Kirjoittaja Aihe: Firestarterin asetukset kuntoon?  (Luettu 4767 kertaa)

Sledgehammer

  • Käyttäjä
  • Viestejä: 41
    • Profiili
Firestarterin asetukset kuntoon?
« : 06.01.06 - klo:17.21 »
Mulla firestarter blokkaa koko ajan joitain yhteyksiä. Pitääkö palomuurille määritellä kaikki ohjelmat mitkä saavat luvan päästä nettiin? Saakos jotenkin tietää mitä oudot yhteydet ovat jotka firestarter kylläkin blokkaa?


edit. Huomasin muuten että suurimmassa osassa sourcena ja blokatuissa yhteyksissä oma ip:ni.. Saanko siis laittaa Inbound ja Outbound fraffic policyyn oman ip:ni?
« Viimeksi muokattu: 06.01.06 - klo:17.41 kirjoittanut Sledgehammer »

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: Firestarterin asetukset kuntoon?
« Vastaus #1 : 06.01.06 - klo:18.09 »
Mulla firestarter blokkaa koko ajan joitain yhteyksiä. Pitääkö palomuurille määritellä kaikki ohjelmat mitkä saavat luvan päästä nettiin?

??
miten tämä näkyy?
itselläni ei ole mitään outbound-sääntöjä ja policy on 'permissive by default'.

Saakos jotenkin tietää mitä oudot yhteydet ovat jotka firestarter kylläkin blokkaa?

kyllä ne kaikki tulevat logiin jos on asettanut loggauksen päälle. tietysti ajamalla sitä koko ajan, näkee tapahtumat siitä klistäkin, mutta minusta se on turhaa.

edit. Huomasin muuten että suurimmassa osassa sourcena ja blokatuissa yhteyksissä oma ip:ni.. Saanko siis laittaa Inbound ja Outbound fraffic policyyn oman ip:ni?

kyllä kai kaikissa eventeissä sinun IP:si on joko lähteenä tai kohteena, ei kai liikenne muuten sinun konettasi koskisikaan.
Janne

Sledgehammer

  • Käyttäjä
  • Viestejä: 41
    • Profiili
Re: Firestarterin asetukset kuntoon?
« Vastaus #2 : 06.01.06 - klo:18.17 »
Siis tä? Ei mulla ole firestarterissa mitään permissive by default -toimintoa.. Firestarter on versio 1.0.3..

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: Firestarterin asetukset kuntoon?
« Vastaus #3 : 06.01.06 - klo:18.31 »
Siis tä? Ei mulla ole firestarterissa mitään permissive by default -toimintoa.. Firestarter on versio 1.0.3..

sama versio minullakin, eiköhän se ole ihan samasta repositorystäkin.

tuo asetus mistä puhuin löytyy Policy välilehdeltä kun Editing kohdan comboboxista valitsee Outbound traffic policy -> conboboxin alle ilmestyy kaksi radio buttonia joista tuo on ensimmäinen.

et tosin vastannut kysymykseeni siitä miten tuo blokkaaminen näkyy käytännössä?
Janne

Sledgehammer

  • Käyttäjä
  • Viestejä: 41
    • Profiili
Re: Firestarterin asetukset kuntoon?
« Vastaus #4 : 06.01.06 - klo:19.59 »
Joo nyt mä löysin ton ja olishan se pitänyt löytää ilman kyselemistäkin  ;D

Niin se blokkaus näkyy et tonne events välilehdelle alkaa ilmestymään paljon yhteyksiä joita palomuuri blokkailee.

Oxygen_I

  • Käyttäjä
  • Viestejä: 11
    • Profiili
Re: Firestarterin asetukset kuntoon?
« Vastaus #5 : 06.02.06 - klo:23.52 »
Mitenkähän tuohon Firestarteriin saa tuon login pois päältä. Oneglman ydin siis on se että parhaimmillaan firestarter vie 80% tehoista.

Muut asetukset:
Inbound, blocked by default
Outbound, Restrictive by default
White list: 80, 443, 67-68, 53,
143, 25, 20-21, 22, 6346,1863,  5560-5562
6881-6889, 4662-4665

Preferences - Events sivulla
x skip reduntant entries
x skip entries where the destination is not the firewall

Erikseen on not logattu 6346, 1026, 1025 alkajaisiksi.

Mutta noin sekunnin välein tulee loki tietoon ympärimaailman ip numroita UDP ja ICMP protocollilla
portit voi olla mitä tahansa 1-80000 välillä?

Mikä neuvoksi?

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: Firestarterin asetukset kuntoon?
« Vastaus #6 : 07.02.06 - klo:00.19 »
Mitenkähän tuohon Firestarteriin saa tuon login pois päältä. Oneglman ydin siis on se että parhaimmillaan firestarter vie 80% tehoista.

en osaa kuvitella miksi firestarter veisi noinkin paljon tehoja, ehkä se sitten johtuu login pollaamisesta, mutta eihän firestarteria ole tarkoitus ajaa muuten kuin säätöjä tehtäessä.

Mutta noin sekunnin välein tulee loki tietoon ympärimaailman ip numroita UDP ja ICMP protocollilla
portit voi olla mitä tahansa 1-80000 välillä?

Mikä neuvoksi?

no, mitä jos kokeilisit sammuttaa sen firestarterin, vai onko sinulla jokin erityinen syy pitää sitä päällä?
Janne

Oxygen_I

  • Käyttäjä
  • Viestejä: 11
    • Profiili
Re: Firestarterin asetukset kuntoon?
« Vastaus #7 : 07.02.06 - klo:00.27 »
Itsestään selvä vastaus on se ilmeisin. Eli ei ole mitään syytä ajaa firestarteria mutta,...

Miten kontrolloida ilman sen ajamista että miten palomuuri toimii? Tarkoituksenani on siis varmistaa että yhteyksiä on vain ne mitkä olen erikseen sallinut. Olen nyypiö, niin en voi olla varma että toi on nyt konffattu oikein.

Kiitos kuitenkin.

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: Firestarterin asetukset kuntoon?
« Vastaus #8 : 07.02.06 - klo:01.51 »
Itsestään selvä vastaus on se ilmeisin. Eli ei ole mitään syytä ajaa firestarteria mutta,...

Miten kontrolloida ilman sen ajamista että miten palomuuri toimii? Tarkoituksenani on siis varmistaa että yhteyksiä on vain ne mitkä olen erikseen sallinut. Olen nyypiö, niin en voi olla varma että toi on nyt konffattu oikein.

ah, eli homman nimi on yhteyksien seuraaminen. sinällään ihan ymmärrettävä syy, jos tosiaan on epävarma luomistaan säännöistä. onneksi noissa ei voi mennä kovin pahaasti pieleen. valitettavasti en osaa auttaa firestarter ongelmassa :( verkkoyhteyksien seuraamiseen on aivan varmasti olemassa muitakin ohjelmia, mutta en osaa niitä nimetä, koska en ole kokenut niitä omassa käytössä tarpeellisisksi. joskus välillä olen tarkistanut aktiiviset yhteydet komentoriviltä komennolla:
Koodia: [Valitse]
# netstat -tnp
mutta sekään ei taida olla tähän tilanteeseen kovin hyvä, jos kaipaat reaaliaikaista seurantaa.
Janne

Niilo

  • Käyttäjä
  • Viestejä: 60
    • Profiili
Re: Firestarterin asetukset kuntoon?
« Vastaus #9 : 07.02.06 - klo:08.31 »
Virusten ja vakoiluohjelmienhan tarkoitus on valloittaa tietokone ja tehdä siitä ns. palvelin. Tietysti toinen asia on tietomurrot ja yksi parhaista jutuista on IPCop systeemille, jossa on jonkinlainen palvelin. Se sitten on jo toinen asia.

Mikäli ajattelemme tietokoneemme vahtimista käytännössä, niin itse olen ottanut esiin paneeliini järjestelmänvalvonta ikkunan "hiiren oikealla". Siitä näkee kivasti grafiikkana sen, mitä koneella tapahtuu ilman suurempaa huolta.

Kyllähän Firestarter ilmoittaa plokatuista osoitteista ja siitä, että jokin osoite on kahlannut useita portteja aukaistakseen koneen. Kuitenkin periaatteessa esim. asentaessasi Windowsin ja jos et ole asentanut palomuuria ja virusskanneria ennen nettiin liittämistä, on koneellasi 5 minuutin sisällä virus. Itse ajan Ubuntua ilman suojia ja hyvinpä verkkaista tuo liikenne tuossa ikkunalla on lepotilassa yleensäkin...

http://img100.imageshack.us/img100/4894/jrjestelmnvalvonta9vc.jpg

aatu

  • Vieras
Re: Firestarterin asetukset kuntoon?
« Vastaus #10 : 07.02.06 - klo:09.13 »
Virusten ja vakoiluohjelmienhan tarkoitus on valloittaa tietokone ja tehdä siitä ns. palvelin. Tietysti toinen asia on tietomurrot ja yksi parhaista jutuista on IPCop systeemille, jossa on jonkinlainen palvelin. Se sitten on jo toinen asia.

Mikäli ajattelemme tietokoneemme vahtimista käytännössä, niin itse olen ottanut esiin paneeliini järjestelmänvalvonta ikkunan "hiiren oikealla". Siitä näkee kivasti grafiikkana sen, mitä koneella tapahtuu ilman suurempaa huolta.

Kyllähän Firestarter ilmoittaa plokatuista osoitteista ja siitä, että jokin osoite on kahlannut useita portteja aukaistakseen koneen. Kuitenkin periaatteessa esim. asentaessasi Windowsin ja jos et ole asentanut palomuuria ja virusskanneria ennen nettiin liittämistä, on koneellasi 5 minuutin sisällä virus. Itse ajan Ubuntua ilman suojia ja hyvinpä verkkaista tuo liikenne tuossa ikkunalla on lepotilassa yleensäkin...

http://img100.imageshack.us/img100/4894/jrjestelmnvalvonta9vc.jpg

Totta! Hyvä on se järjestelmänvalvonnan tilaikkuna. Minulla paneelissa näkyy suoritin, muisti, verkko, sivutustila, keskimääräinen kuorma ja kiintolevy. Yhdellä silmäyksellä näkee järjestelmän tilan.