Pieni tarkennus:
Kernelissä on sellainen hökötys kuin netfilter joka siis on se varsinainen palomuuri.
Juu, juurikin noin päin. Menee jo sekaisin noissa netfilter ja IPtalbes lähes aina kun IPtablesia käyttää niin paljon. Eli lyhyesti, netfilter on integroituna Linux käyttöjärjestelmässä kun IPtables on vain userland puolella oleva komentorivi-ohjelmisto jolla tehdään sääntöjä.
Ubuntussa ei pitäisi olla verkkoon mitään palveluita aktiivisena.
Perusasennuksessa ei ole verkkoa kuuntelevia palveluita aktiivisena.
Eli juurikin Ubuntussa ei ole verkkoon mitään palveluita aktiivisena joihin voisi ottaa yhteyttä. Voi sen sanoa noinkin päin että verkkoa ei kuunnella. Itse vain olen tottunut siihen että juurikin verkkoon (tässä tapauksessa oikeastaan pitäisi sanoa että internettiin päin) päin ei ole palveluita aktiivisena, mutta lähiverkkoon taas ovat auki muille koneille tai virtuaalikoneille.
Tarkoitit ilmeisesti päinvastoin?
Ei vaan juurikin Closed tilaan. Nopeuttaa verkon toimintaa, antaa virhetiedot molemmille osapuolelle heti ja palomuurista ei tulla läpi yhtään sen helpommin. Stealth tila on vain valheellinen "suoja". Se auttaa vain tilanteissa missä palvelin/kone joutuu DoS hyökkäyksen kohteeksi jolloin kaistaa ei kuluteta pakettien lähettämiseen takaisin vaan yksinkertaisesti pudotetaan. Tavallisella koneella "Stealth" ei tuo muuta kuin haittaa.
Vaikka koneen kaikki portit olisi "Stealth" tilassa niin sieltä IP takaa paljastuu kone olevan päällä. Operaattori nimittäin paljastaa sen koneen ja tämän jälkeen sieltä tuleekin koko sen 90-180 sekunttia pakettia joka hidastaa lisää konetta, sen sijaan että tulisi heti ilmoitus tutkivalle että portti on suljettu. Jos IP osoitteen takana ei ole tietokonetta käynnissä, operaattori ilmoittaa heti tutkivalle taholle että osoitetta ei ole olemassa, sen sijaan jos siellä on kone mukamas "Stealth" tilassa, niin tulee timeout mutta operaattorilta ei tule mitään virheilmoitusta väärästä osoitteesta. Ongelmatilanteita syntyy kun täytyy jotain VoIP-puhellinta tai muuta alkaa virittämään päälle, jolloin kaikenlaiset virhetilanteet viivästyvät useita kymmeniä sekuntteja ja tulee vääriä ilmoituksia että IP ei ole oikea tai portti ei vastaa ynnä muuta. Peruskäyttö sujuu paljon paremmin kun portit ovat vain Closed.
"Stealth" tila on vain markkinointi-termi jolla myytiin yhdessä vaiheessa palomuureja tavallisille ihmisille mukamas parempana vaihtoehtona. Tämä vain hidastaa koko verkon toimintaa.
Lyhyesti siis, "Stealth" tila ei piiloita tietokonetta tutkivalta osapuolelta millään tavoin vaan se paljastuu ihan muilta verkkotasoilta että kyseisessä osoitteessa on kone päällä mutta pudottaa vain paketteja. Se on vain valheelliseen turvallisuuden tunteeseen uskomista jos kuvittelee sen jotenkin piiloittavan koneen.
Vertauksena voi antaa tilanteen missä samassa huoneessa on henkilöitä ja lievää taustamelua. Jos kyseinen henkilö ei ole huoneessa, sen huomaa välittömästi (operaattori ilmoittaa) eikä tuhlaa sen enempää aikaa. Jos taas kyseinen henkilö on huoneessa ja se on ns. "Stealth" tilassa, se tarkoittaa sitä että kysyt henkilöltä jotain tai kutsut sitä mutta hän ei vastaa. Näet että hän on siinä mutta on välinpitämätön ja sinun pitämäsi ääni vain nostaa metelin tasoa koko huoneessa kun muut joutuvat korottamaan ääntään kuullakseen toisensa. "Closed" tila taas on että kyseinen henkilö ilmoittaa välittömästi sinulle että hän ei nyt pysty vastaamaan sinulle. Joten turha siinä on enempää pitää ääntä ja huoneen metelitaso pysyy samana.
Olemme juuri verkkotekniikkatunneilla harjoitelleet erilaisia hyökkäyksiä ja niiltä suojautumiseen. "Stealth" tila vain hidastaa hyökkäystoimintaa mutta se rasittaa myös verkon eri osia jolloin tavallinen liikenne alkaa kärsimään, riippuen tietenkin hyökkäyksien laadusta ja laajuudesta.
Aihe: Ubuntu ja vakoiluohjelmat (Luettu 4422 kertaa)
