinpa vaan varma että se
>>todella ei enää toimi Windowsissa ......
>>
>
> Mulla OE tekee sitä että kun sen käynnistää, on about 50/50 mahdollisuus
> että se ilmoittaa Explorerin tehneen jonkun virheen jossakin ja sulkee sen
> ja käynnistää uudestaan heti. Outoa... :)
No Explorer nyt tuntuu kaatuvan muutenkin nykyisin minulle mitä enemmän
surffaa.
Vakain kyllä minulla oli 5.01, sen jälkeen
Ja OE:stä pysyisin kaukana turvallisuus syistä. Itse en ole koskaan
käyttänyt
OE:tä muuhunkuin nyysseihin ja sitäkään se ei tee hyvin.
Linux + mozilla tuntuu paljon vakaaammalta ja paremmalta
vaihtoehdolta.kun kumpikaan.
Tekee minusta muutenkin parempaa jälkeä kaikissa muodoissaan.
Antti
Ari Laitinen
"Jussi Torhonen" <j...@iki.fi> kirjoitti viestissä
news:3B928843...@iki.fi...
> Jos jonkun portin haluaa auki, se pitää varta vasten avata. Muutamia
> portteja (telnet, pop3, ftp, http, ...) on käyttöliittymässä valmiina ja
> Add-napista niitä saa lisää. Toteutus on tyhmä, eli portti on sitten
> kerran avattuna kaikille. Lähdeosoitteen perusteella portteja ei saa
> avattua.
>
> ICMP-viestityypeille on omat valinnat, jotka saa aktivoida halutessaan
> (rasti ruutuun, jos haluaa antaa konettaan pingattavan ulkoa -
> lähdeosoitteita ei voi näihin laittaa.
>
> Suojaus tuntuu peruskäyttäjälle ihan riittävältä ja se on helppo ottaa
> käyttöön laittamalla rasti ruutuun. Tehokäyttäjälle se ei anna
> riittävästi konfigurointimahdollisuuksia.
Vaikuttaa samantapaiselta kuin Windows 98 SE:ssä on ollut jo pitkään. Harva
vain on tiennyt sen olemassaolosta kun sen ainoa säätöohjelma on kolmannen
osapuolen valmistama apuohjelma :-)
Ari Laitinen
"Markus Jansson" <jansson...@ziplip.com> kirjoitti viestissä
news:9n0asu$123c$1...@bowmore.utu.fi...
> Voitko selventää mitä tarkoitat? Minä tarkoitin että ei ole mahdollista
> löytää konetta koska se ei vastaa mihinkään paketteihin mitä sille
> lähetetään koska palomuuri imaisee ne sisäänsä.
Kone on silti olemassa ja sille osataan reitittää viestit vaikka niihin ei
saataisi vastausta.
Jos konetta ei ole olemassa niin reititin (ei kone) kertoo "no route to
host" jolloin tiedämme ettei konetta ole olemassa. Jos ei tule vastausta
niin se ei ole tieto siitä että konetta ei olisi vaan tieto siitä ettei
asiaa tiedetä. Reititin tietää koneesi olemassa olon siitä että se vastaa
ARP paketteihin joita ilman koneeseesi ei voi ohjata mitään liikennettä ei
edes haluttua sellaista.
Juha Autero
> NetBIOSilla ei voi käytännössä tehdä mitään pahaa. Urkkia jonkin verran
> mutta siinä se. Mitä sillä muka voitaisiin muuta tehdä?
Suorittaa mitä tahansa ohjelmakoodia käyttämällä apuna palvelussa olevaa
tietoturva-aukkoa?
Ari Laitinen
"Juha Autero" <Juha....@hut.fi> kirjoitti viestissä
news:874rqkj...@intercal.localdomain...
Voitko antaa referenssin tuohon tietolähteeseen?
Antti Tolamo
> Antti Tolamo wrote:
>
>>
> WinXP RC1:ssä se ICF eli Internet Connection Firewall muuri toimii
> siten, että kun sen aktivoi, se estää verkon kautta kaikki yhteydet
> tähän koneeseen. Tältä suojatulta koneelta pääsee edelleen ulos esim.
> internettiin. Liikenne kielletään drop-säännöillä. Ei siis rejectillä,
> joka palauttaa icmp:llä 'port no available' tms. kontrolliviestin. Kukin
> portti on joko auki tai kiinni. Jos se on kiinni, se on aina tukittu
> deny-säännöllä. Myös yhteydenmuodostukset TCP-yläportteihin on estetty,
> vaikka TCP-sessioiden toimivuuden vuoksi TCP-paluupaketit yläportteihin
> otetaankin vastaan. SYN-bitin tilaa siis tutkitaan TCP-yläportteihin
> tulevista ip-paketeista
Toimiiko tuo kaikkien palveluiden kanssa? Voi johtua minun
osaamattomuudestani
ja siitä että käytin IP maskausta, mutta kun tein samanlaisia säätöjä
niin joistakin
paikoista streaming palvelut alkoivat pommittaa palomuurikonetta joka
teki tuota maskausta.
> Suojaus tuntuu peruskäyttäjälle ihan riittävältä ja se on helppo ottaa
> käyttöön laittamalla rasti ruutuun. Tehokäyttäjälle se ei anna
> riittävästi konfigurointimahdollisuuksia. Peruskäyttäjille tuollaisen
> karvahattupalomuurin toivoisi tulevan esim. Windows Updaten kautta
> jakoon kaikille muillekin Windows-versioille.
Ei mikään hullumpi idea, mutta enpä usko että MS tuota tekee. Minusta
näyttää siltä että
Microsoftin taktiikka on jättää kaikki verkkoturvallisuus kolmansien
osapuolten huoleksi
eikä korostaa omaa panostaan.
Kaipa se on hieman hankalaa korostaa omien tuotteidensa puutteita jotta
voisi saada käyttäjät
käyttämään esim. palomuureja? Pieni intressi ristiriita tuossa.
> Kaupalli$i$ta $yi$tä tuo
> tu$kin ko$kaan toteutuu. Kuten viime viikkojen
> lisen$$imak$ukirjoittelu$ta olette huomanneet, M$ tarvit$ee li$ää rahaa.
>
> Jussi
Minusta Microsoft teki ison virheen tuon lisenssimaksun kanssa. Aivan
väärä markkinatilanne
nyt toteuttaa moiset muutokset. Tuskin tuo myöskään auttaa monopoli
oikeudenkäynnissä.
Antti
--
-----------------------------------------------
Vanha suomalainen kansanviisaus:
- Heikot sortuu sorron tiellä
----------------------------------------------
Markus Peuhkuri
> > joku haluaa kaataa esim. koneen 130.232.140.36 tai tehdä muuta kiusaa
> > niin se onnistuu pudotti palomuuri paketteja tai ei.
> Nyt en ymmärrä mitä tarkoitat.
Jos haluan kuormittaa konetta tai verkkoa (D)DoS-hyökkäyksellä, niin
loppujen lopuksi ei merkitse mitään onko koneessa palomuuri vai ei.
Palomuurin tapauksessa paketti pudotetaan palomuuriohjelmistossa,
ilman palomuuria käyttöjärjestelmän TCP/IP-pino pudottaa sen, jos
portissa ei ole sovellusta.
Suorituskyvyllisesti näillä kahdella ei ole eroa, paitsi että
palomuuri tuo yhden lisäkomponentin ja sitä myötä yhden vikalähteen ja
tehonsyöjän. Tiedän esimeriksi, että eräs palomuuriohjelmisto teki
koneesta haavoittuvan eräälle hyökkäykselle jolle pelkkä
käyttöjärjestelmä oli immuuni.
> löytää konetta koska se ei vastaa mihinkään paketteihin mitä sille
> lähetetään koska palomuuri imaisee ne sisäänsä.
Ari jo tähän vastasikin lyhyesti.
Koneesi vastaa edelleen ARP-paketteihin, joita reititin sille lähettää
tulevan liikenteen myötä. Myöskin aina kun koneesi oma-aloitteisesti
liikennöi, niin reititin oppii tämän tiedon. Nyt kun reitittimelle
tulee paketti ja reitittimellä on tiedossa koneen laiteosoite,
reititin lähettää paketin suoraan eteenpäin ja unohtaa asian. Jos
reititin ei tiedä laiteosoitetta, se kysyy sitä ARP-viestillä, johon
sitten laite vastaa, jos se on verkossa. Jos reititin ei saa tähän
vastausta, se ilmoittaa lähettäjälle, että k.o. osoiteessa ei ole
konetta.
Tuo laiteosoite säilyy yleensä 5-15 minuttia muistissa, eli jos
koneesi liikennöi tuona aikana, niin tieto löytyy reitittimestä.
Yksinkertaista, eikö totta? Pään paneminen pensaaseen ei auta, mitä
nuo henkilökohteiset "pudota kaikki" palomuurit tekevät.
Vilkaisin pikaisesti turvasivujasi. On siellä oikeaakin asiaa mutta
yleistät asioita _hiukan_ liikaa, Gibsonin jalanjäljissä. Esimerkiksi
ohjelmistojen päivitys ei _aina_ paranna turvallisuutta vaan
tyypillisesti uusissa ohjelmissa on enemmän ominaisuuksia ja enemmän
turva-aukkoja.
Markus Jansson
> Jos haluan kuormittaa konetta tai verkkoa (D)DoS-hyökkäyksellä, niin
> loppujen lopuksi ei merkitse mitään onko koneessa palomuuri vai ei.
> Palomuurin tapauksessa paketti pudotetaan palomuuriohjelmistossa,
> ilman palomuuria käyttöjärjestelmän TCP/IP-pino pudottaa sen, jos
> portissa ei ole sovellusta.
Totta.
> Tuo laiteosoite säilyy yleensä 5-15 minuttia muistissa, eli jos
> koneesi liikennöi tuona aikana, niin tieto löytyy reitittimestä.
Ehkä yleistin liikaa. Tosiasia on, että hakkerit hakevat uhrejaan mm.
skannaamalla portteja...jos kohteessa on palomuuri, sen pitäisi imeä kaikki
skannaukset ja hakkerin toiminta muuttuu jokseenkin mahdottomaksi ja aikaa
vieväksi.
> Vilkaisin pikaisesti turvasivujasi. On siellä oikeaakin asiaa mutta
> yleistät asioita _hiukan_ liikaa, Gibsonin jalanjäljissä. Esimerkiksi
> ohjelmistojen päivitys ei _aina_ paranna turvallisuutta vaan
> tyypillisesti uusissa ohjelmissa on enemmän ominaisuuksia ja enemmän
> turva-aukkoja.
Ohjelmistojen päivittäminen on ainoa tapa saada ne vanhat, yleisesti
käytetyt tietoturva-aukot peittoon. Ja viittasin lähinnä
Windowsupdate-sivustoon, jossa käyminen ON välttämätöntä jos haluaa pitää
koneensa edes hitusen turvallisena. Mutta kuten varmasti huomasit, en ole
tarkoittanutkaan sivuja atk-alan ammattilaiselle (no en ainakaan
suoranaisesti) vaan tavallisille käyttäjille. Jos heille ei hitusen yleistä
ja karrikoi niin yhden kappaleen mittaisesta asiasta pitää vääntää 10 sivun
esseee josta he eivät tajua yhtään mitään. Parempi hitusen yleistää ja
tiivistää kuin tylsistyttää liian pitkillä ja monimutkaisilla selityksillä.
Ainakin näin minä sen olen ajatellut. :)
Markus
Markus Peuhkuri
> skannaamalla portteja...jos kohteessa on palomuuri, sen pitäisi imeä kaikki
> skannaukset ja hakkerin toiminta muuttuu jokseenkin mahdottomaksi ja aikaa
Mutta kun näin ei ole. En tiedä kyllä yhtään skannaussoftaa, joka
huomioisi nuo ICMP-viestit, mutta jos itse sellaisen tekisin, niin
tietenkin noita hyödyntäisin. Eli vielä kerran:
KONE EI OLE NÄKYMÄTÖN, JOS PALOMUURI ON KONEESSA ITSESSÄÄN.
Se, että annat ohjeita "näin teet koneesi näkymättömäksi" on sama kuin
se, että "kun suljet verhot, kukaan ei tiedä sinulla olevan TV:tä
(vaikka ääni kuuluukin porraskäytävään)". Väärä turvallisuus on
pahempi kuin ei turvallisuutta ollenkaan.
> Ja viittasin lähinnä Windowsupdate-sivustoon, jossa käyminen ON
No, tätä ei ollut mainittu sivuilla, tai en ainankaan huomannut sitä.
Ehkä sinun kannattaisi tehdä sivulle joku tiivistelmä, että
sivu on tarkoitettu harrastajille
- jotka eivät jaksa paneutua vaan haluavat "pikaohjeet"
- käyttävät windowssia
> ja tiivistää kuin tylsistyttää liian pitkillä ja monimutkaisilla
> selityksillä. Ainakin näin minä sen olen ajatellut. :)
Tiivistämisen taito onkin se vaikein; Blase Pascal kirjoitti aikanaan
"kirjoitan näin pitkästi, koska minulla en ehdi kirjoittaa lyhyesti".
Sinun tulee pitää huolta, että lukijalle ei tule väärinkäsitystä.
Kuten muut ehdoittivatkin, hyödynnä hypertekstin ominaisuuksia.
Lisäksi voisit palotella tekstin pienempiin kappaleisiin (asettelu oli
minulla ainankin kummallinen) ja hyödyntää lihavointia ja muita tehokeinoja
kts. <URL:http://www.useit.com/alertbox/9703b.html>.
Palomuuri *ei* muuten ole välttämätön koneessa, jos koneen
käyttöjärjestelmä ja käytetyt palvelut ovat riittävän turvallisia _ja_
*ylläpidettyjä*.
Mikael Willberg
>"Markus Jansson" <jansson...@ziplip.com> writes:
>
>> skannaamalla portteja...jos kohteessa on palomuuri, sen pitäisi imeä kaikki
>> skannaukset ja hakkerin toiminta muuttuu jokseenkin mahdottomaksi ja aikaa
>
>Mutta kun näin ei ole. En tiedä kyllä yhtään skannaussoftaa, joka
>huomioisi nuo ICMP-viestit, mutta jos itse sellaisen tekisin, niin
>tietenkin noita hyödyntäisin. Eli vielä kerran:
>
> KONE EI OLE NÄKYMÄTÖN, JOS PALOMUURI ON KONEESSA ITSESSÄÄN.
Mihinkahan ICMP-viesteihin nyt viittaat ?
Palomuurinhan voi ihan kiltisti opettaa syomaan kaikki ICMP paketit
(vaikkakin tama ei ole suositeltava asia). Vai tarkoitatkohan sita
etta ohjelma tarkkailee josko jokin verkkolaite palauttaa ICMP Type 3
paketteja ? Voivathan nuokin paketit hukkua matkalla, joten ei
tastakaan tiedosta ole mitaan hyotya.
Mig
--
**** Mikael Willberg ***** "Oh dear", says God, "I hadn't thought of that" **
* * and promptly vanishes in a puff of logic. *
* VIP Tietopalvelut * (Douglas Adams) *
******** Finland ********* http://www.vip.fi/~mig/ **************************
Pekka Pessi
>Mihinkahan ICMP-viesteihin nyt viittaat ?
Host unreachable. Jotkut reitittimet lähettävät sen, jos kone ei
vastaa ARP-kyselyihin, kuten Markus selitti.
Pekka
Sami Ketola
Jos kone ei vastaa ARP-kyselyihin, ei sinne voi mitään muutakaan
liikennettä mennä. Tämän tekniikan nimi on ethernet.
Markus Peuhkuri
> Mihinkahan ICMP-viesteihin nyt viittaat ?
Sen konettasi lähimmän reititimen lähettämiä (tai siis pikemminkin
lähettättä jättämiä) tyyppi kolmosia.
> paketteja ? Voivathan nuokin paketit hukkua matkalla, joten ei
> tastakaan tiedosta ole mitaan hyotya.
Toki, skanauspaketitkin voivat hukkua matkalla ja vastaukset niihin;
erityisesti kun joku skannaa modeemikäyttäjää piuhan täydeltä. Mitään
päätelmää verkossa ei voida tehdä sen perusteella, jos vastausta ei
tule.
Seuraavat tapaukset voidaan havaita:
- kone vastaa pakettiin (protokollasta riippuvalla tavalla)
=> kone on verkossa
- kone ei vastaa pakettiin, mutta joku reititin lähettää "kohde
saavuttamaton"-viestin
=> kone ei ole verkossa (tai reittiä koneelle/verkkoon ei ole), ei
kannata jatkaa
- mitään vastausta ei tule
a) kone on verkossa, mutta se on konfiuroitu olemaan vastaamatta
b) kysely- tai vastauspaketti katoaa verkossa
c) kone ei ole verkossa eikä reititin ei lähetä "kohde
saavuttamaton"-viestiä (tähän voi olla useita syitä)
=> jatketaan kyselyä
Hyvin vähän saavutetaan olemalla hiljaa, parempi vastata vain
reilusti "Kiitos kysymästä, emme palvele Teitä", eikä toimia kuten
tv-lupatarkastajan soittaessa ovikelloa.
M. Tavasti
> Hyvin vähän saavutetaan olemalla hiljaa, parempi vastata vain
> reilusti "Kiitos kysymästä, emme palvele Teitä", eikä toimia kuten
> tv-lupatarkastajan soittaessa ovikelloa.
Ihan samaa vastausta minä olen soveltanut lupatarkastajaankin, 'Emmä
nyt ehdi etsiä, tuu huomenna/ens viikolla tms'. IP-maailmassa tuota
pidempää vastausta ei taida yleisessä tapauksessa olla...
--
M. Tavasti / tava...@iki.fi / +358-40-5078254
Poista sähköpostiosoitteesta molemmat x-kirjaimet
Remove x-letters from my e-mail address
Pekka Savola
[snip]
>Seuraavat tapaukset voidaan havaita:
>- kone vastaa pakettiin (protokollasta riippuvalla tavalla)
> => kone on verkossa
Tämä ei aina pidä paikkaansa (melkein aina kyllä); palomuureja voi
konffailla vastaamaan "läpinäkymättömästi" ts. kuten loppukone olisi
vastannut pakettiin.
Esim. TCP-yhteydenmuodostuksessa palomuuri voi lähettää TCP resetin
joka "väärennetään" tulemaan kohdekoneesta. Näin skannerille voi
välittyä kuva että mitään palomuuria ei ole mutta organisaatio/henkilö
on hoitanut tietoturvan ensiluokkaisesti, turha tuonne on yrittää.
Erityisen kavalaa tämä on siltaavissa palomuureissa joissa ei
välttämättä tarvitse olla edes IP-osoitteita...
Pekka Savola pekkas at netcore dot fi
---
Across the nations the stories spread like spiderweb laid upon spiderweb,
and men and women planned the future, believing they knew truth. They
planned, and the Pattern absorbed their plans, weaving toward the future
foretold. -- Robert Jordan: The Path of Daggers
Ari Saastamoinen
> Hyvin vähän saavutetaan olemalla hiljaa, parempi vastata vain
> reilusti "Kiitos kysymästä, emme palvele Teitä", eikä toimia kuten
Itse asiassa toi hiljaa oleminen vai generoinee lisää skannauksia
koneellesi, kun se skannausohjelma olettaa kyselyn hävinneen matkalle,
ja tekee uusintayrityksiä. Reilusti vastaamalla toi skannausohjelma
vain toteaisi, että "Ei sitten", ja menisi muualle.
--
Arzka oh3mqu+...@vip.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Markus Peuhkuri
> Tämä ei aina pidä paikkaansa (melkein aina kyllä); palomuureja voi
> konffailla vastaamaan "läpinäkymättömästi" ts. kuten loppukone olisi
Tietenkin näin mutta "koneen IP-osoitteella vastataan". Tässä voidaan
sitten lähteä varustelukierteeseen lähettämällä erilaisia väärin
konfiguroituja TCP-segmenttejä ala nmap, joihin sitten vastataan
hujaamalla jne. Alkaa lähestyä hunaja-ansaa.