Kirjoittaja Aihe: Miten saada palomuuri toimimaan tehokkaammin,ongelma firestarter  (Luettu 5571 kertaa)

jassoo

  • Käyttäjä
  • Viestejä: 123
    • Profiili
firestarter nyt ei näytästä riittävän mikä mättää:=???  ???


GRC Port Authority Report created on UTC: 2009-09-06 at 08:14:08

Results from scan of ports: 0-1055

    2 Ports Open
 1053 Ports Closed
    1 Ports Stealth
---------------------
 1056 Ports Tested

Ports found to be OPEN were: 80, 443

The port found to be STEALTH was: 0

Other than what is listed above, all ports are CLOSED.

TruStealth: FAILED - NOT all tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - A PING REPLY (ICMP Echo) WAS RECEIVED.

Tahtoisin kaikki STEALTH mutta ei tuosta firestarter ohjelmasta ole apua näillä näkymin,,,vai onko jotain mitä en itse nyt osaa laittaa/säätää oikeeseen asetukseen??  ::)
Tätä ennen oli suoja tehokkaampi ja mistä kysyinkin ja sain apua että voi laittaa palomuurin toimintaan.jotenkin "suojaton" olo.... :P

Storck

  • Vieras
Mitä te kikkailette niillä koneillanne, omaa syytänne tuollaiset palomuurisolmut. Minulla ilman mitään säätöä tällainen tulos:

GRC Port Authority Report created on UTC: 2009-09-06 at 08:57:01

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,
                            119, 135, 139, 143, 389, 443, 445,
                            1002, 1024-1030, 1720, 5000

    0 Ports Open
    0 Ports Closed
   26 Ports Stealth
---------------------
   26 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - A PING REPLY (ICMP Echo) WAS RECEIVED.

En kajoa palomuureihin.

jassoo

  • Käyttäjä
  • Viestejä: 123
    • Profiili
Ei mitään kyllä oo muutettu asetuksista,siinäpä se juuri onkin se ihmettely kun ei saa suljettua portteja kiinni... ???

mgronber

  • Käyttäjä
  • Viestejä: 1458
    • Profiili
Tahtoisin kaikki STEALTH mutta ei tuosta firestarter ohjelmasta ole apua näillä näkymin,,,vai onko jotain mitä en itse nyt osaa laittaa/säätää oikeeseen asetukseen??  ::)

Haluaisitko kaikki portit piiloon mukaan lukien portit 80 ja 443?

Kullervo

  • Käyttäjä
  • Viestejä: 876
    • Profiili
Ei mitään kyllä oo muutettu asetuksista,siinäpä se juuri onkin se ihmettely kun ei saa suljettua portteja kiinni... ???

Törmääköhän testi ensimmäisenä adsl-boxiiisi tms. ja koneesi säädöt jäävät näin testaamatta?

jassoo

  • Käyttäjä
  • Viestejä: 123
    • Profiili
Tuo voi olla mahdollista,kun zyxelin wlanin asetuksia en pääse muuttamaan mitenkään ja se on avoinna kokoajan vaikka resetoinna kuinka monesti niin ei päästä softa ohjelman sisään....Eli langaton laajakaista käytössä joka jaettu tuolla wlanilla läppärille..Ja nuo avoimet portit taitaa olla pakolliset portit että pääsee verkkoon,tai niin minä itse luulen asian olevan.... ::)

firewallissa on https pyhton ja firefox https ja https cli ja mese...http firefox ja http localhost
Tuossapa ne mitä on listattu palomuurissa mitä katselin olevan aktiivisena suoritteena..

johnsmith

  • Käyttäjä
  • Viestejä: 35
    • Profiili
Onko käytössä sillattu yhteys tai nat ?

Http palvelin on käynnissä joko kannettavassa tai verkkopäätteessä (mahdollisesti ulkopuolista konfiguraatiota varten). Mitään porttia ei tarvitse olla open tilassa jos nyt tietoisesti ei käytä palvelinta.......

Jos mikään palvelinohjelmisto ei kuuntele porttia se on closed tilassa. Stealth tarkoittaa, että verkkopino ei lähettää edes reset komentoa takaisin tarkoittaen, että mikään ohjelmisto ei ole rekisteröinyt kuuntelemaan porttia.

jassoo

  • Käyttäjä
  • Viestejä: 123
    • Profiili
Kyllä tämä taitaa sillattu yhteys olla ja edelleenkin samaa testitulosta tarjoaa,,ja palomuuri muuten toimii ja blokkailee tcp juttuja liudan

jassoo

  • Käyttäjä
  • Viestejä: 123
    • Profiili
GRC Port Authority Report created on UTC: 2009-09-09 at 18:45:07

Results from scan of ports: 0-1055

    0 Ports Open
    0 Ports Closed
 1056 Ports Stealth
---------------------
 1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - A PING REPLY (ICMP Echo) WAS RECEIVED.


wlani oli sekaisi.ostin uuden edullisen tänään ja sain asetukset siitä laitettua kohdilleen.Edellinen wlan oli avoinna ja en päässyt sen ohjelmistoon enää muuttamaan asetuksia enkä salasanoja..Joten vaihtoehdoksi jäi 39e sijoitus ja sweekx niminen laite 5db antennilla joka toimii todella hyvin ubuntun kanssa..

valtsu68

  • Käyttäjä
  • Viestejä: 454
  • Aloitteleva peruskäyttäjä
    • Profiili

Haluaisitko kaikki portit piiloon mukaan lukien portit 80 ja 443?


Minkälaista ratkaisua olisit tarjonnut? Kiinnostaa. Itse olen tehnyt Raimon Mini-HowTo:n mukaan, (kiitos siitä), ja testaillut sitä omilla vähäisillä taidoilla.



Törmääköhän testi ensimmäisenä adsl-boxiiisi tms. ja koneesi säädöt jäävät näin testaamatta?

(Seuraavan luulen tietäväni, mutta jos olen väärässä niin
korjatkaa ihmeessä)

Minulla oli jossain välissä tuo ADSL-modeemi siltaavassa(?) tilassa, eli IP-osoite oli verkkokortilla(?), jolloin Raimon ohjeiden mukaan tehdyt muutokset näkyivät GRC:n testissä; lisäksi lokiin ilmestyi merkintöjä. Sittemmin muutin ADSL-modeemin reitittävään tilaan ja laitoin NAT:in päälle; Ubuntun lokit pysyvät tyhjänä, (sikäli kun niitä osaa muulla katsoakaan kuin FWLogwatch:illa, jolla saa tulosteen tallennettua html:nä jonka taas saa avautumaan firefoxissa), mutta ADSL-modeemin lokiin tulee joka päivä tällaista:

Koodia: [Valitse]
Sep  9 14:16:37 Block Wan: DROP ICMP packet from [nas0] 58.230.5.103
Sep  9 14:16:40 Block Wan: DROP ICMP packet from [nas0] 58.230.5.103
Sep  9 18:08:59 Block Wan: DROP ICMP packet from [nas0] 213.133.13.151
Sep  9 18:09:02 Block Wan: DROP ICMP packet from [nas0] 213.133.13.151
Sep  9 19:20:20 Block Wan: DROP ICMP packet from [nas0] 124.50.161.210
Sep  9 19:20:22 Block Wan: DROP ICMP packet from [nas0] 124.50.161.210
Sep  9 20:42:14 Block Wan: DROP ICMP packet from [nas0] 84.115.10.193
Sep  9 20:42:16 Block Wan: DROP ICMP packet from [nas0] 84.115.10.193

Onko tämä nyt sitä kohinaa, vai jotkut pingaa satunnaisesti tai kohdistetusti :) ?

Lisäksi välillä tällaista:
Koodia: [Valitse]
Sep  8 20:11:00 Hack Attack: DROP TCP packet from
 [nas0] 192.116.242.24:80 to 8xx.xxx.xxx.xxx:40310 <SPI:Illegal connection state attack>

Tämä on jo kai kovempaa luokkaa? Näyttää ainakin uhkaavalta.

P.S
Vielä kun osaisi automatisoida modeemin lokin reaaliaikaisen tallennuksen tekstitiedostoon, niin olisi kova juttu. No, toki Ubuntun lokien ymmärtäminenkin olisi sitä.

Edit: Muotoiluja..
« Viimeksi muokattu: 09.09.09 - klo:23.14 kirjoittanut valtsu68 »

Ville Pöntinen

  • Käyttäjä
  • Viestejä: 2078
    • Profiili
Tämä on jo kai kovempaa luokkaa? Näyttää ainakin uhkaavalta.

Joku on pingannut osoitettasi. Saattaa olla virhe/internetin "taustakohinaa" tai sitten joku etsiskelee jotain murrettavaa. Yhtä kaikki purkkisi palomuuri on tehnyt sen mitä pitääkin eli jättänyt vastaamatta. Ei hätää.

Jos tuollainen toistuu jatkuvasti/usein samasta osoitteesta (vaikka osoitteen voi saada vaihtumaan) on joku yrittämässä tosissaan koneellesi, mutta tuollaisia yksittäisiä kokeiluita tulee vasmasti kaikille satunnaisen säännöllisesti.

jassoo

  • Käyttäjä
  • Viestejä: 123
    • Profiili
Varmaan se on perus lokijuttua tai sitten joku isompi nuuskija taho koittaa selvitellä kuka siellä "piilossa" mahtaa olla..
Ja ainakin jenkkilässä mac koneet varmaan osataan scannailla sekä murrella? suomessa ollaan vielä niiin uusia tämän linuxin suhteen että ne scannaajat mahtaa olla ulkomaalaisia tahoja tai sitten virkavaltaa.??
windows aikana oli ihan liki arkipäivää että joku scannaili tai tarjosi viruksia.. ::)
Eipä ole enää firestarter ilmoitellu yhtikäs mitään,vielä eilen se punaisella vilkkuili,ja käykö muuten kaikki wlanit ubuntuun? tuo halpis wlan tukee windows xp asti ja sitten mac koneita ja sen tiimoilla ostin tuon kun luki mac tuki,eli onko niin että yleensä laite joka tukee mac koneita toimii myös linuxissa,vai oliko ihan tuurista kiinni että tuo oli ubuntun tuettuna?
miksi windows koneisiin pitää aina ajaa kauheet ajuri jutut ja sovelmat ennen kuin laitetta saa toimimaan??

Jakke77

  • Käyttäjä
  • Viestejä: 3946
  • Oulu (Oinaansuo)
    • Profiili
Koodia: [Valitse]
Ubuntun ufw-palomuuri

sudo ufw enable - käynnistää palomuurin
sudo ufw disable - sammuttaa palomuurin
sudo ufw default allow - sallii kaikki yhteydet oletuksena
sudo ufw default deny - sulkee kaikki yhteydet oletuksena
sudo ufw status - nykyinen palomuurintila ja säännöt
sudo ufw allow portti - salli liikenne portista portti
sudo ufw deny portti - kiellä liikenne porttiin portti
sudo ufw deny from xxx.xxx.xxx.xxx - kiellä kaikki liikenne IP-osoitteesta xxx.xxx.xxx.xxx

noilla luulisi pärjäävän ilman firestarteriakin
U_G_H

Aspire E5-575G V1.27 CPU: Intel i3-6100U (4) @ 2.300GHz GPU: Intel® HD Graphics 520 GPU: NVIDIA GeForce 940MX Samsung SSD 970 EVO Plus 500GB

jassoo

  • Käyttäjä
  • Viestejä: 123
    • Profiili
Niin pärjää vallan mainiosti,ja vielä paremmin pärjää jos saa reitittimen muurin asetuksiltaan säädettyä tehokkaaksi... :)
ELi firestartterii ei tarvitse näillä näkymin käyttää enää ollenkaan... 8)

Lasse.

  • Käyttäjä
  • Viestejä: 1668
  • Techjunkie.
    • Profiili
    • Liquid Flower Games
Eipä olisi tarvinnut alunperinkään ellei käytössä ole palvelinohjelmistoja.
Kone 1: Intel Core i5 2500K, 8GB DDR3, nVidia GTX 560 Ti 1GB, 2x1TB & 1x 250GB HDD, Windows 7 & Arch
Kone 2: Lenovo Ideapad Z370 (i5-2410M, 4GB RAM & GeForce 410M) Chakra
Google LG Nexus 4 (ParanoidAndroid)
Linuxia noin vuodesta 2004.

valtsu68

  • Käyttäjä
  • Viestejä: 454
  • Aloitteleva peruskäyttäjä
    • Profiili
Mitä te kikkailette niillä koneillanne, omaa syytänne tuollaiset palomuurisolmut. Minulla ilman mitään säätöä tällainen tulos:

GRC Port Authority Report
    0 Ports Open
    0 Ports Closed
   26 Ports Stealth
---------------------
   26 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - A PING REPLY (ICMP Echo) WAS RECEIVED.

Tähän minä sanoisin että modeemissa on asetukset oikein, sillä Ubuntussa ei palomuuri ole oletuksena päällä. Sen voi tarkistaa seuraavalla tavalla, jos vaikka jollakin sattuisi olemaan poikkeus joka vahvistaa säännön, (tai sitten olen väärässä).

Koodia: [Valitse]
desktop:~$ sudo ufw status
Status: active

Lisää tietoa on mainitsemassani Raimon Mini-HowTo:ssa.

Kokeilin joskus Firestarterilla ja Gufwllä asettaa sääntöjä, jonka jälkeen katsoin tulostetta komennolla
Koodia: [Valitse]
sudo iptables -L...niin tuloste oli aika sekavan näköinen. (...en kyllä osaisi sanoa yhdestäkään rivistä mitä se tekee...)........noooo, tämä nyt on jaarittelua, mutta nyt tulee kysymys ::)

Kun on tuon Raimon ohjeen mukaisesti säätänyt muurinsa ja sen jälkeen laittaa modeemin reitittävään tilaan, NAT päälle, on "sisä IP" ja "ulko IP", jne, niin jos ja kun krakkeri tulee modeemin läpi, kohtaako krakkeri vielä Ubuntun palomuurin vai hyväksyykö Ubuntu krakkerin liikenteen modeemilta tulevana hyväksyttävänä liikenteenä? (Olipas taas selkeä kysymys)  ???

Jaarittelu jatkuu, valitettavasti en osaa pitää suutani kiinni ;D

Ja ainakin jenkkilässä mac koneet varmaan osataan scannailla sekä murrella? 

Kaikki voidaan murtaa, se on vain motiivista kiinni kuinka innokas krakkeri on.

Tietysti jos kone vain on, eikä sillä liikuta netissä, on se paremmassa turvassa. Esimerkiksi kaikki interaktiivinen toiminta netissä heikentää tietoturvaa, jo senkin takia, että kirjoitat tai teet mitä hyvänsä, on se jonkun mielestä typerää, ärsyttävää, tai jotain muuta motiiviksi sopivaa. Normaalisti tuosta ei ole muuta haittaa, kuin pussillinen herneitä jonkun nenässä, mutta jos ärsyyntynyt henkilö onkin kieroonkasvanut ja valitettavan taitava "nörtti", saattaa hänestä yllättäen muotoutua krakkeri (jos ei ole sitä jo valmiiksi). Eli tämäkin kirjoitus tänne foorumille, (varsinkin tämä kappale), on tietoturvan heikentämistä. Nimimerkillä kokemusta on, ei kuitenkaan kirjoittelun vaan netissä pelaamisen osalta.


Joku on pingannut osoitettasi. Saattaa olla virhe/internetin "taustakohinaa" tai sitten joku etsiskelee jotain murrettavaa. Yhtä kaikki purkkisi palomuuri on tehnyt sen mitä pitääkin eli jättänyt vastaamatta. Ei hätää.

Hmm.. Tällaiset rivit tulevat pingeistä
Koodia: [Valitse]
Sep  9 20:42:16 Block Wan: DROP ICMP packet from [nas0] 84.115.10.193
Ja noita tulee joka päivä noin 10 kpl.

Testattiin kaverin kanssa tuota pingausta. Päätteellä pingatessa modeemi ei reagoinut, mutta Verkkotyökalun Ping-välilehdellä tehdyn pingin modeemi kirjasi juuri tuolla esitetyllä tavalla.


Koodia: [Valitse]
Sep  8 20:11:00 Hack Attack: DROP TCP packet from
 [nas0] 192.116.242.24:80 to 8xx.xxx.xxx.xxx:40310 <SPI:Illegal connection state attack>

Tämän ilmoituksen aiheuttaja on joutunut tekemään jotain rajumpaa kuin peruspingauksen.


Joku on pingannut osoitettasi. ....
....Jos tuollainen toistuu jatkuvasti/usein samasta osoitteesta (vaikka osoitteen voi saada vaihtumaan) on joku yrittämässä tosissaan koneellesi, mutta tuollaisia yksittäisiä kokeiluita tulee vasmasti kaikille satunnaisen säännöllisesti.

Yksi turkulainen IP on ollut melko aktiivinen, mutta muuten ei ole mitään hälyttävää. Siellä voi olla bottikone tai script-kiddie treenaamassa, tms.

Tuo osoitteen vaihtaminen ei kyllä onnistu ilman proxyjä kovin helposti. Verkkokortin tai modeemin vaihto on kai helpoin tapa ilman verkkotuntemusta.

jassoo

  • Käyttäjä
  • Viestejä: 123
    • Profiili
Siis tarvitseeko mokkula käytössä sitten mitään suojaa jos se ei ole wlanin kautta? (homebox)
Ainut se palomuuri sitten omalla koneella.... ::)

valtsu68

  • Käyttäjä
  • Viestejä: 454
  • Aloitteleva peruskäyttäjä
    • Profiili
Siis tarvitseeko mokkula käytössä sitten mitään suojaa jos se ei ole wlanin kautta? (homebox)
Ainut se palomuuri sitten omalla koneella.... ::)

Varoitus: seuraava kappale sisältää vain MUTUA

Sen mitä olen yhtä kaverin mokkulaa hiukan testaillut, niin minun vähäiseen kokemukseen perustuvalla ymmärryksellä pidän mokkulan tietoturvaa aika hyvänä (Ubuntussa, ainoa millä kokeilin), verrattuna perusasennettuun Ubuntuun, joka on ADSL-piuhalla tai WLANilla netissä. (Viisaammat kertokoon totuuden)


valtsu68

  • Käyttäjä
  • Viestejä: 454
  • Aloitteleva peruskäyttäjä
    • Profiili
Koodia: [Valitse]
Sep 12 18:13:53 Hack Attack: DROP ICMP packet from [nas0] 92.63.49.201 to 353535353535 <SPI:Illegal connection state attack>

Tuollainen tuli taas tänään kun napero oli pelaamassa jotain nettipeliä. (Käytti toki Mandrivaa siinä)

Googletuksella näytti siltä, että hyökkääjä käytti tsekkiläistä proxyserveriä. Joten voidaan epäilllä hyökkäyksen olleen aika vakava, ainakin noihin normipingauksiin nähden.

Teen tälle hommalle kohta oman ketjun, kun ei tämä enää taida kuulua tähän...